NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威
暗号アルゴリズム「SHA-1」の廃止を発表、NIST
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm|NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:
訂正のお知らせ 本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。 「パスワード
2020年8月、米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ(以下、本書)」を正式公開しました。今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました(以下よりダウンロードいただけます)。 ゼロトラスト・アーキテクチャとは概念であり、また十分に成熟した領域とは言えないため、内容を正しく理解することは容易ではありません。ゼロトラスト・アーキテクチャは製品/ベンダーによって多様な実現方法があるのが実態ですが、対応したソリューションの1つを導入したとしても、ゼロトラスト・アーキテクチャを実現できる訳ではありません。 本書のポイントとして、ゼロトラストの定義や7つの理念を紹介している点が挙げられます。この定義と理念をNISTが整理したことで、ゼロトラストに関する共通
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。 大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか? CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。 同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナ
『Cybersecurity Dive』の取材により、米国立標準技術研究所(NIST)でサイバーセキュリティを担当する重要な役職にある従業員が同機関を去ることが分かった。これらの従業員の離職により、量子コンピューティングやAIといった新興技術分野におけるNISTの取り組みに対する懸念が高まっている。 「既に人手は足りていないのに……」 NISTの人員削減が進む 事情に詳しい2人の関係者によると、今回の離職者には次の人物が含まれている。NISTの情報技術研究所にあるコンピュータセキュリティ部門(CSD)の責任者であるマシュー・ショール氏(注1)(注2)、CSDのセキュリティテスト・検証・測定グループを率いていたティム・ホール氏(注3)、CSDのセキュアシステム・アプリケーショングループの責任者であるデビッド・フェライオーロ氏だ(注4)。加えて、CSDの約10人の従業員もNISTを去った。 今
米国立標準技術研究所(NIST)は2024年12月4日(現地時間)、情報セキュリティ測定に関する包括的なガイド「Measurement Guide for Information Security(情報セキュリティ測定ガイド)」の最終版となる特別刊行物(SP)を公開した。 SP 800-55v1およびSP 800-55v2と名付けられたこれらのガイドは組織が実施する情報セキュリティ施策の成果を評価し、データに基づく意思決定を支援することを目的としている。 情報セキュリティ施策の評価および優先順位付けのガイドラインをNISTが公開 SP 800-55v1では情報セキュリティ対策の選定や優先順位付けに向けた柔軟なアプローチを提示している。定量的および定性的な評価を基にした対策選定を支援し、データ分析手法や影響と可能性のモデリングについての基本的なガイダンスが提供されている。 対策の開発やテスト
はじめに NIST(National Institute of Standards and Technology、米国立標準技術研究所)のサイバーセキュリティフレームワーク(以下、CSF)は、組織がサイバーセキュリティリスクを適切に管理するための手引きとなるベストプラクティスを提供しています。 2024年2月に発表されたCSF バージョン2(以下、CSF 2.0)では、バージョン1.1(以下、CSF 1.1)から重要な改定が行われました。これまで「国家や経済の重要なインフラに対するサイバーセキュリティ」を目的としていたものから、「全ての規模・全てのセクターの組織で利用される目的」にその対象を拡大しました。 今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました。以下よりダウンロードいただけます。 グローバルにビジネスを展開する組織は、最新の
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます DNSやDHCP、IPアドレス管理製品を手掛ける米Infobloxは3月27日、DNSを悪用するフィッシング攻撃プラットフォームを発見したと報告した。また、4月10日には、米国立標準技術研究所(NIST)のセキュアDNS実装ガイダンス「NIST SP 800-81」の12年ぶりとなる改訂版(Rev.3)の素案が公開された。Infobloxのバイスプレジデントで政府・公共向けサイバーセキュリティ戦略アドバイザーを務めるCraig Sanderson氏は、「これを機にDNSのセキュリティに目を向けてほしい」と語る。 DNS(ドメインネームシステム)は、IPアドレスとウェブサイトなどのドメイン名をひも付ける仕組みで、インターネットの根幹をなす
米国国立標準技術研究所(NIST)は2025年5月19日(現地時間)、悪用される可能性のある脆弱(ぜいじゃく)性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」(LEV)を提案するホワイトペーパー(CSWP 41)を公開した。 LEVはソフトウェア/ハードウェアにおける数多くの脆弱性の中から、実際に悪用される可能性が高いものを特定し、修正対応の優先順位を決定するための補助指標となる。NISTおよび米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の研究者が共同で執筆したこの文書では、既存の「Exploit Prediction Scoring System」(EPSS)および「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)の限
