NIST セキュリティ標準とは?

公開: 2021-01-07

今日の企業は、「NIST セキュリティ標準とは何か、それらをどのように適用できるのか?」と自問しています。

これは大きな驚きではありません。私たちは現在、サイバー犯罪の脅威に対する態度に劇的な変化を経験しており、ネットワーク セキュリティのセキュリティ標準は現代の企業の重要な側面であるだけでなく、実際に不可欠であるという認識が組織間で高まっています。その存続に。

IBM によると、パンデミックが発生する前は、企業はサイバー攻撃に対する準備ができていなかったことを認めており、ビジネス全体にインシデント対応計画を適用していると答えた組織はわずか 23% でした。

多くの企業は、現代のサイバー攻撃の数と深刻さに対応する準備ができていません。これは小さな問題ではありません。大規模なデータ災害に見舞われた災害復旧計画のない企業の 93% は、1 年以内に倒産します。

パンデミックとそれがもたらした変化により、サイバー攻撃は現在、かつてないほど高レベルにあり、企業は自社と顧客を保護するために対応する必要があります。

ここで、NIST のようなフレームワークが登場します。企業は、サイバーセキュリティに関するガイダンスを探しており、NIST のような標準がそれを提供できることを望んでいます。

このブログでは、NIST セキュリティ標準とは何かを見て、それを分析し、ビジネス セキュリティを強化したい全国の組織にどのように適用できるかを判断します。

サイバー攻撃の増加は企業に損害を与えています | NIST セキュリティ標準とは?

NIST とは

1988 年まで知られていた National Bureau of Standards は、製造、環境科学、公安、ナノテクノロジー、情報技術など、さまざまな業界に標準を提供する非規制機関として 1901 年に設立されました。

創設以来、NIST の権限はますます多くの業界に拡大してきましたが、サイバーセキュリティ (IT 部門) はその 1 つにすぎません。

サイバーセキュリティ フレームワークを含む NIST フレームワークは、遵守が義務付けられている政府との契約に関与している組織を除き、すべての組織にとって自主的なガイドラインとなることを意図しています。

NIST サイバーセキュリティ フレームワーク (CSF) とは?

NIST サイバーセキュリティ フレームワーク (略して CSF) は、重要な政府および公共インフラストラクチャ システムへのリスクを軽減することを目的として、サイバーセキュリティにアプローチするためのフレームワーク コンセンサスを作成するために、2013 年にオバマ大統領の下で大統領令によって設立されました。

CSF の最初のバージョンは 2014 年に発行され、議会はその直後に、次の目的で 2014 年のサイバーセキュリティ強化法を可決しました。

AN ACT サイバーセキュリティを改善し、サイバーセキュリティの研究開発、労働力の開発と教育、国民の意識と準備を強化するため、およびその他の目的のために、継続的で自発的な官民パートナーシップを提供すること。

2017 年にトランプ大統領によって別の大統領令が出され、すべての連邦機関にフレームワークを使用するよう指示されました。

2015 年には、米国企業の推定 30% が CSF を使用し、2020 年にはさらに 50% に増加しました。このフレームワークの成功により、米国だけでなく世界中で採用されるようになりました。王国からイスラエルへ。

NIST フレームワークの概要

では、NIST セキュリティ標準とは何ですか?

NIST サイバーセキュリティ フレームワークは、「コア」、「実装層」、「プロファイル」の 3 つの異なるコンポーネントに分類されます。

フレームワーク コアは、NIST 標準が要求する最高のサイバーセキュリティ成果を達成するように設計された一連の活動です。

これらの活動はチェックリストではなく、利害関係者によってサイバーセキュリティ リスクの管理において重要であると特定された主要な結果です。

Elements NIST セキュリティ標準とは?

