【要点抽出】NIST SP800-53 rev.5, 53B その4

ニキヌス

今回は以下目次の3つの管理策ファミリーを読みます。

https://www.ipa.go.jp/security/reports/oversea/nist/about.html

緊急時対応計画(CP)ファミリー

このファミリーには49個の管理策が属します。
これとは別に、後でインシデント対応(IR)ファミリーが登場します。
どちらも緊急時の対応ではありますが、CP=コンティンジェンシープランの略であり、こちらは事業継続や復旧に主眼を置いています。
子レベルの管理策は以下です。(グレー字は撤回された管理策)

表1.CPファミリーの管理策

「低」レベルのベースラインとして、緊急時対応計画を作り(CP-2)、関係者のトレーニングや計画のテストを行います(CP-3、CP-4)。
平常時は必要な情報のバックアップを取得(CP-9)し、いざシステムの中断や障害が起こったら、計画に基づいてRTOやRPOを満たしながらシステムを復旧し、再構成します(CP-10)。
復旧とは、事業機能を回復するための緊急時対応計画を実施することです。
再構成とは、システムを完全に稼働状態に戻すことです。
実施順序は、復旧→再構成です。

「中」レベルのベースラインとして、メインのデータセンタとは物理的に離れたサブのデータセンタ(代替保管サイト、代替処理サイト)(CP-6、CP-7)や、メインの通信手段が使えない場合の代替通信サービス(別のネットワーク回線や衛星など)(CP-8)の準備が求められます。
また、取得したバックアップデータを確実に取り出せることを確認するテスト(CP-9(1))や、バックアップの暗号化(CP-9(8))など、緊急時対応計画の実効性を確保する視点が加わります。

「高」レベルのベースラインとして、よりRTOやRPOを意識しつつ、確実に復旧するための準備が求められます。
例えば、緊急時対応トレーニングに様々なサイバー攻撃や災害をシミュレーションしたイベントを盛り込んだり(CP-3(1))、実際にサブのデータセンタでテストを行うことが求められます(CP-4(2))。
また、上述した代替通信サービスについても、メインとサブのサービスプロバイダを分けたり(CP-8(3))、そのプロバイダに緊急時対応計画を要求したり、緊急を想定したテストのエビデンスを求めたりします(CP-8(4))。
加えて、バックアップを取るだけでなく、更にそのコピーを別のシステムや耐火コンテナに保管することも求められます(CP-9(3))。

その他、ベースラインに選ばれていない管理策の中で印象的だったのは、システムのレジリエンスを評価するためにあえてシステムを停止・変更・重要な機能を低下させる「自己チャレンジ」についての管理策(CP-4(5))や、一旦サブのデータセンタに切り替えた後に、大規模災害などによりメインのデータセンタに復帰できない状況まで検討する管理策(CP-7(6))があったことです。いずれもなかなかそこまで踏み込んで検討している事例を見たことがない高度な例かと思いました。

識別および認証(IA)ファミリー

このファミリーには54個の管理策が属します。
子レベルの管理策は以下です。(グレー字は撤回された管理策)

表2.IAファミリーの管理策

「低」レベルのベースラインとして、ユーザを一意に識別・認証することが求められます(IA-2、IA-8)。
識別については「低」レベルでは特筆すべき管理策はありませんが、認証については以下が求められます。
なお、「オーセンティケータ」という言葉が登場しますが、パスワードや生体認証、OTPデバイス等を指しています。

  • 特権、非特権アカウントともに多要素認証を採用する(IA2-(1)、IA2-(2))

  • 時刻同期のワンタイムパスワード等のリプレイ攻撃耐性がある仕組みを採用する(IA2-(8))

  • 画面に認証情報を表示しない等のショルダーハッキング対策をする(IA-6)

  • ユーザの役割の変更やオーセンティケータ、クレデンシャルが変わった場合など特定のイベントにあわせて再認証を要求する(IA-11)

