Submit Search
Upload
NIST Cybersecurity Framework 概要
•
0 likes
•
193 views
You&I
Follow
プログラミング生放送勉強会 第54回@熊本のセッション資料 https://atnd.org/events/100428
Read less
Read more
Software
Report
Share
Report
Share
1 of 24
Download now
Download to read offline
Recommended
OpenChain Japan Work Group Meeting #20 - Case Studies
OpenChain Japan Work Group Meeting #20 - Case Studies
Shane Coughlan
I2NSF updates [ISOC-JP event, 2015/08/27]
I2NSF updates [ISOC-JP event, 2015/08/27]
Takeshi Takahashi
IETFにおける IoTソフトウェアアップデートに関する検討状況
IETFにおける IoTソフトウェアアップデートに関する検討状況
Takeshi Takahashi
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
Takayuki Ushida
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
FIT-HAC CTF
FIT-HAC CTF
sasenomura
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Shinichiro Kawano
Pycon mini20190511 pub
Pycon mini20190511 pub
Shogo Matsumoto
Recommended
OpenChain Japan Work Group Meeting #20 - Case Studies
OpenChain Japan Work Group Meeting #20 - Case Studies
Shane Coughlan
I2NSF updates [ISOC-JP event, 2015/08/27]
I2NSF updates [ISOC-JP event, 2015/08/27]
Takeshi Takahashi
IETFにおける IoTソフトウェアアップデートに関する検討状況
IETFにおける IoTソフトウェアアップデートに関する検討状況
Takeshi Takahashi
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
Takayuki Ushida
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
FIT-HAC CTF
FIT-HAC CTF
sasenomura
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Shinichiro Kawano
Pycon mini20190511 pub
Pycon mini20190511 pub
Shogo Matsumoto
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
クラウドセキュリティ基礎
クラウドセキュリティ基礎
Masahiro NAKAYAMA
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
st2でシステム管理
st2でシステム管理
You&I
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
日本マイクロソフト株式会社
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID Foundation Japan
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
Eiji Sasahara, Ph.D., MBA 笹原英司
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎
Yasuo Ohgaki
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
マジセミ by (株)オープンソース活用研究所
.NET Micro Framework で IoT
.NET Micro Framework で IoT
Yoshitaka Seo
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
Eiji Sasahara, Ph.D., MBA 笹原英司
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
Hironori Washizaki
『アプリケーション アーキテクチャ ガイド2.0』のガイド
『アプリケーション アーキテクチャ ガイド2.0』のガイド
Kentaro Inomata
Visual Studio UserのためのMicrosoft Learn入門
Visual Studio UserのためのMicrosoft Learn入門
Akiyoshi Tsuchida
車載ソフトウェアの品質保証のこれから
車載ソフトウェアの品質保証のこれから
Yasuharu Nishi
Spring I/O 2015 報告
Spring I/O 2015 報告
Takuya Iwatsuka
セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019
Yusuke Karasawa
6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた
Hiroshi Ohnuki
OSS光と闇
OSS光と闇
Hirofumi Ichihara
More Related Content
Similar to NIST Cybersecurity Framework 概要
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
クラウドセキュリティ基礎
クラウドセキュリティ基礎
Masahiro NAKAYAMA
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
st2でシステム管理
st2でシステム管理
You&I
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
日本マイクロソフト株式会社
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID Foundation Japan
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
Eiji Sasahara, Ph.D., MBA 笹原英司
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎
Yasuo Ohgaki
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
マジセミ by (株)オープンソース活用研究所
.NET Micro Framework で IoT
.NET Micro Framework で IoT
Yoshitaka Seo
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
Eiji Sasahara, Ph.D., MBA 笹原英司
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
Hironori Washizaki
『アプリケーション アーキテクチャ ガイド2.0』のガイド
『アプリケーション アーキテクチャ ガイド2.0』のガイド
Kentaro Inomata
Visual Studio UserのためのMicrosoft Learn入門
Visual Studio UserのためのMicrosoft Learn入門
Akiyoshi Tsuchida
車載ソフトウェアの品質保証のこれから
車載ソフトウェアの品質保証のこれから
Yasuharu Nishi
Spring I/O 2015 報告
Spring I/O 2015 報告
Takuya Iwatsuka
セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019
Yusuke Karasawa
6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた
Hiroshi Ohnuki
OSS光と闇
OSS光と闇
Hirofumi Ichihara
Similar to NIST Cybersecurity Framework 概要
(20)
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎
クラウドセキュリティ基礎
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
st2でシステム管理
st2でシステム管理
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
.NET Micro Framework で IoT
.NET Micro Framework で IoT
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
『アプリケーション アーキテクチャ ガイド2.0』のガイド
『アプリケーション アーキテクチャ ガイド2.0』のガイド
Visual Studio UserのためのMicrosoft Learn入門
Visual Studio UserのためのMicrosoft Learn入門
車載ソフトウェアの品質保証のこれから
車載ソフトウェアの品質保証のこれから
Spring I/O 2015 報告
Spring I/O 2015 報告
セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019
6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた
OSS光と闇
OSS光と闇
NIST Cybersecurity Framework 概要
1.
NIST Cybersecurity Framework 概要 2018/10/20(土) プログラミング生放送勉強会 第54回@熊本 You&I
2.
ジコ、ショウカイ。 • H/N: You&I(読み:ユーアンドアイ) •
SNS: @you_and_i • 出身: 生まれも育ちも名古屋市 • 年齢: アラフォー • 本職: 商学部出身の職業プログラマ • 言語: C++, C#, VB6, Java Applet他 • 所属: プログラミング生放送勉強会 名古屋支部長 名古屋アジャイル勉強会 わんくま同盟 名古屋勉強会 ディレクター NIST Cybersecurity Framework概要 2
3.
暮井慧ファンクラブの会員番号2番です NIST Cybersecurity Framework概要
3
4.
プログラミング生放送 勉強会について 回数 参加
回数 参加 回数 参加 回数 参加 第1回@渋谷 不参加 第15回@大阪 参加 第29回@松山 参加 第43回@DMM 参加? 第2回@新宿 不参加 第16回@名古屋 参加 第30回@名古屋 参加 第44回@熊本 参加 第3回@大阪 不参加 第17回@品川 参加 第31回@大阪 参加 第45回@名古屋 参加 第4回@名古屋 参加 第18回@大阪 参加 第32回@GMO 参加 第46回@DMM 参加 第5回@新宿 不参加 第19回@品川 参加 第33回@DMM 不参加 第47回@松山 参加 第6回@大阪 参加 第20回@品川 不参加 第34回@松山 参加 第48回@DMM 参加 第7回@新宿 参加 第21回@福岡 参加 第35回@DMM 参加 第49回@大阪 参加 第8回@名古屋 参加 第22回@松山 参加 第36回@DMM 参加 第50回@名古屋 参加 第9回@大阪 参加 第23回@大阪 参加 第37回@福岡 参加 第51回@IIJ 参加? 第10回@品川 参加 第24回@名古屋 参加 第38回@名古屋 参加 第52回@松山 参加 第11回@大阪 不参加 第25回@品川 不参加 第39回@DMM 不参加 第53回@GMO大阪 参加 第12回@品川 参加 第26回@大阪 不参加 第40回@金沢 参加 第54回@熊本 参加 第13回@愛媛 参加 第27回@品川 参加 第41回@松山 参加 第55回@福岡 第14回@品川 不参加 第28回@仙台 参加 第42回@大阪 参加 第56回@名古屋 名古屋支部長のこれまでの勉強会参加状況→29回中20回 NIST Cybersecurity Framework概要 4
5.
AGENDA •セキュリティ標準とは •NIST Cybersecurity Framework概要 NIST
Cybersecurity Framework概要 5
6.
1. セキュリティ標準とは NIST Cybersecurity
Framework概要 NIST Cybersecurity Framework概要 6
7.
セキュリティ標準とは •セキュリティ標準がターゲットとするのは、何ら かのプロダクト・サービスを提供する組織です。 •個人レベルで対応するには大がかり過ぎます が、企業のセキュリティ対策が進んでいないと か、セキュリティ人材が不足していると言われ る昨今においては、知識として身につけておく のは有用でしょう。 NIST Cybersecurity Framework概要
7
8.
セキュリティ標準とは •セキュリティ標準は、基本的にリスクマネジメン ト手法の一つであり、実施すべきセキュリティ 対策の指針は示されるものの、対策のチェック リストや具体的なセキュリティ対策方法につい ては提供されません。 NIST Cybersecurity Framework概要
8
9.
セキュリティ標準とは •サイバー攻撃手法は日進月歩で進化し続け るので、セキュリティ対策もそれに対処する必 要があります。これだけやっておけば良いという のはセキュリティ標準には組み込まれません。 •リスクマネジメントによる対策としては、組織の あるべき姿と現状とのギャップ分析や、繰り返 し改善を行うPDCAサイクル構築が主流です。 NIST Cybersecurity Framework概要
9
10.
セキュリティ標準とは •これらのセキュリティ標準はあくまでガイダンスで あって、強制するものではなく自発的なセキュ リティ対策を支援するものです。 •セキュリティ標準(Standard)ではなく、セキュリティ 認証(Certification)の場合は、満たすべき要求事 項(Requirements)があります。 NIST Cybersecurity Framework概要
10
11.
セキュリティ標準とは •主なセキュリティ標準・認証 •国際機関が策定 • ISO, ISO/IEC,
JIS(ISOのローカライズ) 例) ISO/IEC 27000シリーズ, CC認証 •政府機関が策定 • 例) NIST, NISC(内閣サイバーセキュリティセンター) •業界団体が策定 • 自動車, 航空機, 船舶, クレジットカード決済 例) EDSA認証(組み込みデバイス向け) NIST Cybersecurity Framework概要 11
12.
セキュリティ標準とは •マスコットアプリ文化祭が始まっていますけれど、 セキュリティ標準って何か関係するの? •皆さんがお使いの各種クラウドサービスは、セキュ リティ標準にも対応しています。 •クラウドサービスを利用する側だけでなく、準拠が 求められるケースがあるのでホストする側もサービ ス提供しているベンダーは対応を行っています。 NIST Cybersecurity Framework概要
12
13.
セキュリティ標準とは •Amazon AWS • https://docs.aws.amazon.com/ja_jp/quickstart/la test/accelerator-nist/welcome.html •
https://aws.amazon.com/jp/compliance/nist/ •Microsoft Azure • https://docs.microsoft.com/ja- jp/azure/security/blueprints/nist171-analytics- overview •Google GCP • https://cloud.google.com/security/compliance/ NIST Cybersecurity Framework概要 13
14.
2. NIST Cybersecurity
Framework 概要 NIST Cybersecurity Framework概要 NIST Cybersecurity Framework概要 14
15.
NIST Cybersecurity Framework概要 •NIST(アメリカ国立標準技術研究所:National Institute
of Standards and Technology)は 様々な標準を策定していますが、その中でも セキュリティ標準は、様々な業界で参照・活 用されています。 NIST Cybersecurity Framework概要 15
16.
NIST Cybersecurity Framework概要 •NISTが公開しているセキュリティ標準 •FIPS(Federal
Information Processing Standards) • FIPS 140-2, FIPS 186-4 •SP(NIST Special Publications) • SP 800 • SP 800-53, SP 800-171 • SP 1800 •CSF(Cybersecurity Framework) NIST Cybersecurity Framework概要 16
17.
NIST Cybersecurity Framework概要 •NIST
Cybersecurity Framework •v1.0 – 2014年2月 •v1.1 – 2018年4月 • v1.0からの変更点 • フレームワークコアのIDカテゴリに「ID.SC」が追加 • フレームワークコアのサブカテゴリに10要素が追加 NIST Cybersecurity Framework概要 17
18.
NIST Cybersecurity Framework概要 •NIST
CSFは、以下の2つに重きを置いています。 •サイバーセキュリティへの取り組みを、企業にとっ てのビジネス上のモチベーションにつながるものに する •サイバーセキュリティリスクを、企業のリスク管理プ ロセスの一環としてとらえる NIST Cybersecurity Framework概要 18
19.
