カジノサイト
あなたの組織のサイバーセキュリティ専門家になりたいですか? NIST をリストの一番上に置きます
ネットワークを保護することは、ビジネスを保護することと同義となっています。なぜなら、この 2 つは切り離せないものになっているからです。 IP ネットワークに接続されたカメラとアクセス制御システムを備えた物理セキュリティの専門家として、私たちは人々と資産を保護する方法を知っています。ただし、これらのツールの効果は接続先のネットワークに依存するため、ネットワークの保護はセキュリティ全体の方程式の重要な部分となります。 IT 部門は、これが自らの中核的使命の一部であると当然考えているため、IT 部門の管理下にあるネットワークに接続されているセキュリティ システムが厳しい監視の対象となるのは当然のことです。
あなたまたはあなたのチームが組織の物理的セキュリティ システムの責任者である場合、サイバーセキュリティの専門知識の観点から、どのようにこの状況を乗り切ることができますか? NIST はまさにあなたが探しているものかもしれません。
セキュリティ専門家向けの素晴らしいリソース
その(NIST) は米国商務省の非規制機関です。 NIST のウェブサイトによると、NIST の主な使命は、経済安全を強化し生活の質を向上させる方法で測定科学、標準、技術を進歩させることにより、イノベーションと産業競争力を促進することです。言い換えれば、NIST は、技術の進歩を可能にしながら安全性を確保するために、現代世界のほぼすべての側面をカバーする技術標準を策定しています。すべての消火栓にホースが適合することを保証することから、初の生細胞標準物質となるものの開発に至るまで、NIST の貢献は膨大であり、その起源をたどることができます。これは、全米の商業を支援するために米国に「度量衡の標準を修正する」ことを義務付けています。元々は国家標準局として知られていましたが、1901 年に設立された米国で最も古い物理科学研究所の 1 つでもあります。
NIST の重要かつ最近の貢献の 1 つは、サイバーセキュリティの分野です。 NIST は、組織がサイバーセキュリティ リスクを管理できるようにするためのガイドライン、ツール、フレームワークを開発しています。あらゆる企業がサイバーセキュリティ リスクをより深く理解し、管理し、軽減できるよう支援します。この枠組みは国防総省 (DOD)、国家安全保障局 (NSA)、FBI などの政府機関によって厳格に遵守されていますが、他のすべての組織にとっては完全に自主的なものです。これに従うことで、企業はサイバーセキュリティ保護を最大限に高めるための投資と取り組みを導く一連の実証済みのベスト プラクティスにアクセスできるようになります。結局のところ、NSA、FBI、国防総省にとって十分なものであれば、おそらくあなたのビジネスにとっても十分なものとなるでしょう!
既存の規格の継続的な収集とテスト
NIST で働く賢い人々が必ずしもこの情報を自分たちで思いつくわけではないことに注意することが重要です。むしろ、厳格なテストと検証プロセスに合格した既存の方法と標準を継続的に採用、評価、推奨しています。 NIST の推奨事項とベスト プラクティスの最も優れた点の 1 つは、無数の新たな脅威と、それらと戦うために使用できる技術の進歩に対応するために常に進化していることです。さらに重要なのは、適切な保護を提供できなくなったレガシー テクノロジーをまとめて廃止するよう NIST が推奨していることです。
入手可能な情報が非常に多いため、業界で何が重要なのかを絞り込む必要があります。物理的セキュリティの専門家向けに、一部の出版物は当社の司令塔を直接対象としています:
- 、「情報システムと組織のセキュリティとプライバシーの管理」
- そして,「暗号化モジュールのセキュリティ要件」
NIST 800-53 - 情報システムおよび組織のセキュリティとプライバシーの管理
は、情報システムおよび組織に対する幅広いセキュリティおよびプライバシー管理の概要を説明した包括的な文書です。これらの制御は、組織が情報システムを保護するために実装できる保護手段と対策であると考えることができます。 このコントロールはカスタマイズ可能に設計されており、組織全体のリスク管理方法の一部として適用できます。
たとえば、企業がネットワーク上のすべてのデバイスのパスワードを管理する方法を改善したいと思うかもしれません。識別と認証に関するセクション 3.7 では、パスワードやその他の形式のユーザー認証に関するベスト プラクティスについて知っておくべきことをすべて説明しています。回復力のあるアクセス制御システムをセットアップする方法を知りたいですか?この文書のセクション 3.1 を参照してください。 これは膨大なリソースであり、すべてが必要になるわけではありませんが、必要な場合には、すべてがそこにあり、無料で利用できます。
