このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
SP800-53 付録F セキュリティ管理策カタログ
AC-1 ACCESS CONTROL POLICY AND PROCEDURES(アクセス制御ポリシーおよび実施手順)
・あるべきセキュリティ管理策:
a. 以下について、文書化し、周知する。
1. 目的・適用範囲・役割・責任・経営のコミットメント、組織エンティティ間の調整、遵守などについて記述した、アクセス制御ポリシー
2. アクセス制御に関するポリシーを実務上どのように行うかについて記載した実施手順
b. アクセス制御ポリシー とアクセス制御手順をレビューして更新する。
・強化管理策:なし
・参考文献:NIST Special Publications 800-12・NIST Special Publications 800-100
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::AC-1 中:AC-1 高:AC-1
この場合、実施すべき優先順位は1ですが、強化管理策がないため、影響度に関わらず、管理策のベースラインはAC-1となります。
AC-2 ACCOUNT MANAGEMENT(アカウント管理)
・あるべきセキュリティ管理策:
a. 情報システムアカウントの特定と選択
b. 情報システムアカウントを管理するアカウントマネージャを任命する
c. グループメンバーおよびロールメンバーの条件を設定する
d. アカウントごとに、情報システムの利用が許可されたユーザ、グループメンバーシップ、ロールメンバーシップ、アクセス権限を属性とともに指定する
e. 情報システムアカウント作成要求に対して、組織が指定した職員による承認を 必須とする
f. 組織によって制定された手順に従って、情報システムアカウントを作成・有効化・変更・無効化・削除する
g. 情報システムアカウントの利用状況を監視する
h. 以下の場合に、アカウントマネージャに通知する
・アカウントがもはや必要ではない場合
・職員が退職した、または他の部署へ異動した場合
・個々の情報システムの使い方が変化した場合または知らなければならないことが変化 した場合
i. 以下に基づいて、情報システムに対するアクセスを許可する:
・有効なアクセス許可
・意図されたシステムの利用
・組織のミッションまたは組織の業務機能に必要な他の属性も要求される
j. アカウント管理要件に準拠しているかどうか、 アカウントを定期的に確認する
k.グループに属する職員がいなくなった場合に、共有アカウントの認証情報(共有アカウントがある場合) を再発行するためのプロ セスを制定する
・強化管理策:
(1) アカウント管理|自動化されたシステムアカウント管理
情報システムアカウントの管理をサポートする目的で自動化されたメカニズムを使 用する。
(2) アカウント管理|一時利用(または緊急)アカウントの削除
(3) アカウント管理|使用されていないアカウントを無効にする
(4) アカウント管理|自動監査
(5) アカウント管理|アイドルタイム経過後の自動ログアウト
(6) アカウント管理|動的な権限管理
(7) アカウント管理|役割に基づいたスキーム
(8) アカウント管理|動的なアカウント作成
(9) アカウント管理|共有グループおよび/または共有アカウントを利用するにあたっての制約
(10) アカウント管理 | 共有アカウントおよびグループアカウントを無効にする(メンバー異動時)
(11) アカウント管理| 使用条件(使用可能時間帯、連続使用時間)
(12) アカウント管理| アカウントの使用状況を監視し、通常と違う使用があった場合、報告する
(13) アカウント管理| リスクの高い個人のアカウントを無効にする
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::AC-2 中: AC-2 (1) (2) (3) (4) 高:AC-2 (1) (2) (3) (4) (5) (11) (12) (13)
AC-3 ACCESS ENFORCEMENT(アクセス制御の実施)
・あるべきセキュリティ管理策:情報へのアクセスおよびシステムリソースへのアクセスに関連し て、アクセス制御ポリシーに従ったアクセス許可を強制する
・強化管理策:
(1) アクセス制御の実施|特権機能へのアクセスの制限 [削除された:AC-6 に統合された]
(2) アクセス制御の実施|2段階認証
(3) アクセス制御の実施|必須アクセス制御
(4) アクセス制御の実施|任意アクセス制御
(5) アクセス制御の実施|セキュリティ関連情報へのアクセス