企業がデジタル化を進めるにあたり、セキュリティリスクへの対策は向き合わざるを得ない課題となっている。しかし、高度化するテクノロジーを背景に、さまざまなセキュリティリスクが存在する時代へと移り変わる中で、網羅的にリスクを把握することは難しくなっている。そうした状況下において、先進的な企業で活用が進む、米国NISTが運営するサイバーセキュリティフレームワークについてこの記事では解説していく。 NISTによるサイバーセキュリティフレームワーク策定の背景 企業におけるセキュリティ対策は、その企業の所在する国内のセキュリティ事情にも大きな影響を及ぼすことになりかねない。そのため、国が主導し、遵守すべきセキュリティ対策のフレームワークやポリシーを作成しているケースがある。日本国内においても、経済産業省およびIPAが「サイバーセキュリティ経営ガイドライン」を公開している。このガイドラインでは、サイバー攻
「ユーザーが無知だと思い込む」「使い勝手の悪さが原因で内部脅威が発生する」 セキュリティ専門家が抱きがちな6つの誤解をNISTが紹介
NIST(米国国立標準技術研究所)は、2023年3月20日、セキュリティ専門家が一般ユーザーに対して抱きがちな誤解をテーマにした論文「Users Are Not Stupid」の概要を公式ブログで紹介した。論文は、同組織所属のコンピュータサイエンティスト、ジュリー・ヘイニー氏が執筆したものだ。 「セキュリティ専門家のコミュニティーは、技術に大きく依存してセキュリティの問題を解決しようとしている。そのため、セキュリティ対策において重要な、人的要素を十分に考慮しないことがある」(ヘイニー氏) 人的要素とは、セキュリティツールに対するユーザーの認識やユーザーのセキュリティ導入に影響を与える個人的、社会的要因のことを指す。強力なセキュリティのツールやアプローチでも、ユーザーがそれを障害と認識し、使わなければ、リスクレベルが上昇する可能性がある。ヘイニー氏は、セキュリティとユーザーの両コミュニティー
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
CSF 2.0では、組織がサイバーセキュリティ戦略に関して、情報に基づく意思決定をどのように行い、実行に移すかを包含するガバナンスに、新たに焦点が当てられている。 CSF 2.0のフレームワークのコアは、「Identify(識別)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」と、CSF 2.0で新たに追加された「Govern(ガバナンス)」の6機能を中心に構成されている。これらの機能を組み合わせることで、サイバーセキュリティリスク管理のライフサイクルを包括的に捉えることができると、NISTは述べている。 CSF 2.0の関連リソース NISTは、ニーズがさまざまに異なり、サイバーセキュリティツールの導入経験もさまざまに異なる組織がCSF 2.0を使用することを想定し、多様な組織におけるCSF 2.0の活用に役立つ以下のようなリソース
The SHA-1 algorithm, one of the first widely used methods of protecting electronic information, has reached the end of its useful life, according to security experts at the National Institute of Standards and Technology (NIST). The agency is now recommending that IT professionals replace SHA-1, in the limited situations where it is still used, with newer algorithms that are more secure. SHA-1, who
防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは?~日本企業が取り組むべき対策を解説~ | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
NISTサイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | 株式会社NTTデータ先端技術
2024年2月26日にNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークがV1.1からV2.0へバージョンアップしました。この文書は、本来は米国連邦政府向けの文書だったのですが、その内容の分かりやすさや、時流に即した内容により、米国の民間企業にも、そして日本を含む他国のセキュリティの取組みに大きな影響を与えています。 本コラムでは、NISTサイバーセキュリティフレームワーク(以下、CSF)V2.0の変更点を読み解くことによって、今後のサイバーセキュリティ対策に必要な要素や留意点について明らかにします。 なぜNISTサイバーセキュリティフレームワーク(CSF)が注目されるのか? CSFは、元々は米国連邦政府の重要インフラ向けに2014年に策定されたものです。そのため、本来無関係な民間企業や、日本の組織で利用・遵守する義務はありません。 しかし、サイバー攻撃によって侵入され
