NIST サイバーセキュリティ フレームワークの観点からエンタープライズ SaaS アプリケーションのセキュリティ コンプライアンスを検討する

NIST サイバーセキュリティ フレームワークの観点からエンタープライズ SaaS アプリケーションのセキュリティ コンプライアンスを検討する

米国国立標準技術研究所 (NIST) の標準は、その専門性から多くの組織で重要な役割を果たしており、最新の暗号化要件 (NIST 800-63) から製造業者向け IoT セキュリティ (NISTIR 8259) まで、NIST ドキュメントの編集に外部の専門家が協力しているため、常に NIST が出発点となっています。 NIST サイバーセキュリティ フレームワーク (CSF) は、2014 年に最初に公開され、2018 年に最終更新されました。このフレームワークにより、組織は、十分に計画された使いやすいフレームワークを通じて、重要なインフラストラクチャのセキュリティと回復力を向上させることができます。

CSF は、SaaS が普及していたときに作成され、更新されました。現在、SaaS の継続的な発展と COVID-19 パンデミックによる労働環境の大きな変化により、新たなセキュリティ上の課題が生じています。組織は、CSF を最新の SaaS ベースの作業環境に適応させることで、新たなリスクに効果的に対処できます。この記事では、CSF の主要な要素について説明し、主な利点を指摘し、SaaS セキュリティを確保するための具体的な実装方法と推奨事項を示します。

NIST CSF の概要

NIST CSF は 5 つのセキュリティ機能をリストし、それらをカテゴリに分類します。 CSF には、サブカテゴリごとに、ISO 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443 などの一連のよく知られた標準とフレームワークが参照として付属しています。これらのベンチマークは、組織が CSF を実装するのに役立ち、セキュリティ マネージャーや他のチーム メンバーなどの他のフレームワークとの比較を提供して、企業が準拠する必要があるセキュリティ標準に関する決定を正当化します。 NIST CSF フレームワークには、識別、保護、検出、対応、回復という 5 つのコア機能フェーズがあり、それぞれについて以下に説明します。

  • 識別: NIST は、この機能を「組織がシステム、資産、データ、機能に対するサイバーセキュリティのリスクを管理するための可視性を獲得できるように支援する」と定義しています。この機能では、NIST は資産管理、ビジネス環境、ガバナンス、リスク評価、リスク管理戦略、サプライ チェーン リスク管理などの制御カテゴリを含めます。
  • 保護: NIST では、この機能を「重要なインフラストラクチャ サービスの提供を確実にするために適切な保護手段を開発および実装する」と定義しています。この機能では、NIST はアクセス制御、認識とトレーニング、データ セキュリティ、情報保護のプロセスと手順、メンテナンス、保護テクノロジなどの制御カテゴリを含めます。
  • 検出: NIST では、この機能を「サイバーセキュリティ インシデントが発生したときにそれを特定するための適切な活動を決定し、実施すること」と定義しています。この機能では、NIST は異常やイベント、セキュリティの継続的な監視、検出プロセスなどの制御カテゴリを含めます。
  • 対応: NIST では、この機能を「検出されたサイバーセキュリティ イベントに対応して適切な行動をとるための適切な活動を決定し、実装すること」と定義しています。この機能では、NIST は対応計画、コミュニケーション、分析、緩和、改善などの制御カテゴリを含めます。
  • 回復: NIST では、この機能を「回復力計画を維持し、サイバーセキュリティ インシデントによって侵害された機能やサービスを回復するための適切な活動を特定して実装すること」と定義しています。この機能では、NIST は復旧計画、改善、コミュニケーションなどの制御カテゴリを含めます。

NIST CSFが直面する課題

このフレームワークはベストプラクティスのモデルの 1 つですが、主に次の点で実装が困難です。

1. 転送中のデータは保護されます (PR.DS-2)

SaaS サービスを使用する企業は、これが自社にどう関係するのか疑問に思うかもしれません。コンプライアンスは SaaS プロバイダーの責任であると考えている可能性があります。しかし、詳しく調べてみると、多くの SaaS プロバイダーがセキュリティ対策を講じており、それを使用するのはユーザーの責任であることがわかりました。たとえば、管理者は HTTP 経由の SaaS サービスへの接続を許可せず、安全な HTTPS 接続のみを許可する必要があります。

2. データ漏洩を防止するためのメカニズムが導入されている(PR.DS-5)

