実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
はじめに 飲み物じゃないIPAをご存じでしょうか? 漢字でいうと、独立行政法人 情報処理推進機構ですね。情報処理技術者試験を実施いる謎の組織という認識の方も多いと思います。 実はIPAはいろんなドキュメントを公開していてQiitaやZenn以上にお役立ちなサイトなのです。 まあ、AWSをどうこうとか、FireabaseやNext.jsのようなキラキラした奴は基本載ってないので特に代替えするものではないですが、ブログとかはまた種類の違った情報があるので個人的には結構使うことあります。しかも 「日本語」! こういう感じの事をTwitterでつぶやいたところ意外にイイねをされたので、せっかくだしどんなドキュメントがあるかちょっと紹介したいと思います。 セキュリティ関連NIST文書 まずはNISTドキュメントの翻訳版! これは良いですよね。NISTはアメリカの米国国立標準技術研究所で、セキュリティ
パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。 これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。 そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げ
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
暗号アルゴリズム「SHA-1」の廃止を発表、NIST
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm|NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:
3cmから1.7kmまですべてにピントが合った写真を撮れるレンズを開発。三葉虫の眼から着想【Gadget Gate】 - PHILE WEB
一般的な三葉虫は、単一の眼が無数に集まってできた複眼と呼ばれる構造により、いわゆるレンズ部分と視覚細胞が1対1でつながっていたと考えられている。これは、現在の昆虫にも見られるしくみだ。 しかし、Dalmanitina socialisと呼ばれる種の三葉虫は、視覚系全体に二重レンズ構造を持ち、表面側のレンズは中央部の膨らみにより第二の焦点を得られていたことがわかった。つまり、この種は近くにいる獲物を見ると同時に、遠くで動く天敵もはっきりと視界にとらえることができたようなのだ。 NISTの研究チームは、この構造を「ライトフィールドカメラ」と呼ばれる特殊なカメラに応用できないかと考えた。ライトフィールドカメラは通常のデジタルカメラとは異なり、複眼のように多数のマイクロレンズを使用して、1度の撮影で色と輝度だけでなく、センサーに入る光の方向もまとめて記録し、ソフトウェアによって後から遠近のフォーカ
2020年8月、米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ(以下、本書)」を正式公開しました。今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました(以下よりダウンロードいただけます)。 ゼロトラスト・アーキテクチャとは概念であり、また十分に成熟した領域とは言えないため、内容を正しく理解することは容易ではありません。ゼロトラスト・アーキテクチャは製品/ベンダーによって多様な実現方法があるのが実態ですが、対応したソリューションの1つを導入したとしても、ゼロトラスト・アーキテクチャを実現できる訳ではありません。 本書のポイントとして、ゼロトラストの定義や7つの理念を紹介している点が挙げられます。この定義と理念をNISTが整理したことで、ゼロトラストに関する共通
情報セキュリティに関係する基準、ガイドラインなど - rokujyouhitoma's blog
いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。 こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。 基準、ガイドライン 営業管理秘密指針 https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf サイバーセキュリティ経営ガイドライン サイバーセキュリティ経営ガイドライン(METI/経済産業省) クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版) https://www.soumu.go.jp/main_content/000566969.pdf Ref: 総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表 テレワークセキュリティガイドライン第5版(令和3
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。 大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか? CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。 同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナ
AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパーを公開しました | Amazon Web Services
