NIST サイバーセキュリティフレームワークは、組織がセキュリティの状態を向上させるためのガイドラインとベストプラクティスのセットです。これらの推奨事項と基準により、組織はサイバー攻撃を識別し、検出・対処・軽減・回復するためのより良い装備を得ることができます。このガイドでは、NIST フレームワークのコア機能から、Appknox が NIST コンプライアンス管理を自動化するのにどのように役立つかまで、詳しく説明します。
NIST コンプライアンスとは何か、
それを必要とするのは誰か?
NIST フレームワークは、組織がセキュリティ調整を行い、絶えず変化する脅威の状況や攻撃の高度化に合わせるのを支援します。一貫したルール、ガイドライン、基準はリスクを評価するためのサイバーセキュリティプログラムを確立するための最上位のセキュリティ管理ツールとして機能します。これらのガイドラインは、製造業から政府機関、医療など、あらゆる規模や分野の組織によって、サイバーセキュリティ状態を確保するために、世界的に遵守されています。NIST コンプライアンスへの遵守は自発的であることに注意することが重要であり、これにより組織は自身のニーズに応じてガイドラインをカスタマイズしてセキュリティの状態を強化することができます。ただし、連邦機関と直接取引する企業や請負業者にとっては、コンプライアンスは義務付けられています。
これまでの数年間で、NIST はさまざまな産業やビジネスに対する特定のガイドラインや要件を公表してきました。例えば、政府契約に従事する請負業者は通常、プライバシーやデータセキュリティコントロールに関する NIST 800-53 などの「special publications」に従う必要があります。一方、NIST 800-171 は機密情報保護に関して取り扱います。政府機関との取引を行わない民間企業は NIST のガイドラインに必ずしも従う必要はありません。ただし、NIST フレームワークに準拠することは多くの利点を提供し、組織がサイバーセキュリティインフラをよりよく保護できるようにします。
NIST コンプライアンスの種類
NIST コンプライアンスは、いくつかの標準とガイドラインを含む3つの主要なタイプに分類されます。
| タイプ | 目標 | 構成要素 |
| NIST 800-53 | 連邦情報セキュリティ近代化法(FISMA)の順守を支援 | 14のカテゴリにわたる110の要件があり、アクセス制御、セキュリティトレーニング、インシデント対応、および監査ログシステムが含まれています。 |
| NIST 800-171 | 制御された未分類情報(CUI)の保護 | アクセス制御、リスク評価、セキュリティ評価、システムおよび通信保護 |
| Cybersecurity Framework (CSF) | 特定・保護・検出・対応・回復 | 特定のガイドラインと実践に基づいたサイバーセキュリティ成果のカタログ |
NIST コンプライアンスのコア要素を理解しましょう。これらは、堅牢なサイバーセキュリティプログラムを構築するために必要です。
NIST コンプライアンスフレームワークの5つのコア機能
NIST コンプライアンスフレームワークは包括的であり、23のカテゴリと108のセキュリティコントロールをカバーしています。これらのコンプライアンスは、5つのコア機能に分類されます。
| 機能 | 目標 | カテゴリー |
| 特定 | システム、資産、およびデータへの脅威を評価し、特定する | ・資産管理 ・ビジネス環境 ・リスク評価 ・サプライチェーンリスク管理 |
| 保護 | 資産を特定するための必要な制御を実装する | ・アイデンティティ管理 ・認証 ・アクセス制御 ・データセキュリティ |
|
検出 |
脆弱性の検出 | ・異常検知 ・継続的モニタリング ・検出プロセス |
| 対応 | サイバー脅威を制御し、緩和する | ・対応計画 ・コミュニケーション ・分析 ・緩和策および改善 |
| 回復 | 資産の機能を回復させるためのプロセスを実装する | ・復旧計画 ・改善およびコミュニケーション |
NIST コンプライアンスへの適合方法
NIST フレームワークは入念で包括的です。NIST のコンプライアンス認証を取得するには、徹底的な準備と認証が必要です。NIST は正式には請負業者やベンダーを認証しませんが、国家任意試験所認定プログラム (NVLAP) のような第三者認定機関によって実施される監査テストに合格する必要があります。以下はその手順です。
現在のセキュリティ体制を評価する
NIST コンプライアンスに備える際に、組織のセキュリティポジションとインフラストラクチャを評価してください。
- 既存のコントロールはありますか?
