NIST サイバーセキュリティ フレームワークの観点からエンタープライズ SaaS アプリケーションのセキュリティ コンプライアンスを検討する

NIST サイバーセキュリティ フレームワークの観点からエンタープライズ SaaS アプリケーションのセキュリティ コンプライアンスを検討する

米国国立標準技術研究所 (NIST) の標準は、その専門性から多くの組織で重要な役割を果たしており、最新の暗号化要件 (NIST 800-63) から製造業者向け IoT セキュリティ (NISTIR 8259) まで、NIST ドキュメントの編集に外部の専門家が協力しているため、常に NIST が出発点となっています。 NIST サイバーセキュリティ フレームワーク (CSF) は、2014 年に最初に公開され、2018 年に最終更新されました。このフレームワークにより、組織は、十分に計画された使いやすいフレームワークを通じて、重要なインフラストラクチャのセキュリティと回復力を向上させることができます。

CSF は、SaaS が普及していたときに作成され、更新されました。現在、SaaS の継続的な発展と COVID-19 パンデミックによる労働環境の大きな変化により、新たなセキュリティ上の課題が生じています。組織は、CSF を最新の SaaS ベースの作業環境に適応させることで、新たなリスクに効果的に対処できます。この記事では、CSF の主要な要素について説明し、主な利点を指摘し、SaaS セキュリティを確保するための具体的な実装方法と推奨事項を示します。

NIST CSF の概要

NIST CSF は 5 つのセキュリティ機能をリストし、それらをカテゴリに分類します。 CSF には、サブカテゴリごとに、ISO 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443 などの一連のよく知られた標準とフレームワークが参照として付属しています。これらのベンチマークは、組織が CSF を実装するのに役立ち、セキュリティ マネージャーや他のチーム メンバーなどの他のフレームワークとの比較を提供して、企業が準拠する必要があるセキュリティ標準に関する決定を正当化します。 NIST CSF フレームワークには、識別、保護、検出、対応、回復という 5 つのコア機能フェーズがあり、それぞれについて以下に説明します。

  • 識別: NIST は、この機能を「組織がシステム、資産、データ、機能に対するサイバーセキュリティのリスクを管理するための可視性を獲得できるように支援する」と定義しています。この機能では、NIST は資産管理、ビジネス環境、ガバナンス、リスク評価、リスク管理戦略、サプライ チェーン リスク管理などの制御カテゴリを含めます。
  • 保護: NIST では、この機能を「重要なインフラストラクチャ サービスの提供を確実にするために適切な保護手段を開発および実装する」と定義しています。この機能では、NIST はアクセス制御、認識とトレーニング、データ セキュリティ、情報保護のプロセスと手順、メンテナンス、保護テクノロジなどの制御カテゴリを含めます。
  • 検出: NIST では、この機能を「サイバーセキュリティ インシデントが発生したときにそれを特定するための適切な活動を決定し、実施すること」と定義しています。この機能では、NIST は異常やイベント、セキュリティの継続的な監視、検出プロセスなどの制御カテゴリを含めます。
  • 対応: NIST では、この機能を「検出されたサイバーセキュリティ イベントに対応して適切な行動をとるための適切な活動を決定し、実装すること」と定義しています。この機能では、NIST は対応計画、コミュニケーション、分析、緩和、改善などの制御カテゴリを含めます。
  • 回復: NIST では、この機能を「回復力計画を維持し、サイバーセキュリティ インシデントによって侵害された機能やサービスを回復するための適切な活動を特定して実装すること」と定義しています。この機能では、NIST は復旧計画、改善、コミュニケーションなどの制御カテゴリを含めます。

NIST CSFが直面する課題

このフレームワークはベストプラクティスのモデルの 1 つですが、主に次の点で実装が困難です。

1. 転送中のデータは保護されます (PR.DS-2)

SaaS サービスを使用する企業は、これが自社にどう関係するのか疑問に思うかもしれません。コンプライアンスは SaaS プロバイダーの責任であると考えている可能性があります。しかし、詳しく調べてみると、多くの SaaS プロバイダーがセキュリティ対策を講じており、それを使用するのはユーザーの責任であることがわかりました。たとえば、管理者は HTTP 経由の SaaS サービスへの接続を許可せず、安全な HTTPS 接続のみを許可する必要があります。

2. データ漏洩を防止するためのメカニズムが導入されている(PR.DS-5)

