このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
情報セキュリティポリシー、実施手順の整備方法(作成中)
我々をとりまく情報セキュリティリスクに組織として適切に対応するためには、まず、情報セキュリティポリシーを整備する必要があります。
情報セキュリティポリシーでは、情報セキュリティの基本方針、情報セキュリティ対策を推進するための組織体制、情報セキュリティ対策計画の立案・推進、評価・見直し、情報の格付・取扱いに関する対策方針、インシデント対応方針、情報システムに関する対策方針などについて規定します。
しかし、これを全くゼロから策定するのは簡単ではありません。通常は模範となる対策方針、対策基準などを参考に自組織の実情を踏まえ、策定することになります。
本サイトではどのように情報セキュリティポリシーを整備すべきかについて解説するとともに、その対策方針、対策基準を遵守するために、実務面でどのように対応を行うべきかについて規定する実施手順についても、初心者の方でもわかるように解説します。構成は以下のとおりです。
第1章 ポリシー、実施手順の体系とガイドライン
SP800-125 完全仮想化技術のためのセキュリティガイド
SP800-210 クラウドシステムのためのアクセス管理策の手引き
第6章 認証取得を目指す組織が参考とすべき対策方針、対策基準
第1章 ポリシー、実施手順の体系とガイドライン
1. ポリシー、実施手順の体系について
ポリシー、実施手順(Policies & Procedures)と呼ばれるものは、体系としてまず基本方針(Basic Policy)があり、その下に対策基準(Standards)があり、さらにその下に実施手順(Procedures)があります。
基本方針は、組織としての基本方針を定めたもので、目的、適用範囲、役割・責任、基本的遵守事項、策定すべき対策基準などについて規定し、組織の最高機関によって承認されます。対策基準(Standards)等も誰によって承認されるべきか、ここで規定されていることが多いです。
対策基準(Standards)は、どのような情報セキュリティ対策を実施すべきか、という組織全体の基準を定めたもので、その対策基準の下、各部署の実務や各情報システムにおいて、具体的にどのようにそれを実現するかを定めたものが実施手順(Procedures)となります。対策基準でどのような対策を実施すべきか、ということまでは定めますが、どのくらい厳しいセキュリティ対策をどのように実施すべきかについては、各業務や各情報システムの重要度によって異なるため、実施手順(Procedures)で定めることになります。
なお、基本方針と対策基準を1つの文書にまとめて情報セキュリティポリシーと呼んでいる組織もあります。
2. 参考とすべき対策方針、対策基準について
参考とすべき対策方針、対策基準は、組織がどの業界や団体に属するか、あるいは情報セキュリティに関する認証を取得することを目的としているかによって異なってきます。
日本の行政機関等の場合は、サイバーセキュリティ基本法において、国の行政機関等のサイバーセキュリティに関する対策の基準を作成することとされており、これに基づき、内閣サイバーセキュリティセンター(以下、「NISC」という。)が、政府機関等の情報セキュリティ対策のための統一基準群(以下、「統一基準群」という。)を作成していますので、これらの基準を参考に各行政機関等の実情を考慮した上で、対策方針、対策基準を決定します。統一基準群の根幹を成すのは、『政府機関等の情報セキュリティ対策のための統一基準』(以下、「政府統一基準」という。)ですが、この中には、行政機関等が策定すべき対策方針、対策基準の全て含んでいますので、統一基準の内容をほとんど変えず、そのまま行政機関等の情報セキュリティポリシーとして制定しているところもあります。
米国の連邦政府機関であれば、米国国立標準技術研究所(National Institute of Standards and Technology、以下、「NIST」という。)が、連邦政府機関が遵守すべき情報セキュリティ対策基準を発行しています。
銀行では、金融監督当局の示すガイドラインに準拠した対策方針、対策基準を整備する必要があります。日本では公益財団法人金融情報システムセンター(The Center for Financial Industry Information Systems、以下、「FISC」という。)の発行している、『金融機関等におけるセキュリティポリシー策定のための手引書』、『金融機関等コンピュータシステムの安全対策基準・解説書』、『金融機関等におけるコンティンジェンシープラン策定のための手引書』等を購入し、それらに準拠した対策方針、対策基準を整備する必要があります。米国であれば、FFIEC IT Examination Handbookという詳細かつボリュームのあるガイドラインが無料でウェブサイトから入手できますので、より詳細な情報や新しい技術に関する情報を入手したい場合は、英語が苦にならなければ、FFIEC IT Examination Handbookを参考にするといいと思います。金融機関では高額のお金や個人情報を取り扱うことから、他の業種の企業に比べると、より厳しいセキュリティ対策が求められますので、高いレベルのセキュリティを維持する必要がある組織は、これらのガイドラインを参考にするといいと思います。
また、取引の条件として、情報セキュリティマネジメントシステム(Information Security Management System。以下、「ISMS」という。)の認証を取得しなくてはいけない場合は、ISO27001という国際規格に示されている要求事項に準拠した形で対策方針、対策基準を整備する必要があります。
第2章以下では、これらの参考とすべき基準について詳しく見て行きます。
3. 実施手順を作成する際の参考となるものについて
対策方針、対策基準を策定した後は、各業務や各情報システムにおいて、それらの対策をどのように実施するか、実施手順を作成します。どの程度厳格な手続きとするかについては、各業務や各情報システムでどの程度の重要な情報を取り扱うかによりますし、どのような対策をどう実行するかは、その業務内容や取り扱う環境によって異なるため、各業務や各情報システムの実情にあった形で作成する必要があります。
しかし、ゼロから作成するのは大変なので参考となるものが必要となります。日本の行政機関の場合は、政府機関等の対策基準策定のためのガイドラインがありますので、このガイドラインを参考にしながら実施手順を作成します。以前は、NISCは実施手順のサンプルを作成し、そのウェブサイトに掲載していたのですが、今は昔の対策基準に対応するサンプルしかありません。
より詳しい具体的なガイドラインが必要な場合は、米国のNISTが以下の大量のガイドラインを発行していますので、英語が苦にならなければ、参考とすることができます。NISTの発行するいくつかのガイドラインについては、IPAが日本語訳を出していますので、IPAのセキュリティ関連NIST文書のウェブサイトhttps://www.ipa.go.jp/security/publications/nist/をご参照下さい。
NISTのSP800シリーズのガイドライン
SP800-210 General Access Control Guidance for Cloud Systems Final 7/31/2020
日本語要約(クラウドシステムのためのアクアセス管理の手引き)
SP800-208 Recommendation for Stateful Hash-Based Signature Schemes 12/11/2019
SP800-207 Zero Trust Architecture (2nd Draft) Draft2/13/2020
SP800-206 Annual Report 2018: NIST/ITL Cybersecurity Program Final3/13/2020
SP800-205 Attribute Considerations for Access Control Systems Final6/18/2019
SP800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture Final5/27/2020
