NIST サイバーセキュリティ フレームワークの観点からエンタープライズ SaaS アプリケーションのセキュリティ コンプライアンスを検討する

米国国立標準技術研究所 (NIST) の標準は、その専門性から多くの組織で重要な役割を果たしており、最新の暗号化要件 (NIST 800-63) から製造業者向け IoT セキュリティ (NISTIR 8259) まで、NIST ドキュメントの編集に外部の専門家が協力しているため、常に NIST が出発点となっています。 NIST サイバーセキュリティ フレームワーク (CSF) は、2014 年に最初に公開され、2018 年に最終更新されました。このフレームワークにより、組織は、十分に計画された使いやすいフレームワークを通じて、重要なインフラストラクチャのセキュリティと回復力を向上させることができます。

CSF は、SaaS が普及していたときに作成され、更新されました。現在、SaaS の継続的な発展と COVID-19 パンデミックによる労働環境の大きな変化により、新たなセキュリティ上の課題が生じています。組織は、CSF を最新の SaaS ベースの作業環境に適応させることで、新たなリスクに効果的に対処できます。この記事では、CSF の主要な要素について説明し、主な利点を指摘し、SaaS セキュリティを確保するための具体的な実装方法と推奨事項を示します。

NIST CSF の概要

NIST CSF は 5 つのセキュリティ機能をリストし、それらをカテゴリに分類します。 CSF には、サブカテゴリごとに、ISO 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443 などの一連のよく知られた標準とフレームワークが参照として付属しています。これらのベンチマークは、組織が CSF を実装するのに役立ち、セキュリティ マネージャーや他のチーム メンバーなどの他のフレームワークとの比較を提供して、企業が準拠する必要があるセキュリティ標準に関する決定を正当化します。 NIST CSF フレームワークには、識別、保護、検出、対応、回復という 5 つのコア機能フェーズがあり、それぞれについて以下に説明します。

• 識別: NIST は、この機能を「組織がシステム、資産、データ、機能に対するサイバーセキュリティのリスクを管理するための可視性を獲得できるように支援する」と定義しています。この機能では、NIST は資産管理、ビジネス環境、ガバナンス、リスク評価、リスク管理戦略、サプライ チェーン リスク管理などの制御カテゴリを含めます。

• 保護: NIST では、この機能を「重要なインフラストラクチャ サービスの提供を確実にするために適切な保護手段を開発および実装する」と定義しています。この機能では、NIST はアクセス制御、認識とトレーニング、データ セキュリティ、情報保護のプロセスと手順、メンテナンス、保護テクノロジなどの制御カテゴリを含めます。

• 検出: NIST では、この機能を「サイバーセキュリティ インシデントが発生したときにそれを特定するための適切な活動を決定し、実施すること」と定義しています。この機能では、NIST は異常やイベント、セキュリティの継続的な監視、検出プロセスなどの制御カテゴリを含めます。

• 対応: NIST では、この機能を「検出されたサイバーセキュリティ イベントに対応して適切な行動をとるための適切な活動を決定し、実装すること」と定義しています。この機能では、NIST は対応計画、コミュニケーション、分析、緩和、改善などの制御カテゴリを含めます。

• 回復: NIST では、この機能を「回復力計画を維持し、サイバーセキュリティ インシデントによって侵害された機能やサービスを回復するための適切な活動を特定して実装すること」と定義しています。この機能では、NIST は復旧計画、改善、コミュニケーションなどの制御カテゴリを含めます。

NIST CSFが直面する課題

このフレームワークはベストプラクティスのモデルの 1 つですが、主に次の点で実装が困難です。

1. 転送中のデータは保護されます (PR.DS-2)

SaaS サービスを使用する企業は、これが自社にどう関係するのか疑問に思うかもしれません。コンプライアンスは SaaS プロバイダーの責任であると考えている可能性があります。しかし、詳しく調べてみると、多くの SaaS プロバイダーがセキュリティ対策を講じており、それを使用するのはユーザーの責任であることがわかりました。たとえば、管理者は HTTP 経由の SaaS サービスへの接続を許可せず、安全な HTTPS 接続のみを許可する必要があります。

2. データ漏洩を防止するためのメカニズムが導入されている（PR.DS-5）

これは小さなサブカテゴリのように思えるかもしれませんが、実際には非常に大きく、データ侵害を防ぐことは非常に困難です。 SaaS アプリケーションを導入すると、世界中のどこからでも共有したりアクセスしたりできるため、このタスクはさらに困難になります。管理者または CISO オフィスのメンバーは、この脅威に特別な注意を払う必要があります。 SaaS の DLP には、実際のファイルの代わりにファイル リンクを共有するなどのセキュリティ対策が含まれる場合があります。リンクに有効期限を設定する;必要ない場合はダウンロード オプションを無効にする。データ分析 SaaS でデータをエクスポートする機能をブロックする。ユーザー認証の強化; SaaS での通信ゾーンのログ記録を防止する。限られた数のスーパーユーザーと管理者による明確なユーザー ロールを定義します。

3. 承認されたデバイス、ユーザー、プロセスの ID とログインを発行、管理、検証、取り消し、監査する (PR.AC-1)

企業が従業員数を拡大し、SaaS の導入を増やすにつれて、このサブカテゴリはより困難になります。わずか 5 つの SaaS システムを使用して 50,000 人のユーザーを管理するということは、セキュリティ チームが 250,000 の ID を管理する必要があることを意味し、これは現実的かつ複雑な問題です。さらに問題を複雑にしているのは、各 SaaS システムで ID を定義、表示、保護する方法が異なることです。同時に、SaaS アプリケーションは必ずしも相互に統合されるわけではないため、ユーザーはシステムごとに異なる権限を持つ場合があります。その結果、不要な権限が発生し、潜在的なセキュリティ リスクが生じます。

参考リンク: https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html

[この記事は51CTOコラムニスト「Anquan Niu」によるオリジナル記事です。転載する場合は、Anquan Niu（WeChatパブリックアカウントID：gooann-sectv）を通じて許可を得てください。

この著者の他の記事を読むにはここをクリックしてください