【要点抽出】NIST SP800-53 rev.5, 53B その5
今回は以下目次の3つの管理策ファミリーを読みます。
これでやっと全体の半分です。
メンテナンス(MA)ファミリー
このファミリーには28個の管理策が属します。
システムを構成するハードウェアやソフトウェアをメンテナンスする際のセキュリティの考慮点です。
マシンルームで行う「ローカルのメンテナンス」と、ネットワークごしに行う「非ローカルのメンテナンス」のそれぞれのリスクに触れています。
子レベルの管理策は以下です。(グレー字は撤回された管理策)
「低」レベルのベースラインとして、メンテナンスをスケジュールした上で文章化・記録・承認・監視することを求めています。また、対象機器をメンテナンスのために移動する必要がある場合は、移動前に機密データが含まれないようにサニタイズすることを求めています(MA-2)。
非ローカルでメンテナンスをする場合は、セッション確立時に強力な認証を求め、作業内容を記録し、作業が終わったらセッションを切断します(MA-4)。
メンテナンスを委ねる組織や作業員のリストを保持します。ただ、緊急時など、時には誰とも分からない作業員に任せる局面もあります。その場合は一時的なクレデンシャルを発行することが挙げられています(MA-5)。
「中」レベルのベースラインとして、メンテナンスに用いるツールや媒体は事前に承認したものであり、改変されていないことを確認します(MA-3、MA-3(1)、MA-3(2))。
メンテナンス装置(メンテナンスに用いる装置か、メンテナンス対象装置かは不明)に組織の機密情報が含まれる場合は、「低」同様にサニタイズなどデータの除去を行います。(MA-3(3))
「高」レベルのベースラインとして、システムのメンテナンス情報の管理を自動化します(MA-2(2))。
非ローカルでメンテナンスをする場合は、外部からの脅威の流入に備えて対象コンポーネントをシステムから切り離し、十分なセキュリティ対策が施された環境からメンテナンスを行い、システムに組み戻す際もマルウェア等が紛れ込んでいないかチェックします(MA-4(3))。
また、セキュリティクリアランスが未確認の作業員に委ねる場合は、組織の職員がエスコートし、ここでもやはり作業前に機密データをサニタイズするなど、徹底して機密情報にアクセスさせないことを求めています(MA-5(1))。
その他、ベースラインに選ばれていないものもありますが、概ね「メンテナンスツールに警戒」「非ローカルメンテナンスに警戒」であり、求められる内容は上述のものと重複感があるように思いました。
あとはNIST SP800-53の特性上、国家機密を扱うこともありえるため、作業者を米国市民に限定する記載がいくつか見受けられました。日本企業としては「作業者の身元チェックが大事」くらいに捉えるのがよいと思います。
媒体保護(MP)ファミリー
このファミリーには20個の管理策が属します。
ここではデジタル媒体(テープ、HDDなど)と非デジタル媒体(紙、マイクロフィルム)の両方を扱っています。
子レベルの管理策は以下です。(グレー字は撤回された管理策)
「低」レベルのベースラインとして、媒体へのアクセスや使用できる人を制限し(MP-2、MP-7)、媒体を廃棄や持ち出す前にサニタイズすることを求めています(MP-6)。
「中」レベルのベースラインとして、保存する情報の機密性などに応じて媒体をマーキング(ラベリング)します(MP-3)。
媒体を保管する際は施錠管理など物理的に、移送する際も暗号化などを用いて保護します。移送時は更に、移送の記録をとることも求められます(MP-4、MP-5)。
「高」レベルのベースラインはサニタイズの確実性を掘り下げる管理策が並びます。
いつ・誰が・どうやって・何をサニタイズしたのかを記録し、サニタイズ手法について定期的にテストします(MP-6(1)、MP-6(2))。
また、外付けや取り外し可能なデバイスを最初に使う場合や安全性が確認出来ない場合は「非破壊的なサニタイズ」を求めています(MP-6(3))。
その他、ベースラインに選ばれていない管理策として「ダウングレード」への言及があります。
ダウングレード=情報の機密性の区分を低く見直す という意味ではなく、機密情報をより低い機密エリアに開示する場合(例えば一般公開)、機密度の高い部分を消したりマスキングすることを指します。
このダウングレードのプロセスを規定し、実施した措置を文書として残し、ダウングレードの装置や手順をテストすることを求めています(MP-8、MP-8(1)、MP-8(2)、MP-8(3)、MP-8(4))。
物理的および環境的保護(PE)ファミリー
このファミリーには51個の管理策が属します。
ここではマシンルームの物理セキュリティや災害対策を扱います。
子レベルの管理策は以下です。(グレー字は撤回された管理策)
「低」レベルのベースラインとして、システムがある施設へのアクセスを認める人のリストを作り、定期的に見直します(PE-2)。
入退館の際には警備員や認証システムで来訪者を確認したり、入退館ログを取ったりします(PE-3、PE-8)。
加えて、必要な箇所を監視カメラで不審なアクセスがないか確認します(PE-6)。
マシンルームには人の出入り口以外に機器の搬入口もあり、こちらもチェックする必要があります(PE-16)。
災害対策としては、火災検知、消火システム、水漏れ対策の遮断弁、非常用照明を設置した上で、温度や湿度を監視・維持します(PE-12、PE-13、PE-14、PE-15)
「中」レベルのベースラインでは、物理的に保護する対象が広がります。
システムの配電線、伝送回線、電源装置、ケーブル、出力デバイス(プリンタやスキャナ等)についても、不正アクセスから保護します(PE-4、PE-5、PE-9)。
利用する保護策もややグレードアップし、侵入警報装置や監視装置を使うことを求めます(PE-6(1))。
災害対策としては、緊急時に電源を遮断したり、あるいはUPSや自動的な火災検知システムの設置が必要です(PE-10、PE-11、PE-13(1)。
また、このベースラインでは「代替作業サイト」の考慮が求められます。
代替作業サイトとは、従業員の自宅など、緊急時対応にすぐ使える代わりの場所です。当然ながらこの場所についても適切なセキュリティ対策を行う必要があります(PE-17)。
「高」レベルのベースラインとして、施設だけでなく守るべきシステムに対する追加のアクセス制御や監視を行います。場所を絞ったケージの設置や監視カメラのことかと思います(PE-3(1)、PE-6(4))。
災害対策として、長期の停電に耐えられる代替電源や、自動消火設備、自動での水検知&通報センサが求められます(PE-11(1)、PE-13(2)、PE-15(1))。また、そもそも機器の設置場所としてハザードマップなど考慮することを求めています(PE-18)。
その他、ベースラインに選ばれていない管理策としては、電源ケーブルの冗長化(PE-9(1))、自動電圧制御(PE-9(2))、自家発電装置(PE-11(2))、自動環境制御(PE-14(1))といった設備の保護が挙げられます。
また、「電磁信号の放射による情報漏洩」「電磁パルス損傷に対する保護」といった対策も登場します(PE-19、PE-21)。
***NIST SP800-53シリーズのリンク***
NIST SP800-53の読み方:こちら
管理策の概観、ACファミリー:こちら
AT、AU、CA、CMファミリー:こちら
CP、IA、IRファミリー:こちら
MA、MP、PEファミリー:こちら(この記事)
PL、PM、PS、PTファミリー:こちら
RA、SAファミリー:こちら
SCファミリー:こちら
SI、SRファミリー:こちら
***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら
この記事が気に入ったらサポートをしてみませんか?