いつも忘れないように、コンセプトから。
コンセプト
・お金かけてまでやりたくないのでほぼ無料でAWSを勉強する
→ちょっとしたサービスを起動すると結構高額になりやすい。
・高いレベルのセキュリティ確保を目指す
→アカウントを不正に使われるととんでもない額を請求されるので防ぐ
今回は何かを実装する訳ではないのでお金はかかりません。セキュリティを考える上で、いろいろなフレームワークがあるのですが、その位置づけの整理をしてみようと思います。有名だからやってみました、というのもイマイチですからね。。。よく話題になるフレームワークを比較してみます。
比較するフレームワークは以下です。
- NIST Cybersecurity Framework(NIST CSF)
- ISO 27002
- NIST SP800-53
- NIST Secure Controls Framework(SCF)
NISTはアメリカ国立標準技術研究所で、この辺りにおいてはデファクトスタンダードになっていると思います。といっても、NISTの中にもいろいろ分類があります。調べて初めて知りました。ISOは皆さんご存じなので問題無いでしょう。
概要をまとめてみました。以下のような感じになります。
評価項目 | CSF | ISO27002 | SP800-53 | SCF |
---|---|---|---|---|
カバレッジ | 緩やか | 適度 | 厳しめ | 厳格 |
概要 | サイバーセキュリティ問題の内部および外部のコミュニケーションのための共通言語を作成 | 国際的に認められたサイバーセキュリティフレームワークであり、多くの要件(PCI DSS、HIPAAなど)に対応 | 連邦政府の情報システムと組織のセキュリティとプライバシーをコントロールするためのフレームワーク | メタフレームワーク(フレームワークのフレームワーク) |
使用目的 | 開発チーム、セキュリティ、法務などの共通言語を定義。欠点は、NIST 800-171、PCI DSS、HIPAAなどの一般的なコンプライアンス要件と互換性がないこと | 多国籍企業や米国の連邦規制に特に準拠する必要のない企業で多く利用される。SP800-53よりも複雑さが軽減され、実装が容易 | 連邦情報セキュリティ管理法(FISMA)と国防総省情報保証リスク管理フレームワーク(DIARMF)はこのフレームワークに依存しているため、米国連邦政府との取引には必要な要件。金融、医療での適合事例も多い | 内部統制にフォーカスされる。ビジネスをサポートし好ましくないイベントが防止、検出、修正されることを合理的に保証するように設計されたサイバーセキュリティとプライバシー関連のポリシー、標準、手順、およびその他のプロセスの集合体。 |
補足 | スタートアップまたは規制のない企業向け。複雑なトピックを簡単に報告できるため、セキュリティを経営者に報告するためのレポートツールとしてよく使用される | 有料(http://www.iso.org/iso/home/store.htm) | 無償提供 | 無償提供 |
結局何を使えばいいの?
調べてみた感じでは、一般企業であればCSFを参考にすれば十分だと思います。グローバル展開している会社や金融系の会社はNIST SP800-53を参考にするのが良いと思います。ISO27002でも良いのかもしれませんが、アメリカでの適合性を考えると、はじめからSP800-53を意識しておいたほうが賢明だと思います。アメリカ抜きでグローバル展開するということも事実上無いでしょうから。