(6) アクセス制御の実施|ユーザ情報とシステム情報の保護[削除:MP-4 および SC-28 に統合された]
(7) アクセス制御の実施|役割ベースのアクセス制御
(8) アクセス制御の実施|アクセス権限の取り消し
(9) アクセス制御の実施|送信管理
(10) アクセス制御の実施| アクセス制御メカニズムの必要に応じたオーバーライド
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::AC-3 中: AC-3 高:AC3
AC-4 INFORMATION FLOW ENFORCEMENTT(情報フロー制御の実施)
・あるべきセキュリティ管理策:システム内の情報フローを制御するため、承認されることを求める
・強化管理策:
(1) 情報フロー制御の実施|オブジェクトのセキュリティ属性に対する情報フロー制御の実施
(2) 情報フロー制御の実施|処理ドメインに対する情報フロー制御の実施
(3) 情報フロー制御の実施|動的情報フロー制御の実施
(4) 情報フロー制御の実施|暗号化された情報内容チェック
(5) 情報フロー制御の実施|埋込みデータ型の制御
(6) 情報フロー制御の実施|メタデータによる制御
(7) 情報フロー制御の実施|メカニズムとしての一方向の情報フロー制御
(8) 情報フロー制御の実施|ポリシーで定義されたセキュリティフィルターによる情報フローの 制御
(9) 情報フロー制御の実施|目視レビューによる情報フローの制御
(10) 情報フロー制御の実施 | ポリシーで定義されたセキュリティフィルタを有効化および/または 無効化する
(11) 情報フロー制御の実施 | 情報フロー制御によるポリシーで定義されたセキュリティフィルタ の構成
(12) 情報フロー制御の実施 | データタイプ識別子
(13) 情報フロー制御の実施 | ポリシー関連のサブコンポーネントに分割する
(14) 情報フロー制御の実施 | ポリシーで定義されたセキュリティフィルターによる制限
(15) 情報フロー制御の実施 |許可されていない情報の検出
(16) 情報フロー制御の実施 | 相互接続された情報システム内で情報のやり取りを行う [削除:AC-4 に統合]
(17) 情報フロー制御の実施 | ドメイン認証
(18) 情報フロー制御の実施 | セキュリティ属性のバインド
(19) 情報フロー制御の実施 | メタデータの検証
(20) 情報フロー制御の実施 | 承認されたソリューションの定義付け
(21) 情報フロー制御の実施 | 情報フローの物理的 / 論理的な分離
(22) 情報フロー制御の実施 | アクセス専用回線
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::選択されていない 中:AC-4 高:AC-4
AC-5 SEPARATION OF DUTIES(職責分離)
・あるべきセキュリティ管理策:
a. 組織は、割り当てられた職務 を分離する
b. 組織は、担当者の職務について職務分離を明文化する
c. 組織は、職務分離をサポートするアクセス権限を情報システムに対して定義する
・強化管理策:なし
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::選択されていない 中:AC-5 高:AC-5
AC-6 LEAST PRIVILEGE(最小権限の原則の採用)
・あるべきセキュリティ管理策:組織の業務機能に応 じて割り当てられたタスクを実行するうえで必要な権限のみを許可 する
・強化管理策:
(1) 最小権限の原則の採用|セキュリティ機能へのアクセス承認
(2) 最小権限の原則の採用|非セキュリティ機能への非特権アクセス
(3) 最小権限の原則の採用|特権コマンドへのネットワークアクセス
(4) 最小権限の原則の採用|個別の処理ドメインの提供
(5) 最小権限の原則の採用|特権アカウントの制限
(6) 最小権限の原則の採用|組織的ユーザ以外のユーザによる特権的アクセスの禁止
(7) 最小権限の原則の採用|ユーザ権限の見直し
(8) 最小権限の原則の採用|コードを実行するための権限のレベル設定
(9) 最小権限の原則の採用|特権的機能の使用のチェック
(10) 最小権限の原則の採用 | 非特権ユーザによる特権的機能の実行の禁止
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::選択されていない 中:AC-6 (1) (2) (5) (9) (10) 高:AC-6 (1) (2) (3) (5) (9) (10)
AC-7 UNSUCCESSFUL LOGON ATTEMPTS(ログオン試行の失敗)
・あるべきセキュリティ管理策:
a. ログオン試行回数の上限を設定する
b. 規定回数以上ログオンに失敗した場合、次のいずれかを選択
一定期間、アカウントをロックする
管理者によって解除され るまでアカウントをロックする
遅延アルゴリズムに 沿って次回のログオンプロンプトを遅らせる
・強化管理策:
(1) ログオン試行の失敗|アカウントを自動でロックする[削除された:AC-7 に統合された]
(2) ログオン試行の失敗|携帯機器のデータを消去/またはワイプする
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低::AC-7 中:AC-7 高:AC-7
AC-8 SYSTEM USE NOTIFICATION(システムの利用に関する通知)
・あるべきセキュリティ管理策:
a. ①ユーザが連邦政府の情報システムにアクセスしていること、②情報システムの利用状況が 監視・記録されうるとともに、それが監査の対象となりうること、③情報システムの無許可利 用が禁止されるとともに、それらが民事・刑事の両面による責任追及の対象となること、④情報システムを利用することがすなわちそれらを監視・記録する事に同意したものとみなされること、の4つを規定したプライバシーおよびセキュリティに関する通知を提供する情報システム として、プライバシーおよびセキュリティに関する通知として連邦法・大統領命令・指令・政 策・規制・標準・手引に準拠したものを提供する情報システムへのアクセスを許可する前 に、組織が定義したバナー(またはシステムの利用に関連して組織が定義した通知メッセ ージ]を情報システムのユーザに対して表示する
b. ユーザが使用条件に同意するとともに情報システムにログオンする明示的なアクションまたは情報システムへさらにアクセスする明示的なアクションをとるまで、通知メッセージまたはバナーを情報システムの画面に表示したままにする
c. 一般ユーザがアクセス可能なシステムの場合:
①アクセスを将来許可する前に、システム の使用に関する条件を情報システム上に表示するのに加え て、②通常はシステム監視・システムレコーディング・システム監査を禁止しているプライバ シーに関する特約に反しない形で監視・レコーディング・監査する目的でリファレンスを適宜 表示するとともに、③システムの正規な利用について記述する
・強化管理策:なし
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低:AC-8 中:AC-8 高:AC-8
AC-9 PREVIOUS LOGON (ACCESS) NOTIFICATION(前回のログオン(アクセス)に関する通知)
・あるべきセキュリティ管理策:システムへのログオン(アクセス)に成功した場合、情報システムが前回の ログオン(アクセス)日時をユーザに通知する。
・強化管理策:
(1) 前回ログオンに関する通知|ログオン試行の失敗の通知
(2) 前回ログオンに関する通知|ログオン試行の成功の通知および/またはログオン試行の 失敗の通知
(3) 前回ログオンに関する通知|アカウントに対する変更の通知
(4) 前回ログオンに関する通知|ログオンに関する追加情報の通知
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P0 低:選択されていない 中:選択されていない 高:選択されていない
AC-10 CONCURRENT SESSION CONTROL(同時セッションの制御)
・あるべきセキュリティ管理策:同時処理されるセッションの数を制限する
・強化管理策:なし
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P3 低:選択されていない 中:選択されていない 高:AC-10
AC-11 SESSION LOCK(セッションのロック)
・あるべきセキュリティ管理策:
a. アイドル時間が割り当てられた場合(またはユー ザから要求された場合)、情報システムがセッションをロックすることによって以降のアクセ スを遮断する。
b. 認証手順として確立された手順を用いたユーザに よってアクセスが再確立されるまで、情報システムがセッションをロックする。
・強化管理策:
(1) セッションのロック|セッションのパターンを隠して表示する
従来は画面上で誰でも見る事ができた画像を情報システムがセッションロックによって隠す
・参考文献:OMB Memorandum 06-16
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P3 低:選択されていない 中:AC-11(1) 高:AC-11(1)
