米国国立標準技術研究所 (NIST)

概要

米国国立標準技術研究所 (NIST) 800-53 のセキュリティ統制は、一般に、米国連邦政府情報システムに適用されます。米国連邦政府情報システムは、基本的に、情報および情報システムの機密性、完全性、可用性の十分な保護を確実にするために、正式な評価と認証のプロセスを経る必要があります。

NIST のサイバーセキュリティフレームワーク (CSF) は、部門や規模に関わらず、どの組織でも使用できる推奨ベースラインとして、世界中の政府および業界で採用されています。Gartner によると、2015 年に CSF は米国企業の約 30% で使用されており、2020 年までに 50% に達する見込みです。2016 会計年度以来、連邦政府機関の Federal Information Security Modernization Act (FISMA) 指標が CSF の周囲で編成され、現在、機関はサイバーセキュリティに関する大統領令の下で CSF を実装することが求められています。

• AWS は NIST 800-53 フレームワークに準拠していますか？

  はい。AWS クラウドのインフラストラクチャとサービスは、NIST 800-53 Revision 4 統制と追加の FedRAMP 要件に関して第三者が実施するテストによって検証されています。AWS は、AWS GovCloud (米国) および AWS 米国東部/西部リージョンの両方について、複数の認証機関から FedRAMP Authorizations to Operate (ATO) を受けています。詳細については、AWS FedRAMP コンプライアンスウェブページ、または以下の FedRAMP Marketplace ウェブページを参照してください。
  

  • AWS 東部/西部リージョンの認証機関の一覧

  • AWS GovCloud (米国) の認証機関の一覧

  • 高ベースラインの AWS GovCloud JAB P-ATO

• AWS の顧客システムの NIST フレームワークへの準拠について、顧客側にはどのような責任がありますか?

  一部の統制は AWS から継承されますが、多くの統制はお客様と AWS の間で共有されます。統制の責任は次のようになります。

  • 責任共有モデル: お客様はソフトウェアコンポーネントのセキュリティおよび設定を提供し、AWS はそのインフラストラクチャのセキュリティを提供します。
  • お客様のみの責任: ゲストオペレーティングシステム、デプロイされたアプリケーション、限定されたネットワーキングリソース (ファイアウォールなど) はお客様の責任になります。より具体的に言えば、お客様はクラウド内のセキュリティの設定および管理にのみ責任を持ちます。
  • AWS のみの責任: ネットワーク、データストレージ、システムリソース、データセンター、物理的セキュリティ、信頼性、ハードウェアとソフトウェアのサポートを含む、クラウドインフラストラクチャの管理は、AWS の責任になります。AWS システムの上に構築されたアプリケーションは、AWS が提供する機能や設定可能なオプションを継承します。AWS は、クラウド自体のセキュリティの設定および管理にのみ責任を持ちます。

  セキュリティ許可の目的で、(NIST 800-53 rev 4 低/中/高の統制ベースラインに基づく) FedRAMP 要件へのコンプライアンスは、AWS が AWS のみと共有統制を完全に実施することと、お客様がお客様のみと共有統制を実施することが条件となります。AWS の責任である統制が AWS に実装されていることは、FedRAMP 公認の第三者評価機関 (3PAO) によって評価され、認証されています。お客様に責任のある共有統制の一部と、お客様が AWS インフラストラクチャの上に実装しているアプリケーションに関連する統制は、NIST 800-37 と、お客様特有のセキュリティ許可ポリシーおよび手順に合意のうえで、お客様が個別に評価し、承認する必要があります。
  

• NIST フレームワークに準拠するために AWS はどのようなサポートを提供していますか?

  AWS FedRAMP コンプライアンスシステムは FedRAMP セキュリティ統制 (NIST SP 800-53) に特化して、認証を取得しています。また、セキュアな FedRAMP リポジトリにポストされたセキュリティパッケージに必要な FedRAMP テンプレートを使用し、公認の独立第三者評価組織 (3PAO) によって評価されて、FedRAMP の継続的監視要件を継続的に満たしています。

  AWS 責任共有モデルに従って、AWS はクラウドのセキュリティを管理し、お客様はクラウド内のセキュリティに責任を持ちます。責任共有の実装をサポートするために、AWS は Landing Zone Accelerator on AWS ソリューションを作成しました (AWS CloudFormation を利用)。Landing Zone Accelerator on AWS ソリューションは、AWS のベストプラクティスと複数のグローバルコンプライアンスフレームワーク (NIST ベースのものを含む) に合わせて設計されたクラウド基盤をデプロイします。このソリューションを使用すると、厳しい規制の対象となっているワークロードを処理し、複雑なコンプライアンス要件を満たす必要があるお客様は、マルチアカウント環境をより適切に管理および統制できます。他の AWS のサービスと連携して使用すると、35 以上の AWS のサービスで包括的なローコードソリューションを提供します。Landing Zone Accelerator on AWS ソリューションは、クラウドコンプライアンスプログラムの準備を加速する、安全で回復力があり、スケーラブルで、完全に自動化されたクラウド基盤を迅速にデプロイするのに役立ちます。注: このソリューションだけで、コンプライアンスに準拠できるわけではありません。追加の無料ソリューションを統合できる基本的なインフラストラクチャを提供します。

• NIST CSF を使用するにはどうすればよいですか?

  公共部門や民間企業の組織のお客様は、NIST サイバーセキュリティフレームワーク (CSF) ホワイトペーパーを使用して NIST CSF に対して AWS 環境を評価し、実装および運用しているセキュリティ対策 ("クラウド内のセキュリティ" とも呼ばれる責任共有モデルのお客様の担当部分) を改善できますお客様が NIST CSF に迅速に準拠できるように、私たちは、AWS のクラウドサービス、ならびに関連するお客様の責任と AWS の責任について詳細に説明した資料を提供しています。また、このホワイトペーパーには、NIST CSF リスク管理実施策に対する AWS クラウドサービスの準拠 ("クラウドのセキュリティ" とも呼ばれる責任共有モデルの AWS の担当部分) を証明する第三者監査人による書類も含まれています。これを使用して、組織は AWS 全体のデータを適切に保護できます。

  連邦および州の政府機関、規制を受ける団体や大規模な企業などの組織は、AWS ソリューションを実装して NIST CSF のリスク管理の成果を達成するためのガイドとして、このホワイトペーパーを使用できます。
  

NIST リソース