Amazon Web Services ブログ AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパーを公開しました 米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク (CSF) のバージョン 1.1 (英語版)が 2018 年に公開されていましたが、今回、この CSF への準拠を目指す組織のために、ガイダンスとなる資料が更新され、日本語のホワイトペーパーも公開されたことをご紹介致します。 更新された NIST サイバーセキュリティフレームワーク (CSF): AWS クラウドにおける NIST CSF への準拠は、AWS のサービスやリソースを活用して CSF に準拠する組織の支援を目的としています。またこれは官民を問わず、中小企業から大企業まで、世界各地のあらゆる組織に役立つように作成されています。 この資
【セキュリティ ニュース】IPA、「情報セキュリティ白書2021」を発行 - 無料PDF版も提供予定(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、セキュリティの動向を広く紹介する年次白書の最新版「情報セキュリティ白書2021」を7月30日に発刊する。書籍として販売するほか、無料のPDF版も提供する予定。 同白書は、セキュリティ分野の概況を幅広く紹介する資料。2008年より毎年発行している。組織における注意喚起や教育、講演資料、試験対策などに活用されている。 国内外の政策や人材の状況、インシデント被害、脆弱性の動向など、毎年収録しているトピックにくわえて、今回は制御システムやIoTに関するセキュリティの話題や、米国標準技術研究所(NIST)のセキュリティ関連活動を個別テーマとして取り上げた。 またテレワークについても取り上げ、インシデントの事例、テレワーク環境の脅威や課題、対策について解説している。 書籍はA4判で272ページ。価格は2200円(税込)。ISBNは「978-4-905318-75-0」。無
NIST サイバーセキュリティフレームワーク準拠から読み解く自組織の AWS セキュリティ | DevelopersIO
NIST CSF への準拠を可能にする AWS サービス CSF には5つのコア機能(識別、防御、検知、対応、復旧)があります。 さらに機能ごとに複数のカテゴリ、その下に合計108のサブカテゴリによるアクティビティが設定されています。 識別 このセクションでは、「システム、 人員、資産、データ、機能に対するサイバーセキュリティリスク管理を組織で把握する」ための要素を取り上げます。 自組織の責任範囲 効果的な IT ガバナンスとセキュリティの第一歩は IT 資産を識別して管理することです。 AWS サービスを使うと、資産インベントリの収集と管理が容易になります。 以下を使い「埋もれたリソース」を産み出さないように識別しておきます。 CloudTrail CloudWatch Logs Config / Config Rules Macie Resource Tagging Systems M
政府は2023年度中に業務委託先の企業に米政府基準のサイバーセキュリティー対策を義務付ける。サイバー攻撃から政府情報を守るため通信機器の管理やアクセス制限などを求める。シンクタンクや通信事業者など年間1千社以上が対象になる見通しだ。政府のサイバーセキュリティ戦略本部が中央省庁や独立行政法人など政府に関係する機関の情報保全に関する統一基準を改める方向で調整する。外部の業務委託先に求めるサイバー攻
「最新の脅威に対処するサイバーセキュリティー対策の指針を、防衛省が遅ればせながら取り入れた。情報を守りながらビジネスの展開速度を高めたい企業は注目すべきだ」――。自衛隊出身で日本のサイバーセキュリティーの第一人者であるサイバーディフェンス研究所の名和利男専務理事はこう強調する。 その新たな指針が、防衛装備品などに関連する重要情報をサイバー攻撃から守るための「防衛産業サイバーセキュリティ基準」である。従来の基準を大幅に改定し、攻撃の早期発見や攻撃を受けた後の対策などを拡充した。2023年度から適用するとして、関連する企業に対応を求めた。 防衛省は新基準の作成に当たり、米政府が自国の防衛産業に求める基準と同レベルのものを目指した。具体的には、米国が採用するセキュリティーのガイドライン「NIST SP800-171」を参考にしたという。NISTの名の通り、米国立標準技術研究所(NIST)が策定し
Date Published: August 2020 Planning Note (12/11/2020): A Japanese translation of this publication was developed by PwC Consulting LLC for the Information-technology Promotion Agency (IPA), Japan. (DISCLAIMER: This translation is not an official U.S. Government or NIST translation. The U.S. Government does not make any representations as to the accuracy of the translation. The official publicatio
「ゼロトラストとは」で検索してもよく分からない?――米国政府による定義「SP 800-207」を読み解く
