情報セキュリティについてのガイドラインが多々ありますが、今回はNISTについてご紹介したいと思います。
NISTとは?
NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)の略です。
NISTは、技術、計量、標準化に関する研究と開発を行う機関であり、科学技術の進歩を促進し、産業の競争力を高めるために、さまざまな分野で標準やガイドラインを提供しています。
NIST SP 800シリーズ
情報セキュリティに関するガイドラインをまとめた文書群です。
この800シリーズは、連邦政府機関や民間企業が情報システムのセキュリティを確保するためのベストプラクティスを提供しています。
800シリーズの代表的なものは、以下となります。
NIST SP 800-53:
情報システムと組織のためのセキュリティおよびプライバシー管理
NIST SP 800-37:
情報システムと組織のためのリスク管理フレームワーク
NIST SP 800-171:
非連邦システムおよび組織における制御された未分類情報の保護に関するガイドライン
NIST SP 800-30:
リスク評価の実施に関するガイドライン
NIST SP 800-61:
コンピュータセキュリティインシデントの対応に関するガイドライン
NISTに準拠していないと困ることは?
①セキュリティリスクの増大:
NISTのガイドラインや標準は、最新のセキュリティ脅威に対する対策を提供しています。
これに準拠していないと、システムやデータが脆弱になり、サイバー攻撃やデータ漏洩のリスクが高まります。
②法的・規制上の問題:
多くの業界や米国政府機関は、NISTの標準に準拠することを求めています。
これに従わないと、法的な罰則や規制違反となる可能性があります。
③ビジネスチャンスの喪失:
多くの米国企業や米国政府機関は、取引先やパートナーに対してNIST準拠を求めることがあります。
これに準拠していないと、ビジネスチャンスを逃す可能性があります。
④インシデント対応の困難:
NISTのガイドラインには、インシデント対応やリスク管理のベストプラクティスが含まれています。
これに従わないと、セキュリティインシデントが発生した際の対応が遅れたり、効果的に対処できなかったりする可能性があります。
最後に
ソフトウェアの開発スキルそのものには関係しませんが、上記のガイドラインを満たすためには多種多様なデータを系統毎に管理する必要があり、従来のExcelでの管理には限界があります。
そこでシステム化する必要が出てきますが、NISTの知見があると、何をシステムで管理すべきか抽出することが可能となり、エンジニアとしての付加価値につながると思います。
最後までお付き合いいただきありがとうございました。