- セキュリティ上のギャップは何で、どこにありますか?
- セキュリティプログラムの成熟度はどの程度ですか?
これらの質問に回答して、適用すべき NIST 標準を決定してください。たとえば、NIST CST は他のコントロールの基盤です。組織がこれを導入している場合、次のステップはギャップを埋めるために NIST 800-53 を検討することになります。
システムのインベントリを作成する
組織内の現在の情報システムを文書化して、ハードウェア、ソフトウェア、ネットワークリソースを含めます。これにより、脆弱性を特定し、必要なセキュリティ対策を理解するのに役立ちます。
組織が扱う情報を特定する
組織が取り扱う情報をその機密性に基づいてカテゴリ分けします。このステップが NIST コンプライアンス監査に必要な理由を考えてみましょう。このステップは、重要な情報を保護するための重要なタスクにリソースを割り当てることで、セキュリティの取り組みを優先するのに役立ちます。
脅威と脆弱性を特定する
リスク管理の識別フェーズでは、組織のデータを危険にさらす可能性のある脅威と脆弱性を認識します。これには、サイバー脅威、内部の脆弱性、または時代遅れや壊れた暗号化パラメータなどの物理的およびオンライン環境が含まれます。新しいリスクが発生するとすぐに識別プロセスがそれらを検出するようにします。
リスクを分析する
リスクと脆弱性の特定後、資産と運用へのリスクの深刻度を精査します。深刻度に応じてリスクを優先順位付けし、最も緊急の懸念に対処するためにリソースを割り当てます。
リスクを軽減するための保護策を作成する
NIST コンプライアンスの軽減手順では、データやセキュリティの侵害が発生した場合の潜在的な被害を制限するための保護策を作成します。組織を悪意のある行為者から守り、迅速な復旧および進化する脅威への適応を可能にする緊急対策戦略を計画します。
ユーザー識別プロトコル
ユーザー識別コントロールは、NIST コンプライアンスフレームワークのアクセス制御の一部です。これにより、システムとハードウェアにアクセスするすべての個人が責任と追跡のために識別されます。これにより、ユーザーの活動が透明化され、セキュリティ侵害から保護されます。
承認とアクセス管理
承認とアクセス管理は、重要な情報を不正利用から保護するために、内部および外部の関係者に対して役割ベースのアクセスを制限または付与することによって、保護されます。
レスポンスポリシーを作成する
インシデントレスポンスポリシーは、セキュリティ侵害が発生した際に期待される役割と責任を概説した設計図です。このポリシーは、組織の対応を指針として、被害を制限し、回復時間を短縮し、潜在的な影響を軽減します。
検出と報告を実装する
異常やセキュリティ侵害を検出するシステムを展開することで、脅威を封じ込めるための迅速な決定が可能になります。インシデントとその予防策を文書化することは、チームがインフラストラクチャをさらなる攻撃から守るのに役立ちます。実行可能なインシデント対応を維持することで、組織はサイバーセキュリティの脅威に対する弾力性を構築することができます。
評価ポリシーを作成し、テスト・評価する
定期的なセキュリティアセスメントを使用して、システムのセキュリティコントロールにおけるギャップを特定し、主要な脆弱性を特定します。同時に、規制ガイドラインを満たします。評価ポリシーが設定されたら、手動および自動のペネトレーションテストを使用して、既存のセキュリティコントロールをテストし、潜在的な脅威シナリオをシミュレートして可能な攻撃に対抗します。このステップにより、NIST コンプライアンスフレームワーク内で最新のセキュリティポジションを維持し、システムが変化する脅威に適応するのに役立ちます。
是正措置を実施する
是正措置は、NIST コンプライアンスの重要な部分であり、特定された脆弱性を修正して弱点を強化し、潜在的な侵害からアプリケーションを保護します。NIST コンプライアンス評価中の積極的なアプローチは、脆弱性パッチ管理を行うことでセキュリティインフラを向上させます。
