SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press(PR)

「特定」と「防御」だけのセキュリティでは足りない時代到来 CSF要件を満たすための現実解

 本稿は日本企業がNISTに準拠すべき理由やCSF、SP800-171について基本を解説した前編の続編となる。ラピッドセブン 本田氏がNIST対応の背景や現実についてセキュリティ専門家の西尾氏に訊き、西尾氏が本田氏にラピッドセブンの統合型クラウドSIEM「InsightIDR」の独自性などについて訊いた。

日本企業がNISTに対応すべき背景や理由をサイバーセキュリティ専門家の西尾氏が解説した前編はこちらへ

ISO27001からNIST SP800-171へ セキュリティ対策がシフト

ラピッドセブン・ジャパン株式会社 シニアセキュリティコンサルタント, CISSP 本田俊夫氏(写真左)多摩大学 ルール形成戦略研究所 首席研究員 西尾素己氏(写真右)
ラピッドセブン・ジャパン株式会社 シニアセキュリティコンサルタント, CISSP 本田俊夫氏(写真左)
多摩大学 ルール形成戦略研究所 首席研究員 西尾素己氏(写真右)

本田:かつてセキュリティ対策はISO 27001(ISMS認証)が中心でしたが、近年ではNIST(アメリカ標準技術研究所)文書やCSF(サイバーセキュリティフレームワーク)へとシフトしてきています。しかしNISTは自己宣言で認証はないため、自社のシステム構成に照らし合わせ、取捨選択しなくてはいけません。これはハードワークだと思います。

西尾:そうですね。企業ごとに内容やレベルが異なるでしょう。自己宣言とはいえ、事故が起きてから準拠していないと判明したら厳しく処分されます。

本田:アメリカではどう対処しているのでしょうか。日本では人材面で追いつかないという危機感があります。

西尾:アメリカではセキュリティ人材の頭数を揃えるのは不可能だと判断しています。その代わりにクラウドを活用します。主要クラウドベンダーには数千人ものセキュリティのスペシャリストが運用管理しています。こうしたパブリッククラウドに人材を集中させ、みんなはこれに乗ればいいという考えです。もともとクラウド利用の文化があったのもあり、NIST SP800-171対応クラウドへの移行も進んでいます。

 一方、日本ではSIer主導で複雑にカスタマイズしているため内部が把握できず、クラウド移行が難しい状況です。一時はアメリカのFedRAMP(連邦政府によるリスクや認証管理の認定)を参考に日本版FedRAMP、つまり国内ベンダーでFedRAMP同等のセキュリティレベルのサービスを提供できるようにと動いていましたが、価格帯が釣り合わず、ほぼ実現には至っていません。

本田:結局、どうなるのでしょうか。

西尾:日本版FedRAMPについての結論は出ました。2020年2月、日本政府は今後運用開始する政府共通プラットフォームでAWSを採用することを発表したからです。AWSとはいえ、日本のリージョンを使いますし、日本法人が対応するので「それに乗る」と。もう「国の情報だから国産ベンダーでないと」という時代は終わりました。セキュリティ水準を満たせなければ国産でもダメだということです。国内企業もこうした動きに続くでしょう。

本田:自社で実現できなければ適材適所でアウトソースすることは悪くなくて、むしろ賢いアプローチかと思います。

西尾:あるコンサルティングファームの北米におけるサイバーセキュリティ事業では収益の多くをSOC(セキュリティオペレーションセンター)が占めています。24時間365日の監視体制など、NISTの要件を満たしたサービスを提供しています。これを自社独自に運用するのは現実的ではないので、アウトソースが進んでいます。アメリカでは同様の監視系サービスが上場すると買いが殺到する状況です。

次のページ
これからは説明責任の幅が広くなる どこまでやればいいのか

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12818 2020/07/16 11:41

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング