あなたの困り事は誰かが解決している!あなたの知らないセキュリティ関連ドキュメントの世界【第1回】
セキュリティ対策というと難しく考えがちですが、イチから自分で考えなくても先人たちの知恵の結晶とも言える資料が世の中にはたくさんあります。 もちろん国内にもいろいろありますが、海外にも目を向けてみるとさまざまな有用なセキュリティ関連のドキュメントや資料があります。 そんな中から私が普段の業務でお世話になっているものを紹介したいと思います。
第1回 パスワードのルールからゼロトラストの定義まで 『NIST SP800』 シリーズ
NIST SP800シリーズとは
NIST(米国国立標準技術研究所: National Institute of Standards and Technology) は、科学技術に関する研究を広く行っている米国商務省に属する政府機関です。
NIST SP(特別刊行物: Special Publications)のSP800シリーズのドキュメントは、米国政府が利用するために用意されたコンピューター/サイバー/情報セキュリティに関するガイドラインや推奨事項、参考資料で150ほどのドキュメントが公開されています。
NIST COMPUTER SECURITY RESOURCE CENTER
https://csrc.nist.gov/publications/sp800
そのカバー範囲は多岐に渡っていて、たとえば下記のようなドキュメントがあります。
上記は英語のドキュメントですが、とりわけ日本においても参照されるニーズが高いものは独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)が日本語に翻訳して公開しています。
セキュリティ関連NIST文書 - 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/publications/nist/
アメリカのセキュリティ標準が日本に関係あるのか
SP800文書自体は法的拘束力を持っているわけではありませんが、これを参照する形で米国の規制当局が調達基準などを設定していることがあります。
そのため、米国内ではSP800に準拠する必要があります。
その結果として、グローバルにおいてもSP800が参照されることとなります。
つまり、SP800で示された標準に従わないと調達基準から外れてしまう可能性もあります。
また、日本国政府においても米国基準のセキュリティレベルに合わせるためにSP800シリーズのドキュメントを参照したり追尾する動きはあり、ドキュメントが公開されてから数年後にはSP800シリーズを基にした基準が求められることもあります。
一例として、総務省は2004年に「パスワードは定期的に変更するように」と呼びかけていたものを、2018年には「パスワードの定期変更は不要」と方針を180度変えました。
これは2017年5月に出たSP800-63B 「Digital Identity Guidelines」の内容に、パスワード文字列についての扱いが記載してあったことが大きく影響しています。
SP800シリーズからいくつかのドキュメントを紹介
パスワードや二要素認証をどう設計するか? SP800-63B 『Digital Identity Guidelines - Authentication and Lifecycle Management』
最近、私の業務の中でもっとも活用しているのが SP800-63B です。
このドキュメントは主に認証機能の要件について書かれていて、記憶シークレット(パスワードなど)や二要素認証などで用いるデバイスやソフトウェアはどうあるべきかということが書かれています。
求められるセキュリティレベルをAAL(Authenticator Assurance Level)として、AAL1〜3までに分けて認証に必要な要素は何かといったことが決められています。
Webアプリケーションに限らず、認証機能を設計したり実装する人には必ず読んでもらいたいドキュメントです。
OpenID Foundation Japan によって日本語訳も公開されています。
https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html
概要を把握するのであれば、こちらのスライド資料がお勧めです。
https://www.slideshare.net/kthrtty/20171027-nist-sp80063bkthrtty-81333156
情報やプライバシーはどう管理するべきか? SP800-53 『Security and Privacy Controls for Federal Information Systems and Organizations』
このドキュメントはあらゆる脅威とリスクから組織や資産、個人などを保護することを目的として情報システムと組織のセキュリティとプライバシー管理策について書かれています。
皆さんの組織に必要なセキュリティ管理策やプライバシー管理策を文書化する際に役立つドキュメントになるでしょう。
アクセス制御からインシデント対応、脆弱性診断などのリスク評価といったことまで、リスクに対する影響度を高中低の3段階に分けて、どのような対策を取るかが示されています。
付録として公開されているカタログには、具体的な管理策が書かれているので皆さんの組織にもそのまま適用できるものも多数あるはずです。
2020年9月にはSP800-53 Rev.5 最終版が出ています。1つ前のバージョンですが、Rev.4 (2013年4月公開)の日本語訳はIPAのサイトで公開されています。
https://www.ipa.go.jp/files/000056415.pdf
概要を把握するのであれば、NTTデータ先端技術株式会社が公開しているこちらの記事が参考になります。
http://www.intellilink.co.jp/article/column/sec-nist02.html
組織が守るべきセキュリティ要件とは? SP800-171 『Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations』
このドキュメントは民間企業が機密情報以外の重要情報(CUI:Controlled Unclassified Information)を守るために作られたドキュメントで、アクセス制御やインシデント対応など14種類のセキュリティ要件を定義しています。
先のSP800-53とも密接な関係にあるドキュメントです。
取引企業などからの情報漏えいを防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。
自分たちの組織が扱うCUIを定義し、要求事項とのギャップを把握し、必要な施策を立案して実装するという際に役立ちます。
日本では2019年4月から防衛省などでSP800-171と同程度の新防衛調達基準の試行導入が開始されています。
今後は他産業でも参照されることが予想されています。
日本語訳は(株)エヴァアビエーションのサイトで公開されています。
https://www.eva.aviation.jp/wp-content/uploads/2020/11/NIST-SP800-171Rev.22020FebJpV5.pdf
概要を把握するのであれば、ManageEngineというサイトで公開しているこちらの記事が参考になります。
https://www.manageengine.jp/solutions/nist_publications/nist_SP800-171/lp/
他にも有用なドキュメントが多数
本稿で有用なSP800シリーズをすべて紹介しきれませんが、他にも有用なドキュメントは多数あります。
-
サプライチェーンの情報セキュリティマネジメントを示した SP800-161 『Supply Chain Risk Management Practices for Federal Information Systems and Organizations』
概要を把握するのであれば、NTTデータ先端技術株式会社が公開しているこちらの記事が参考になります。
http://www.intellilink.co.jp/article/column/supply-chain-sec06.html
-
ゼロトラストの定義や理念を示し共通認識を持つための SP800-207 『Zero Trust Architecture』
日本語訳はPwC Japan のサイトで公開されています。
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
SP800シリーズの各種ドキュメントを活用することで、皆さんの組織のセキュリティレベルが向上することを願います。