「ゼロトラストとは」で検索してもよく分からない?――米国政府による定義「SP 800-207」を読み解く:働き方改革時代の「ゼロトラスト」セキュリティ(5) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、米国政府が考えるゼロトラストの定義と実践の姿について。 ベンダーによって言うことが違う「ゼロトラスト」 コロナ禍の影響で常態化しつつあるテレワーク/リモートワークの課題を解決するコンセプトとして、「ゼロトラストセキュリティ」「ゼロトラストアーキテクチャ」が注目されつつあります。しかし、その定義や内容は理解が容易ではなく、またベンダーによるゼロトラストの説明も微妙に異なるため、「一体何がゼロトラストなのか」とお考えの方も多いのではないかと思います。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革
2014年2月に米国国立標準研究所(NIST)が CSF(サイバーセキュリティフレームワーク)の 1.0 版を公開して以降、それまでは ISMS の独壇場であったセキュリティ対策の検討・推進のフレームワークに、新たな選択肢が加わりました。あれから5年、年々進化するサイバーセキュリティリスクの高まりとともに、現在では多数あるセキュリティフレームワークの中でも、一番手の選択肢として、多くの企業・組織に利用されています。 人気・支持が高い一方で、NIST CSF を分かりやすく、体系的に解説しているコンテンツが少ないことを課題に感じてきました。このような状況をふまえて、NIST CSF の構成や特長を、可能な限りシンプルに解説します。 ▶「NIST サイバーセキュリティフレームワーク 2.0改訂|ポイントとフレームワークの実践的な使い方」を読む NIST CSF とは? オバマ大統領の大統領令(
企業がデジタル化を進めるにあたり、セキュリティリスクへの対策は向き合わざるを得ない課題となっている。しかし、高度化するテクノロジーを背景に、さまざまなセキュリティリスクが存在する時代へと移り変わる中で、網羅的にリスクを把握することは難しくなっている。そうした状況下において、先進的な企業で活用が進む、米国NISTが運営するサイバーセキュリティフレームワークについてこの記事では解説していく。 NISTによるサイバーセキュリティフレームワーク策定の背景 企業におけるセキュリティ対策は、その企業の所在する国内のセキュリティ事情にも大きな影響を及ぼすことになりかねない。そのため、国が主導し、遵守すべきセキュリティ対策のフレームワークやポリシーを作成しているケースがある。日本国内においても、経済産業省およびIPAが「サイバーセキュリティ経営ガイドライン」を公開している。このガイドラインでは、サイバー攻
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
米国国立標準技術研究所(NIST)は2024年2月26日(米国時間)、サイバーセキュリティフレームワーク(CSF)の最新版となるバージョン2.0(以下、CSF 2.0)を発表した。 CSFは、サイバーセキュリティのリスクを軽減するためのガイダンス文書であり、国際的に広く使用されている。2014年に発表されたバージョン1.0(以下、CSF 1.0)、2018年に発表されたバージョン1.1(以下、CSF 1.1)は、日本語を含む13の言語に翻訳されている。 CSFは、米国の国家サイバーセキュリティ戦略(National Cybersecurity Strategy)を支援するものであり、CSF 1.0/1.1は、病院や発電所のような「重要インフラ」を担う組織向けに策定された。CSF 2.0は、あらゆる業種、規模の組織がサイバーセキュリティリスクを管理、軽減できるよう支援することを明確な目標とし
防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは?~日本企業が取り組むべき対策を解説~ | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
サイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | NTTデータ先端技術株式会社
2024年2月26日にNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークがV1.1からV2.0へバージョンアップしました。この文書は、本来は米国連邦政府向けの文書だったのですが、その内容の分かりやすさや、時流に即した内容により、米国の民間企業にも、そして日本を含む他国のセキュリティの取組みに大きな影響を与えています。 本コラムでは、NISTサイバーセキュリティフレームワーク(以下、CSF)V2.0の変更点を読み解くことによって、今後のサイバーセキュリティ対策に必要な要素や留意点について明らかにします。 なぜサイバーセキュリティフレームワーク(CSF)が注目されるのか? CSFは、元々は米国連邦政府の重要インフラ向けに2014年に策定されたものです。そのため、本来無関係な民間企業や、日本の組織で利用・遵守する義務はありません。 しかし、サイバー攻撃によって侵入された前提で
2019年7月、NPO日本ネットワークセキュリティ協会(JNSA)は記者に向けたセミナー「今知りたい! システムを守る認証の実態」を開催した。このセミナーは、最近のスマートフォン向け決済サービスの不正利用事件を受け、近年のインターネットサービスにおける認証技術と運用上の実態に関して、より正確な現状を認識するために企画されたもの。「認証」と「セキュリティ」をキーワードに3人の登壇者が、現在、サービスを提供する企業、そして利用者ができることを語る会となった。 この中では幾つもの有益な情報や提言が含まれていた。その一部を紹介しよう。 認証とは何か/認証技術の現状 ココン 技術領域投資室パートナーの林達也氏は、認証の基礎的な部分に関して解説を行った。林氏はOAuthやOpenID connectの標準化に携わるなど、“認証”を追いかけ続けたエンジニアの一人だ。 「認証の分野は以前に比べるとスケール
