NIST サイバーセキュリティ フレームワークの脆弱性スキャン
NIST CSF 2.0 では、フレームワークが 5 つのコア機能から 6 つに拡張され、脆弱性管理は Identify、Protect、および新しい Govern 機能にまたがります。 KENSAI は CSF サブカテゴリーに直接マッピングされ、NIST に準拠する連邦機関および民間組織をサポートします。
KENSAI を NIST CSF にマップ → NIST ダッシュボードを参照NIST CSF 2.0 のコア機能と脆弱性管理
2024 年 2 月にリリースされた NIST CSF 2.0 では、6 番目の機能 (Govern) が追加され、サブカテゴリーが再編成されました。脆弱性管理は複数の機能に影響します。
GV.RM-07:戦略レベルの脆弱性リスク管理 - 脆弱性管理が企業のリスク決定の一部であり、経営陣が把握できるようにします。
ID.RA-01:資産の脆弱性が特定され、文書化されます。ID.RA-02:サイバー脅威インテリジェンスは、情報共有フォーラムから取得されます。ID.AM-02:ソフトウェア、サービス、システムのインベントリ。これらはあらゆる脆弱性管理プログラムの基盤です。
PR.PS-02:ソフトウェアは悪用可能性を減らすために保守されています。PR.PS-04:ログレコードが生成され、利用可能になります。PR.MA-01/02:メンテナンスと修理が実行され、承認され、記録されます。
DE.CM-01/02/09:ネットワークとシステムは監視され、異常や潜在的なサイバーセキュリティ イベントが検出されます。連続スキャンは連続検出をサポートします。
RS.MI-02:インシデントが軽減されます。脆弱性修復ワークフローは、脆弱性が積極的に悪用された場合の迅速なインシデント対応をサポートします。
KENSAI の NIST CSF 2.0 サブカテゴリへのマッピング
| CSFサブカテゴリー | 説明 | KENSAIの能力 |
|---|---|---|
| ID.RA-01 | 特定された資産の脆弱性 | 自動脆弱性スキャン |
| ID.RA-02 | 受信した脅威インテリジェンス | CVE 脅威インテリジェンスの統合 |
| ID.AM-02 | ソフトウェア/サービスのインベントリ | 資産の発見とインベントリ |
| PR.PS-02 | ソフトウェアの保守 | パッチコンプライアンスの監視 |
| DE.CM-01 | 監視対象のネットワーク | 継続的なネットワークスキャン |
| DE.CM-09 | 監視されるコンピューティング ハードウェア | エンドポイントの脆弱性評価 |
| RS.MI-02 | インシデントの軽減 | 修復ワークフローと追跡 |
NIST CSF 実装階層と脆弱性管理
NIST CSF は、サイバーセキュリティ実践の洗練度を表す 4 つの実装層を定義しています。
- 階層 1 (部分的):アドホックで事後的な脆弱性管理 - 正式なプロセスは不要
- Tier 2 (リスク情報を把握した上で):正式な脆弱性管理プロセスは存在するが、組織全体には適用されていない
- 階層 3 (反復可能):リスクベースの優先順位付けによる、文書化され、一貫して適用される脆弱性管理
- 階層 4 (アダプティブ):脅威インテリジェンスとエグゼクティブレポートと統合された継続的かつ自動化された脆弱性管理
ほとんどの組織は、階層 3 をターゲットにする必要があります。KENSAI の自動化により、エンタープライズ セキュリティ プログラムに通常伴う複雑さを伴うことなく、階層 4 の機能が有効になります。
KENSAI が NIST CSF 実装をどのようにサポートするか
✓ 資産中心のスキャン
すべての資産を検出して継続的にスキャンし、包括的なインベントリと脆弱性を特定するための ID.AM および ID.RA 要件をサポートします。
✓ 脅威インテリジェンスの統合
脅威フィードと統合して、積極的に悪用されている脆弱性 (ID.RA-02) に優先順位を付けます。最も重要なことに焦点を当てます。
✓ リスクベースの優先順位付け
CVSS + 悪用可能性 + 資産重要度スコアリングにより、Tier 2 以上で必要とされるリスク情報に基づいた意思決定が可能になります。
✓ NIST CSF ダッシュボード
CSF 機能にマッピングされたセキュリティ体制を視覚化します。より高い実装層に向けた進捗状況を時間の経過とともに追跡します。
✓ エグゼクティブレポート
GV (ガバナンス) 機能のレポートにより、リーダーは戦略的なセキュリティ上の意思決定に必要な脆弱性リスクの可視性を得ることができます。
✓ 修復メトリクス
重大度および資産クラスごとに MTTR (平均修復時間) を追跡します。これは、CSF 層の進行を示すための重要な指標です。
NIST SP 800-53 の統合
NIST SP 800-53 に準拠する連邦政府機関および組織の場合、KENSAI は RA (リスク評価) および SI (システムおよび情報の整合性) コントロール ファミリにマップされます。
- RA-5: 脆弱性の監視とスキャン— 直接マッピング。自動スキャンは主要な要件を満たします
- RA-5(2): アップデートの脆弱性がスキャンされました— KENSAI は最新の CVE データベースを使用します
- RA-5(5): 特権アクセス— より詳細な脆弱性発見のための認証スキャン
- SI-2: 欠陥の修復— パッチの追跡と検証
- SI-3: 悪意のあるコードの保護— 調整された防御のためのエンドポイント セキュリティとの統合
セキュリティ プログラムを NIST CSF 2.0 に合わせて調整する
KENSAI は、NIST CSF 2.0 サブカテゴリを直接実装する脆弱性スキャンおよび管理機能を提供します。フレームワークにマッピングされたコンプライアンス レポートを生成し、より高い実装層に向けた進捗状況を示します。
NIST CSF 評価を開始 → NIST の専門家に相談する