このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第3章 米国の政府機関等が参考とすべき対策方針、対策基準
米国ではFederal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法、以下、「FISMA」という。)という法律があり、この法律では、連邦政府機関が情報セキュリティを強化することを義務付け、米国国立標準技術研究所(National Institute of Standards and Technology、以下、「NIST」という。)に対しては、そのための規格やガイドラインの開発を義務付けています。この法律の対象となるのは、連邦政府機関だけでなく、連邦政府機関より業務委託を受けている民間の外部委託先も含まれます。
NISTでは、FISMAの規定を受けて、FISMAリスクマネジメントフレームワークという、情報セキュリティを継続的に改善・向上させる枠組みやFISMA関連のセキュリティ規格(FIPS)およびガイドライン(SPシリーズ)の開発・策定しました。
FIPSはFederal Information Processing Standardsの略で、連邦政府の情報及び情報システムが遵守すべき対策基準を規定した文書で、FIPS199やFIPS200のように、各文書に文書番号をつけています。SPはSpecial Publicationsの略で、連邦政府機関がこれらの対策基準を遵守するために具体的にどのように実施すべきかについてガイドラインを示したものです。
これらNISTの文書群は、その内容を見ると、政府機関だけではなく、企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させるために役立つ資料と言えます。主なものは以下のとおりです。
(以上、出典:IPAウェブサイト https://www.ipa.go.jp/security/publications/nist/fisma.html )
1. FIPS199(Standards for Security Categorization of Federal Information and Information Systems)
FIPS199は、連邦政府の情報及び情報システムに対するセキュリティ分類のための対策基準です。FIPS199では、情報システムを機密性、可用性、完全性の分野で評価し、それぞれを低中高の影響度で格付けすることを要求しています。また、3つの影響度の中で最も高い格付けが、その情報システムの格付けとなります。この文書の日本語訳がIPAのセキュリティ関連NIST文書のウェブサイトに掲載されていますので、詳細はIPAのウェブサイトhttps://www.ipa.go.jp/security/publications/nist/をご参照下さい。
2. FIPS200(Minimum Security Requirements for Federal Information and Information Systems)
FIPS200は、連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項が17のセキュリティ関連分野にわたり規定された文書です。17のセキュリティ関連分野とは以下のとおりです。
AC: Access Control(アクセス制御)
AT: Awareness and Training(職員の意識向上およびトレーニング)
AU: Audit and Accountability(監視や追跡調査を可能とするための監査ログの取得・保管)
CA: Certification, Accreditation and Security Assessments(管理策の有効性についての定期的
評価、改善策の作成と実行、組織の情報システムの運用に対する認証、継続的改善のため
のモニタリング)
CM: Configuration Management(システム構成管理)
CP: Contingency Planning(緊急時対応計画)
IA: Identification and Authentication(識別および認証)
IR: Incident Response(インシデント対応)
MA: Maintenance(情報システムに対する定期的保守の実施)
MP: Media Protection(記録媒体の保護)
PE: Physical and Environmental Protection(物理的アクセス制限および保護)
PL: Planning(情報シ ステムのセキュリティ管理策と使用についてのセキュリティ計画作成・更新)
PS: Personnel Security(人的セキュリティ)
RA: Risk Assessment(リスク評価)
SA: System and Services Acquisition(情報システムおよびサービスの調達)
SC: System and Communications Protection(情報システムおよび通信の保護)
SI: System and Information integrity(情報システムおよび情報の完全性)
連邦政府機関がこれらのセキュリティ要求事項を遵守するにあたって具体的にどのようなセキュリティ管理策を実施するかについては、NIST の Special Publication 800-53に記載の適切なセキュリティ管理策と保証要求事項を選択しなければならないと規定しています。FIPS199に従い、情報及び情報システムに対するセキュリティ分類を行った後、このセキュリティ分類で格付けした影響度に対応した適切な管理策をSP800-53に記載された管理策から選択する必要があります。この文書の日本語訳がIPAのセキュリティ関連NIST文書のウェブサイトに掲載されていますので、詳細はIPAのウェブサイトhttps://www.ipa.go.jp/security/publications/nist/をご参照下さい。
3. SP800-53 Rev.4(Security and Privacy Controls for Federal Information Systems and Organizations、連邦政府情報システム および連邦組織のための セキュリティ管理策とプライバシー管理策)
この文書の構成は以下のとおりです。
第1章 初めに
第2章 基本事項
2.1 多層から成るリスクマネジメント
2.2 セキュリティ管理策の構造
2.3 セキュリティ管理策ベースライン
2.4 セキュリティ管理策の指定方法
2.5 外部サービスプロバイダ
2.6 保証と信頼性
2.7 改訂と拡張
第3章 プロセス
3.1 管理策ベースラインを選択する
3.2 ベースラインセキュリティ管理策を調整する.
3.3 オーバーレイを作成する
3.4 管理策の選択プロセスを文書化する
3.5 新規に開発するシステムとレガシーシステム
付録A 参考文献
付録B 用語集
付録C 略語
付録D セキュリティ管理策ベースラインの要約
付録E 保証と信頼性
付録G 情報セキュリティプログラム
付録H 国際的な情報セキュリティ規格との関係
付録I オーバーレイテンプレート
付録J プライバシー管理策カタログ
原文は462ページもあり、IPAが翻訳した文書を読んでも、ほぼ直訳でなかなか理解できないと思いますので、この中で重要なものについて、以下にいくつか要約を記載しておきます。
<<2.2 セキュリティ管理策の構造>>
この文書に記載されているセキュリティ管理策は、その構成や構造が明確に定義されているのに加えて、セキュリティ管理策を簡単に選択・指定できるよう、18 の管理策ファミリにまとめられています。FIPS200の文書に示されている17のセキュリティ分野より1つ多いのは、FISMA が 要求する情報セキュリティプログラム管理(PM: Program Management)に対するセキュリティ管理策が入っているためです。
この文書に記載されるセキュリティ管理策(付録Fに記載)は、以下のコンポーネントからな る構造を有します。AU: Audit and Accountability(監視や追跡調査を可能とするための監査ログの取得・保管)の管理策の一つを例として、以下にその典型的なセキュリティ管理策の構造を示します。
AU-3 監査ログの内容
・あるべき管理策:情報システムは、発生したイベントについて種類・発生日時・発生場所・
発生原因・結果 と合わせて当該イベントに関係する個人(または当該イベントに関係するサ
ブジェクト)の属性を 明らかにする情報が含まれた監査ログを生成する。
・強化管理策:
(1) 追加の監査ログの情報:組織が定義する、より詳細な追加の情報が記載された監査ログ
を情報システムが生成する。
(2) 監査ログの集中的管理:生成されるべき監査ログの構成と管理を集中的に行うことがで
きる。
・参考文書:なし
・優先順位とベースラインの割り当て
P1 低:AU-3 中:AU-3 (1) 高:AU-3 (1) (2)
IPAの日本語訳を読んでも原文を読んでも今ひとつよく理解できませんが、ベースラインとして影響度が低に格付けされた情報システムについては、あるべき管理策に記載された内容のレベルのことを行い、影響度が中に格付けされた情報システムについては、あるべき管理策に記載された内容に加えて、強化管理策(1)に記載された内容のことことを行い、影響度が高に格付けされた情報システムについては、あるべき管理策に記載された内容に加えて、強化管理策(1)(2)に記載された内容のことを行うことになるのだと思います。
また、行の先頭にあるP1というコードは、管理策実施の優先順位を示すもので、P1、P2、P3のち、P1が最も優先順位が高く、P2がその次、P3が最も低い優先順位となっています。
<<2.3 セキュリティ管理策のベースライン管理策>>
本ガイドラインでは、組織が情報システムに対して適切な管理策を選択できるようにするため、ベースライン管理策の概念が導入されています。ベースライン管理策は、管理策選定プロセスの出発点であり、ベースライン管理策はセキュリティ分類と関連する影響度が何であるかによって選ばれます。本ガイドラインの付録Dには、ベースラインとなる管理策がリストアップされています。これらのベースラインとなる管理策は、影響度の低、中、高に対応して、それぞれどのような管理策をするべきかを示しています。また、付録Fには包括的なセキュリティ管理策のカタログがあります。
<<2.5 外部のサービスプロバイダー>>
連邦政府機関の外部委託先は、FISMAの法律の適用対象となっていますので、外部委託先に対しても、これらのセキュリティ管理策を実施させる必要があります。組織は外部委託に対して、リスクマネジメントフレームワークに記載されている全てのステップを実施させるとともに、外部委託先がリスクマネジメントフレームワークを順守していることのエビデンスを提出させることができます。
<<2.6 保証と信頼性>>
情報システムに関する保証と信頼性は、その情報システムがどの程度、信頼できるかを示すものですが、セキュリティ管理策は、セキュリティ機能に関する管理策とセキュリティの保証と信頼性に関する管理策に分かれます。セキュリティの保証と信頼性に関する管理策は、セキュリティ機能に関する管理策がどの程度の信頼性を持って実施されるかを要求するものです。
付録Eは、情報システムの影響度の度合い(低、中、高)によって、セキュリティ上の保証と信頼性に関する管理策が、どの範囲においてどの程度、必要かをまとめています。
<<3.2 ベースラインセキュリティ管理策を調整する>>
付録Dからベースラインとなる管理策を選んだ後は、管理策を適切に修正し、組織の特定の状況により合致したものとするための調整のプロセスを開始します。調整プロセスには以下のステップを含みます。
・当初のベースラインとなる管理策の中から共通管理策を特定し、指定する(共通管理策とは、複数の情報システムに適用されるもので、必ずしもその情報システムの責任者によって整備されなければならないものではない)
・適用範囲の検討(不要で関係ないものについては管理策を適用しない、運用や環境の違いによるベースラインの調整、セキュリティの目的の違いによる調整、技術の違いによる調整等)
・必要に応じて、セキュリティ管理策(およびその拡張管理策)を追加することによって、ベースラ イン管理策を補足する
・必要に応じて、管理策の実装仕様に関する情報を追加提供する
付録Fの詳細については以下のリンクをクリックしてください。
(以上、出典:IPAウェブサイト https://www.ipa.go.jp/security/publications/nist/
NISTウェブサイト https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final )
4. その他のFIPS文書
他のFIPS文書として以下のものがありますが、FIPS201-2以外は、暗号化等に関する標準を示した文書となっています。
・FIPS140-3(Security Requirements for Cryptographic Modules):暗号化モジュールの要求事項
・FIPS180-4(Secure Hash Standard (SHS)):ハッシュアルゴリズムについての対策基準
・FIPS186-5(Digital Signature Standard (DSS)):電子署名についての対策基準
・FIPS197(Advanced Encryption Standard (AES)):DESに代わる新しい標準暗号として、NISTの主導により公募され、選出された暗号化アルゴリズム
・FIPS198-1(The Keyed-Hash Message Authentication Code (HMAC)):メッセージ認証符号 の一つであり、秘密鍵とメッセージとハッシュ関数をもとに計算されるもの。
・FIPS201-2(Personal Identity Verification (PIV) of Federal Employees and Contractors):連邦職員および委託業者のアイデンティティの検証
・FIPS202(SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions):NISTによって公募、選出されたハッシュアルゴリズムの一つ