SP800-204 Security Strategies for Microservices-based Application Systems Final8/07/2019
SP800-203 2017 NIST/ITL Cybersecurity Program Annual Report Final7/02/2018
SP800-202 Quick Start Guide for Populating Mobile Test Devices Final5/10/2018
SP800-195 2016 NIST/ITL Cybersecurity Program Annual Report Final9/28/2017
SP800-193 Platform Firmware Resiliency Guidelines Final5/04/2018
SP800-192 Verification and Test Methods for Access Control Policies/Models Final6/27/2017
SP800-190 Application Container Security Guide Final9/25/2017
アプリケーションコンテナセキュリティガイド(IPAによる日本語訳)
SP800-189 Resilient Interdomain Traffic Exchange: BGP Security and DDoS Mitigation Final12/17/2019
SP800-188 De-Identifying Government Datasets (2nd Draft) Draft12/15/2016
SP800-187 Guide to LTE Security Final12/21/2017
SP800-186 Recommendations for Discrete Logarithm-Based Cryptography: Elliptic Curve Domain Parameters
Draft10/31/2019
SP800-185 SHA-3 Derived Functions: cSHAKE, KMAC, TupleHash, and ParallelHash Final12/22/2016
SP800-184 Guide for Cybersecurity Event Recovery Final12/22/2016
SP800-183 Networks of 'Things' Final7/28/2016
SP800-182 Computer Security Division 2015 Annual Report Final8/10/2016
SP800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework) Draft7/15/2020
SP800-181 National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework Final8/07/2017
SP800-180 NIST Definition of Microservices, Application Containers and System Virtual Machines Draft2/18/2016
SP800-179 Rev. 1 Guide to Securing Apple macOS 10.12 Systems for IT Professionals: A NIST Security Configuration Checklist Draft10/19/2018
SP800-178 A Comparison of Attribute Based Access Control (ABAC) Standards for Data Service Applications:
Final10/03/2016
SP800-177 Rev. 1 Trustworthy Email Final2/26/2019
SP800-176 Computer Security Division 2014 Annual Report Final8/20/2015
SP800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms Final3/31/2020
SP800-175A Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies Final8/22/2016
SP800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft) Draft7/06/2020
SP800-171 Rev. 2 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations Final2/21/2020
SP800-171A Assessing Security Requirements for Controlled Unclassified Information Final6/13/2018
SP800-171 Rev. 1 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
; Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 1 Final6/07/2018
SP800-170 Computer Security Division 2013 Annual Report Final9/04/2014
SP800-168 Approximate Matching: Definition and Terminology Final7/02/2014S
P800-167 Guide to Application Whitelisting Final10/28/2015
SP800-166 Derived PIV Application and Data Model Test Guidelines Final6/06/2016
SP800-165 Computer Security Division 2012 Annual Report
SP800-164 Guidelines on Hardware-Rooted Security in Mobile Devices Draft10/31/201
SP800-163 Rev. 1 Vetting the Security of Mobile Applications Final4/19/2019
SP800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations Final8/02/2019
SP800-161 Rev. 1PRE-DRAFT Call for Comments: Supply Chain Risk Management Practices for Federal Information Systems and Organizations Draft2/04/2020
SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations Final4/08/2015
SP800-160 Vol. 2 Developing Cyber Resilient Systems: A Systems Security Engineering Approach Final11/27/2019
SP800-160 Vol. 1 Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems Final3/21/2018
SP800-157 Guidelines for Derived Personal Identity Verification (PIV) Credentials Final12/19/2014
SP800-156 Representation of PIV Chain-of-Trust for Import and Export Final5/20/2016
SP800-155 BIOS Integrity Measurement Guidelines Draft12/08/2011
SP800-154 Guide to Data-Centric System Threat Modeling Draft3/14/2016
SP800-153 Guidelines for Securing Wireless Local Area Networks (WLANs) Final2/21/2012
SP800-152 A Profile for U.S. Federal Cryptographic Key Management Systems (CKMS) Final10/28/2015
SP800-150 Guide to Cyber Threat Information Sharing Final10/04/2016
SP800-147B BIOS Protection Guidelines for Servers Final8/28/2014
SP800-147 BIOS Protection Guidelines Final4/29/2011
SP800-146 Cloud Computing Synopsis and Recommendations Final5/29/2012
クラウドコンピューティングの概要と推奨事項(IPAによる日本語訳)
SP800-145 The NIST Definition of Cloud Computing Final9/28/2011
NISTによるクラウドコンピューティングの定義(IPAによる日本語訳)
SP800-144 Guidelines on Security and Privacy in Public Cloud Computing Final12/09/2011
パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン(IPAによる日本語訳)
SP800-142 Practical Combinatorial Testing Final10/07/2010
SP800-140F CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 Final3/20/2020
SP800-140E CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 Final3/20/2020
SP800-140D CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 Final3/20/2020
SP800-140C CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 Final3/20/2020
SP800-140B CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B Final3/20/2020
SP800-140A CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 Final3/20/2020
SP800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 Final3/20/2020
SP800-137A Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment Final5/21/2020
SP800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations
Final9/30/2011
SP800-135 Rev. 1 Recommendation for Existing Application-Specific Key Derivation Functions Final12/23/2011
SP800-133 Rev. 2 Recommendation for Cryptographic Key Generation Final6/04/2020
SP800-132 Recommendation for Password-Based Key Derivation: Part 1: Storage Applications Final12/22/2010
SP800-131A Rev. 2 Transitioning the Use of Cryptographic Algorithms and Key Lengths Final3/21/2019
SP800-130 A Framework for Designing Cryptographic Key Management Systems Final8/15/2013
SP800-128 Guide for Security-Focused Configuration Management of Information Systems Final10/10/2019
SP800-126 Rev. 3 The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.3 Final2/14/2018
SP800-125B Secure Virtual Network Configuration for Virtual Machine (VM) Protection Final3/07/2016
SP800-125A Rev. 1 Security Recommendations for Server-based Hypervisor Platforms Final6/07/2018
SP800-125 Guide to Security for Full Virtualization Technologies Final1/28/2011
SP800-124 Rev. 2 Guidelines for Managing the Security of Mobile Devices in the Enterprise Draft3/24/2020
SP800-123 Guide to General Server Security Final7/25/2008
SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) Final4/06/2010
SP800-121 Rev. 2 Guide to Bluetooth Security Final5/08/2017
SP800-119 Guidelines for the Secure Deployment of IPv6 Final12/29/2010
SP800-116 Rev. 1 Guidelines for the Use of PIV Credentials in Facility Access Final6/29/2018
SP800-115 Technical Guide to Information Security Testing and Assessment Final9/30/2008
SP800-114 Rev. 1 User's Guide to Telework and Bring Your Own Device (BYOD) Security Final7/29/2016
SP800-113 Guide to SSL VPNs Final7/01/2008
SP800-111 Guide to Storage Encryption Technologies for End User Devices Final11/15/2007
SP800-108 Recommendation for Key Derivation Using Pseudorandom Functions (Revised) Final10/01/2009
SP800-107 Rev. 1 Recommendation for Applications Using Approved Hash Algorithms Final8/24/2012
SP800-106 Randomized Hashing for Digital Signatures Final2/25/2009
