IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
部分的なセキュリティ対策では意味がない? NIST CSFで考察する網羅性の価値
セキュリティ対策は、部分的なコントロールに注力するだけでは大きな意味を成さない。包括的かつ実効性のある対策が実装できているか、正しく評価・検証する必要がある。そのための方法論について、動画で詳しく解説する。
コンテンツ情報
| 公開日 | 2023/05/18 | フォーマット | URL | 種類 | 製品資料 |
|---|---|---|---|---|---|
| ページ数・視聴時間 | 16分00秒 | ファイルサイズ | - | ||
要約
セキュリティ対策は非常に幅広く、かつ深いものであり、部分的なコントロールに注力するだけでは大きな意味を成さない。包括的にどのような対策が必要なのか、実効性のある仕組みが実装されているのかをチェックする必要がある。こうしたセキュリティ運用の抜け漏れを検証する上で有効なのがNIST CSF(米国国立標準技術研究所のサイバーセキュリティフレームワーク)だ。
NIST CSFでは「Tier」と「Core」という2つの軸で実効性を検証している。Tierは対策状況の成熟度を把握するためのもので、4段階の評価基準がある。一方、Coreはセキュリティ機能を識別・防御・検知・対応・復旧の5つに分類しており、それぞれにあるサブカテゴリーを通して対策の抜け漏れをチェックすることが可能となる。
セキュリティ対策で求められる“広さ”と“深さ”は個々の環境や予算で変化するが、優先したいのは「運用ライフサイクルの網羅性」、つまり“広さ”である。本Webキャストでは、その理由についてさらに詳しく解説しているので、自社の取り組みをチェックする上でも参考にしてほしい。
NIST CSFでは「Tier」と「Core」という2つの軸で実効性を検証している。Tierは対策状況の成熟度を把握するためのもので、4段階の評価基準がある。一方、Coreはセキュリティ機能を識別・防御・検知・対応・復旧の5つに分類しており、それぞれにあるサブカテゴリーを通して対策の抜け漏れをチェックすることが可能となる。
セキュリティ対策で求められる“広さ”と“深さ”は個々の環境や予算で変化するが、優先したいのは「運用ライフサイクルの網羅性」、つまり“広さ”である。本Webキャストでは、その理由についてさらに詳しく解説しているので、自社の取り組みをチェックする上でも参考にしてほしい。