NIST(National Institute of Standards and Technology:米国立標準技術研究所)は2022年12月15日(米国時間)、ハッシュ関数「SHA-1」の使用を2030年12月31日までに完全に停止すると発表した。 SHA-1は、原文から160bitのハッシュ値を生成し、通信経路の両端で比較することで、通信途中で原文が改ざんされていないかどうかを検出できる。SSL/TLS、PGP、SSH、S/MIME、IPsec、デジタル署名(コード署名)など、さまざまなアプリケーションやプロトコルで、暗号化やデータの完全性の検証に利用されてきた。 SHA(Secure Hash Algorithm)は、1993年に米国国家安全保障局(NSA)が設計した一群のハッシュ関数だ。SHA-1は、電子情報を保護するために最初に広く使われた方法の一つであり、1995年からFIP
GW中に風邪で寝込んでしまい、家で古銭プッシャー2を一人でプレイしていたらGWが終わってやる気がでない岩間です。みなさんは、GW満喫できたでしょうか。 先日社内の情報共有で知ったのですが、2月12日頃からNISTのNVDが更新する脆弱性情報のエンリッチメントデータが大幅に減っているようです。 関連のツイート: NISTがCVEデータをNVDに登録するときのenrichmentを1か月前に突然停止した、なんてことが起こってたんですね。 Risky Biz News: NIST NVD stopped enriching CVEs a month ago https://t.co/fDK7dYdbki — todkm IT系 (@todkm) March 15, 2024 NIST¹が、NVD²における脆弱性への情報付加を2/12から停止している。CVSSやCWE等が付与されていない状態。2/
NIST Scraps Passwords Complexity and Mandatory Changes
NIST Scraps Passwords Complexity and Mandatory Changes in New Guidelines Using a mixture of character types in your passwords and regularly changing passwords are officially no longer best password management practices according to new guidelines published by the US National Institute of Standards and Technology (NIST). In NIST’s latest version of its Password Guidelines, the leading security stan
NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係:働き方改革時代の「ゼロトラスト」セキュリティ(6) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、NISTによる「ゼロトラストにおける7つの基本原則」について。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポートである「SP 800-207 Zero Trust Architecture(2nd Draft)」に書かれた内容を基に、今後ゼロトラストを論じる上で軸となり得る、米国政府が考えるゼロトラストの定義と実践の姿について考えまし
防衛省がNIST SP800-171と同レベルのセキュリティを規則化へ、三菱電機への不正アクセス受け | ScanNetSecurity
研修・セミナー・カンファレンス 2024.4.18(Thu) 8:10 ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 最後に、ハンキンス氏はクラウドセキュリティ全体像を戦略メニューとして図示した。上記で説明したソリューションやツール、各種フレームワークやプラットフォームが、機能や用途ごとに俯瞰できるものだ。この図は、ガートナーのクラウドセキュリティのコンサルティングの戦略ベースを示したものといってもよい。自社のセキュアクラウドを構築するときの「レシピ」として利用することができるだろう。
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます EY Japanは7月10日、政府のサイバー対策に関するメディア勉強会を開催した。防衛装備庁は2023年度の契約から、米国立標準技術研究所(NIST)が定めた「NIST SP800-171」に準ずる防衛産業サイバーセキュリティ基準の適用を求めている。EYストラテジー・アンド・コンサルティング ストラテジックインパクトパートナーの西尾素己氏は、「日本も情報クライテリア(条件)を持たなければならない。さらに『EO(Executive Order)14028』のソフトウェアサプライチェーン攻撃対策に目を向けることも必要だ」と提言した。 SP800-171は、NISTが定めたサイバーセキュリティフレームワークの一つである。2009年に米軍戦闘機
ハッカーの攻撃から自社を守るために必要なのは、セキュリティに関する幅広い知見と日々の情報収集。特にWebやインフラの担当者には、是非抑えておいていただきたいセキュリティの視点があります。今回は、「脅威インテリジェンス」というセキュリティ分野の専門家であるサイファーマ社のディレクターをお招きして事業会社に勤めるエンジニアが日々キャッチすべきセキュリティについて語っていきます。全4回。4回目は、視聴者からの質問に答えました。前回はこちら。 本日のまとめhazuki氏(以下、hazuki):では、本日のまとめとさせていただきたいと思います。 まずは、セキュリティインシデントの重大性について。特に2022年は、1年間を通して非常に話題となったセキュリティのニュースがたくさんあったなと記憶しています。2022年だけではありませんが、近年はセキュリティ、サイバーセキュリティという単語が、一般的にも注目
NIST Releases Version 2.0 of Landmark Cybersecurity Framework
NIST’s cybersecurity framework (CSF) now explicitly aims to help all organizations — not just those in critical infrastructure, its original target audience — to manage and reduce risks. NIST has updated the CSF’s core guidance and created a suite of resources to help all organizations achieve their cybersecurity goals, with added emphasis on governance as well as supply chains. This update is the
NIST SP800-63-4 Initial Public Draft(IPD) 63AのIdentity Proofingの概要について、説明を行った際の資料です。 OpenID BizDay #16 @ Tokyo Midtown Conference 主に以下を紹介しました。 4.…
NIST Special Publication 800-207 䝊䝻䝖䝷䝇䝖䞉䜰䞊䜻䝔䜽䝏䝱 Scott Rose Oliver Borchert Stu Mitchell Sean Connelly ᮏ᭩䛿䚸௨ୗ䜘䜚↓ᩱ䛷⏝ྍ⬟䛷䛒䜛䠖 https://doi.org/10.6028/NIST.SP.800-207 C O M P U T E R S E C U R I T Y 㑥ヂ䠖PwC䝁䞁䝃䝹䝔䜱䞁䜾ྜྠ♫ ᮏᩥ᭩䛿䚸ཎ䛻ἢ䛳䛶䛷䛝䜛䛰䛡ᛅᐇ䛻⩻ヂ䛩䜛䜘䛖ດ䜑䛶䛔䜎䛩䛜䚸ᛶ䚸 ṇ☜ᛶ䜢ಖド䛩䜛䜒䛾䛷䛿 䛒䜚䜎䛫䜣䚹 ⩻ヂ┘ಟయ䛿䚸ᮏᩥ᭩䛻グ㍕䛥䜜䛶䛔䜛ሗ䜘䜚⏕䛨䜛ᦆኻ䜎䛯䛿ᦆᐖ䛻ᑐ䛧䛶䚸䛔䛛䛺䜛ே ≀䛒䜛䛔䛿ᅋయ䛻䛴䛔䛶䜒㈐௵䜢㈇䛖䜒䛾䛷䛿䛒䜚䜎䛫䜣䚹 NIST Special Publication 800-207 䝊䝻䝖䝷䝇䝖䞉䜰䞊䜻䝔䜽䝏䝱 Scott Ros
米国立標準技術研究所(NIST)は7月5日(現地時間)、量子コンピュータからの攻撃から機密データを保護することを目的とするアルゴリズムとして4つの暗号化ツールを選択したと発表した。 商務省下でサイバー標準を開発するNISTは2016年から、従来の公開鍵暗号に代わる強力な「ポスト量子暗号」(または「量子耐性暗号」)と呼ぶ標準の採用に取り組んでおり、2024年には標準を公開する計画だ。 今回発表したのは、CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+の4つのアルゴリズムの選択。 ジョー・バイデン米大統領は5月、量子コンピュータが実用化されるまでに既存の暗号を強化するよう連邦機関に命じる覚書を発行し、NISTや米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)にタスクを与えた。 関連記事 重大なサイバー攻撃を受
認証方式の整理とNIST SP800-63での認証方法決定
NECサイバーセキュリティ戦略本部セキュリティ技術センターの山田です。現在、キャッシュレス決済のように個人の資産に関わる情報をインターネット上で扱うことが一般的になりつつあります。テレワークの普及、クラウドサービスの活用など業務を行う際にも、従来のように組織の管理するイントラネット外から機密情報へのアクセスが必要な場面も増えています。 それに伴い、不正アクセスによるクレジットカードの不正利用や、情報漏洩などのインシデントも報告されています。 今回は、こういったインシデントを防ぐための第一歩であり、重要な要素である認証方式についてメリット・デメリットの整理をします。この記事では、認証についてのガイドラインであるNIST SP800-63を参考に、モデルケースにて必要な認証要素を考えてみたいと思います。 まず初めに、3つの認証要素についてご紹介します。NIST(米国国立標準技術研究所)より発行
2022年NIST公開の脆弱性が2万件以上――対策“できない”時代に“できること”をセキュリティリサーチャーズと考える
2022年NIST公開の脆弱性が2万件以上――対策“できない”時代に“できること”をセキュリティリサーチャーズと考える:ITmedia Security Week 2023 春 2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド&ゼロトラスト」ゾーンにおいて、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「可と不可の間 ~今そこにある契機~」と題してパネルディスカッションを行った。
NIST(米国国立標準技術研究所)は2023年2月7日(米国時間)、IoT(モノのインターネット)などの小型デバイスで作成、送信されるデータを保護するための標準暗号に採用する軽量暗号アルゴリズムとして、「Ascon」と呼ばれる暗号アルゴリズム群を選定したと発表した。 Asconファミリーのアルゴリズムは7種類あり、その一部または全てがNISTの軽量暗号規格として、2023年中に公開される見通しだ。 リソースに制約があるほとんどのデバイスを保護できる Asconは、無数の小型センサーやアクチュエータなどを含むIoTで作成、送信される情報を保護するように設計されている。また、埋め込み医療デバイスや、道路や橋の内部応力の検出器、自動車のキーレスエントリーフォブのような他の小型化技術にも対応している。 こうしたデバイスでは、限られた量の電子リソースを用いて情報保護を実現する「軽量暗号」が必要になる
