コンテナとクラウドにおけるNISTコンプライアンスの理解

NISTとは？
NIST準拠とは何でしょうか？
NIST準拠が必要な組織
コンテナおよびクラウドにおけるNIST準拠
まとめ

クラウド環境の管理やセキュリティ対策に携わる方にとって、NISTは敵のように感じられるかもしれませんが、実は味方なのです。

NISTは（他の情報とともに）組織がIT資産を保護するためのガイダンスを提供しています。NIST準拠は負担に思えるかもしれませんが、実際にはITチームや開発者がクラウドネイティブ環境の設計・管理時に従うべきベストプラクティスを判断する上で役立つリソースです。

NISTのガイドラインや推奨事項は数多く存在し、それらを全て習得するにはかなりの時間を要します。しかし、本記事ではクラウドとコンテナに関する最も重要なNIST準拠の推奨事項の概要を説明し、クラウドネイティブ環境においてNIST準拠を達成するためのベストプラクティスについて解説いたします。

NISTとは？

NISTは米国国立標準技術研究所（National Institute of Standards and Technology）の略称であり、企業が従うべき基準やベストプラクティスの策定を任務とする米国連邦政府機関です。NISTは特にサイバーセキュリティやコンプライアンスに焦点を当てているわけではありませんが、その数ある業務領域の一つにITシステムのセキュリティ確保が含まれています。

NIST準拠とは何でしょうか？

NIST準拠とは、NISTのガイドラインまたは推奨事項の一つ以上への準拠を意味します。

NISTコンプライアンスは複雑なテーマです。NISTは膨大な数の出版物を管理しているためです。ただし、現代のITチームや開発者にとって最も重要なNIST出版物は、以下のグループに分類されます：

NIST SP 800：コンピュータセキュリティ目標達成のためのガイドラインを提供します。特定のシステムタイプ（クラウドやコンテナなど）に焦点を当てた出版物もあれば、コンピュータセキュリティ全般のトピックを扱う出版物もあります。
NIST SP 1800：コンピュータセキュリティのベストプラクティスを包含しています。SP 800と同様に、SP 1800の出版物の中には特定のシステム種別を対象としたものもあれば、一般的なセキュリティ要件を扱うものもあります。現在、クラウドやコンテナを詳細に扱うSP 1800出版物は存在しませんが、関連トピックに焦点を当てた出版物もあり、クラウドやコンテナ環境を管理するチームにとって有益な情報源となります。

NIST準拠が必要な組織

GDPRやHIPAAなど、政府が策定した他のコンプライアンス枠組みとは異なり、NISTのガイドラインは規制的性質を持ちません。つまり、一般企業に対してNISTへの準拠を義務付ける具体的な法的要件は存在せず、NIST自体も準拠していない組織に対して罰則を科すことはありません。

しかしながら、連邦政府機関など一部の組織では、ベンダーやパートナー企業に対し、特定のNIST勧告への準拠を求める場合があります。したがって、NIST規則への準拠が法的義務ではないものの、政府機関やNISTガイドラインを用いてパートナー・ベンダーのITセキュリティ管理を規制する組織との間で締結する業務契約の条件に基づき、準拠が求められるケースが存在します。

より一般的に申し上げますと、たとえ組織が特に要求されていなくても、NISTのセキュリティガイダンスに従うことはベストプラクティスです。NISTガイドラインは、組織がサイバーセキュリティリスクを軽減するために実行可能な、わかりやすい推奨事項を提供するように設計されています。NISTのコンプライアンス推奨事項に従うことで、最も強固なクラウドセキュリティ体制を確立し、そうでなければ見落とす可能性のあるセキュリティリスクを特定するのに役立ちます。

また、他の多くのコンプライアンス枠組みと比較して、NISTの推奨事項は比較的明確かつ詳細である傾向があります。これは、NISTが特定の環境においてITチームや開発者が行うべきこと、行うべきでないことについて、非常に具体的な技術的推奨事項を提示しているためです。これは良い点です。なぜなら、高レベルの要件に焦点を当て、具体的な技術的推奨事項をほとんど提供しないHIPAAのようなコンプライアンス法を解釈する際に技術チームが直面する曖昧さの多くを排除するからです。

コンテナおよびクラウドにおけるNIST準拠

NIST準拠の一般的な仕組みをご理解いただいたところで、クラウドおよびコンテナセキュリティに関する最も重要なNIST推奨事項を検証いたします。具体的なNIST公開文書ごとに分類してご説明いたします。

NIST SP 800-53 準拠

SP 800-53 は、あらゆるタイプの IT 環境を保護するために組織が実施すべき、NIST の最も広範な推奨事項の一つです。機密性の高いクラウドリソースへの不正アクセスリスクを軽減し、万一侵害が発生した場合の対応を効率化するために組織が実装できる、数十のセキュリティ管理策を定義しています。

例えば、主要サイトが侵害された場合に確実な復旧を可能とするため、バックアップデータの少なくとも1コピーをオフサイトに保管することを推奨しています。また、最小権限アクセス制御などの実践も推奨しています。

NIST SP 800-53の最新バージョンであるSP-800-53 Revision 5は、2020年9月に導入されました。サプライチェーンセキュリティ（ベンダー、パートナー、サプライヤーのシステムに起因するITセキュリティリスクの管理）に関連する推奨事項をはじめ、数多くの新たな推奨事項が追加されました。改訂版5では、NISTによる現代のセキュリティ脅威の分析に基づき、サイバーレジリエンス、ガバナンス、説明責任に関する推奨事項も更新されています。クラウドおよびコンテナ向けのNIST 800-53ガイドラインへの準拠方法について、詳細をご覧ください。

NIST SP 800-210 準拠

2020年に公開されたSP 800-210は、クラウド環境に特化したアクセス制御のガイダンスを提供します。標準的なクラウド環境の各層（ネットワーク、ハイパーバイザー、仮想マシン、API、IaaS）に対応し、SaaSアプリケーションのアクセス制御といったトピックも扱っています。

SP 800-210は、ハイブリッドクラウドやマルチクラウドのセキュリティといったトピックにはあまり焦点を当てていません。これは、今日のほとんどの組織がこれらのアーキテクチャのいずれか（または両方）を採用していることを考えると制限と言えます。とはいえ、クラウドに特化したNIST準拠のガイダンスをお探しであれば、SP 800-210は必読の資料です。

NIST SP 800-190準拠

2017年に導入されたSP 800-190は、コンテナ化されたアプリケーションとその実行環境のセキュリティ確保に関する指針を提供します。

SP 800-190は、主にコンテナ環境のアーキテクチャに基づいてコンテナセキュリティリスクを分析します。具体的には、ホストインフラストラクチャ、オーケストレーター、ランタイム環境、個々のコンテナに関連するリスクに対処します。また、ハードウェアベースのセキュリティ制御がセキュリティリスクにどのように対処できるかも考慮しています。

SP 800-190は現在4年前の規格であり（Kubernetesが主要なコンテナオーケストレーションツールとなることが明らかになる直前に導入されました）、今日のITエンジニアや開発者が望むほど、Kubernetes固有のセキュリティリスクを網羅的に扱ってはおりません。Kubernetes固有のガイダンスについては、NIST以外の情報源を参照する必要があります。とはいえ、標準的なコンテナセキュリティのベストプラクティスへの準拠を確保する上で、本規格は依然として非常に有用な基盤を提供しています。

まとめ

繰り返しになりますが、サイバーセキュリティに関するNISTの出版物は他にも数百点存在します。クラウドやコンテナ上で実行するワークロードの種類に応じて、モバイルコンピューティングやIoTといったトピックに特化した追加のNISTガイダンスを参照されることをお勧めいたします。

もちろん、NISTのガイドラインには最新のセキュリティガイドラインやベストプラクティスを補完することも必要です。NISTのガイダンス発行アプローチにおける一つの課題は、その出版物が継続的に更新されない点にあります。これは、新たな脅威の種類に常に対応しているとは限らないことを意味します。また、ガイダンス作成時には普及していなかった技術（Kubernetesなど）に重点的に焦点を当てているわけでもありません。

とはいえ、NISTは現代的なクラウドネイティブ環境を保護する際に、どの具体的なベストプラクティスを採用すべきかを判断する上で、依然として重要な情報源です。契約上NISTガイドラインへの準拠が義務付けられていない場合でも、自主的に準拠することは非常に賢明な選択と言えるでしょう。