[2021年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。
[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
資料を無料ダウンロード

あなたの困り事は誰かが解決している! あなたの知らないセキュリティ関連ドキュメントの世界【第1回】

セキュリティ対策というと難しく考えがちですが、イチから自分で考えなくても先人たちの知恵の結晶とも言える資料が世の中にはたくさんあります。
もちろん国内にもいろいろありますが、海外にも目を向けてみるとさまざまな有用なセキュリティ関連のドキュメントや資料があります。そんな中から私が普段の業務でお世話になっているものを紹介したいと思います。

第1回 パスワードのルールからゼロトラストの定義まで 『NIST SP800』 シリーズ

NIST SP800シリーズとは

NIST(米国国立標準技術研究所: National Institute of Standards and Technology) は、科学技術に関する研究を広く行っている米国商務省に属する政府機関です。
NIST SP(特別刊行物: Special Publications)のSP800シリーズのドキュメントは、米国政府が利用するために用意されたコンピューター/サイバー/情報セキュリティに関するガイドラインや推奨事項、参考資料で150ほどのドキュメントが公開されています。

NIST COMPUTER SECURITY RESOURCE CENTER
https://csrc.nist.gov/publications/sp800

そのカバー範囲は多岐に渡っていて、たとえば下記のようなドキュメントがあります。

上記は英語のドキュメントですが、とりわけ日本においても参照されるニーズが高いものは独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)が日本語に翻訳して公開しています。

セキュリティ関連NIST文書 - 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/publications/nist/

アメリカのセキュリティ標準が日本に関係あるのか

SP800文書自体は法的拘束力を持っているわけではありませんが、これを参照する形で米国の規制当局が調達基準などを設定していることがあります。そのため、米国内ではSP800に準拠する必要があります。その結果として、グローバルにおいてもSP800が参照されることとなります。つまり、SP800で示された標準に従わないと調達基準から外れてしまう可能性もあります。

また、日本国政府においても米国基準のセキュリティレベルに合わせるためにSP800シリーズのドキュメントを参照したり追尾する動きはあり、ドキュメントが公開されてから数年後にはSP800シリーズを基にした基準が求められることもあります。
一例として、総務省は2004年に「パスワードは定期的に変更するように」と呼びかけていたものを、2018年には「パスワードの定期変更は不要」と方針を180度変えました。これは2017年5月に出たSP800-63B 「Digital Identity Guidelines」の内容に、パスワード文字列についての扱いが記載してあったことが大きく影響しています。

SP800シリーズからいくつかのドキュメントを紹介

パスワードや二要素認証をどう設計するか? SP800-63B 『Digital Identity Guidelines - Authentication and Lifecycle Management』

最近、私の業務の中でもっとも活用しているのが SP800-63B です。このドキュメントは主に認証機能の要件について書かれていて、記憶シークレット(パスワードなど)や二要素認証などで用いるデバイスやソフトウェアはどうあるべきかということが書かれています。
求められるセキュリティレベルをAAL(Authenticator Assurance Level)として、AAL1〜3までに分けて認証に必要な要素は何かといったことが決められています。
Webアプリケーションに限らず、認証機能を設計したり実装する人には必ず読んでもらいたいドキュメントです。

OpenID Foundation Japan によって日本語訳も公開されています。
https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html

概要を把握するのであれば、こちらのスライド資料がお勧めです。
https://www.slideshare.net/kthrtty/20171027-nist-sp80063bkthrtty-81333156

情報やプライバシーはどう管理するべきか? SP800-53 『Security and Privacy Controls for Federal Information Systems and Organizations』

このドキュメントはあらゆる脅威とリスクから組織や資産、個人などを保護することを目的として情報システムと組織のセキュリティとプライバシー管理策について書かれています。皆さんの組織に必要なセキュリティ管理策やプライバシー管理策を文書化する際に役立つドキュメントになるでしょう。
アクセス制御からインシデント対応、脆弱性診断などのリスク評価といったことまで、リスクに対する影響度を高中低の3段階に分けて、どのような対策を取るかが示されています。
付録として公開されているカタログには、具体的な管理策が書かれているので皆さんの組織にもそのまま適用できるものも多数あるはずです。

2020年9月にはSP800-53 Rev.5 最終版が出ています。1つ前のバージョンですが、Rev.4 (2013年4月公開)の日本語訳はIPAのサイトで公開されています。
https://www.ipa.go.jp/files/000056415.pdf

概要を把握するのであれば、NTTデータ先端技術株式会社が公開しているこちらの記事が参考になります。
http://www.intellilink.co.jp/article/column/sec-nist02.html

組織が守るべきセキュリティ要件とは? SP800-171 『Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations』

このドキュメントは民間企業が機密情報以外の重要情報(CUI:Controlled Unclassified Information)を守るために作られたドキュメントで、アクセス制御やインシデント対応など14種類のセキュリティ要件を定義しています。先のSP800-53とも密接な関係にあるドキュメントです。
取引企業などからの情報漏えいを防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。自分たちの組織が扱うCUIを定義し、要求事項とのギャップを把握し、必要な施策を立案して実装するという際に役立ちます。

日本では2019年4月から防衛省などでSP800-171と同程度の新防衛調達基準の試行導入が開始されています。今後は他産業でも参照されることが予想されています。

日本語訳は(株)エヴァアビエーションのサイトで公開されています。
https://www.eva.aviation.jp/wp-content/uploads/2020/11/NIST-SP800-171Rev.22020FebJpV5.pdf

概要を把握するのであれば、ManageEngineというサイトで公開しているこちらの記事が参考になります。
https://www.manageengine.jp/solutions/nist_publications/nist_SP800-171/lp/

他にも有用なドキュメントが多数

本稿で有用なSP800シリーズをすべて紹介しきれませんが、他にも有用なドキュメントは多数あります。

  • サプライチェーンの情報セキュリティマネジメントを示した SP800-161 『Supply Chain Risk Management Practices for Federal Information Systems and Organizations』
    概要を把握するのであれば、NTTデータ先端技術株式会社が公開しているこちらの記事が参考になります。
    http://www.intellilink.co.jp/article/column/supply-chain-sec06.html

SP800シリーズの各種ドキュメントを活用することで、皆さんの組織のセキュリティレベルが向上することを願います。

上野宣(うえの せん)
上野宣(うえの せん)

奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立

OWASP Japan 代表、情報処理安全確保支援士 集合講習講師 カリキュラム検討委員会、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、第16回「情報セキュリティ文化賞」受賞、(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞

主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数

ホワイトペーパー

[2021年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい