NISTサイバーセキュリティフレームワークとは何ですか?
国立標準技術研究所(NIST)は米国商務省の一部であり、その使命は、経済的安全保障を強化し、生活の質を向上させる方法で計測科学、標準、技術を進歩させることにより、米国の技術革新と産業競争力を促進することです。
NISTサイバーセキュリティフレームワークは、業界、政府、学術機関、非営利団体など、あらゆる規模と業種の組織がサイバーセキュリティのリスクを管理および軽減できるように設計されています。このフレームワークは、組織のサイバーセキュリティプログラムの成熟度や技術的洗練度に関係なく役立ちます。ただし、CSFでは画一的なアプローチは採用されていません。各組織には共通のリスクと固有のリスクがあり、リスクに対する好みや許容度、特定のミッション、それらのミッションを達成するための目標も異なります。そのため、組織がCSFを実装する方法は必然的に異なります。
NISTサイバーセキュリティフレームワーク バージョン 2.0とは何ですか?
NISTサイバーセキュリティフレームワーク(CSF)2.0は、2024年2月26日に発行されました。NIST CSF 2.0は以前のバージョンを基に構築されており、ガバナンスとサプライチェーンの重要性を強調する新しい機能が含まれています。CSFが、大規模な組織だけでなく、小規模な組織にとっても関連性があり、容易に利用できるものとなるよう特別な注意が払われています。
NIST CSF 2.0は、あらゆる組織がサイバーセキュリティへの取り組みをより適切に理解・評価し、優先順位付け、伝達するために使用できる、高レベルのサイバーセキュリティの成果について説明しています。CSFでは、成果をどのように達成すべきかは規定されていません。CSFはむしろ、それらの成果を達成するために使用できるプラクティスや管理策に関する追加のガイダンスを提供するオンラインリソースにリンクしています。
NISTサイバーセキュリティフレームワークバージョン2.0の主な機能は何ですか?
NISTサイバーセキュリティフレームワーク2.0の主な機能は、ガバナンス、特定、防御、検知、対応、および復旧です。これら6つの機能は、組織のライフサイクル全体にわたってサイバーセキュリティリスクを管理するための構造化されたアプローチを提供します。
各機能の詳細は次のとおりです:
- ガバナンス(GV):
組織のサイバーセキュリティリスク管理戦略、期待、およびポリシーが確立され、伝達され、監視されます。ガバナンス機能は、組織のミッションとステークホルダーの期待を踏まえ、組織が他の5つの機能の成果を達成し、優先順位付けするために行うべきことを示す成果を提供します。ガバナンス活動は、組織のより広範なエンタープライズリスク管理(ERM)戦略にサイバーセキュリティを組み込むために不可欠です。ガバナンスは、組織的状況の理解、サイバーセキュリティ戦略とサイバーセキュリティサプライチェーンのリスク管理の確立、役割・責任・権限、ポリシー、サイバーセキュリティ戦略の監督を対象とします。 - 特定(ID):
組織の現在のサイバーセキュリティリスクが把握されています。組織の資産(データ、ハードウェア、ソフトウェア、システム、施設、サービス、人など)、サプライヤー、および関連するサイバーセキュリティリスクを理解することで、リスク管理戦略および「ガバナンス」で特定されたミッションのニーズと整合するように、組織の取り組みに優先順位を付けることができます。この機能には、サイバーセキュリティリスク管理をサポートする組織のポリシー、計画、プロセス、手順、およびプラクティスの改善機会を特定し、6つの機能すべての取り組みに情報を提供することも含まれます。 - 防御(PR):
組織のサイバーセキュリティリスクを管理するためのセーフガードを使用します。資産とリスクが特定され、優先順位が付けられると、「防御」機能はそれらの資産を保護する能力をサポートし、有害なサイバーセキュリティイベントの発生可能性と影響を防止または低減するとともに、機会を活用する可能性と影響を高めます。この機能によってカバーされる成果には、ID管理、認証、アクセス制御、意識向上とトレーニング、データセキュリティ、プラットフォームセキュリティ(物理および仮想プラットフォームのハードウェア、ソフトウェア、サービスのセキュリティ確保)、および技術インフラのレジリエンスが含まれます。 - 検知(DE):
可能性のあるサイバーセキュリティ攻撃と侵害が検出され、分析されます。「検知」機能により、サイバーセキュリティ攻撃やインシデントが発生している可能性を示す異常、侵害の痕跡(IoC)、その他の潜在的に有害な事象をタイムリーに検知・分析できます。この機能は、インシデント対応および復旧活動の成功をサポートします。 - 対応(RS):
検出されたサイバーセキュリティインシデントに関するアクションが実行されます。「対応」機能は、サイバーセキュリティインシデントの影響を抑制する機能をサポートします。この機能の成果には、インシデントの管理、分析、軽減、報告、コミュニケーションが含まれます。 - 復旧:
サイバーセキュリティインシデントの影響を受けた資産と運用が復元されます。「復旧」機能は、サイバーセキュリティインシデントの影響を軽減し、復旧作業中の適切なコミュニケーションを可能にするために、通常業務のタイムリーな復旧をサポートします。
どのような組織がNIST CSF 2.0を使用できますか?
NIST CSF 2.0フレームワークは、エネルギー、銀行、通信、防衛など、国家および経済の安全保障に不可欠な産業に重点を置いて開発されました。それ以来、この規格は、あらゆる業界の大小さまざまな企業や組織、さらには連邦政府、州政府、地方自治体によって自主的に導入されるほど柔軟性があることが証明されています。
NIST CSF 2.0に準拠していない場合の罰則は何ですか?
NISTサイバーセキュリティフレームワーク2.0への準拠は任意です。しかし、組織がNISTフレームワークのベストプラクティスに従っていることを証明すれば、情報セキュリティへの誠実な取り組みを示すことになり、GDPRなどの規制による罰金に対する防御策となる可能性があります。
ThalesはNIST CSF 2.0への準拠をどのようにサポートできますか?
Thalesは、重要なサイバーセキュリティ要件に対応し、セキュリティを自動化して、セキュリティおよびコンプライアンスチームの負担を軽減することで、組織がNIST CSF 2.0に準拠できるよう支援します。詳しくはこちらをご覧ください。
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。