米国国立標準技術研究所 (NIST)

概要

600x400_NIST_Logo

米国国立標準技術研究所 (NIST) 800-53 のセキュリティ統制は通常、米国連邦政府情報システムに適用されます。米国連邦政府情報システムでは基本的に、情報および情報システムの機密性、完全性、可用性の十分な保護を確実にするために、正式な評価と認証のプロセスを経る必要があります。

NIST のサイバーセキュリティフレームワーク (CSF) は、部門や規模に関わらず、どの組織でも使用できる推奨ベースラインとして、世界中の政府および業界で採用されています。Gartner によると、CSF は 2015 年に米国組織の約 30% で使用されており、2020 年には採用率が 50% に達する見込みです。2016 会計年度以来、連邦政府機関の Federal Information Security Modernization Act (FISMA) 指標が CSF に関連して編成され、現在、各機関はサイバーセキュリティに関する大統領令の下で CSF を実装することが求められています。

  • AWS は NIST 800-53 フレームワークに準拠していますか?

    はい。AWS のクラウドインフラストラクチャーサービスは、NIST 800-53 Revision 4 統制および FedRAMP の要求事項に対して実行されるサードパーティのテストによって検証されています。AWS は、AWS GovCloud (米国) リージョンおよび AWS 米国東部/西部リージョンの両方について、複数の認証機関から FedRAMP Authorizations to Operate (ATO) を取得しています。詳細については、FedRAMP コンプライアンスのウェブページ、または以下に示す FedRAMP マーケットプレイスのウェブページをご覧ください。

  • AWS でのシステムが NIST フレームワークに準拠していることにより、ユーザーの責任はどのようになりますか?

    一部の統制は AWS からお客様に移譲されますが、多くの統制はお客様と AWS の間で継承を共有します。NDA の下で、AWS は、NIST 800-53 Rev. 4 に基づいて AWS FedRAMP SSP テンプレートを提供します。このテンプレートには、適用される NIST 800-5 Rev. 4 低/中/高の統制ベースラインが事前入力されています。統制責任の所在は次のようになります。

    • 責任共有モデル: お客様はソフトウェアコンポーネントのセキュリティと設定を担当し、AWS はそのインフラストラクチャーのセキュリティを担当します。
    • お客様のみの責任: ゲストオペレーティングシステム、デプロイしたアプリケーション、一部のネットワークリソース (ファイアウォールなど) を統制する責任は完全にお客様にあります。より具体的に言えば、クラウドにおいて提供するサービスのセキュリティ設定および管理はお客様単独の責任となります。
    • AWS のみの責任: ネットワーク、データストレージ、システムリソース、データセンター、物理的セキュリティ、信頼性、ハードウェアとソフトウェアのサポートなど、クラウドインフラストラクチャーの管理を統制する責任は AWS にあります。AWS のシステム上に構築されたアプリケーションは、AWS が提供する機能や設定可能なオプションを継承します。クラウドセキュリティの設定および管理は AWS 単独の責任となります。

    セキュリティ認証の観点から、NIST 800-53 rev 4 低/中/高の統制ベースラインに基づく FedRAMP の要求事項では、AWS およびお客様がそれぞれ単独の統制と共有統制を完全に実施することを条件としています。AWS が統制責任を果たしているかどうかは、FedRAMP 公認の第三者評価機関 (3PAO) が評価し、認証します。共有統制のうちお客様に責任のあるものと、お客様が AWS インフラストラクチャーの上に実装しているアプリケーションに関連する統制は、NIST 800-37 ならびにお客様固有のセキュリティ認証ポリシーとセキュリティ認証手順に従って、お客様が別途、評価と認証を行う必要があります。

  • AWS では、お客様が NIST フレームワークへ準拠するためにどのようなサポートを提供していますか?

    AWS FedRAMP コンプライアンスシステムは FedRAMP セキュリティ統制 (NIST SP 800-53) に特化して、認証を取得しています。また、セキュアな FedRAMP リポジトリにポストされたセキュリティパッケージに必要な FedRAMP テンプレートを使用し、公認の独立第三者評価組織 (3PAO) によって評価されて、FedRAMP の監視要求事項を継続的に満たしています。

    AWS 責任共有モデルに従って、AWS はクラウドセキュリティを管理し、お客様はクラウドにおいて提供するサービスのセキュリティに責任を持ちます。AWS では、責任共有モデルの実装をサポートする、クイックスタートソリューションが利用できます。これは AWS CloudFormation を使用して実装されており、ワンクリックで、重要なテクノロジーが AWS クラウドに自動的にデプロイされるようになっています。各クイックスタートでは、NIST 800-53 のような、セキュリティの一般的な規格やフレームワークに準拠するワークロードを AWS でデプロイするために必要なコンピューティング、ネットワーク、ストレージなどのサービスを起動し、設定し、実行することができます。

    AWS クイックスタートにより、体系的に実施できる包括的なルールセットを使って、セキュアなベースラインを効率化し、自動化し、実装することができます。例えば、AWS クラウドにおける NIST ベースの保証フレームワークの標準化アーキテクチャというクイックスタートには、AWS CloudFormation テンプレートが含まれています。これらのテンプレートを AWS Service Catalog と統合することで、NIST 800-53 Revision 4 および NIST 800-171 の対象範囲となる標準化されたベースラインアーキテクチャワークロードの構築を自動化できます。また、このクイックスタートには、セキュリティ統制のリファレンスも含まれており、アーキテクチャの決定、機能、およびベースラインの設定にセキュリティ統制を対応付けることができます。AWS クラウドのセキュリティとコンプライアンスに関する組織の目標に寄与する場合、クイックスタートは AWS におけるコンプライアンスの取り組みをサポートするためにご活用いただけます。

  • NIST CSF をどのように使用できますか?

    公共部門や民間企業の組織のお客様は、NIST サイバーセキュリティフレームワーク (CSF) ホワイトペーパーを使用して NIST CSF に対して AWS 環境を評価し、実装および運用しているセキュリティ対策を改善できます (クラウドにおけるセキュリティ – 責任共有モデルにおけるお客様の責任)。このホワイトペーパーには、NIST CSF への準拠をサポートするために、AWS のクラウドサービス、ならびに関連するお客様の責任と AWS の責任についての詳細情報を記載しています。また、AWS クラウドサービスが NIST CSF リスク管理実施策に適合しており (クラウドセキュリティ – 責任共有モデルにおける AWS の責任)、各組織が AWS 全体のデータを適切に保護できることについて、サードパーティの監査人による証明も掲載しています。

    連邦および州の政府機関から規制を受ける団体や大規模な企業などの組織は、AWS ソリューションを実装して NIST CSF でのリスク管理の成果を達成するためのガイドとして、このホワイトペーパーを使用できます。

compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者にご連絡ください
コンプライアンスの役割についてお知りになりたいですか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をご希望ですか?
Twitter でフォローしてください »