米国国立標準技術研究所 (NIST) の標準は、その専門性から多くの組織で重要な役割を果たしており、最新の暗号化要件 (NIST 800-63) から製造業者向け IoT セキュリティ (NISTIR 8259) まで、NIST ドキュメントの編集に外部の専門家が協力しているため、常に NIST が出発点となっています。 NIST サイバーセキュリティ フレームワーク (CSF) は、2014 年に最初に公開され、2018 年に最終更新されました。このフレームワークにより、組織は、十分に計画された使いやすいフレームワークを通じて、重要なインフラストラクチャのセキュリティと回復力を向上させることができます。 CSF は、SaaS が普及していたときに作成され、更新されました。現在、SaaS の継続的な発展と COVID-19 パンデミックによる労働環境の大きな変化により、新たなセキュリティ上の課題が生じています。組織は、CSF を最新の SaaS ベースの作業環境に適応させることで、新たなリスクに効果的に対処できます。この記事では、CSF の主要な要素について説明し、主な利点を指摘し、SaaS セキュリティを確保するための具体的な実装方法と推奨事項を示します。 NIST CSF の概要NIST CSF は 5 つのセキュリティ機能をリストし、それらをカテゴリに分類します。 CSF には、サブカテゴリごとに、ISO 27001、COBIT、NIST SP 800-53、ANSI/ISA-62443 などの一連のよく知られた標準とフレームワークが参照として付属しています。これらのベンチマークは、組織が CSF を実装するのに役立ち、セキュリティ マネージャーや他のチーム メンバーなどの他のフレームワークとの比較を提供して、企業が準拠する必要があるセキュリティ標準に関する決定を正当化します。 NIST CSF フレームワークには、識別、保護、検出、対応、回復という 5 つのコア機能フェーズがあり、それぞれについて以下に説明します。
NIST CSFが直面する課題このフレームワークはベストプラクティスのモデルの 1 つですが、主に次の点で実装が困難です。 1. 転送中のデータは保護されます (PR.DS-2)SaaS サービスを使用する企業は、これが自社にどう関係するのか疑問に思うかもしれません。コンプライアンスは SaaS プロバイダーの責任であると考えている可能性があります。しかし、詳しく調べてみると、多くの SaaS プロバイダーがセキュリティ対策を講じており、それを使用するのはユーザーの責任であることがわかりました。たとえば、管理者は HTTP 経由の SaaS サービスへの接続を許可せず、安全な HTTPS 接続のみを許可する必要があります。 2. データ漏洩を防止するためのメカニズムが導入されている(PR.DS-5)これは小さなサブカテゴリのように思えるかもしれませんが、実際には非常に大きく、データ侵害を防ぐことは非常に困難です。 SaaS アプリケーションを導入すると、世界中のどこからでも共有したりアクセスしたりできるため、このタスクはさらに困難になります。管理者または CISO オフィスのメンバーは、この脅威に特別な注意を払う必要があります。 SaaS の DLP には、実際のファイルの代わりにファイル リンクを共有するなどのセキュリティ対策が含まれる場合があります。リンクに有効期限を設定する;必要ない場合はダウンロード オプションを無効にする。データ分析 SaaS でデータをエクスポートする機能をブロックする。ユーザー認証の強化; SaaS での通信ゾーンのログ記録を防止する。限られた数のスーパーユーザーと管理者による明確なユーザー ロールを定義します。 3. 承認されたデバイス、ユーザー、プロセスの ID とログインを発行、管理、検証、取り消し、監査する (PR.AC-1)企業が従業員数を拡大し、SaaS の導入を増やすにつれて、このサブカテゴリはより困難になります。わずか 5 つの SaaS システムを使用して 50,000 人のユーザーを管理するということは、セキュリティ チームが 250,000 の ID を管理する必要があることを意味し、これは現実的かつ複雑な問題です。さらに問題を複雑にしているのは、各 SaaS システムで ID を定義、表示、保護する方法が異なることです。同時に、SaaS アプリケーションは必ずしも相互に統合されるわけではないため、ユーザーはシステムごとに異なる権限を持つ場合があります。その結果、不要な権限が発生し、潜在的なセキュリティ リスクが生じます。 参考リンク: https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html [この記事は51CTOコラムニスト「Anquan Niu」によるオリジナル記事です。転載する場合は、Anquan Niu(WeChatパブリックアカウントID:gooann-sectv)を通じて許可を得てください。 この著者の他の記事を読むにはここをクリックしてください |
<<: これら3つの方法を覚えておいてください。 Zookeeper なしで Kafka を実行する
>>: 2022年のテクノロジートレンド: デジタルトランスフォーメーション、クラウドコンピューティング、人材獲得競争
4月17日、「3Q」紛争の第二段階の裁判が広東省高級人民法院で始まった。近年、インターネット上での知...
クラウドコンピューティングの概念が提唱されてから約10年が経ちました。この 10 年間で、クラウド ...
最近、百度のアルゴリズムが調整され、多くのウェブサイトがさまざまなレベルで変化を経験しました。一部の...
[[409707]]序文分散ロックに加えて、Redisson は追加の同期コンポーネントである Se...
FTLクラウド(ftlcloud)は現在、夏のプロモーションを実施しています:(1)米国のクラウドサ...
(1)競合他社へのリンクGoogleやBaiduなどの大手検索エンジンを見ると、単に「被リンク」だけ...
背景アフリカ大陸の急速な開拓2018年9月25日に、UCloud Lagos データセンターが設立さ...
クラウド コンピューティングは、コスト削減と拡張の容易さを通じて銀行および金融業界に変革をもたらしま...
• 現在のクラウドバックログは24%増加しました(為替レート一定では22%増加) • 現在のS/4H...
これまでブログ以外で実用的な記事をたくさん書いてきましたが、今日は話題を変えて、ブログに毎日寄せられ...
racknerdは現在、AMD高周波シリーズ、AMD超マルチスレッドシリーズ、Intel超大型ハード...
ヘッツナーはどうですか?ヘッツナーフィンランドはいかがでしょうか?現在、Hetzner はヨーロッパ...
コロクロッシングの自社ブランド hudsonvalleyhost.com では、一年中 VPS の特...
先週、Baidu のホームページにナビゲーション コラムがあることに気づきましたが、そのときはあまり...
著者: dengxuecui (崔登雪) miaotong (童妙) 10月は収穫の季節です。マイク...