モバイルアプリケーションは、NIST コンプライアンスを遵守する必要があるか
NIST フレームワークは、米国政府の連邦機関およびそれらを支援するソフトウェアおよびモバイルアプリケーションプロバイダー全般に適用されます。
モバイルアプリに対する脅威
すべてのソフトウェア同様、モバイルアプリには脆弱性が含まれており(設計または実装のエラーや悪意のある意図によるもの)、これらの脆弱性はユーザー、モバイルデバイス、およびそのデータやサービスを攻撃にさらす可能性があります。
- モバイルデバイス内のソフトウェアコンポーネント間のリスキーな相互作用
- モバイルデバイスとその環境内のシステム間のリスキーな相互作用
- ユーザーやシステムの弱い認証
- 暗号化プリミティブの不完全な実装
- モバイルデバイスと Web またはホストされたサービス間のアプリトラフィックの暗号化の失敗
NIST コンプライアンスに準拠したモバイルアプリの展開前にモバイルアプリを精査することで、管理者はセキュリティやプライバシーポリシーに違反する可能性のある脆弱性を作成するソフトウェアや構成のギャップを検出するのに役立ちます。自動および手動のテストは、さまざまな種類のマルウェアやモバイルアプリケーションのセキュリティ脅威の証拠を探します。
Appknox の NIST コンプライアンスへの準拠サポート
Appknox はモバイルアプリのセキュリティに特化しており、NIST コンプライアンスフレームワークの文脈で、モバイルアプリの脆弱性の総合的なリスクを削減し、アプリケーションのセキュリティポジションを向上させるのに役立ちます。NIST のコンプライアンスにおいて、Appknox は NIST 800 53 および NIST 800-171 プロトコルを対象とします。さらに、GDPR や OWASP のコンプライアンスに加えて、Appknox はセキュリティギャップを NIST の対応するプロトコルにマッピングします。例えば、通信プロトコルでアプリの転送セキュリティの問題が発生した場合、Appknox はアプリがどの NIST セクションに準拠しているかをマッピングします。
データのプライバシーと整合性が最重要視される中、Appknox はセキュリティの脆弱性を見つけるだけでなく、コンプライアンスチェックリストの修正が必要なセグメントを示す点において進化しています。さらに一歩進んで、Appknox は検出された脆弱性に対して「重要度」のタグ付けを行い、優先順位付けを容易にします。Appknox のモバイルアプリ向けの NIST コンプライアンスは、変化する脅威に対する堅牢なセキュリティプラクティスへの貢献を示すための第一歩であり、組織がアプリセキュリティを向上させるのに役立ちます。開発サイクルの初期段階で脆弱性を検出するために、Appknox はアプリケーションの CI/CD(継続的インテグレーションおよび継続的開発)プロセスと統合し、セキュリティポジションの改善を時間とともにモニタリングします。
モバイルアプリのNISTコンプライアンスは、注意力と責任能力を示す
NIST コンプライアンスは、アプリケーションが脆弱性から解放されていることを保証します。開発ライフサイクル中に誤って挿入されるか、他のシステムやサードパーティの実装や相互作用中に挿入されるかに関係なく、NIST フレームワークは誰もが自分のアプリケーションが脆弱性や誤構成から保護されていることで、安心できるようにします。
参照: A Complete Guide to NIST Compliance 2024
(https://www.appknox.com/blog/the-ultimate-guide-to-nist-compliance-2024)
三和コムテックのスマホアプリ診断製品ページもございます。
Webアプリ診断(Web画面やWebAPIの診断)はこちらになります。
こちらもぜひご覧ください。