NIST Cybersecurity Framework概要 •NIST
CSFは、以下の3要素で構成されます 1. フレームワークコア(Framework Core) 2. フレームワークプロファイル(Framework Profile) 3. フレームワークインプレメンテーションティア (Framework Implementation Tier) NIST Cybersecurity Framework概要 19
20.
サイバーセキュリティリスク が組織によってどのように 管理され、 どのようにリスク管理プラ クティスが重要な特性を 示すかを説明します 実装シナリオで業界 標準とベストプラクティ スをFramework Core に合わせる ビジネスニーズを考慮 しながら優先順位付 けと計測をサポート サイバーセキュリティの成果と参考資料 組織全体でサイバーリスクの伝達を可能にする NIST Cybersecurity
Framework概要 NIST Cybersecurity Framework概要 20 Cybersecurity Framework Core TierProfile
21.
NIST Cybersecurity Framework概要 •フレームワークコア(Framework
Core) NIST Cybersecurity Framework概要 21 機能 カテゴリー/サブカテゴリ- ID (特定) ID.AM x6 (資産管理) ID.BM x5 (ビジネス環境) ID.GV x4 (ガバナンス) ID.RA x6 (リスクアセスメント) ID.RM x3 (リスク管理戦略) ID.SC x5 (サプライチェーンリスク管理) PR (防御) PR.AC x7 (識別子制御及びアクセス制御) PR.AT x5 (意識向上及びトレーニング) PR.DS x8 (データセキュリティ) PR.IP x12 (情報を保護する為のプロセス及び手順) PR.MA x2 (保守) PR.PT x5 (保護技術) 機能 カテゴリー/サブカテゴリ- DE (検知) DE.AE x5 (異常とイベント) DE.CM x8 (セキュリティの継続的なモニタリング) DE.DP x5 (検知プロセス) RS (対応) RS.RP x1 (対応計画の作成) RS.CO x5 (伝達) RS.AN x5 (分析) RS.MI x3 (低減) RS.IM x2 (改善) RC (復旧) RC.RP x1 (復旧計画の作成) RC.IM x2 (改善) RC.CO x3 (伝達) オレンジ色文字はCSF v1.1で変更・追加
22.
NIST Cybersecurity Framework概要 •フレームワークコア(Framework
Core) •サブカテゴリーの細かい部分は別なセキュリティ 標準を参照している・・・。 • NIST SP 800-53 Rev.4 • ISO/IEC 27001:2013 • ISA 62443-2-1:2009 • ISA 62443-3-3:2013 • ISACA COBIT 5 • CIS CSC(Center For Internet Security, The Critical Security Controls) NIST Cybersecurity Framework概要 22
23.
NIST Cybersecurity Framework概要 •
フレームワークインプレメンテーションティア(Framework Implementation Tier) • ティアには1~4の段階がある。 • Tier1:部分的である(Partial) • Tier2:リスク情報を活用している (Risk Informed) • Tier3:繰り返し適用可能である (Repeatable) • Tier4:適応している(Adaptive) • それぞれの段階は以下の状況を表している。 • リスク管理対策がどの程度、厳密で高度なものか • リスク管理がビジネスニーズにどの程度基づいているか • 企業の全体的なリスク管理対策にどの程度組み入れられて いるか NIST Cybersecurity Framework概要 23
24.
NIST Cybersecurity Framework概要 •
フレームワークプロファイル(Framework Profile) • プロファイルは、サイバーセキュリティ対策の現在の状態と目指 す目標の状態を記述するのに使用できる。 • 「現在のプロファイル」は、現時点で達成されているサイバーセキュ リティ成果を示す。 • 「目標のプロファイル」は、サイバーセキュリティリスク管理上の目指 す目標を達成するのに必要な成果を示す。 • プロファイルは ビジネス/ミッション要件を踏まえ企業内および 企業間でのリスクについての伝達を支援する。 • CSFでは、実施に関して柔軟性を持たせることを意図して、プ ロファイルのひな形は規定していない。 • プロファイルの比較は、サイバーセキュリティリスク管理上の目 標を果たすために対処が必要なギャップを浮き彫りにします。 NIST Cybersecurity Framework概要 24
Download now