【要点抽出】NIST SP800-53 rev.5, 53B その1

ニキヌス

セキュリティといえばNIST SP800シリーズ。
その中でも最重量級であるSP800-53についてまとめてみます。
今回はIPAが出している日本語訳版を読みます。

https://www.ipa.go.jp/security/reports/oversea/nist/about.html

何の本?

セキュリティって何をどこまでやればいいの?を米国の偉い人達が全力で分解したドキュメントがNIST SP800-53です。
情報システムの機密性・完全性・可用性や個人のプライバシーを守る、つまりセキュリティを確保するための管理策を20分類で説明しています。

本書は、米国商務省の傘下にある米国国立標準技術研究所(NIST)の中の情報技術研究所(ITR)が出しています。
NISTの出版物にはFIPSやSP800シリーズ、SP1800シリーズなどがあり、セキュリティ担当がよく見るのはSP800シリーズだと思います。
SP800シリーズにも200以上の文書があり、有名なのがSP800-53やSP800-171です。

SP800-53は、元々は米国が連邦政府に関わるシステムのセキュリティに対してこうあるべし、を定めたものでした。
これに対してSP800-171は「非連邦政府組織およびシステム」を対象にしており、SP800-53から一部引き算したようなものです。
ただ、SP800-53のrev.5から「連邦」向けの記載がなくなり、民間向けにも使える位置づけになりました。
このあたりの前提情報は以下のサイトが非常に分かりやすいです。
https://www.intellilink.co.jp/column/security/2019/090200.aspx

構成は?

SP800-53は、SP800-53とSP800-53Bの2つで構成されます。
(元々1冊だったのがrev.5から2冊に分かれました)

SP800-53はセキュリティやプライバシーを守る20の管理策群を書いたもので、SP800-53Bはシステムの重要度(3段階)ごとにSP800-53の各管理策の必須度合いを表したものです。このnoteでは両方まとめて触れます。

SP800-53も53Bも構成は同じで3章構成です。

  • 1章 はじめに

  • 2章 基本的事項

  • 3章 管理策

コアな内容は3章ですが、その前提事項や各管理策をどう扱うか考え方は2章にあります。
今回は2章の内容をまとめて、次回以降、3章に入ります。

2章 基本的事項

SP800-53の考え方について色々と書かれていますが、どれも驚くような内容ではありません。以下のポイントを頭に入れて3章に進むと理解しやすそうです。

  • 前提として、セキュリティに取り組むとはリスクマネジメントを行うことです。(サイバーセキュリティ経営ガイドラインとも通じますね)
    リスクマネジメントのやり方はSP800-37に定義されており、システムの分類→管理策の選択→管理策の実装→評価→(略)などのステップがありますが、SP800-53はこの中の「管理策の選択」に位置づく文書です。

  • 管理策の分類について。
    冒頭で20分類と書きましたが、本書ではこの分類を管理策ファミリーと呼びます。
    rev.4ではセキュリティ管理策×17ファミリー、プラグラムマネジメント管理策×1ファミリー、プライバシー管理策×8ファミリーありましたが、rev.5から統合されたようです。
    「20ファミリーなら大したことないじゃん」と思いきや、各ファミリーに数十個ずつの子管理策や孫管理策がぶら下がっています。
    例えばアクセス制御(AC)の管理策ファミリーにはAC-1~AC-25までの子供がおり、更にそのAC2にもAC2(1)~AC2(13)といった孫がいます。
    トータルで1189個の管理策があります(うち180は廃止・統合済)。
    なお、括弧無しのAC2みたいな管理策は「基本管理策」
    カッコ付きのAC2(1)みたいな管理策は「拡張管理策」と呼ばれます。
    拡張管理策は上級編みたいなもので、基本管理策の実施が前提です。

表 1 セキュリティおよびプライバシー管理策ファミリ ー

  • 本書の各管理策は「機能性」と「保証」のどちらか、あるいは両方に対応すると書かれています。
    「機能性」に関する管理策は、それ自体がセキュリティ強化に直接寄与するもの。
    「保証」に関する管理策は、ポリシー、手順、教育など、セキュリティ対策をしっかり働かせるための仕組みというイメージと捉えています。SP800-53の末尾にある付属書C「管理策の要約」一覧上、「この管理策は『保証』よりの管理策ですよ」と分かるようにフラグが付いています。

  • 管理策の選び方について。
    SP800-53には膨大な量の管理策がありますが、全てのシステムが全ての管理策を守ることがMUSTではありません。
    リスクマネジメントの一部ですから、システムの重要度に応じて軽重つけた対応を行います。
    その重要度は、SP800-53Bでは高/中/低の3段階と定められています。
    重要度の決め方はシンプルです。
    機密性・完全性・可用性(CIA)の3要素について、それぞれの要素が失われた時の影響度を高/中/低の3段階から選びます。そして、CIAの中で最も高い影響度が、そのシステムの分類となります。
    例えば機密性が中、完全性が低、可用性が低ならシステムとしては中レベルとなるイメージです。
    このレベルをもとにSP800-53Bの3章の表を見ると、各レベルに対して必要な管理策(ベースライン)が読み取れるようになっています。
    あわせて、この表には「プライバシー管理策ベースライン」の列もあり、rev.4まで別だったプライバシー管理策がrev.5の管理策ではどれにあたるのかを表しています。

  • 本書で挙げられている管理策は「これさえやれば絶対OK」とか「何がなんでも絶対全部やれ」というものではありません。
    拡張管理策含め、SP800-53と53Bから選んだベースラインをもとに各組織で取捨選択やカスタマイズ、追加、具体化をしながら(=テーラリングしながら)役立てることを前提としています。

(おまけ) 3章の管理策の一覧

SP800-53の管理策群のスプレッドシートがNISTから提供されています
しかし、これは当然英語版です。
IPAからはPDFの日本語版が提供されていますが、スプレッドシートの訳版までは提供されていないようだったので作りました。

このスプレッドシートの文章は、私がオリジナルで翻訳すると却って危険と考え、IPAのPDFの日本語訳文をそのまま使っています。
よって、「作った」というよりはPDFからExcelに転記した。というだけですが、転記ミス等あればご指摘ください。

なお、日本語版スプレッドシート作成にあたり以下2点に手を加えています。

  • 英語版の表は並び順が狂っていたので修正

  • rev.5からSP800-53と53Bが分かれたが、視認性の観点から53Bの第3章の表にある「プライバシー管理策ベースライン」「セキュリティ管理策ベースライン」列もマージ

次回以降、3章の管理策を読み進めます。先は長い。

***NIST SP800-53シリーズのリンク***

  1. NIST SP800-53の読み方:こちら(この記事)

  2. 管理策の概観、ACファミリー:こちら

  3. AT、AU、CA、CMファミリー:こちら

  4. CP、IA、IRファミリー:こちら

  5. MA、MP、PEファミリー:こちら

  6. PL、PM、PS、PTファミリー:こちら

  7. RA、SAファミリー:こちら

  8. SCファミリー:こちら

  9. SI、SRファミリー:こちら

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら


この記事が気に入ったらサポートをしてみませんか?