企業と API にとっての NIS2 指令の意味
2024 年 6 月、Akamai は Noname Security を買収しました。これは 2023 年 3 月 22 日に公開され、現在アーカイブされているブログ記事です。
近年、サイバーセキュリティの脅威がますます当たり前のこととなると同時に巧妙化しており、個人、企業、政府に重大なリスクをもたらしています。このような脅威に対応するため、欧州連合(EU)は、EU 全体のサイバーセキュリティの改善に重点を置いた新しい法律である NIS2 指令を導入しました。
このブログでは、NIS2 指令が定められた理由、企業にとっての意味、この指令に準拠するための包括的な API セキュリティプログラムの実行方法について説明します。
NIS2 指令が導入された理由
NIS2 指令は、EU 全体のサイバーセキュリティを改善するための EU の広範な戦略の一部です。サイバー犯罪、サイバースパイ、重要なインフラに対するサイバー攻撃などのサイバーセキュリティ上の脅威は、頻度と複雑さが増しており、個人、企業、政府に重大な影響を及ぼす可能性があります。EU は、経済、社会、民主主義の安定性と耐障害性を確保するためにサイバーセキュリティが不可欠であることを認識しています。
NIS2 指令は、EU におけるサイバーセキュリティの包括的な法的枠組みを確立することで、これらのサイバーセキュリティ上の課題に対処することを目的としています。この指令は、EU 内で事業を展開しているすべての重要なインフラプロバイダーやデジタル・サービス・プロバイダーに対して、ネットワークおよび情報システムのセキュリティへのリスクを管理するための、適切な技術的および組織的な対策を実施する義務を課します。
NIS2 指令の意味
EU で事業を展開し、デジタルサービスや重要なインフラを提供している企業は、NIS2 指令の要件の対象となります。つまり、ネットワークや情報システム(API を含む)のセキュリティに対するリスクを管理するために、適切な技術的および組織的な対策を実施する必要があります。
NIS2 指令に準拠するためには、認証、認可、暗号化、監視などの対策を含む包括的な API セキュリティプログラムを実行する必要があります。これには、承認された関係者のみが API にアクセスして使用できるようにするための追加のセキュリティ制御の実行が含まれる場合があります。さらに、API に関連するインシデントを含むセキュリティインシデントを関連機関に報告する必要があります。
包括的な API セキュリティプログラムの実装
NIS2 指令に準拠して API のセキュリティを確保するためには、設計から導入、継続的な管理に至るまで、API セキュリティのあらゆる側面に対応する包括的な API セキュリティプログラムを実装する必要があります。
以下では、効果的な API セキュリティプログラムを実行するための実用的な推奨事項をいくつか紹介します。続いて、考え得る API セキュリティプログラムの概要を示します。
- 包括的なサイバーセキュリティリスク評価を実施して、ネットワークおよび情報システム(API を含む)のセキュリティに対するリスクを特定します
- 特定されたリスクを管理するために、API の認証、認可、暗号化、監視など、適切な技術的および組織的な対策を実装します
- API に関連するインシデントを含むセキュリティインシデントを関連機関に報告します。また、API に関連するセキュリティインシデントを検知して報告するメカニズムを確立します
- NIS2 指令、一般データ保護規則(GDPR)、その他の適用されるデータ保護法や規制など、関連する規制や基準へのコンプライアンスを確保します
- 安全なコーディング方法、安全な展開方法、インシデント対応手順など、API セキュリティのベストプラクティスに関するトレーニングおよび意識向上プログラムを従業員、業務委託先、およびサードパーティプロバイダーに提供します
以下では、5 つのステップからなる考え得る API セキュリティプログラムについて説明します。
1.API の設計と開発
- API を開発する際には、SQL インジェクション(SQLi)、クロスサイトスクリプティング(XSS)、バッファオーバーフロー攻撃などのよくある攻撃を防止するために、安全なコーディング方法を使用します
- 認証および認可メカニズムを導入し、承認されたユーザーのみが API にアクセスして使用できるようにします
- トランスポート層セキュリティ(TLS)を使用して、クライアントと API サーバー間の通信を暗号化し、Machine-in-the-middle 攻撃を防止します
- API の悪用やサービス妨害(DoS)攻撃を防止するために、レート制限メカニズムとスロットリングメカニズムを導入します
- セキュリティインシデントを検知して対応するために、エラー処理メカニズムとロギングメカニズムを導入します
2.API テスト
- 侵入テスト、脆弱性スキャン、コードレビューなど、API の包括的なセキュリティテストを実施して、脆弱性と弱点を特定します
- 機能テストと回帰テストを実施して、API が意図したとおりに動作し、セキュリティの問題によって危険にさらされていないことを確認します
3.API の展開
- 安全な設定の使用、アタックサーフェスの最小化、許可された人員のみに制限された API サーバーへのアクセスなど、安全な展開方法を実行します
- 侵入検知および防止システム、セキュリティ情報およびイベント管理(SIEM)ツール、ログ分析など、セキュリティインシデントをリアルタイムで検知して対応するセキュリティ監視メカニズムを導入します
4.API 管理
- アクセス制御、ユーザー管理、データガバナンスなど、API 管理に関するセキュリティポリシーと手順を導入します
- 重要な API の特定や対応作業の優先順位付けなど、セキュリティインシデントに対応するためのインシデント対応計画および災害復旧計画を導入します
- EU NIS2 指令、GDPR、その他の適用されるデータ保護法や規制など、関連する規制や基準へのコンプライアンスを確保します
5.API に関するトレーニングと意識向上
- 安全なコーディング方法、安全な展開方法、インシデント対応手順など、API セキュリティのベストプラクティスに関するトレーニングおよび意識向上プログラムを従業員、業務委託先、およびサードパーティプロバイダーに提供します
- 定期的なセキュリティ監査と評価を実施して、潜在的な脆弱性を特定し、セキュリティポリシーと手順へのコンプライアンスを確保します
結論
NIS2 指令は、EU 全体のサイバーセキュリティの向上を目的とした包括的な法的枠組みです。NIS2 指令の対象となる企業は、ネットワークや情報システム(API を含む)のセキュリティに対するリスクを管理するために、適切な技術的および組織的な対策を実施する必要があります。
API セキュリティのすべての側面に対応する包括的なサイバーセキュリティプログラムを実行することで、セキュリティインシデントのリスクを軽減し、EU NIS2 指令およびその他の関連する規制や標準へのコンプライアンスを確保できます。