AC-12 SESSION TERMINATION(セッションの終了)
・あるべきセキュリティ管理策:セッションの切断が必要な条件後に、情報システムがユーザセッションを自動的に終了 させる
・強化管理策:
(1) セッションの終了|ユーザによるログアウト/ユーザが操作したことによるメッセージ表示
(a) ユーザ認証を利用しなければならない 場合、ユーザによって開始された通信セッションをユーザがログアウトできる機能を情 報システムが提供する
(b) 認証された通信セッションが確実に終了した旨を示す明示的なログアウトメッセージを 情報システムがユーザに対して表示する。
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P2 低:選択されていない 中:AC-12 高:AC-12
AC-13 SUPERVISION AND REVIEW-ACCESS CONTROL(監視およびレビュー:アクセス制御)
[削除された:AC-2 および AU-6 に統合された]
AC-14 PERMITTED ACTIONS WITHOUT IDENTIFICATION OR AUTHENTICATION(識別または認証なしに許可されたアクション)
・あるべきセキュリティ管理策:
a. 組織のミッションおよび/または組織の業務機能に応じて、情報システム上で識別または 認証なしで実施できるアクションを識 別する
b. ユーザによる識別または認証が不要なアクションの裏付けとなる根拠を情報システムのセキュリティ計画に記載する
・強化管理策:なし
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P3 低:AC-14 中:AC-14 高:AC-14
AC-15 AUTOMATED MARKING(自動マーキング)
[削除された:MP-3 に統合された]
AC-16 SECURITY ATTRIBUTES(セキュリティ属性)
・あるべきセキュリティ管理策:
a. [組織が定義した値を持つセキュリティ属性]と保存中・処理中・伝送中の情報と関連付ける手段を提供する
b. セキュリティ属性の関連付けが確実に維持され、維持されるようにする
c. 組織が[組織が定義した情報システムの割り当て]のために許可されたセキュリティ属性の割り当てを設定する
d. 設定されたセキュリティ属性の各々に対して許容される値を決定する
・強化管理策:
(1) セキュリティ属性|セキュリティ属性の動的な関連付け
(2) セキュリティ属性|アクセスが承認された個人によるセキュリティ属性値の変更
(3) セキュリティ属性|情報システムによって関連付けられたセキュリティ属性のメンテナンス
(4) セキュリティ属性|アクセスが承認されたユーザによるセキュリティ属性の関連付け
(5) セキュリティ属性|出力装置用にセキュリティ属性を表示
(6) セキュリティ属性|組織によるセキュリティ属性の関連付けの維持
(7) セキュリティ属性|整合性の取れた属性解釈
(8) セキュリティ属性|情報をセキュリティ属性に関連付ける手法/情報をセキュリティ属性に関 連付けるテクノロジー
(9) セキュリティ属性|セキュリティ属性の再割り当て
(10) セキュリティ属性 |認可された個人による属性の構成
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P0 低:選択されていない 中:選択されていない 高:選択されていない
AC-17 REMOTE ACCESS(リモートアクセス)
・あるべきセキュリティ管理策:
a. 許可されているリモートアクセスのタイプごとに組織が使用制限・構成要件(および/また は接続要件)・実装ガイダンスを定めて文書化する
b. 情報システムに対してリモートアクセスを許可する前に組織が情報システムに対するリモー トアクセスを承認する。
・強化管理策:
(1) リモートアクセス|自動監視/自動制御
(2) リモートアクセス|暗号化を用いた機密性の保護/暗号化を用いた完全性の保護
(3) リモートアクセス|管理されたアクセス制御ポイント
(4) リモートアクセス|特権的コマンド/特権的アクセス
(5) リモートアクセス|認可されていない接続の有無の監視[削除:SI-4 に統合]
(6) リモートアクセス|情報の保護
(7) リモートアクセス|セキュリティ機能へのアクセスを保護するための追加措置 [削除:AC-3 (10)に統合]
(8) リモートアクセス|セキュアでないネットワークプロトコルの無効化 [削除:CM-7 に統合]
(9) リモートアクセス|アクセスの切断および/または無効化
・参考文献:
NIST Special Publications 800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security
NIST Special Publications 800-77 Guide to IPsec VPNs
NIST Special Publications 800-113 Guide to SSL VPNs
NIST Special Publications 800-114 User's Guide to Telework and Bring Your Own Device (BYOD) Security
NIST Special Publications 800-121 Guide to Bluetooth Security
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低:AC-17 中:AC-17 (1) (2) (3) (4) 高:AC-17 (1) (2) (3) (4)
AC-18 WIRELESS ACCESS(ワイヤレスアクセス)
・あるべきセキュリティ管理策:
a. ワイヤレスアクセスの使用を制限するとともに、ワイヤレスアクセスの実装ガイダンスを
設定要件および/または接続要件とともに定める。
b. 情報システムへの無線によるアクセスを許可するのに先立って、無線で情報システムにア
クセスする権限を与える。
・強化管理策:
(1) ワイヤレスアクセス|認証および暗号化による保護
(2) ワイヤレスアクセス|許可されていない接続の監視[削除:SI-4 に統合]
(3) ワイヤレスアクセス|ワイヤレスネットワークの不使用時無効化
(4) ワイヤレスアクセス|ユーザによる構成変更を制限する
(5) ワイヤレスアクセス|ラジオアンテナの水準と出力レベルの選択
・参考文献:
NIST Special Publications 800-48 Guide to Securing Legacy IEEE 802.11 Wireless Networks(廃止)
NIST Special Publications 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS)
NIST Special Publications 800-97 Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低 :AC-18 中: AC-18 (1) 高 :AC-18 (1) (4) (5)
AC-19 ACCESS CONTROL FOR MOBILE DEVICES(携帯機器に対するアクセス制御)
・あるべきセキュリティ管理策:
a. 管理する携帯機器の使用を組織が制限するとともに、管理する携帯機器について組織が 設定要件を接続要件および実装ガイダンスとともに定める
b. 携帯機器から組織の情報システムへ接続することを組織が承認する。
・強化管理策:
(1) 携帯機器に対するアクセス制御| 書き込み可能および/または持ち運び可能な記憶装置の 使用
[削除:MP-7 のセキュリティ管理策に統合済]。
(2) 携帯機器に対するアクセス制御| 個人のポータブル記憶装置の使用
[削除:MP-7 の管理策に統合済]。
(3) 携帯機器に対するアクセス制御| 所有者が特定できないポータブル記憶装置の使用
[削除:MP-7 に統合済]。
(4) 携帯機器に対するアクセス制御| 機密情報に関する制限
(a) 運用認可責任者によって許可されている場合を除き、機密情報を処理または保存もし くは
伝送する情報システムが設置されている施設による未確認の携帯機器の使用を 組織が禁止する
(b) 機密情報を処理・保存・伝送する情報システムが設置されている施設において、非未 確認の
携帯を使用することが運用認可責任者によって許可されている個人に対して、 組織が以下の
制限を実施する:
(1) 機密情報システムに未確認の携帯機器が接続を禁止する
(2) 未確認の携帯機器が未確認の情報システムに接続する場合に、運用認可責任者による
承認を必要条件とする
(3) 未確認の携帯機器に組み込まれている内蔵モデムもしくは外付けモデムまたは 無線イ
ンターフェースの使用を禁止する
(4) 非未確認の携帯機器は、機器それらに保存されている情報とともに、[組織が定 めた
セキュリティ担当者の割り当て]による無作為検査の対象となる。なお、機密 情報が見
つかった場合には、インシデント対応ポリシーに従う
(c) [組織が定めたセキュリティポリシーの割り当て]に従って、機密扱いの携帯機器によ る機密
扱いの情報システムへの接続を制限する。
(5) 携帯機器に対するアクセス制御|機器全体の暗号化/コンテナの暗号化
・参考文献:
OMB Memorandum 06-16
NIST Special Publications 800-114 User's Guide to Telework and Bring Your Own Device (BYOD) Security
NIST Special Publications 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise
NIST Special Publications 800-164 Guidelines on Hardware-Rooted Security in Mobile Devices
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低: AC-19 中: AC-19 (5) 高 :AC-19(5)
AC-20 USE OF EXTERNAL INFORMATION SYSTEMS(外部の情報システムの利用)
・あるべきセキュリティ管理策:
組織は、以下のすることを許可するうえでの条件を設定する。
a. 外部の情報システムから組織の情報システムにアクセスすること
b. 外部の情報システムを使用して組織の管理下にある情報を処理または保存もしくは伝送すること
・強化管理策:
(1) 外部の情報システムの利用|アクセス権限の制限
外部の情報システムの利用について許可された個人によるアクセスまたは組織が管理する情報について外部の情報システムを利用を許可された個人による保存もしくは伝送が組織によって許可されるのは、以下の場合に限る。
(a) 外部の情報システム上で必要なセキュリティ管理策が組織の情報セキュリティポリシ ーおよび組織のセキュリティ計画に規定されている通りに実装されている事を確認した 場合
(b) 情報システムへの接続として許可された接続を外部の情報システムを運用する組織との間で維持する場合または外部の情報システムを運用する組織との間で結んだ情報 システムの処理に関する契約を維持する場合
(2) 外部情報システムの利用|持ち運び可能な記憶装置
許可された個人が外部の情報システムの一部として組織が管理する持ち運び可能な記憶装置を利用することについて組織が[制限するか禁止するかを選択]する。
(3) 外部の情報システムの利用|組織が所有していないシステム/組織が所有していないコン ポーネント /組織が所有していないデバイス
組織が所有していない情報システムまたは組織が所有していないシステムコンポーネント (もしくは組織が所有していないデバイス)をして組織の情報の処理または保存(もしくは送 信)のために利用することについて組織が[制限するか禁止するかを選択]する。
(4) 外部情報システムの利用|NASデバイス
外部の情報システムでの[組織が定義した NAS デバイスの割り当て]を組織が禁止する。
・参考文献:
FIPS Publication 199
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P1 低: AC-20 中: AC-20 (1) (2) 高: AC-20 (1) (2)
AC-21 INFORMATION SHARING(情報共有)
・あるべきセキュリティ管理策:
a. ユーザが裁量に基づいて情報を共有することが必要な場合、情報を共有する相手に割り当てられたアクセス権限が当該情報に対す るアクセス制限に適合するかどうか判断できるようにすることに よって、組織が情報共有を促進する。
b. 情報共有および/またはコラボレーションに関してユーザが意思決定を行う際、組織が定義した自動化されたメカニズムまたはプロセスを通じて支援する。
・強化管理策:
(1) 情報共有|自動的な情報共有決定のサポート
情報を共有する相手に対して、アクセス権限を認可し、共有される情報の範囲を制限することにより、許可されたユーザに対してシステムが自動的に情報共有決定のサポートをする
(2) 情報共有|情報の検索と取り出し
情報を検索・取得するサービスについて、組織が定めた情報共有の制限を適用できるようにする
・参考文献:なし
・優先順位とベースラインの割り当て
優先順位 影響度に応じて実施すべき管理策のベースライン
P2 低: 選択されていない 中:AC-21 高:AC-21
AC-22 PUBLICLY ACCESSIBLE CONTENT(公開情報)
(作成中)
(以上、出典:IPAウェブサイト https://www.ipa.go.jp/security/publications/nist/
NISTウェブサイト https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final )