SP800-102 Recommendation for Digital Signature Timeliness Final9/23/2009
SP800-101 Rev. 1 Guidelines on Mobile Device Forensics Final5/15/2014
SP800-100 Information Security Handbook: A Guide for Managers Final3/07/2007
SP800-98 Guidelines for Securing Radio Frequency Identification (RFID) Systems Final4/06/2007
SP800-97 Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i Final2/07/2007
SP800-96 PIV Card to Reader Interoperability Guidelines Final12/29/2006
SP800-95 Guide to Secure Web Services Final8/29/2007
SP800-94 Rev. 1 Guide to Intrusion Detection and Prevention Systems (IDPS) Draft7/25/2012
SP800-92 Guide to Computer Security Log Management Final9/13/2006
SP800-90C Recommendation for Random Bit Generator (RBG) Constructions Draft4/13/2016
SP800-90B Recommendation for the Entropy Sources Used for Random Bit Generation Final1/10/2018
SP800-90A Rev. 1 Recommendation for Random Number Generation Using Deterministic Random Bit Generators Final6/24/2015
SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications Final11/30/2006
SP800-88 Rev. 1 Guidelines for Media Sanitization Final12/17/2014
SP800-87 Rev. 2 Codes for Identification of Federal and Federally-Assisted Organizations Final4/19/2018
SP800-86 Guide to Integrating Forensic Techniques into Incident Response Final9/01/2006
SP800-85B-4 PIV Data Model Test Guidelines Draft8/06/2014
SP800-85B PIV Data Model Test Guidelines Final7/31/2006
SP800-85A-4 PIV Card Application and Middleware Interface Test Guidelines (SP 800-73-4 Compliance) Final4/13/2016
SP800-84 Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities Final9/21/2006
SP800-83 Rev. 1 Guide to Malware Incident Prevention and Handling for Desktops and Laptops Final7/22/2013
SP800-82 Rev. 2 Guide to Industrial Control Systems (ICS) Security Final6/03/2015
SP800-81-2 Secure Domain Name System (DNS) Deployment Guide Final9/18/2013
SP800-79-2 Guidelines for the Authorization of Personal Identity Verification Card Issuers (PCI) and Derived PIV Credential Issuers (DPCI) Final7/30/2015
SP800-78-4 Cryptographic Algorithms and Key Sizes for Personal Identity Verification Final5/29/2015
SP800-77 Rev. 1 Guide to IPsec VPNs Final6/30/2020
SP800-76-2 Biometric Specifications for Personal Identity Verification Final7/11/2013
SP800-73-4 Interfaces for Personal Identity Verification Final2/12/2016
SP800-72 Guidelines on PDA Forensics Final11/01/2004
SP800-71 Recommendation for Key Establishment Using Symmetric Block Ciphers Draft7/02/2018
SP800-70 Rev. 4 National Checklist Program for IT Products: Guidelines for Checklist Users and Developers Final2/15/2018
SP800-67 Rev. 2 Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher Final11/17
/2017
SP800-66 Rev. 1 An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule Final10/23/2008
SP800-63-4 PRE-DRAFT Call for Comments: Digital Identity Guidelines Draft6/08/2020
SP800-63-3 Digital Identity Guidelines Final3/02/2020
SP800-63C Digital Identity Guidelines: Federation and Assertions Final3/02/2020
SP800-63B Digital Identity Guidelines: Authentication and Lifecycle Management Final3/02/2020
SP800-63A Digital Identity Guidelines: Enrollment and Identity Proofing Final3/02/2020
SP800-61 Rev. 2 Computer Security Incident Handling Guide Final8/06/2012
SP800-60 Vol. 2 Rev. 1 Guide for Mapping Types of Information and Information Systems to Security Categories: Appendices Final8/01/2008
SP800-59 Guideline for Identifying an Information System as a National Security System Final8/20/2003SP800-58
Security Considerations for Voice Over IP Systems Final1/01/2005
