NISTは設定基準ではない ― CSPM設計に効く“思想”の話
本執筆は
AWS Security Hub CSPM 有効化設計の教科書 CIS / NIST / PCI をどう選ぶか
の補足資料です。
CSPM を触っていたり、Inspectorの脆弱性対応をしている際に
必ず一度はこう思います。
「NIST ってなんだっけ。結局どの設定をONにすればいいんだろう?」
この問いに対する答えは、少し意地悪ですがこうです。
NIST は“設定基準”ではありません。
初めにこのような認識をお持ちください。
CIS は「今できているか」を測るもの、
NIST は「どこまで目指すか」を決めるもの。
1. なぜNISTは分かりにくいのか
NIST は、
- 組織はどのようにリスクを管理すべきか
- 事故が起きたときにどのように対応すべきか
といった、「どう考えるか」を示す枠組みです。
そのため NIST を
「このチェックをONにすればいい」
と理解しようとした瞬間、
必ず混乱します。
2. v3 と v4 の何が変わったのか
〜「v4だけ有効化すればいい」は本当か?〜
PCI DSS v4.0.1 は最新規格であり、
「これから新規に対応するなら v4 だけでよい」と言われることもあります。
しかし、既存環境では“v4だけ有効化”が必ずしも正解にならないケースが存在します。
v3 と v4 の思想の違い
| 観点 | v3.2.1 | v4.0.1 |
|---|---|---|
| 基本姿勢 | チェックリスト型 | 継続的運用・リスクベース型 |
| 評価方法 | 年次監査中心 | 常時運用を前提 |
| 実装の自由度 | 低い | カスタムコントロールが可能 |
| 要求レベル | 技術要件中心 | 技術+運用+証明責任 |
v4 は単なるアップデートではなく、
「監査対応型」から「日常運用型」への大転換です。
v4だけで自動判定しきるのは難しい?
v4 では、
- 要件の表現が抽象化
- 「組織のリスク評価に基づき適切な管理を実施すること」
という文言が多くなり、
技術設定だけでは“合否を機械的に判断しにくく”なっています。
一方 v3 は、
- Security Group はこう設定する
- ログはこの条件を満たす
といった、CSPMと相性の良い具体的ルールが多い。
つまり
v3 = 設定の健全性を機械でチェックしやすい
v4 = 運用の成熟度を人が説明する必要がある
という構造です。
v3 を併用する価値が残るケース
以下のような環境では、
v3 をベースラインとして残す意義があります。
- 既に v3 ベースで長年運用している
- 監査証跡が v3 項目単位で整備されている
- CSPM による機械検知を重視したい
この場合、
v3 = 技術的ベースライン
v4 = 将来の運用モデル
という二層構造で考える方が現実的です。
結論:v4はゴール、v3は足場
- 新規環境
→ v4 を中心に設計 - 既存環境・CSPM重視
→ v3 をベースに v4 へ段階移行
PCI DSS v4 は最終到達点であり、
v3 を“捨てるべき過去の規格”と考えると、
運用は必ず破綻します。
3. NISTをCSPMにどう落とし込むのか
NIST をそのまま CSPM に当てはめると、
- 検知数が爆発
- 優先度が不明瞭
- 現場が疲弊
という状態になります。
NIST は
“CSPMにどういう役割を担わせるかを決めるための設計図”
として使うのが正解です。
たとえば
| NISTの考え方 | CNAPPでの役割 |
|---|---|
| Protect | CSPM / CIEM |
| Detect | CWPP / CDR |
| Respond | SOAR / チケット連携 |
| Recover | バックアップ / DR設計 |
この対応関係を整理することで、
「なぜこの基準をONにしているのか」を説明できるようになります。
4. NISTを“ON/OFF”で考えてはいけない理由
CIS は
- ON にする
- ルールに違反したら検知される
という単純な構造ですが、
NIST を同じ感覚で扱うと、必ず失敗します。
なぜなら NIST は、
「どの設定を有効にするか」を決める基準ではなく、
「どの仕組みに、どんな役割を持たせるか」を整理するための枠組み
だからです。
ON にした瞬間、何が起きるか
NIST 800-53 を CSPM にそのまま適用すると、
- 検知項目が一気に数倍に増える
- 監査・文書管理・統制プロセスまで指摘対象になる
- 設定変更では解消できないアラートが大量に出る
結果として、
「どう直せばいいのか分からないアラート」
がダッシュボードを埋め尽くします。
NIST の正しい使い方
NIST は次のように使うのが正解です。
| NIST の要求 | 割り当てるツール |
|---|---|
| 設定の健全性 | CSPM(CIS) |
| 権限の統制 | CIEM |
| 振る舞い検知 | CWPP / CDR |
| 事故対応 | SOAR / チケット管理 |
| 復旧体制 | バックアップ / DR |
こうして初めて、
NIST は CSPM を“育てるための設計図”になります。
「NISTをONにする」という発想が危険な理由
NIST を「ONにするもの」と捉えた瞬間、
- CSPM が “万能ツール” になり
- 何でも検知すべきだと思い込み
- 最終的に誰も使わなくなります。
NIST は、
CSPMに役割を与えるための思考フレームワークです。
ON/OFF の世界に持ち込んではいけません。