NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的

NIST Cybersecurity Framework: A Quick Guide for SaaS Security Compliance

2022/01/06 TheHackerNews — サイバー・セキュリティにおける最新のベストプラクティスを知りたいとき、私は米国の National Institute of Standards and Technology (NIST) を訪れる。最新のパスワード要件 (NIST 800-63) から、製造業者向けの IoT セキュリティ (NISTIR 8259) にいたるまで、NIST は常に出発点である。NIST は、組織の専門性と、NIST 文書の作成に協力する外部の専門家により、米国の標準制定者として重要な役割を果たしている。

NIST の Cybersecurity Framework (CSF) は、当初 2014年に発表され、最終的には2018年に更新されている。このフレームワークにより、組織は計画的で使いやすいフレームワークを用いて、重要インフラのセキュリティと回復力を向上させることが可能だ。

SaaS の継続的な成長や、COVID-19 による労働環境の大きな変化が、新たなセキュリティの課題をもたらす。CSF は、SaaS が台頭してきた時期に作成/更新されたものだが、依然として従来からの重要インフラのセキュリティ課題に対応している。しかし、CSF を最新の SaaS ベースの業務環境に適応させることで、組織は新たなリスクに対応できる。

私は個人的に、このフレームワークを気に入っている。しかし、このフレームワークを詳しく読むと、その複雑さが明らかになり、それに従うのは難しいと思うかもしれない。この記事では、CSF の主要な要素をレビューし、その主なメリットを指摘し、SaaS セキュリティのための実装を提案していく。

NIST の CSF の概要

NIST の CSF は、セキュリティにおける5つの機能を示し、それらをカテゴリーとサブカテゴリーに分類している。そして、サブカテゴリーには、実際のコントロールが含まれる。各サブカテゴリーには、ISO 27001/COBIT/NIST SP 800-53/ANSI/ISA-62443 などの有名な規格やフレームワークの、相互参照リストが含まれている。

これらの相互参照は、組織が CSF を実装し、他のフレームワークにマッピングするのに役立つ。たとえば、セキュリティにおける管理者やチームメンバーは、企業が準拠すべきセキュリティ規格の種類に関わらず、自身の判断を正当化するために参照情報を利用できる。

このフレームワークは、サイバー・セキュリティ脅威に対処するための、数多くのアプローチを1つの文書にまとめたものだ。これには以下が含まれる。

  • 手順の設定
  • トレーニング
  • 役割の定義
  • 監査
  • モニタリング

    このフレームワークは、5段階のコア構造を持っている。Identify (識別)/Protect (保護)/Detect (検知)/Respond (対応)/Recover (回復) である。これを箇条書きにしてみた。

Identify (識別)

NIST は、この機能を「システム/資産/データ/能力に対する、サイバーセキュリティのリスクを管理するための組織的理解を深める」と定義している。この機能の中に、NIST は以下のコントロール・カテゴリを含んでいる。

  • 資産管理
  • ビジネス環境
  • ガバナンス
  • リスク評価
  • リスクマネジメント戦略
  • サプライチェーン・リスクマネジメント

Protect (保護)

NIST は、この機能を「重要なインフラストラクチャ・サービスの提供を確実にするために、適切な保護手段を開発/実施する」と定義している。この機能の中に、NIST は以下のコントロール・カテゴリを含んでいる。

  • アクセス制御
  • 意識向上とトレーニング
  • データセキュリティ
  • 情報保護のプロセスと手順
  • メンテナンス
  • 保護技術

Detect (検知)

NIST は、この機能を「サイバーセキュリティ・イベントの発生を特定するための、適切なアクティビティを開発/実施する」と定義している。この機能の中に、NIST は以下のコントロール・カテゴリを含んでいる。

  • 異常とイベント
  • セキュリティの継続的な監視
  • 検知プロセス

Respond (対応)

NIST は、この機能を「検知されたサイバーセキュリティイベントに関して、アクションを起こすための適切なアクティビティを開発/実施する」と定義している。この機能の中に、NIST は以下のコントロール・カテゴリを含んでいる。

  • 対応計画
  • 通信
  • 分析
  • 緩和
  • 改善

Recover (回復)