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog ヤフーの IaaS チームに所属する木下です。普段はインフラエンジニアとして IaaS 基盤の開発・構築・運用を担当しています。 ヤフーを傘下に持つZホールディングスは、高度化するサイバーセキュリティの脅威に対応するため、サイバーセキュリティ基本方針を掲げています。 この基本方針の中で、Zホールディングスおよびそのグループ企業は、米国標準技術研究所(NIST)が定めたサイバーセキュリティ基準に準拠したシステムを構築し、サービスを提供すると宣言しています。 タイトルにある NIST SP800-171 はこの「米国標準技術研究所(NIST)が定めたサイバーセキュリティ基準」の一例です。 私が担当する IaaS 基盤でも、このサイバー
サイバーレジリエンスを俯瞰しよう 310ページに及ぶNIST資料を分かりやすく解説:「防御力」に「復元力」を~なぜなにサイバーレジリエンス “サイバーレジリエンス”と一口に言っても、その目的や実現するための手法はさまざまで全体像をつかむのも一苦労です。そんな皆さんの悩みを解消するため、筆者が310ページに及ぶドキュメントをかみ砕いて解説します。
NISTのリスクマネジメントフレームワーク(RMF)とは ~第1回 SP800-37 Rev2とリスクマネジメントフレームワーク(RMF)~ | 株式会社NTTデータ先端技術
NISTのリスクマネジメントフレームワーク(RMF)とは ~第1回 SP800-37 Rev2とリスクマネジメントフレームワーク(RMF)~ Tweet はじめに 2018年12月にNIST(米国国立標準技術研究所)からリスクマネジメントのフレームワークを定めた文書SP800-37 Revision 2が公開されました。 当文書は、2014年に公開されたSP800-37 Revision1の修正版であり、4年ぶりの改訂となります。 本コラムでは、リスクマネジメントフレームワークとは何か、 Revision 2への改訂で何が変わったのかを見ていきたいと思います。 1.SP800-37 Rev2のリスクマネジメントフレームワーク(RMF)とは リスクマネジメントフレームワーク(RMF:Risk Management Framework)とは、組織や情報システムにおける情報セキュリティリスク(プ
Fri, 01 Aug 2025 13:24:44 -0500 ABSTRACT This guideline focuses on the authentication of subjects who interact with government information systems over networks to establish that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or asserted elsewhere in a federated identit
米国国立標準技術研究所(以下、NIST)は2025年6月11日(現地時間)、ゼロトラストアーキテクチャの構築を支援するための新たなガイダンス「NIST Special Publication(SP)1800-35:Implementing a Zero Trust Architecture」を正式に公開した。 このガイダンスは、商用で入手できる技術を使った19の具体的なゼロトラスト実装例を紹介し、組織が自らの環境に合わせたアーキテクチャを設計する際の出発点となる情報を提供している。 NISTがゼロトラ構築支援用の新ガイダンスを公開 19の実装例を収録 このガイドは、NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が4年間にわたり実施した共同プロジェクトの成果としてまとめられている。24の業界企業が参加し、実際に環境を構築して得られたベストプラクティスや統合の教
米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...) - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
人手不足に悩むNIST 従業員の大規模離職でさらなる追い打ち
情報セキュリティ測定の新指針 NISTが特別刊行物の最終版を発行
NIST、より効率的に熱を電気に変換する新手法
NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳
DNSのセキュリティでNIST文書改訂--「目を向けてほしい」とInfobloxの専門家
NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?
NISTのサイバーセキュリティーレームワークって? 構成要素や機能を解説
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
NIST、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を発表
NIST Retires SHA-1 Cryptographic Algorithm
NISTが「SHA-1」の使用を2030年末までに停止すると発表 企業が今やるべきことは?
NIST NVDの脆弱性情報更新が停滞しているので調べてみた - セキュアスカイプラス
NIST SP-800-190 アプリケーションコンテナセキュリティガイド
NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係
米国のセキュリティ基準「NIST SP800-171」とは--EY Japanが解説
「『NIST SP800』を押さえておけば大丈夫なのか?」 専門家が語る、セキュリティ対策で必要なこと | ログミーBusiness
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ
米国立標準技術研究所(NIST)、4つの「ポスト量子暗号」アルゴリズムを選択
NISTが選定、IoT向け軽量暗号アルゴリズム「Ascon」とは
NIST SP800-171へ準拠することが決まったら 〜 FIPSモードを有効化した場合
サイバーレジリエンスを俯瞰しよう 310ページに及ぶNIST資料を分かりやすく解説
NIST Special Publication 800-63B
NISTがゼロトラスト構築支援に向けた新ガイダンスを公開 19の実装例を収録