IT 管理者にとって、サイバーセキュリティのコンプライアンスは最も重要な課題です。 組織がすべての必要条件を満たしていることを保証するためには、米国国立標準技術研究所(NIST)の要件を理解することが不可欠です。 NIST は、ベストプラクティスから標準やインフラ開発に至るまで、サイバーセキュリティ対策のさまざまな側面について広範なガイダンスを提供しています。 最初は難しく感じられるかもしれませんが、そうすれば、組織内で安全対策を実施し始めることができます。
NISTとは
NIST(米国国立標準技術研究所)は、ITシステムやデータの管理と保護に関する基準やガイドラインを提供する、規制を行わない連邦政府機関です。NISTサイバーセキュリティフレームワークは、あらゆるセクターや業界におけるITセキュリティリスク管理の改善を目的として策定された、広く採用されているガイドラインと原則のセットです。IT 管理者であれば、NIST サイバーセキュリティフレームワークの基本を理解することは、サイバー攻撃から組織のデータを確実に保護するために不可欠です。本ブログ記事では、NIST フレームワークの基本を説明ます。
NISTはどのような業界が採用しなければならないか?
NISTは、幅広い業界や業種に適用できるガイドライン、基準、ベストプラクティスを提供しています。NISTの取り組みは、テクノロジー、サイバーセキュリティ、測定など、さまざまな分野に影響を与える領域に重点的に取り組んでいます。NISTのガイドラインを一般的に適用している業界や業種をいくつかご紹介します。
- サイバーセキュリティおよびIT:NISTのサイバーセキュリティフレームワーク(NIST CSF)は、サイバーセキュリティ対策の評価と改善を目的として、多くの組織で広く利用されています。このフレームワークは、情報技術を利用し、デジタル資産の保護を望むあらゆるビジネスに適用できます。
- 政府機関:NISTのガイドラインは、安全かつ効率的な業務を確保するために、政府機関で頻繁に採用されています。連邦情報セキュリティ管理法(FISMA)では、連邦機関が情報セキュリティのNIST基準に従うことを義務付けています。
- 金融サービス:金融業界の企業は、顧客データ、オンライン取引、その他の金融業務のセキュリティを確保するために、NISTの推奨事項に従うことがよくあります。
- 医療:NISTのガイドラインは、医療機関が患者の情報を保護し、医療保険の相互運用性と説明責任に関する法律(HIPAA)などの規制に準拠し、医療機器やシステムを安全に保つのに役立ちます。
- 製造および産業制御システム(ICS):NISTの基準は、製造および重要なインフラストラクチャ部門で物理的プロセスを制御および監視するために使用される産業制御システムのセキュリティ確保に適用されます。
- エネルギー:NISTのガイドラインは、特にスマートグリッドやエネルギー管理システムに関連して、エネルギー部門のインフラストラクチャとデータのセキュリティ確保に役立ちます。
- 電気通信:電気通信会社は、通信ネットワークとデータのセキュリティ確保に関して、NISTのガイダンスから恩恵を受けることができます。
- 小売および E コマース:オンラインで顧客の支払いデータを扱う企業は、支払いシステムのセキュリティ強化とデータ漏洩防止に関する NIST の推奨事項から恩恵を受けることができます。
- 航空宇宙および防衛:機密データやシステムのセキュリティと完全性を確保するために、航空宇宙および防衛分野では NIST 標準が頻繁に採用されています。
- 研究および学術機関:テクノロジー、サイバーセキュリティ、エンジニアリングに関連する分野の研究や教育プログラムを実施する機関は、カリキュラムや研究プロジェクトに NIST のガイドラインを組み込むことができます。
NISTガイドラインは広く認知され採用されているとはいえ、各業界やビジネスの具体的な状況や要件によって、その適用可能性は異なる可能性があることがあります。 自身の業務やニーズに最も関連性の高いNISTガイドラインを評価することが重要です。
NISTの5つのレベルとは
NISTは、組織がサイバーセキュリティ対策を評価し、改善を行うために利用できる、セキュリティ成熟度の5つの異なるレベルを特定しています。 これらのレベルは以下の通りです。
初期段階:この段階では、組織はサイバーセキュリティリスク管理に臨機応変なアプローチを取っており、セキュリティ対策はまだ実施されていません。
反復可能段階:この段階では、組織はサイバーセキュリティリスク管理の標準化プロセスを確立し始めていますが、まだ改善の余地がかなりあります。
定義済み段階:この段階では、組織は機密データとITシステムを保護するためのサイバーセキュリティポリシーと手順を正式に策定し、承認済みです。
管理:このレベルの組織は、ITインフラの定期的なテストと監視、脅威の分析、詳細なインシデント対応計画を含む包括的なリスク管理プログラムを導入しています。
最適化:この成熟度の最高レベルでは、組織は継続的な改善の文化を確立しており、サイバーセキュリティ対策の定期的な評価、ベストプラクティスの導入、サイバーセキュリティリスクとベストプラクティスに関する一貫した従業員研修を実施しています。
NIST 2とは?
NIST 2は、2018年に発表されたNISTサイバーセキュリティフレームワークの第2版です。NIST 2には、サプライチェーンセキュリティやデータプライバシー管理のための新しいサブカテゴリーなど、オリジナルのフレームワークに対する多数の更新と改善が含まれています。さらに、NISTは、クラウド、モバイル、IoT(モノのインターネット)デバイスなど、さまざまなタイプのシステムやアプリケーションのセキュリティ確保のための各種ガイドラインやベストプラクティスを公開しています。
NISTプロトコルに追従するには、どのような方法が最適か?
NISTプロトコルに追従するには、NISTのサイバーセキュリティウェブサイトを定期的にチェックするのが簡単な方法です。このウェブサイトでは、NISTフレームワーク、出版物、コンプライアンス、ベストプラクティスに関する最新ニュースやアップデートを提供しています。さらに、業界団体に参加したり、サイバーセキュリティに関するニュースレターや出版物の購読をしたりすることも、ITマネージャーが新たなサイバーセキュリティリスクやベストプラクティスを把握するのに役立ちます。
NIST CSFへの準拠により、組織や企業は今日の高度に接続された複雑なデジタル環境におけるサイバーセキュリティリスクを管理することができます。5段階の成熟度を理解することで、IT管理者やディレクターは組織のサイバーセキュリティ対策におけるギャップを特定し、改善策を実施することができます。NISTのフレームワークやガイドラインは数多く存在するため、最新情報やベストプラクティスを把握しておくことが、組織の貴重なデータやシステムを確実に保護するために不可欠です。
関連トピックス:
- 先手打つプロアクティブなサイバーセキュリティの重要性: 脅威の先回りをするために
- 【VMware】vSphereのセキュリティ設定について
- vSphereのセキュリティ設定について【仮想化プラットホーム VMware vSphere】
- サイバーセキュリティに関する8つのバッドプラクティス
- 知っておくべき5つのタイプのサイバー攻撃
- VMware vSwitchの安全なセキュリティ設定について
- 広範なサイバー攻撃に直面するデータの保護: 隔離された復旧環境とイミュータブル(不変)のサイバーデータ保管庫の重要性
- VMware vCenter Server 5.0でデータベースを共有ためのガイドライン
RSSフィードを取得する