NIST は、この機能を「回復力のための計画を維持し、サイバーセキュリティ・イベントにより損なわれた能力やサービスを回復するために、適切なアクティビティを展開/実施する」と定義している。この機能の中に、NIST は以下のコントロール・カテゴリを含んでいる。

  • 回復計画
  • 改善
  • コミュニケーション

CSF の SaaS セキュリティへの適用

CSF が、ベスト・プラクティスのモデルであることに間違いはないが、実装するのは難しい。

送信中データの保護 (PR.DS-2)

SaaS サービスを利用している企業は、この送信中データの保護と自社の関係について疑問に思うかもしれない。また、コンプライアンスは SaaS プロバイダーの責任だと思っているかもしれない。しかし、深く考えてみると、多くの SaaS プロバイダーはセキュリティ対策を講じており、ユーザー側には、その対策を利用する責任がある。

たとば、管理者は SaaS サービスへの、HTTP による接続を一切許可してはいけない。安全な HTTPS 接続のみを許可すべきである。

データ漏洩に対する保護が実装されている (PR.DS-5)

これは小さなサブカテゴリーのように見えるかもしれないが、その下には巨大なもの存在している。データ・リークを防ぐことは、きわめて困難なことである。SaaS アプリケーションの採用は、世界中の何処からであっても、人々によるアクセス/共有を許すため、この保護をより困難にしている。

管理者や CISO オフィスのメンバーは、この脅威に対して、特に注意を払う必要がある。SaaS における DLP (Data Loss Prevention) には、次のようなセキュリティ対策がある。

  • 実際のファイルではなく、ファイルへのリンクを共有する
  • リンクに有効期限を設定する
  • 必要ない場合には、ダウンロード・オプションを無効にする
  • データ分析用の SaaS では、データ・エクスポート機能をブロックする
  • ユーザー認証の強化
  • 通信用 SaaS でのロケール記録の防止
  • ユーザー・ロールを明確に定義し、スーパーユーザーや管理者の数を限定すること

認証されたデバイス/ユーザー/プロセスに対して、アイデンティティとクレデンシャルが発行/管理/検証/失効/監査される (PR.AC-1)。

企業の従業員数や SaaS の導入規模が大きくなると、このサブカテゴリーはより困難になる。たった5つの SaaS で5万人のユーザーを管理するということは、セキュリティ・チームにとっては、25万人のアイデンティティを管理する必要があるということだ。この問題は、現実的な問題となり、複雑な問題となる。

さらに難しいのは、SaaS ごとにアイデンティティの定義/表示、そしてアイデンティティの保護方法が異なることだ。さらに、SaaS アプリケーションは必ずしも相互に統合されているわけではないため、ユーザーは異なるシステム間で異なる権限を持つことになる。その結果、不必要な権限が発生し、潜在的なセキュリティ・リスクを引き起こす可能性が生じる。

NIST CSF の要件を満たすために Adaptive Shield は役に立つのか

NIST CSF は、今日のサイバーセキュリティにおける業界標準であるが、典型的な手動のプラクティスとプロセスで、それを実装するのは困難な戦いとなる。では、なぜ自動化しないのだろうか?

Adaptive Shield は、SaaS 全体のコンプライアンスと設定のチェックを自動化する SaaS Security Posture Management (SSPM) ソリューションである。Adaptive Shield は、セキュリティチームが構成上の弱点を容易に確認し、迅速に修正することを可能にし、NIST CSF をはじめ、SOC 2 や CSA Cloud Controls Matrix などの、企業や業界における標準コンプライアンスを確保する。

Adaptive Shield の Senior Product Analyst である Hananel Livneh によるものとのことです。最後に、ちょっとだけ自社 PR がありますが、全体を通じて、とても興味深い提案だと思います。そして、NIST の Cybersecurity Framework (CSF) ですが、Web 上で、原本である NIST の英語版と、IPA が提供する日本語版が参照できます。これらのドキュメントを参照すると、「PR.DS-2」という表記が「Protect.DataSecurity-2」を指していることが分かります。また、文中で紹介されている SSPM ですが、2021年10月に「SaaS セキュリティ統合:SSPM ツールを選ぶ際のチェックリスト」を、11月に「SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?」をポストしています。よろしければ、ご参照ください。

%d bloggers like this: