米国国立標準技術研究所 (NIST)

概要

600x400_NIST_Logo

米国国立標準技術研究所 (NIST) 800-53 のセキュリティ統制は、一般に、米国連邦政府情報システムに適用されます。米国連邦政府情報システムは、基本的に、情報および情報システムの機密性、完全性、可用性の十分な保護を確実にするために、正式な評価と認証のプロセスを経る必要があります。

NIST のサイバーセキュリティフレームワーク (CSF) は、部門や規模に関わらず、どの組織でも使用できる推奨ベースラインとして、世界中の政府および業界で採用されています。Gartner によると、2015 年に CSF は米国企業の約 30% で使用されており、2020 年までに 50% に達する見込みです。2016 会計年度以来、連邦政府機関の Federal Information Security Modernization Act (FISMA) 指標が CSF の周囲で編成され、現在、機関はサイバーセキュリティに関する大統領令の下で CSF を実装することが求められています。

  • AWS は NIST 800-53 フレームワークに準拠していますか?

    はい。AWS クラウドのインフラストラクチャとサービスは、NIST 800-53 Revision 4 統制と追加の FedRAMP 要件に関して第三者が実施するテストによって検証されています。AWS は、AWS GovCloud (米国) リージョンおよび AWS 米国東部/西部リージョンの両方について、複数の認証機関から FedRAMP Authorizations to Operate (ATO) を受けています。詳細については、AWS FedRAMP コンプライアンスウェブページ、または以下の FedRAMP Marketplace ウェブページを参照してください。

  • AWS の顧客システムの NIST フレームワークへの準拠について、顧客側にはどのような責任がありますか?

    一部の統制は AWS から継承されますが、多くの統制はお客様と AWS の間で共有されます。NDA の下で、AWSは、NIST 800-53 Rev. 4 に基づいて AWS FedRAMP SSP テンプレートを提供します。このテンプレートでは、適用可能な NIST 800-5 Rev. 4 低/中/高の統制ベースラインが事前入力されます。統制の責任は次のようになります。

    • 責任共有モデル: お客様はソフトウェアコンポーネントのセキュリティおよび設定を提供し、AWS はそのインフラストラクチャのセキュリティを提供します。
    • お客様のみの責任: ゲストオペレーティングシステム、デプロイされたアプリケーション、限定されたネットワーキングリソース (ファイアウォールなど) はお客様の責任になります。より具体的に言えば、お客様はクラウドのセキュリティの設定および管理にのみ責任を持ちます。
    • AWS のみの責任: ネットワーク、データストレージ、システムリソース、データセンター、物理的セキュリティ、信頼性、ハードウェアとソフトウェアのサポートを含む、クラウドインフラストラクチャの管理は、AWS の責任になります。AWS システムの上に構築されたアプリケーションは、AWS が提供する機能や設定可能なオプションを継承します。AWS は、クラウド自体のセキュリティの設定および管理にのみ責任を持ちます。

    セキュリティ許可の目的で、(NIST 800-53 rev 4 低/中/高の統制ベースラインに基づく) FedRAMP 要件へのコンプライアンスは、AWS が AWS のみと共有統制を完全に実施することと、お客様がお客様のみと共有統制を実施することが条件となります。AWS の責任である統制が AWS に実装されていることは、FedRAMP 公認の第三者評価機関 (3PAO) によって評価され、認証されています。お客様に責任のある共有統制の一部と、お客様が AWS インフラストラクチャの上に実装しているアプリケーションに関連する統制は、NIST 800-37 と、お客様特有のセキュリティ許可ポリシーおよび手順に合意のうえで、お客様が個別に評価し、承認する必要があります。

  • NIST フレームワークに準拠するために AWS はどのようなサポートを提供していますか?

    AWS FedRAMP コンプライアンスシステムは FedRAMP セキュリティ統制 (NIST SP 800-53) に特化して、認証を取得しています。また、セキュアな FedRAMP リポジトリにポストされたセキュリティパッケージに必要な FedRAMP テンプレートを使用し、公認の独立第三者評価組織 (3PAO) によって評価されて、FedRAMP の継続的監視要件を継続的に満たしています。

    AWS 責任共有モデルに従って、AWS はクラウドセキュリティを管理し、お客様はクラウドのセキュリティに責任を持ちます。AWS は、共有責任をお客様が実装できるように、クイックスタートソリューション (Powered by AWS CloudFormation) を作成しています。これはシングルクリックで、AWS クラウドに重要なテクノロジーを自動的に実装できます。各クイックスタートでは、NIST 800-53 のような、セキュリティの一般的な規格やフレームワークに準拠するワークロードを AWS でデプロイするために必要なコンピューティング、ネットワーク、ストレージなどのサービスを起動し、設定し、実行することができます。

    AWS クイックスタートにより、体系的に実施できる包括的なルールセットを使用して、セキュアなベースラインを合理化し、自動化して実装できます。例えば、「AWS クラウドでの NIST ベースの保証フレームワークの標準化アーキテクチャ」というクイックスタートには、AWS CloudFormation テンプレートがあります。これらのテンプレートを AWS Service Catalog と統合することで、NIST 800-53 Revision 4 および NIST 800-171 の対象範囲となる標準化されたベースラインアーキテクチャワークロードの構築を自動化できます。また、このクイックスタートには、セキュリティ統制のリファレンスも含まれており、アーキテクチャの決定、機能、およびベースラインの設定にセキュリティ統制を対応付けることができます。クイックスタートは、組織の AWS クラウドのセキュリティとコンプライアンス目標に対して意味のある方法で、AWS におけるコンプライアンスの取り組みをサポートするために使用できます。

  • NIST CSF をどのように使用できますか?

    公共部門や民間企業の組織のお客様は、NIST サイバーセキュリティフレームワーク (CSF) ホワイトペーパーを使用して NIST CSF に対して AWS 環境を評価し、実装および運用しているセキュリティ対策 ("クラウドのセキュリティ" とも呼ばれる責任共有モデルのお客様の担当部分) を改善できますお客様が NIST CSF に迅速に準拠できるように、私たちは、AWS のクラウドサービス、ならびに関連するお客様の責任と AWS の責任について詳細に説明した資料を提供しています。また、このホワイトペーパーには、NIST CSF リスク管理実施策に対する AWS クラウドサービスの準拠 ("クラウドセキュリティ" とも呼ばれる責任共有モデルの AWS の担当部分) を証明する第三者監査人による書類も含まれています。これを使用して、組織は AWS 全体のデータを適切に保護できます。

    連邦および州の政府機関、規制を受ける団体や大規模な企業などの組織は、AWS ソリューションを実装して NIST CSF のリスク管理の成果を達成するためのガイドとして、このホワイトペーパーを使用できます。

compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者にご連絡ください
コンプライアンスの役割についてお知りになりたいですか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をご希望ですか?
Twitter でフォローしてください »