フレームワーク コアを構成する 4 つの主要な要素があります。 これらは:

  • 機能:機能は、NIST サイバーセキュリティ フレームワークの最も認識可能な側面の一部です。 これらは、基本的なセキュリティ活動を高レベルの観点から概説し、組織がサイバーセキュリティの最も重要な要素に対処するのに役立ちます。 機能には、識別、保護、検出、応答、および回復が含まれます。
  • カテゴリ:カテゴリはビジネスの成果に焦点を当てており、コア機能内の目的をカバーする、より詳細な内容です。
  • サブカテゴリ:サブカテゴリは、コア内の抽象化の最も細かいレベルです。 合計 108 のサブカテゴリがあり、通常は成果主導型であり、サイバーセキュリティ プログラムの確立または改善に関する考慮事項を提供するように設計されています。
  • 有益な参考文献:有益な参考文献は、各サブカテゴリに関連する既存の標準、ガイドライン、および慣行を参照しています。

NIST フレームワークの 5 つのコンポーネント | NIST セキュリティ標準とは?

サイバーセキュリティ フレームワークの 5 つの主要機能の NIST カテゴリ

前述したように、主要な機能はそれぞれ NIST カテゴリと NIST サブカテゴリに分類されます。

NIST カテゴリは次のとおりです。

識別

  • 資産運用管理
  • ビジネス環境
  • ガバナンス
  • リスクアセスメント
  • リスク管理戦略
  • サプライチェーンのリスク管理

関連記事: サイバーセキュリティ リスク監査中に何が起こるか?

守る

  • アイデンティティ管理とアクセス制御
  • 意識向上とトレーニング
  • データセキュリティ
  • 情報保護のプロセスと手順
  • メンテナンス
  • 保護技術

探知

  • 異常とイベント
  • セキュリティの継続的な監視
  • 検出プロセス

応答

  • 対応計画
  • コミュニケーション
  • 分析
  • 緩和
  • 改良点

回復

  • 回復計画
  • 改良点
  • コミュニケーション

階層

フレームワークの実装層は、組織がフレームワークの機能とカテゴリで概説されている特性を効果的に満たすことができる程度を示すのに役立ちます。

これらの実装層は、サイバーセキュリティの成熟度のレベルとは見なされておらず、意図されたものでもありません。

ただし、最高層の基準を満たす組織は、必然的にサイバー成熟企業を定義する多くの特性を備えています。

ティア 1 (部分的)

リスク管理プロセス:リスク管理の慣行は形式化されておらず、リスクはその場しのぎの方法で管理されています。

統合リスク管理プログラム:組織レベルでのサイバーセキュリティ リスクに対する限定的な認識。

外部参加:組織は、他のエンティティと協力したり、より大きなエコシステムにおけるその役割を理解していません。

Tier 2 (リスク情報提供)

リスク管理プロセス:リスク管理の実践は経営陣によって承認され、組織のリスク目標に従って優先順位が付けられます。

統合リスク管理プログラム:組織レベルでサイバーセキュリティ リスクを認識しているが、このリスクを管理するための全社的なアプローチが欠けている。

外部参加:組織は、依存関係または依存関係に関して、ビジネス エコシステムにおけるその役割を認識していますが、両方ではありません。 ある程度の協力はあるが、提示されたリスクに対して一貫して、または正式に行動しない可能性がある。

ティア 3 (繰り返し可能)

リスク管理プロセス:リスク管理の実践は正式に承認され、ポリシーを通じて表明されます。 サイバーセキュリティの実践は、正式なリスク管理プロセスの適用に基づいて定期的に更新されます。

統合リスク管理プログラム:セキュリティ リスク管理に対する組織全体のアプローチが実施されており、担当者はセキュリティ リスクを管理するための知識とスキルを備えています。

外部参加:より大きなエコシステムにおける組織の役割は、他の企業に関連するものとして理解されており、コミュニティのリスクに対するより広範な理解に貢献する可能性があります。 定期的に他の人と協力し、情報を受け取ります。

ティア 4 (アダプティブ)

リスク管理プロセス:サイバーセキュリティの実践は、以前と現在の活動、および予測指標に基づいて適応および開発されます。 高度な技術と実践を取り入れることにより、プロセスの継続的な改善が期待されます。

統合リスク管理プログラム:セキュリティ リスクと組織の目標との関係が明確に理解されています。 セキュリティ リスク管理は組織文化の一部であり、リスク管理へのアプローチ方法の変更は迅速かつ効果的に伝達されます。

