このページの本文へ

セキュリティ対策の一部として「バックアップはエキサイティングな存在になった」

新しい「NIST CSF 2.0」に対するベリタスの提言、同社幹部に聞く

2024年03月14日 09時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 NIST(米国国立標準技術研究所)が2024年2月下旬に「NIST Cybersecurity Framework 2.0(CSF 2.0)」を正式にリリースした。2014年にサイバーセキュリティ対策の検討/推進を行うフレームワークとしてCSF 1.0が公開されてから、およそ10年ぶりとなる大幅な改訂である。

「NIST Cybersecurity Framework 2.0(CSF 2.0)」が正式リリースされた

 NISTでは、CSF 2.0のドラフト(草案)段階でパブリックコメントを募集し、産業界や学術界も含むさまざまなセキュリティ関係者からのフィードバックを求めたが、そこにはデータ保護/バックアップ製品ベンダーのベリタステクノロジーズも参加し、提言を行っている。

 現在では、データ保護/バックアップは重要なセキュリティ対策のひとつとなっている。ベリタスの提言内容とはどんなものだったのか、同社フィールドCISOのジョイ・パーサー氏に聞いた。

ベリタステクノロジーズ フィールドCISOのジョイ・パーサー(Joye Purser)氏(CISSP、博士)。ベリタス以前は、米国政府のCISA(サイバーセキュリティ・社会基盤安全保障庁)上級地域局長を務めていた

CSF 2.0アップデートの重要なポイントは2つ

 パーサー氏は、NIST CSF 2.0のアップデートにおける重要なポイントは「2つある」と語る。

 ひとつはCSFの適用が、重要インフラだけでなくすべての組織/企業に対して推奨されるようになったことだ。もともと10年前、CSF 1.0は「重要インフラ向けの」セキュリティフレームワークとしてリリースされた。しかしその後、CSFの適用対象は広く一般企業/組織にまで広がっていた。

 もうひとつのポイントは、CSFコアを構成する機能要素に「Govern(ガバナンス、統治)」が追加され、従来の5つから6つに増えたことだという。

 「ここで言うGovernとは、CSFコアに含まれる既存の機能要素(5つ)を実現するための、チームやプロセス、ポリシーなどを公式なかたちで整えることを指している」(パーサー氏)

 セキュリティ対策やリスク対策の取り組みにおいては、こうしたガバナンスが重要であり、先進的な取り組みを行っている金融業界などのベストプラクティスを他業界にも普及させることが追加した目的だと、パーサー氏は説明を付け加える。

新たな機能要素「Govern」は、ほかの5つの機能要素すべてを“統治”する

CSF 2.0のパブリックコメントでベリタスが提案した3つのこと

 CSF 2.0のパブリックコメントにおいて、ベリタスでは大きく3つの提案を行ったという。

 「ベリタスでは、3つの事項を(CSFに取り入れることを)提案した。まずは、リカバリ環境が正しく隔離されているかどうかの見直しの実施。2つめは、イミュータブル(書き換え不能の)バックアップデータに対するマルウェアスキャンの実施。そして3つめは、より詳細なリカバリ手順の規定だ」(パーサー氏)

 3つめの「より詳細なリカバリ手順の設定」について、パーサー氏は「まだ多くの組織において、十分に詳しい手順が規定できていない」と指摘する。たとえば、ランサムウェア攻撃が発生した場合の特別なリカバリプランを用意するなど、実効性のあるかたちで手順を備える必要があると強調した。

CSF 2.0ドラフトのパブリックコメントにおいて、ベリタスでは大きく3つを提案した(画面はベリタス公式ブログより)

 このように、ベリタスがCSF 2.0の開発に協力を行っているのは、バックアップ/リカバリがセキュリティ対策の中で重要な役割を果たすようになっているからだ。

 パーサー氏は、かつてのバックアップは「システム障害への備え」というだけの存在であり、「退屈で誰も見向きしない」「“クール”でない」ものだったと振り返る。しかし、セキュリティ対策として脚光を浴びるようになったことで「今となっては非常にエキサイティングな分野だ」(パーサー氏)。昨今では、バックアップ/データ保護への投資がセキュリティ予算からまかなわれるケースも増えているという。

 「CISAでの在任中、わたしが重要インフラ担当者に伝えていたことは『まずは演習をやってほしい』ということ。そして、その中では必ず『バックアップからリストアを行う作業も、きちんと演習をしてほしい』ということを伝えていた」「何らかのインシデントが起きてしまったときに、そこから回復する力というのは、皆さんの会社が備えるバックアップシステムにかかっているということを覚えておいてほしい」(パーサー氏)

■関連サイト

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この記事の編集者は以下の記事をオススメしています

アクセスランキング

  1. 1位

    スマホ

    ここまで便利なのか! 子どもの居場所を90秒間隔で教えてくれる、安心の見守りガジェットがすごいぞ

  2. 2位

    Team Leaders

    Power AutomateでSharePoint APIを使う ― SPOリストを自動作成するフローを作ろう

  3. 3位

    クラウド

    「すでに開発コードの4分の3はAI生成」 Google Cloud CEO、エージェント時代の戦略を語る

  4. 4位

    エンタープライズ

    基盤も古いし、コードも酷い! そんなクエストにGitHub Copilotで試行錯誤しまくった「みんな」こそ最高

  5. 5位

    ITトピック

    「AI導入で人員を減らしても収益は増えない」その理由/「専任情シス不在」中小企業の3社に2社/ユーザーアカウント流出が加速、ほか

  6. 6位

    ビジネス・開発

    いますぐ捨てたいITサービスは? AI推しにそろそろ飽きてません? 情シスさんのホンネを「ゆるっとナイト」で聞いた

  7. 7位

    sponsored

    “脱VPN”方針の大手エネルギー企業、だがZTNA移行の成功パターンが分からず… どうすればよい?

  8. 8位

    データセンター

    NTT、AIインフラ構想「AIOWN(AI×IOWN)」を発表 国内データセンター総容量は3倍超の「1ギガワット」へ

  9. 9位

    ソフトウェア・仮想化

    日本の自治体がみんな使っている「ManageEngine」 IT運用のすべての課題解決を目指す

  10. 10位

    sponsored

    「なぜうちの会社が狙われるのか?」 ランサムウェア攻撃者の「目線」を探る

集計期間:
2026年05月06日~2026年05月12日
  • 角川アスキー総合研究所
TECH 最新連載・特集一覧