オーセンティケータに関する管理策は大量にあり、一部抜粋すると以下のようなものがあります(IA-5)。

  • オーセンティケータの初回配付の手順や、紛失、侵害、破損した場合の管理や失効手順を決める

  • オーセンティケータを初めて使用する前に、デフォルトのオーセンティケータを変更する

  • オーセンティケータを日頃しっかり守り、仮に紛失や侵害した際に報告することをユーザに求める

オーセンティケータの中でもパスワードを使う場合の管理策も定められています(IA-5(1))。これも一部抜粋です。

  • 弱いあるいは侵害済パスワードのリストをもとに、ユーザが指定するパスワードが合致しないことを確認する

  • ソルト付きのハッシュを使用してパスワードを保存する

  • スペースやすべての文字を含む長いパスワードをユーザが選択できるようにする

この他、PIVクレデンシャルやPIV-Iクレデンシャルという言葉が登場する管理策がありますが、これは米政府ならではの用語のようなので割愛します。

「中」レベルのベースラインとして、アイデンティティ証明に関する管理策が増えます。アイデンティティ証明とは、アカウントの初期登録時の身元確認です。身近な例でいえば運転免許証を確認するようなものです。
こうした確認無しにアカウントを登録することは当然ながら危険ですので、「アイデンティティ保証レベル」の要件に基づいた強度で身元確認をすることを求めています(IA-12)。アイデンティティ保証レベルはNIST SP800-63Aで詳しく解説されており、IAL1~3のレベルがあります。
また、何らかのデバイスをシステムやネットワークに接続する際に、EAPやEAP-TLS等を使ってデバイスの認証をすることを求めています(IA-3)。

「高」レベルのベースラインに含まれる管理策は2つのみです。
共有アカウントを使わせる場合は、共有アカウントを利用する前に個人単位で認証させること(IA-2(5))と、身元確認を対面で行うこと(IA-12(4))のみです。

その他、ベースラインに選ばれていない管理策としては、SSOの採用(IA-2(10))や経路外通信を用いた認証(IA-2(13))、外部組織とのフェデレーション(IA-5(9))、パスワードマネージャの採用(IA-5(18))、生体認証利用時のEERの考慮や「生きていることの検知」を求めること(IA-5(12)、IA-5(17))など、採用するかどうかは組織に委ねられるものの幅広い手法に言及しています。

このファミリーは、「中」「高」レベルのベースラインの少なさに比べて「低」レベルのベースラインが多く、その中には「こんなものまでベースラインとして求めるのか」といったものもありました。
それだけアイデンティティ管理を狙った侵害が多く、システムの重要度によらずにしっかり管理するべきという考えの現れなのかもしれません。

インシデント対応(IR)ファミリー

このファミリーには40個の管理策が属します。
子レベルの管理策は以下です。(グレー字は撤回された管理策)

表3.IRファミリーの管理策

「低」レベルのベースラインとして、インシデント対応計画を立て(IR-8)、インシデントのチケット管理システムやフォレンジックサービスなどの必要なツール・リソースを準備しながら(IR-7)教育やトレーニングを行い(IR-2、IR-6)、実際にインシデントが起きたら対応をした上で(IR-4)、その詳細を文書化し(IR-5)更なる改善につなげることが求められます。
計画から実施までの流れがざっと書かれている感じです。

「中」レベルのベースラインとして、各種自動化が求められます。
インシデントの処理プロセス(IR-4(1))、インシデント報告(IR-6(1))、ユーザがインシデント対応支援を受けるためのやりとり(IR-7(1))の自動化が求められます。
加えて、システムのインシデント対応能力をテストしておくこと(IR-3)や、サプライチェーンとの連携(IR-6(3))も求められます。

「高」レベルのベースラインとして、インシデント対応トレーニングにシミュレーションイベントを組み込む(IR-2(1))ことや、インシデント対応の専門家である「統合インシデント対応チーム」の構築(IR-4(11))が求められます。
更にここでも自動化の記載が続き、インシデント対応トレーニング環境(IR-2(2))やインシデントを追跡・情報収集・分析する仕組みIR-5(1)の自動化が言及されているものの、具体的なイメージは分かりませんでした。

その他、ベースラインに選ばれていない管理策としては、SOCの設立(IR-4(14))、インシデント対応時にネットワークACLやIPS等を動的に設定変更して攻撃を遮断できるようにしておく(IR-4(2))、インシデント発生後に行うべきシステムの停止や縮退の方針を決めておく(IR-4(3))、インシデントに関する広報活動の管理(IR-4(15))など重要なものがあり、ベースライン同様に考えるべきものが多いように思いました。

また、組織内部の不正(インサイダー脅威)に対処する管理項目(IR-4(6)、IR-4(7))もあり、外部の脅威に比べて連携すべき組織が変わる(例えば人事部など)ところは抑えておくべきポイントだと思います。

***NIST SP800-53シリーズのリンク***

  1. NIST SP800-53の読み方:こちら

  2. 管理策の概観、ACファミリー:こちら

  3. AT、AU、CA、CMファミリー:こちら

  4. CP、IA、IRファミリー:こちら(この記事)

  5. MA、MP、PEファミリー:こちら

  6. PL、PM、PS、PTファミリー:こちら

  7. RA、SAファミリー:こちら

  8. SCファミリー:こちら

  9. SI、SRファミリー:こちら

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?