はじめに原文見出し:
「 Use non-privileged accounts or roles when accessing nonsecurity functions.」
見出し訳:
「セキュリティが、施されていない機能にアクセスする場合、特権のないアカウント或いは、特権のない役割を使う。」
本要件は、派生セキュリティ要件です。
この要件が、言っていることは、利用者が利用範囲、役割と対等な立場でアカウントへの権限付与やアクセス制御をもとめている事です。
現実世界で考え
¥300
3.1.5 最小特権の原理原則
はじめに原文見出し:
「Employ the principle of least privilege, including for specific security functions and privileged accounts.」
見出し訳:
「特定のセキュリティ機能及び特権アカウントを含む、最小特権の原理原則を採用する。」
本要件は、派生セキュリティ要件です。
セキュリティにおいては、本要件にある「特権」に限らず、何事も最小限にする事が原理原則です。
「なんでも
¥300
最小限の原理原則
最小限のセキュリティ要件NIST SP800関連に、「最小限の原理原則」と言葉が目につきます。
これは、同じくNIST FIPS200 「Minimum Security Requirements for Federal Information and Information Systems:連保政府の情報と情報システムへの最小限のセキュリティ要件」に述べられています。
この要件は、情報及び情報システムで処理、保存、伝送される情報の機密性、完全性、可用性の保護に関して、17の
はじめに原文見出し:
「Control the flow of CUI in accordance with approved authorizations.」
見出し訳:
「承認された権限に従って重要情報の流れを制御する。」
この要件からは、派生セキュリティ要件です。
恥ずかしながら、小生も最初、この文章はないを要求しているのだろうと感じました。
小生なりに原文の詳細説明を精査すると、「情報のあるべき動線(流れ)を設計し、それを制御し、不正な情報の流れを抑止或いは、監視に
はじめに原文見出し:
「Separate the duties of individuals to reduce the risk of malevolent activity without collusion.」
見出し訳:
「共謀のない悪意ある行動のリスクを減らすために個人の義務を別々にする」
本要件は、派生セキュリティ要件です。
「職務分掌」は、企業に勤めている方達には当たり前のお話かもしれませんが、改めて、定義を確認します。
一般的に「組織の内部統制を目的として、
はじめに原文見出し:
「Limit system access to the types of transactions and functions that authorized users are permitted to execute.」
見出し訳:
「認可(許可)された利用者が実行することを許可されている処理や機能の種類に対して、システムアクセスを限定する。」
この要件も、3.1.1同様、基本セキュリティ要件です。
組織にて必ず実施すべき共通的な基礎要件となります。
はじめに原文見出し:
「Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems).」
見出し訳:
「認可(許可)された利用者、認可(許可)された利用者に変わって処理するプロセス、及び他のシステムを含むデバイスに対するシステムアクセスを限定する。」
この要件は、基本セキュリティ要件です
はじめにNISTは、アメリカの国立標準技術研究所です。
英語では、National Institute of Standards and Technology 略して、 NIST です。
この名前だけでも、アメリカ連保政府関連の研究所であることを察することが出来ると考えています。
NISTの詳細は、Wikipedia 等に紹介されていますので、割愛しますが、NISTの中に幾つかの研究所があります。
その中で、情報技術研究所が存在し、その活動の一つとして、サイバーセキュリティ