これは小さなサブカテゴリのように思えるかもしれませんが、実際には非常に大きく、データ侵害を防ぐことは非常に困難です。 SaaS アプリケーションを導入すると、世界中のどこからでも共有したりアクセスしたりできるため、このタスクはさらに困難になります。管理者または CISO オフィスのメンバーは、この脅威に特別な注意を払う必要があります。 SaaS の DLP には、実際のファイルの代わりにファイル リンクを共有するなどのセキュリティ対策が含まれる場合があります。リンクに有効期限を設定する;必要ない場合はダウンロード オプションを無効にする。データ分析 SaaS でデータをエクスポートする機能をブロックする。ユーザー認証の強化; SaaS での通信ゾーンのログ記録を防止する。限られた数のスーパーユーザーと管理者による明確なユーザー ロールを定義します。

3. 承認されたデバイス、ユーザー、プロセスの ID とログインを発行、管理、検証、取り消し、監査する (PR.AC-1)

企業が従業員数を拡大し、SaaS の導入を増やすにつれて、このサブカテゴリはより困難になります。わずか 5 つの SaaS システムを使用して 50,000 人のユーザーを管理するということは、セキュリティ チームが 250,000 の ID を管理する必要があることを意味し、これは現実的かつ複雑な問題です。さらに問題を複雑にしているのは、各 SaaS システムで ID を定義、表示、保護する方法が異なることです。同時に、SaaS アプリケーションは必ずしも相互に統合されるわけではないため、ユーザーはシステムごとに異なる権限を持つ場合があります。その結果、不要な権限が発生し、潜在的なセキュリティ リスクが生じます。

参考リンク: https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html

[この記事は51CTOコラムニスト「Anquan Niu」によるオリジナル記事です。転載する場合は、Anquan Niu(WeChatパブリックアカウントID:gooann-sectv)を通じて許可を得てください。

この著者の他の記事を読むにはここをクリックしてください

<<:  これら3つの方法を覚えておいてください。 Zookeeper なしで Kafka を実行する

>>:  2022年のテクノロジートレンド: デジタルトランスフォーメーション、クラウドコンピューティング、人材獲得競争

推薦する

知的財産訴訟トップ10のうち4件のオンライン訴訟の背景

4月17日、「3Q」紛争の第二段階の裁判が広東省高級人民法院で始まった。近年、インターネット上での知...

クラウドコンピューティングは熾烈な競争にさらされており、PaaSは飛躍の準備ができている

クラウドコンピューティングの概念が提唱されてから約10年が経ちました。この 10 年間で、クラウド ...

検索エンジンの激動の時代に、ウェブマスターは冷静に対応すべき

最近、百度のアルゴリズムが調整され、多くのウェブサイトがさまざまなレベルで変化を経験しました。一部の...

Redisson 分散ロック ソースコード 11: セマフォと CountDownLatch

[[409707]]序文分散ロックに加えて、Redisson は追加の同期コンポーネントである Se...

ftlcloud: クラウド サーバーは月額 9 元からという特別価格、ロサンゼルス/香港/韓国、専用サーバーは 700 元割引

FTLクラウド(ftlcloud)は現在、夏のプロモーションを実施しています:(1)米国のクラウドサ...

リンク交換の基本原則と戦略

(1)競合他社へのリンクGoogleやBaiduなどの大手検索エンジンを見ると、単に「被リンク」だけ...

クラウドとエッジ コンピューティングの先: 次は何が起こるでしょうか?

クラウド コンピューティングは、コスト削減と拡張の容易さを通じて銀行および金融業界に変革をもたらしま...

SAP、2021年第3四半期の財務レポートを発表: SAPクラウドビジネスの成長が大幅に加速、SAP導入が急増

• 現在のクラウドバックログは24%増加しました(為替レート一定では22%増加) • 現在のS/4H...

解釈:Songsong Blogのユーザーコメントに対する私の意見

これまでブログ以外で実用的な記事をたくさん書いてきましたが、今日は話題を変えて、ブログに毎日寄せられ...

racknerd: 米国製ハイエンドサーバー割引、高クロック速度 (4.4G)、マルチスレッド (96T)、大容量ハードディスク (7.6T NVMe\240T HDD)

racknerdは現在、AMD高周波シリーズ、AMD超マルチスレッドシリーズ、Intel超大型ハード...

ヘッツナーはどうですか? フィンランドのデータセンターのクラウドサーバーのレビュー(フィンランド)

ヘッツナーはどうですか?ヘッツナーフィンランドはいかがでしょうか?現在、Hetzner はヨーロッパ...

hudsonvalleyhost-$3.75/Windows/512MB RAM/15GB HDD/2TB トラフィック

コロクロッシングの自社ブランド hudsonvalleyhost.com では、一年中 VPS の特...

Baidu ホームページに追加ボタンの外観に影響を与える要因のグラフィカルな説明

先週、Baidu のホームページにナビゲーション コラムがあることに気づきましたが、そのときはあまり...

WIN8の設計機能とTencent Weibo MSの最初のバージョンの設計アイデアについての簡単な説明

著者: dengxuecui (崔登雪) miaotong (童妙) 10月は収穫の季節です。マイク...