SP800-57 Part 3 Rev. 1 Recommendation for Key Management, Part 3: Application-Specific Key Management Guidance Final1/22/2015
SP800-57 Part 2 Rev. 1 Recommendation for Key Management: Part 2 – Best Practices for Key Management Organizations
SP800-57 Part 1 Rev. 5 Recommendation for Key Management: Part 1 – General Final5/04/2020
SP800-56C Rev. 1 Recommendation for Key-Derivation Methods in Key-Establishment Schemes Final4/16/2018
SP800-56B Rev. 2 Recommendation for Pair-Wise Key-Establishment Using Integer Factorization Cryptography Final3/21/2019
SP800-56A Rev. 3 Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography Final4/16/2018
SP800-55 Rev. 1 Performance Measurement Guide for Information Security Final7/16/2008
SP800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations Final12/18/2014
SP800-52 Rev. 2 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations Final8/29/2019
SP800-50 Building an Information Technology Security Awareness and Training Program Final10/01/2003
SP800-49 Federal S/MIME V3 Client Profile Final11/05/2002
SP800-47 Security Guide for Interconnecting Information Technology Systems Final9/01/200
2SP800-46 Rev. 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security
Final7/29/2016
SP800-45 Version 2 Guidelines on Electronic Mail Security Final2/20/2007
SP800-44 Version 2 Guidelines on Securing Public Web Servers Final10/09/2007
SP800-41 Rev. 1 Guidelines on Firewalls and Firewall Policy Final9/28/2009
SP800-40 Rev. 3 Guide to Enterprise Patch Management Technologies Final7/22/2013
SP800-39 Managing Information Security Risk: Organization, Mission, and Information System View Final3/01/2011
SP800-38G Rev. 1 Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption Draft2/28/2019
SP800-38F Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping Final12/13/2012
SP800-38E Recommendation for Block Cipher Modes of Operation: the XTS-AES Mode for Confidentiality on Storage Devices Final1/18/2010
SP800-38D Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC Final11/28/2007
SP800-38C Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality Final7/20/2007
SP800-38B Recommendation for Block Cipher Modes of Operation: the CMAC Mode for Authentication Final10/06/2016
SP800-38A Addendum Recommendation for Block Cipher Modes of Operation: Three Variants of Ciphertext Stealing for CBC Mode Final10/21/2010
SP800-38ARecommendation for Block Cipher Modes of Operation: Methods and Techniques Final12/01/2001
SP800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy Final12/20/2018
SP800-35 Guide to Information Technology Security Services Final10/09/2003
SP800-34 Rev. 1 Contingency Planning Guide for Federal Information Systems Final11/11/2010
SP800-32Introduction to Public Key Technology and the Federal PKI Infrastructure Final2/26/2001SP800-30 Rev. 1
Guide for Conducting Risk Assessments Final9/17/2012
SP800-28 Version 2 Guidelines on Active Content and Mobile Code Final3/07/2008
SP800-25 Federal Agency Use of Public Key Technology for Digital Signatures and Authentication Final10/01/2000
SP800-22 Rev. 1a A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications Final4/30/2010
SP800-22 Rev. 1 A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications Final8/01/2008
SP800-18 Rev. 1 Guide for Developing Security Plans for Federal Information Systems Final2/24/2006
SP800-16 Information Technology Security Training Requirements: a Role- and Performance-Based Model Final4/01/1998
SP800-15 MISPC Minimum Interoperability Specification for PKI Components, Version 1 Final1/01/1998
SP800-12 Rev. 1 An Introduction to Information Security Final6/22/2017