外部参加:組織は、より大きなエコシステムにおける自身の役割を完全に理解し、リスクに対するコミュニティの理解に貢献します。 リスクの絶え間ない分析を知らせる情報を受け取り、生成し、優先順位を付けます。 リアルタイムのデータ分析が活用され、使用される製品やサービスに関連するリスクに関連するコミュニケーションが積極的に行われます。

プロフィール

フレームワーク プロファイルは、機能、カテゴリ、およびサブカテゴリと、組織のビジネス要件、リスク許容度、およびリソースとの全体的な調整を指します。

ビジネスごとに優先順位が異なるため、同じプロファイルは 2 つとありません。そのため、その会社に最適な独自のフレームワーク プロファイルを決定することが、NIST 標準の最後の重要な側面です。

現在のプロファイルとターゲット プロファイル

企業がサイバーセキュリティ標準のプロファイルを確立する場合、現在の状況と将来の目標を理解するための一般的かつ効果的な方法は、現在のプロファイルとターゲット プロファイルの 2 つのプロファイルを作成することです。

現在のプロファイルは、サブカテゴリの活動を実行する組織の能力を評価することによって作成されます。

サブカテゴリの例には、「組織内の物理デバイスとシステムのインベントリが作成されている」(ID.AM-1)、「転送中のデータが保護されている」(PR.DS-2)」などがあります。

これらは合計 108 のサブカテゴリの 2 つの例にすぎませんが、評価される活動の種類を示しています。

各サブカテゴリを満たす企業の能力をランク付けして現在のプロファイルを確立したら、次はターゲット プロファイルを作成します。

ターゲットプロファイルは、望ましいリスク管理の目標と優先事項を満たすために、企業がサイバーセキュリティを使用して実際にあるべき場所です。

ターゲット プロファイルが作成されると、組織は 2 つを比較して、ビジネスがリスク管理の目標を満たしている場所と改善が必要な場所を明確に理解できます。

これは、プロトコルを改善し、NIST の CSF 勧告に準拠するという点で、NIST セキュリティ標準とは何か、組織にどのように直接適用できるかを完全に理解するための最も効果的な方法の 1 つです。

誰が NIST サイバーセキュリティ フレームワークを使用していますか?

すでに述べたように、NIST は何よりもまず、元請業者、下請け業者、または NIST に準拠する必要があるその他のエンティティであるかどうかにかかわらず、連邦政府のサプライ チェーン内の企業を対象としたフレームワークとして設計されています。

ただし、NIST の標準は、事実上すべてのビジネスに適用でき、企業の現在のサイバーセキュリティ活動と、許容可能な標準まで実行する能力を判断するための非常に貴重な情報源であり、新しい未知の優先事項を明らかにします。

NIST の最終的な目標は、連邦関連組織だけでなく、ビジネス界全体にフレームワークを提供することです。

この目的のために、NIST はサイバーセキュリティ フレームワークを継続的に更新し、特に NIST CSF への準拠が必要かどうかに関係なく、最新の状態に保ち、誰にでも適用できるようにすることを計画しています。

今何?

このブログ投稿が、NIST セキュリティ標準とは何か、およびそれらが組織でどのように使用されているかを理解するのに役立つことを願っています.

NIST CSF コンプライアンスは、政府の契約を受けていない、または政府の請負業者の下請けを受けていない組織には必要ありませんが、その活動とプロトコルの多くは、HIPAA、PCI、PII など、従わなければならない他の多くのコンプライアンス規制に適用されます。

これらの規制 (およびその他の多くの規制) に準拠するために、ガバナンス リスクとコンプライアンス (GRC) ソリューションを使用して、アクティビティを正確に監視および維持できるようにすることをお勧めします。

Impact では、専門家による GRC のハイブリッドまたは完全管理のオプションを備えたこのようなソリューションを提供します。専門家は、リスク評価を実行し、コンプライアンスを維持するためにサイバーセキュリティ ポリシーが正確に必要な場所にあることを確認します。

詳細については、コンプライアンス サービスのページをご覧になり、スペシャリストに連絡して、Impact が組織のコンプライアンスを軌道に乗せる方法を確認してください。