800-53 は連邦政府機関にのみ直接適用されますが、米国政府と取引を行う組織は、これらのベスト プラクティスのすべてまたは少なくとも一部に準拠することが求められると考えて間違いありません。
FIPS 140-2 および 140-3 – 暗号化モジュールのセキュリティ要件
NIST は、連邦情報処理標準 (FIPS) 内で承認された暗号化アルゴリズムのコレクションを作成しました。 FIPS 140 シリーズ文書の目標は、米国政府機関と請負業者のコンピューターのセキュリティと相互運用性を確保することです。上記の 800-53 と同様、FIPS も単独で作成されたわけではなく、米国規格協会 (ANSI) や電気電子学会 (IEEE)、国際標準化機構 (ISO) など、他の多くの技術グループのベスト プラクティスを参考にしています。
メーカーが自社の製品が特定のレベルで FIPS 認定を受けていると述べた場合、その製品のサイバーセキュリティがどの程度であるかを正確に知ることができます。たとえば、ネットワーク セキュリティ カメラは次のように言われるかもしれません。認定されました。これは FIPS 標準の最新バージョンで、機密情報を保護するセキュリティ システムで利用される暗号モジュールのセキュリティ要件を定めています。 (最近、 に置き換えられました)、これは徐々に展開されています。) カメラには、セキュア エレメントと呼ばれる耐タンパー性の集積回路チップが搭載されている場合があります。このチップは、デバイスを幅広い攻撃や改ざんから保護する暗号キーの生成と保存に使用できます。セキュア エレメントは小型、高速で、エッジ デバイスに簡単に導入できます。 FIPS 要件に準拠していないネットワーク デバイスは、他のネットワーク デバイスよりもハッキングが簡単です。
このウサギの穴はどれくらい深いですか?
NIST とそのパートナーを通じて公開されている情報のプールは実に膨大です。ありがたいことに、検索エンジンは、より多くの知識が必要な主題を絞り込むのに役立ちます。
上記以外にも、NIST には、クラウド コンピューティングと仮想化サイバーセキュリティ、生体認証、さらには人工知能 (AI) の使用までをカバーする情報技術トピックに特化したセクション全体があります。研究も大学や他のパートナーと協力して継続的に行われています。このようにして、システムを保護する方法の最先端を探ることが可能になります。たとえば、信頼できないデータにさらされたときに AI システムがどのように誤作動するのか、そして攻撃者がこの問題をどのように悪用しているのかを調査した 1 月に発表されました。
あなたも参加できます。NIST は定期的に、誰でも回答できる情報要求 (RFI) を送信して、トピックに関するフィードバックを求めています。この記事の執筆時点では、NIST は積極的に活動しています大統領令 14110 に基づく任務について.
知れば知るほど
私たちは興味深い時代に生きており、ありがたいことにサイバーセキュリティのベストプラクティスは、時間とその実装方法を学ぶ意欲がある人なら誰でも簡単にアクセスできます。 NIST のような組織のおかげで、彼らは私たちのためにほとんどすべての宿題をやってくれました。私たちがしなければならないのは、必要に応じて読み取って実装することだけです。
Will Knehr は、i-PRO Americas, Inc. の情報保証およびデータ プライバシーのシニア マネージャーで、製品とネットワークのセキュリティ保護に取り組んでいます。 彼は、米国家安全保障局 (NSA)、統合海事軍 (CMF)、国防総省 (DOD)、国防情報システム局 (DISA) などのサイバー防衛ミッションを指揮する暗号戦分野でキャリアをスタートした 2004 年以来、ネットワークのセキュリティ保護に取り組んでいます。米国で最も機密性の高い安全なネットワークの防御、認定、認証、デジタル フォレンジックとインシデント対応の提供に貢献しています。 また、ノースロップ グラマンでも勤務し、マルウェア分析、データ ブローカー、サイバーセキュリティ プログラムの管理のための仮想化環境を構築する NSA と DISA の特別プロジェクトをサポートしました。
彼はサイバーセキュリティとビジネスの修士号を取得しています。 彼は、CISSP、PMP、CEH、CNDA、CASP、CMMC RP など、業界をリードする多くの認定資格を取得しています。