これは小さなサブカテゴリのように思えるかもしれませんが、実際には非常に大きく、データ侵害を防ぐことは非常に困難です。 SaaS アプリケーションを導入すると、世界中のどこからでも共有したりアクセスしたりできるため、このタスクはさらに困難になります。管理者または CISO オフィスのメンバーは、この脅威に特別な注意を払う必要があります。 SaaS の DLP には、実際のファイルの代わりにファイル リンクを共有するなどのセキュリティ対策が含まれる場合があります。リンクに有効期限を設定する;必要ない場合はダウンロード オプションを無効にする。データ分析 SaaS でデータをエクスポートする機能をブロックする。ユーザー認証の強化; SaaS での通信ゾーンのログ記録を防止する。限られた数のスーパーユーザーと管理者による明確なユーザー ロールを定義します。

3. 承認されたデバイス、ユーザー、プロセスの ID とログインを発行、管理、検証、取り消し、監査する (PR.AC-1)

企業が従業員数を拡大し、SaaS の導入を増やすにつれて、このサブカテゴリはより困難になります。わずか 5 つの SaaS システムを使用して 50,000 人のユーザーを管理するということは、セキュリティ チームが 250,000 の ID を管理する必要があることを意味し、これは現実的かつ複雑な問題です。さらに問題を複雑にしているのは、各 SaaS システムで ID を定義、表示、保護する方法が異なることです。同時に、SaaS アプリケーションは必ずしも相互に統合されるわけではないため、ユーザーはシステムごとに異なる権限を持つ場合があります。その結果、不要な権限が発生し、潜在的なセキュリティ リスクが生じます。

参考リンク: https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html

[この記事は51CTOコラムニスト「Anquan Niu」によるオリジナル記事です。転載する場合は、Anquan Niu(WeChatパブリックアカウントID:gooann-sectv)を通じて許可を得てください。

この著者の他の記事を読むにはここをクリックしてください

<<:  これら3つの方法を覚えておいてください。 Zookeeper なしで Kafka を実行する

>>:  2022年のテクノロジートレンド: デジタルトランスフォーメーション、クラウドコンピューティング、人材獲得競争

推薦する

モバイルマーケティングは広告市場のブルーオーシャンに:来年爆発的に拡大する可能性

新浪科技新聞、11月20日午後、Domob、Millward Brown、Miaozhen Syst...

#BlackFriday# bacloud: 全製品 50% オフ、米国/オランダ/リトアニア、1Gbps 帯域幅、VPS の無制限トラフィック、専用サーバーの 100TB トラフィック

リトアニアの会社であるbacloudは、2007年に設立され、それ以来運営されているサーバープロバイ...

企業はクラウドコンピューティングの「黄金時代」に突入

過去 200 年にわたり、テクノロジー主導のイノベーションは社会と経済の進歩を推進する重要な力となり...

クラウドネイティブデータベース成熟モデルの分析

現在、多くの企業が Kubernetes と関連テクノロジーを使用してワークロードをクラウドに移行し...

SEO コミュニティへの参加に関する議論

外部リンクの組み込みに関しては、ほとんどの SEO 担当者の目には、組み込まれていて検出できる外部リ...

INXY: Verizon CDN (アジアノードを含む) が 50% オフ、一部の専用サーバーも 50% オフ

inxy の Verizon CDN 事業はアジアでかなりの数のポップがあり、グローバル カバレッジ...

VPS の簡単なレビュー: hostus-ダラス データ センター、年間 10 ドル、768M メモリ

「Hostus - ロンドンデータセンター、10Gポート、最安VPSの簡単なレビュー」を書き終えたば...

タオバオ鬼足七:Tmallのパーソナライズ検索の解釈

@天猫逍遥子はWeiboで、Tmall検索にパーソナライズ要素が追加されたと発表した。興奮する人もい...

vaicdn: 海外専用CDN、業界全体の無料登録アクセス、CN2などのハイエンド回線、世界中の2000以上のノードがシームレスな加速と保護を提供します

vaicdnは主に高速、高防御のCDNサービスを提供しており、ハイエンドの専用線アクセス(CN2など...

Tumblrのブログ数は1億を超え、投稿総数は446億件に上る

新浪科技報、北京時間3月27日朝のニュース、米国のテクノロジーブログTheNextWebによると、ラ...

cloud.cc - 香港のクラウドサーバー、無制限の高防御、10秒の防御応答、申請不要

cloud.cc はプロのクラウド防御システム サービス プロバイダーであり、メイン データ センタ...

vikinglayer -$7/KVM/4G メモリ/90g SSD/4T トラフィック/ダラス

vikinglayer は drserver.net のサブブランドです。1999 年から運営されて...

インフラ自動化に必要な3つの段階

従来のオンプレミス データ センターはまだ存在していますが、かつてそこで主流だったワークフローは急速...

ウェブマスターと専門家は、BaiduスナップショットSEOの重要性について異なる意見を持っています

近年、SEO専門家はウェブサイトのホームページのBaiduスナップショット(つまり、ウェブサイトのホ...