家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

「連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策」の概要(NIST SP800-53)

連邦政府情報システムおよび連邦組織のためのセキュリティ管理策と
プライバシー管理策(NIST SP800-53)

発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)

発行年月日:2013年4月

原文:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

日本語訳:https://www.ipa.go.jp/files/000056415.pdf

 

 

 

概要
NISTでは役割として、各連邦政府機関に対して情報および情報システムのセキュリティ強化を義務付けているFISMA(Federal Information Security Management Act of 2002:連邦情報セキュリティマネジメント法)の実施を支援し、情報および情報システムを保護するためプログラムを支援するための標準、ガイドライン、その他の出版物を開発および発行しています。

連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策(SP800-53)は、米国の連邦情報システムのセキュリティおよびプライバシー管理の管理策の指針を示しています。

このガイドラインの背景には、2004年の2月に商務省の長官によって承認された、以下2つのFISMAのセキュリティ規格(FIPS (Federal Information Processing Standard))があります。

  • FIPS 199
    (Standards for Security Categorization of Federal Information and Information Systems:連邦政府の情報および情報システムに対するセキュリティ分類規格)
  • FIPS 200
    (Minimum Security Requirements for Federal Information and Information Systems:連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項)

FIPS199は、連邦政府の情報及び情報システムについて機密性、完全性、可用性の3つのセキュリティ要件と高、中、低の影響の度合いを分析することを求めています。

FIPS 200は、連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項とそれを満たすために必要な管理策をリスクに応じて選択するプロセスについて規定しています。

NIST SP800-53には、FIPS200のセキュリティ要件に従って連邦政府の情報システムのセキュリティ制御の選択に対応するリスク管理フレームワークの手順が記載され、セキュリティマネジメント管理策が規定されています。

なお、NIST SP800-53では冒頭で、「セキュリティの管理策とは以下の2つを実現するために情報システムまたは組織に対して定められた保護対策である」、と定義されています。

① 情報システム(および/または組織)によって処理・保存・伝送される情報について、機密性・完全性・可用性を保護する事
② 定められたセキュリティ要求事項をすべて満たす事の2つを実現するために情報システムまたは組織に対して定められた保護対策である。


セキュリティ管理策の構成

ベースライン管理策
NIST SP800-53 付録Dの表D-2(セキュリティ管理策のベースライン管理策)は、対象となる情報システムが脅威に対する影響度を高中低にレベルを分け、どのような対策をとるべきかをベースライン管理策として規定しています。

f:id:iestudy:20191019000627p:plain

D-2: セキュリティ管理策のベースライン管理策

優先順位は、セキュリティ管理策のベースライン管理策に対して推奨される「優先順位コード」を明示しています。

f:id:iestudy:20191019000728p:plain

セキュリティ管理策の優先順位

管理策と拡張管理策

NIST SP800-53付録Dの表D-3から19に、それぞれの管理策について、管理策番号、管理策名または拡張管理策名、保証(セキュリティ保証)の有無、ベースライン管理策に該当するかのフラグが記載されています。

保証(セキュリティ保証)とは、セキュリティ機能性に関して以下の内容の保証が求められる場合に×が付加されます。

  • 正しく実装されていること、
  • 意図したとおりに運用されていること、
  • 情報システムにおけるセキュリティ要求事項を満たしていることのすべてに対する信頼できること

f:id:iestudy:20191019001055p:plain

アクセス制御の抜粋

管理策の選定
NIST SP800-53は、リスクマネジメントフレームワークの「ステップ2 セキュリティ管理策の選択」に位置づけられています。

なお、リスクフレームマネジメントフレームワーク(RMF)はNIST SP800-37(Risk Management Framework for Information Systems and Organizations)で規定されています。

www.iestudy.work

f:id:iestudy:20191019001700p:plain

RMFでの位置づけ

NIST SP800-53では、次の3つのプロセスについて記述しています。

  • 検査:仕様、メカニズム、アクティビティの評価、オブジェクトのレビュー
  • 面接:個人やグループで実施
  • テスト:使用または実行されたとき、期待される動作に関するアクティビティやメカニズムの評価 

 

NIST SP800-171との関係

NIST SP800で保護する情報は、大きくCI(Classified Information)とCUI(Controlled Unclassified Information)の2種類があります。CIは政府の機密情報で、最も厳格な管理を求められます。一方のCUIは、2010年11月の大統領令(Executive Order 13556)により定義された重要情報であり、その範囲は広く、さまざまな産業に広がっています。そして、CIを扱う企業はSP800-53、CUIを扱う企業はSP800-171で定められた技術で構築されたシステムで情報を管理することが求められています。

f:id:iestudy:20191019001906p:plain

CIとCUIの保護

www.fujitsu.com

www.iestudy.work

 参考にさせていただいたサイト

www.intellilink.co.jp