案内
NISTセキュリティ準拠とは?
NISTサイバーセキュリティフレームワークは、アメリカ国立標準技術研究所(NIST)により策定されたフレームワークです。NISTサイバーセキュリティフレームワークは、重要インフラシステムの複雑化と持続性の向上を巧みに利用し、国家の安全保障、経済及び市民の安全と健康を脅かすリスクへの対処を強化・改善することを目的として策定されました。
そのため、セキュリティ対策がNISTセキュリティ準拠していない企業は、入札基準に十分に満たしていないリスクを持っている可能性があります。
NISTが定義するサイバーセキュリティ対策のアプローチ
ISO27001(ISMS)とNISTセキュリティ準拠の違い
ISO27001と NIST SP800-171との大きな違いは「セキュリティ対策をする範囲」です。ISO27001はサイバー攻撃の「予防」に重点を置き、「特定・防御」の内容が厚くなっている一方、NIST SP800-171は「特定・防御・検知・対応・復旧」の対象としています。特にISO27001にはない「不正侵入した後の検知・対応・復旧」に重点を置いています。つまり、NISTで求められるのはシステムの多層防御など「サイバー攻撃後のセキュリティ対策」のため、ISO27001よりも、多く対応するプロセスが要求されています。
ISO27001とNISTの違い
日本への影響
米国政府の方針を受け、日本においても防衛調達のNIST SP 800-171と同レベルの仕組みの導入を開始するとしています。
※防衛装備庁が来年度から始める新たな調達基準の考え方 H30.9.14を参照
メイソンのNISTセキュリティ準拠サービス
メイソンは、サイバーセキュリティにおいてビジネスリスク~システム運用までワンストップでコンサルティングするためのNIST対応チームを用意しております。チームメンバーは、NIST対応のコンサルティング経験に加えて、ISO27001認証取得のコンサルティングにも豊富な経験を有しております。
これらの知見を生かして、貴社向けにカスタマイズしたNISTセキュリティ準拠コンサルティングサービスを提供いたします。
NISTセキュリティ準拠のアプローチ
- 1. 重要な情報資産の特定
-
- 対象となる重要情報資産の洗い出し・特定
- 重要情報資産のライフサイクルの確認
- 重要な資産の管理台帳作成
- 2. リスクアセスメント
-
- NISTセキュリティ準拠のチェックリスト
- ビジネス影響、リスク評価・分析
- リスク評価基準の文書化
- 3. NISTセキュリティ準拠の内部監査
-
- 全部門のセキュリティ対策自己点検
- 内部監査員研修の実施
- 内部監査実施
- 4. 是正計画の策定・実行
-
- 是正計画作成
- 是正処置実施
- 5. 経過観察
-
- セキュリティ運用状況の確認
NISTの構成
NISTは、「コア(Core)」「ティア(Tier)」「プロファイル(Profile)」 という3つの要素で構成されています。3要素を活用することで、企業や組織はサイバーセキュリティ対策状況の「現状」と「目標」のギャップ分析がしやすくなります。
| No | 構成要素 | 定義 |
|---|---|---|
| 1 | コア | 一定の分類で定められたサイバーセキュリティ対策の一覧 |
| 2 | ティア | 対策状況を数値化するための成熟度評価基準(4段階) |
| 3 | プロファイル | 組織のサイバーセキュリティ対策の「AsIs (現在)」と「ToBe (目標)」 |
コアの構成とは?
NIST CSF のコアでは、業種・業態を問わない、共通となるサイバーセキュリティ対策を示しています。
SF のコアは、5つの機能・23のカテゴリーで構成される。カテゴリー毎に、サブカテゴリーが用意されており、サブカテゴリーの合計は108項目になります。
コアの5つの機能は、NIST CSF の象徴的な項目であるため、多くの方がご存知かと思います。
「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つ
| 機能 | 識別子 | カテゴリー |
|---|---|---|
| 特定 | ID.AM | 資産蓄理 |
| ID.BE | ピジネス環境 | |
| ID.GV | ガパナンス | |
| ID.RA | リスクアセスメント | |
| ID.RM | リスクアセスメント管理戦略 | |
| ID.SC | サブライチェーンマネジメント | |
| 防御 | PR.AC | アクセス制御 |
| PR.AT | 意識向上とトレーニング | |
| PR.DS | データセキュリティ | |
| PR.IP | 情報を保謹するためのプロセスおよび手順 | |
| PR.MA | 保守 | |
| PR.PT | 保護技術 | |
| 検知 | DE.AE | 異常とイベント |
| DE.CM | セキュリティの継続的なモニタリング | |
| DE.DP | 検知プロセス | |
| 対応 | RS.RP | 対応計画の作成 |
| RS.CO | コミュニケーション | |
| RS.AN | 分析 | |
| RS.MI | 低減 | |
| RS.IM | 改善 | |
| 復旧 | RC.RP | 復旧計画の作成 |
| RC.IM | 改羞 | |
| RC.CO | コミュニケーション |
NIST CSF を使う目的は、サイバーセキュリティ対策のレベルを維持・強化・改善していくことにあります。その実現には、測定の尺度を現在の状態(AsIs)と目指す目標の状態(ToBe)で合わせておくことが大事です。
SOCレポートとは?
SOCレポートとは「System and Organization Controls」の略。
外部委託先の内部統制の状況を確認する為に使用される報告書です。
メイソンではセキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制を保証に関する証明書(SOCレポート)を発行するセキュリティの内部統制についての保証を行います。
当社はお客様のご要望にそったサービスをご提供させて頂いております。まずはお電話下さい。
- お電話によるお問い合わせ・ご相談03-6425-6735受付時間: 9:00~18:00
- メールによるお問い合わせ・ご相談・お見積り依頼はこちら
