AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパーを公開しました

米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク (CSF) のバージョン 1.1 （英語版）が 2018 年に公開されていましたが、今回、この CSF への準拠を目指す組織のために、ガイダンスとなる資料が更新され、日本語のホワイトペーパーも公開されたことをご紹介致します。

更新された NIST サイバーセキュリティフレームワーク (CSF): AWS クラウドにおける NIST CSF への準拠は、AWS のサービスやリソースを活用して CSF に準拠する組織の支援を目的としています。またこれは官民を問わず、中小企業から大企業まで、世界各地のあらゆる組織に役立つように作成されています。

この資料は CSF の更新のポイントが AWS の最新のサービスやリソースとどのように対応するのかを説明しており、独立した第三者評価機関による検証の新しい証明書も掲載しています。この証明書では、FedRAMP Moderate および ISO 9001/27001/27017/27018 の認証を取得している AWS のサービスがCSF に準拠していることが明示されています。

NIST CSF に馴染みのない方のために簡単に説明すると、このフレームワークは政府や民間から意見を集めて作成されたもので、リスクごとに実施すべき重点対策が示されています。CSF を活用することにより、識別、防御、検知、対応、復旧という 5 つの機能を中心としたセキュリティ対策の基盤を築き、セキュリティの強化、リスク管理の改善、組織の信頼性向上を実現できます。

CSF は当初、重要インフラの分野を対象としていましたが、今では規模の大小や種別を問わずあらゆる組織で活用、推奨される指針として、世界中の政府や産業界から支持されています。

この事からわかるように、NIST CSF は広い分野に適用可能なものです。国際標準化機構 (ISO) は 2018 年 2 月に「ISO/IEC 27103:2018 — 情報技術 – セキュリティ技術」を発行していますが、これは、既存の規格を活用してサイバーセキュリティフレームワークを実装するためのガイダンスを提供する規格です。ISO 27103 では NIST CSF に盛り込まれているものと同じ概念やベストプラクティスが奨励されています。具体的には、セキュリティ対策を 5 つの機能 (識別、防御、検知、対応、復旧) と基本的なアクティビティにまとめ、それらと既存の規格、認定、フレームワークとの対応を示しています。NIST CSF のような汎用的なフレームワークを採用することにより、組織は、その都度「やり直す」のではなく、「再使用」して効率的にセキュリティ対策を実現できます。

CSF に準拠する際に AWS のサービスやリソースがどのように役立つのかについては、今回更新されたホワイトぺーパーとこちらのワークブック(現在、英語版のみ提供)をご覧ください。またAWS のサービスやリソースを使用してCSF を適用する際のサポートは、AWS ソリューションアーキテクトにお問い合わせください。

なお、 AWS Summit Tokyo2019 では、「AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント―」と題して、本ホワイトペーパーに基づくクラウドにおけるコンプライアンスやガバナンスのご紹介を行います。（6月13日（木） 15:00~）

より実践的にGDPRやPCI DSS,金融業界等の機密性の高いワークロードを扱う担当者が実施すべきポイントを、「規制対象になる重要ワークロードをAWSで動かす場合の可視性とセキュリティの確保」と題して、Henrik Johansson（Principal – Office of the CISO）がご説明します。（6月13日（木） 17:00~）

セキュリティやコンプライアンスのご担当者様はぜひ、こちらよりお申込みください。

本ブログは、Min Hyunによる原文 “Updated whitepaper now available: Aligning to the NIST Cybersecurity Framework in the AWS Cloud” をもとに、松本照吾が加筆いたしました。