先週、Wallarmがウェビナーを主催しました。ActBlueの Director of SecurityであるRaj Umadas氏が、WallarmのHead of ProductであるTim Erlin氏と協力し、新しく提案されたNIST Cybersecurity Framework(CSF)2.0の複雑さを掘り下げました。この洞察力に富んだセッションは基本的な内容のみに留まらず、フレームワークの核となる変更点、APIセキュリティーへの影響を調査し、オーディエンスの質問に対処しました。
ウェビナーを見逃した方は、ここからオンデマンドで視聴できます。
NIST CSFの進化
NIST CSFは2014年にデビューし、その後2018年にバージョン1.1アップデートが行われました。現在、CSFバージョン2.0のドラフトは、2023年11月までパブリックコメントに向けて公開されており、2024年初めにリリースされる予定です。重要な機能強化には次のようなものがあります。
- 適用範囲の拡大:CSF 2.0は、重要インフラを超えてその適用範囲を拡大し、さまざまなセクターにわたってより多用途かつ関連性の高いものになっています。
- 相互接続された参照:フレームワークには、更新された参照、マッピング、リンクが組み込まれ、より包括的なリソースをユーザーに提供できるようになりました。
- 実装例:CSF 2.0では、ユーザーが新しいガイドラインを効果的に適用できるように、実践的な「実装例」が導入されています。
- サプライチェーンセキュリティー:ソフトウェアサプライチェーンセキュリティーの重要性が高まっていることを認識し、NISTは新しいCSFでこの側面をより重視しています。
- Govern機能の追加:CSF 2.0では、既存の5つの機能(Identify、Protect、Detect、Respond、Recover)に加えて、新しい機能Governが導入されています。
導入とその影響
ウェビナーが開催される前は、セキュリティー専門家の間でCSFの導入レベルについて不確実性がありました。視聴者アンケートによると、導入率は50%を超えており、CSF 2.0の意味を理解することに強い関心があることが分かりました。参加者は特に、変化を把握し、それをどのように活用するかに熱心でした。
重要なポイント
Raj氏とTim氏は、イベント中、実装戦略、他のフレームワークとの連携、AIの役割など、いくつかの重要なトピックについて取り上げました。彼らは、組織内の効果的なコミュニケーションの重要性を強調し、圧倒的なタスクを回避するための集中的なアプローチを提唱しました。さらに、CSFと基準/管理に関する混乱に対処し、彼らは多層的な評価アプローチの必要性を強調しました。
オーディエンスの質問
オーディエンスの質問により、ディスカッションはさらに充実しました。ある参加者は、APIセキュリティーにISOよりもCSFを優先することについて洞察を求め、また別の参加者は、組織のさまざまなセグメントに異なるプロファイルの作成について質問しました。
APIのセキュリティーとガバナンス
最後に、APIのセキュリティーとガバナンスに関するNISTの推奨事項に関する質問により、CSF 2.0は特定のテクノロジーや制御を規定していないことが明確になりました。ただし、Wallarmは、CSF 2.0の機能をAPIセキュリティーのニーズに合わせて調整するための貴重なクイックリファレンスガイドを提供し、組織がフレームワークを効果的に実装できるように支援しました。
Wallarmのウェビナーでは、NIST CSF 2.0の影響と、進化するサイバーセキュリティー環境におけるその関連性を包括的に調査しました。この草案は一般の意見を受け付けているため、組織はサイバーセキュリティー標準の将来を形作る機会を得ることができます。
この製品の詳細については、Wallarm製品ページをご覧ください。