NISCに聞くサイバーセキュリティの現在地 企業規模別に考える、“机上の空論”にならない対策とは:サイバーセキュリティ月間 フィッシング詐欺やランサムウェアなどのサイバー攻撃が、日常生活や企業活動に深刻な影響を及ぼしている。今や「サイバーセキュリティ」はあらゆる人や組織が真剣に向き合うべき課題だ。 政府も本腰を入れており、「サイバーセキュリティは全員参加」というテーマを掲げて毎年2月1日から3月18日までの「サイバーセキュリティ月間」に啓発活動を展開している。 「ひとごと」ではなく「自分ごと」としてサイバーセキュリティに向き合うにはどうすればいいのか。サイバーセキュリティ月間を主導する内閣サイバーセキュリティセンター(NISC)の村田健太郎氏と企業の対策に詳しくソフトバンクでセキュリティエバンジェリストとしても活動する澤入俊和氏に、全員参加で対策を推進するポイントを教えてもらう。 村田 個
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます EY Japanは7月10日、政府のサイバー対策に関するメディア勉強会を開催した。防衛装備庁は2023年度の契約から、米国立標準技術研究所(NIST)が定めた「NIST SP800-171」に準ずる防衛産業サイバーセキュリティ基準の適用を求めている。EYストラテジー・アンド・コンサルティング ストラテジックインパクトパートナーの西尾素己氏は、「日本も情報クライテリア(条件)を持たなければならない。さらに『EO(Executive Order)14028』のソフトウェアサプライチェーン攻撃対策に目を向けることも必要だ」と提言した。 SP800-171は、NISTが定めたサイバーセキュリティフレームワークの一つである。2009年に米軍戦闘機
NIST SP800-171とは?解説と対策
NIST SP 800-171とはNIST SP 800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。 政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。 本書の目的は、重要情報が連邦政府以外の情報システム・組織にあるときに、重要情報の機密性を保護するため、連邦政府機関に推奨されるセキュリティ要件を提供することである。 重要情報が処理され、保存され、または連邦政府外のシステムを用いる連邦政府外の組織に送信されるときには、連邦政府機関と同レベルの保護が必要とされる。 (NIST SP 800-171より抜粋、一部編集)
Date Published: September 2019 Comments Due: November 22, 2019 (public comment period is CLOSED) Email Questions to: zerotrust-arch@nist.gov Author(s) Scott Rose (NIST), Oliver Borchert (NIST), Stu Mitchell (Stu2Labs), Sean Connelly (DHS) Announcement This draft publication discusses the core logical components that make up a zero trust architecture (ZTA) network strategy. Zero trust refers to an
KPMG Japan Insight Plusは、KPMGジャパンの会員制ウェブサイトです。 記事、動画、セミナー、メールマガジン等を通じ、ビジネスのプラスとなるインサイト(洞察・考察)を会員の皆様にお届けします。 KPMGコンサルティング、「サイバーセキュリティサーベイ2022」を発表 日本企業におけるセキュリティの実態を、「サイバー」「リモートワーク」「制御システム」のテーマで調査しました。 日本企業におけるセキュリティの実態を、「サイバー」「リモートワーク」「制御システム」のテーマで調査しました。
NIST SP800-63-4 Initial Public Draft(IPD) 63AのIdentity Proofingの概要について、説明を行った際の資料です。 OpenID BizDay #16 @ Tokyo Midtown Conference 主に以下を紹介しました。 4. Identity Resolution, Validation and Verification 5. Identity Assurance Level 要件 6. Subscriber Accounts 7. 脅威とセキュリティ考慮事項 8. プライバシー考慮事項 9. ユーザビリティ考慮事項 10. Equity 考慮事項
昨今、サイバーセキュリティ業界のあちこちで耳にするようになったキーワードが「ゼロトラスト」だ。だが、そこで本当に求められるものは具体的に何なのだろうか。 セキュリティに長年関わり、現在はセキュリティサービス企業パロンゴの最高技術責任者を務める林 達也氏は、アイティメディア主催のオンラインイベント「ITmedia Security Week 2020冬」において「精緻化するセキュリティ環境における認証管理の重要性―ゼロトラストの幻想を超えて―」と題するセッションを開催した。同氏は、「攻撃者優位の未成熟な世界」において安全を守るために何が必要か、今や必要不可欠なアイデンティティーマネジメントや認証といった技術にどう向き合うべきかを解説した。 ゼロトラストは「性善説から性悪説への移行」ではない あちらの記事でもこちらのセミナーでも「ゼロトラスト」という言葉が踊り、まるで「ゼロトラストがあればセキ
NIST Releases Version 2.0 of Landmark Cybersecurity Framework
NIST’s cybersecurity framework (CSF) now explicitly aims to help all organizations — not just those in critical infrastructure, its original target audience — to manage and reduce risks. NIST has updated the CSF’s core guidance and created a suite of resources to help all organizations achieve their cybersecurity goals, with added emphasis on governance as well as supply chains. This update is the
IoTデバイスのセキュリティリスク管理は医療機器業界の共通課題である。重要情報インフラに関わる医療機器ユーザーの技術標準化視点に立ったサイバーセキュリティのガイドライン整備を進めてきた米国のNIST(国立標準技術研究所)が2019年6月25日、IoTデバイスのセキュリティに関連する新たなガイドラインを公表した。 ⇒連載「海外医療技術トレンド」バックナンバー 米国NISTがIoTセキュリティ/プライバシーリスク管理指針草案を公表 米国では、医療機器を所管する食品医薬品局(FDA)と並んで、国立標準技術研究所(NIST)が、本連載第4回で取り上げた「サイバーフィジカルシステムのフレームワーク1.0版」(関連情報)、連載第25回で取り上げた「NIST SP 1800-8:医療提供組織における無線輸血ポンプのセキュア化」(関連情報)、連載第35回で取り上げた「重要インフラのサイバーセキュリティを向
【超図解】ゼロトラスト
NECサイバーセキュリティ戦略本部セキュリティ技術センターの角丸です。 ここ数年、「ゼロトラスト」という言葉がよく出てきますが、いまいち実態が掴みきれないという方もいらっしゃるのではないでしょうか。 そこで、今年の8月にNISTから発行されたNIST SP800-207 Zero Trust Architecture [1]を参考に基本となる考え方を図解にしてみましたのでご紹介します。 本記事では、NIST SP800-207 Zero Trust Architectureを参考にゼロトラストの基本となる考え方を図解にしてご紹介しました。ネットワークに信頼を置きネットワークへ安全にアクセスするということにトラストの重点を置いていた境界防御モデルに対し、ゼロトラストのモデルではリソースへ安全にアクセスするということ、つまりリソースを安全に利用することにトラストの重点が変わったと言えます。それ
NIST Special Publication 800-207 䝊䝻䝖䝷䝇䝖䞉䜰䞊䜻䝔䜽䝏䝱 Scott Rose Oliver Borchert Stu Mitchell Sean Connelly ᮏ᭩䛿䚸௨ୗ䜘䜚↓ᩱ䛷⏝ྍ⬟䛷䛒䜛䠖 https://doi.org/10.6028/NIST.SP.800-207 C O M P U T E R S E C U R I T Y 㑥ヂ䠖PwC䝁䞁䝃䝹䝔䜱䞁䜾ྜྠ♫ ᮏᩥ᭩䛿䚸ཎ䛻ἢ䛳䛶䛷䛝䜛䛰䛡ᛅᐇ䛻⩻ヂ䛩䜛䜘䛖ດ䜑䛶䛔䜎䛩䛜䚸ᛶ䚸 ṇ☜ᛶ䜢ಖド䛩䜛䜒䛾䛷䛿 䛒䜚䜎䛫䜣䚹 ⩻ヂ┘ಟయ䛿䚸ᮏᩥ᭩䛻グ㍕䛥䜜䛶䛔䜛ሗ䜘䜚⏕䛨䜛ᦆኻ䜎䛯䛿ᦆᐖ䛻ᑐ䛧䛶䚸䛔䛛䛺䜛ே ≀䛒䜛䛔䛿ᅋయ䛻䛴䛔䛶䜒㈐௵䜢㈇䛖䜒䛾䛷䛿䛒䜚䜎䛫䜣䚹 NIST Special Publication 800-207 䝊䝻䝖䝷䝇䝖䞉䜰䞊䜻䝔䜽䝏䝱 Scott Ros
NISTとは?科学技術分野の計測や標準に関する研究を行うアメリカ商務省に属する政府機関「米国国立標準技術研究所(National Institute of Standards and Technology)」のことです。 NIST サイバー セキュリティ フレームワーク(CSF)とは?NISTが2014年に発行した、重要インフラのサイバーセキュリティを向上させるためのフレームワーク(Cyber Security Framework)。ISMSと共に世界基準のセキュリティ管理フレームワークとして広く普及しています。 日本ではISMSの普及率が高い一方、海外ではCSFを採用する企業が急増。これは、CSFがITセキュリティリスクに特化しており、ISMSと比べて実践的な内容が記載されていることが理由として考えられます。
OpenID BizDay #16 - NIST SP800-63-4 (Draft) (2023/03/16 19:00〜)
お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。 2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。 お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。 3月 16 OpenID BizDay #16 - NIST SP800-63-4 (Draft) OIDF-J 翻訳WGによる NIST SP800-630-4 (draft) 翻訳版公開記念
NIST サイバーセキュリティ フレームワーク (CSF) AWS クラウドにおける NIST CSF への準拠 2019 年 1 月 [セキュアなクラウドの採用] セキュアなクラウドの採用 © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 注意 本文書は情報提供のみを目的としています。本文書は、発行時点における AWS の製品および対応を説明するものであり、予告なく変更される場合が あります。お客様は、本文書の情報および AWS 製品またはサービスの利用 について、ご自身の評価に基づき判断する責任を負います。いずれの AWS 製品またはサービスも、明示または黙示を問わずいかなる保証も伴うこと なく、「現状のまま」提供されます。本文書のいかなる内容も、AWS とそ の関係会社、サプライヤー、ま
NIST Special Publication 800-207 Zero Trust Architecture Scott Rose Oliver Borchert Stu Mitchell Sean Connelly This publication is available free of charge from: https://doi.org/10.6028/NIST.SP.800-207 C O M P U T E R S E C U R I T Y NIST Special Publication 800-207 Zero Trust Architecture Scott Rose Oliver Borchert Advanced Network Technologies Division Information Technology Laboratory Stu Mitch
Date Published: August 2020 Planning Note (04/19/2024): Unofficial translations of NIST SP 800-207 are available: Spanish translation developed by Dreamlab Technologies (4/19/24)Japanese translation developed by PwC Consulting LLC for the Information-technology Promotion Agency (IPA), Japan (12/11/20)(DISCLAIMER: These translations are not official U.S. Government or NIST translations. The U.S. G
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
QiitaやZennよりも便利? IPAの資料を読もう!
「パスワードは複雑さより長さが大切」 FBIが指南
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
政府、サイバー対策で米基準義務付け 委託先1000社超に - 日本経済新聞
防衛省の新セキュリティー基準、「一般企業こそ注目すべきだ」と専門家が勧めるわけ
SP 800-207, Zero Trust Architecture | CSRC
【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
NISTのサイバーセキュリティーレームワークって? 構成要素や機能を解説
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
NIST、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を発表
【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか
NISCに聞くサイバーセキュリティの現在地 企業規模別に考える、“机上の空論”にならない対策とは
NIST SP-800-190 アプリケーションコンテナセキュリティガイド
米国のセキュリティ基準「NIST SP800-171」とは--EY Japanが解説
SP 800-207, Zero Trust Architecture | CSRC
KPMGコンサルティング、「サイバーセキュリティサーベイ2022」を発表
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
「ゼロトラストセキュリティ」ってどこから始めればいいの? 最初に押さえたい“基本のき”を解説
米国NISTのIoTセキュリティリスク管理指針と医療機器
NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ
NIST発行の情報セキュリティ関連文書(CSFとSP 800の位置づけ)
NIST サイバーセキュリティ フレームワーク (CSF)
NIST Special Publication 800-207 Zero Trust Architecture
SP 800-207, Zero Trust Architecture | CSRC
iphone-mania.jp
g.co
note.com/kurikuri3sei
www.asahi.com
www.pixiv.net
blog.livedoor.jp/hattoridou