NISTコンプライアンスとは?

米国国立標準技術研究所(NIST)は、イノベーションとビジネス競争力に重点を置いた米国政府機関です。 NISTの役割の1つは、サイバーセキュリティを含むさまざまな分野の標準とベストプラクティスを開発することです。 NIST 標準、ガイドライン、およびその他の出版物は、企業の セキュリティ コンプライアンス プログラムにとって非常に貴重です。

NIST は、一般的なサイバーセキュリティと組織のセキュリティ ポリシーの特定の領域の両方について、いくつかの標準とベスト プラクティスを開発しました。 これらの標準とベスト プラクティスは、連邦情報セキュリティ管理法 (FISMA) への準拠を支援するために、米国政府のさまざまな機関によって採用されています。

NISTバイヤーズガイド デモ

NIST コンプライアンス

NIST の標準とベスト プラクティス

NIST には、数多くの標準とベスト プラクティスがあります。 サイバーセキュリティに関する主要な標準には、連邦情報処理標準 (FIPS)、NIST 標準の 800 シリーズ、NIST サイバーセキュリティ フレームワークなどがあります。

連邦情報処理標準

NIST 標準は、拘束力のない推奨事項と、政府機関が FISMA コンプライアンスのために従わなければならない標準の組み合わせです。 FIPS は、連邦政府機関の必須要件です。

NIST 800 Series コンプライアンス

800 シリーズは、コンピュータ セキュリティ コミュニティに関連する NIST ドキュメントのセットです。 200 を超える NIST Special Publication (SP) 800 シリーズ標準が存在し、アクセス管理、安全なコーディング、暗号化の使用などのベスト プラクティスを概説しています。

最も一般的に使用される NIST ガイドラインには、次のようなものがあります。

  • NIST SP 800-37:継続的な監視によるリスク管理の促進
  • NIST SP 800-53: 連邦情報システムのセキュリティ管理に関するガイドライン
  • NIST SP 800-137: エンタープライズ・レポートおよびモニターのための自動化の使用
  • NIST SP 800-171: 機密の非格付け情報 (CUI) の保護のための制御

これらの標準に加えて、組織はサイバーセキュリティのさまざまな側面に関するベストプラクティスと情報についてNIST標準を参照することもできます。

NISTサイバーセキュリティフレームワーク

NISTサイバーセキュリティフレームワークは、重要インフラセクターのサイバーセキュリティを向上させるように設計されています。 このフレームワークは、5 つの中核的なサイバーセキュリティ機能を実現するための推奨事項を提供します。

  • 特定: サイバーセキュリティ リスクを管理し、NIST フレームワークを使用するために必要な理解を深めます。
  • 保護: サイバーセキュリティ インシデントの影響を防止または管理するための制御を実装します。
  • 検出: 潜在的なサイバー攻撃を迅速に検出するためのプロセスとソリューションを導入します。
  • 対応: 潜在的なサイバーセキュリティ インシデントを管理するために必要なアクションを実行します。
  • 復旧: インシデント発生後の回復と復旧運用の計画を実装します。

NIST サイバーセキュリティ フレームワークは、サイバーセキュリティ プログラムを実装するための全体的な概要を提供します。 これは、800シリーズ標準と組み合わせることで、広範かつ詳細なセキュリティガイダンスを提供します。

組織がNISTコンプライアンスを追求する理由

連邦政府と連携する組織では、NIST 標準への準拠が必須となる場合があります。 自社のシステムや機密データにアクセスできる米国政府機関と取引する企業は、契約上、1 つ以上の NIST 標準の要件を満たすことが義務付けられている場合があります。 前述したように、DIB請負業者はその一例です。 現在、NIST 800-171に準拠していることを自己認証する必要があり、レベルCMMC監査に合格するには、NIST 800-171に完全に準拠し、追加のセキュリティ制御とプロセスが必要になります。

NIST コンプライアンスが必須ではない組織では、他の規制への準拠を達成するために NIST が役立つ場合があります。 NIST 標準は、成熟した サイバーセキュリティ プログラムを構築するためのフレームワークを示しており、一部の NIST 標準は、組織が他のコンプライアンス要件を満たすのに役立つように特別に設計されています。 NIST コンプライアンスを達成することで、組織は他の規制の要件の多くを論理的かつ持続可能な方法で満たすことができ、規制固有の要件を満たすプロセスを簡素化できます。

NIST コンプライアンスの準備

NIST は、FIPS、800 シリーズ、サイバーセキュリティ フレームワークなど、多数の標準とガイドラインを公開しています。 さまざまな標準は、さまざまな組織、業界、特定のサイバーセキュリティの課題などのニーズを満たすように設計されています。

NIST コンプライアンスの準備は、組織のセキュリティ ニーズに最も適したガイドラインと標準を特定することから始まります。 NIST サイバーセキュリティ フレームワークと NIST SP 800-53 は、一般的なサイバーセキュリティ ガイダンスの出発点として適していますが、NIST SP 800-37、800-137、800-171 などの他の標準は、特定の目的を目的としています。

チェック・ポイントがNISTコンプライアンスをどのように支援できるか

さまざまなサイバーセキュリティ規制へのコンプライアンスの達成は複雑です。 NISTの標準とベストプラクティスは、セキュリティコンプライアンスを達成するための単一のフレームワークを提供することで、このプロセスを簡素化するのに役立ちます。

NISTサイバーセキュリティ基準の推奨事項を実装するには、プライベートクラウド環境と パブリッククラウド環境 を含む組織のインフラストラクチャ全体をサポートする 統合サイバーセキュリティプラットフォーム が必要です。

チェック・ポイントのソリューションは、NISTコンプライアンスに関するテストとレポート作成 のプロセスを自動化 し、組織がコンプライアンスのギャップを簡単に特定して解消できるようにします。 詳細については、 無料のデモをリクエストしてください。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK