最小限の原理原則

最小限のセキュリティ要件

NIST SP800関連に、「最小限の原理原則」と言葉が目につきます。
これは、同じくNIST FIPS200 「Minimum Security Requirements for Federal Information and Information Systems：連保政府の情報と情報システムへの最小限のセキュリティ要件」に述べられています。
この要件は、情報及び情報システムで処理、保存、伝送される情報の機密性、完全性、可用性の保護に関して、17のセキュリティ関連分野をカバーしています。
余談になりますが、この要件項目は、NIST SP800-171 rev2に近似ですが、24年前半くらいにリリース予定のNIST SP800-171 rev3もrev2の14節から17節になります。より、近しい関係になりそうです。個人的な所感です。

この17の分野は、情報および情報システムを保護するための管理、運用、および技術的側面に対処する、広範でバランスのとれた情報セキュリティ・プログラムを表しているそうです。
余談ですが、原文には「連邦政府」と出てきますが、これは、連保政府に限ったことではなく、民間企業にも当てはまる事です。

---

「連邦政府内で事業全体の情報セキュリティ・プログラムを効果的に実施し、その結果、連保政府の情報および情報システムを保護するために採用されたセキュリティ対策を成功させるためには、方針と手順が重要な役割を果たす。
従って、組織は、最低限必要なセキュリティ要件を規定する、文書化された正式な方針と手順を策定し、公布しなければならず、また、その効果的な実施を確保しなければならない。」

---

１．アクセス管理(AC)：

企業は、権限のある利用者、権限のある利用者に代わって動作するプロセス、或いはデバイス(他の情報システムを含む)に対して情報システムのアクセスを制限(限定)しなければならず、権限のある利用者が、実行を許可されている処理や機能の種類に対して情報システムのアクセスを制限しなければならない。

２．意識向上と訓練(AT)：

組織は、次の事をしなければならない。

1.  組織の情報システムの管理者及び利用者は、組織の活動と関連したセキュリティリスク、組織の情報システムのセキュリティに関連する法律の適用、行政命令、指令、方針、標準、指示、規定、或いは手続きなどを認識する事を確立する。

2.  組織職員は、組織の割り当てられた情報セキュリティ関連の義務や実行責任を実行するために十分な訓練をされている

３．監視及び説明責任(AU)：

組織は、次の事をしなければならない。

1.  監視、分析、調査及び違法、非認可、未承認の情報システムの動作の報告を可能とするために必要とされる情報システムの監査記録を作成、保護、保持する

2. 個々の情報システムの利用者は、それらの利用者を個別に追跡でき、彼らの活動に対する説明責任を負うことが出来ることを確立する。

４．証明、認定、及びセキュリティ評価(CA)：

組織は次の事をしなければならない。

1. 管理が組織のアプリケーションに効果があるかを、判断するために組織の情報セキュリティのセキュリティ管理を定期的に評価する。

2. 組織の情報システムの欠陥を修正し、脆弱性を削減或いは排除するために設計された行動計画を策定及び実装する

3. 組織の情報システムの運用や関連した情報システムとの接続を許可する

4. 管理の継続的な有効性を保証する為に継続的に情報システムセキュリティ管理を監視する

５．構成管理(CM)：

組織は次の事をしなければならない。

1. それぞれのシステムの開発ライフサイクルを通じて、組織の情報システム(ハードウェア、ソフトウェア、ファームウェア及び文書など)の構成と棚卸の基盤を確立し維持管理する

2. 組織の情報システムに採用される情報技術製品にセキュリティ構成設定を確立し執行する

６．緊急対応計画(CP)：

組織は、確立し、維持管理しなければならず、重要な情報資源の可用性や有事の運用の継続性を確保するために組織の情報システムへの緊急対応、バックアップ運用、被災後の回復に対する有効性のある計画を実装する。

７．識別及び認証(IA)：

組織は、情報システムの利用者、利用者に代わって動作するプロセス、或いは装置を識別しなければならず、組織の情報システムにアクセスを許可する為の前提条件として、組織の利用者、プロセス、装置のIDを認証(或いは検証)しなければならない。

８．インシデント対応(IR)：

組織は次の事をしなければならない。

1. 十分な準備、検知、分析、封じ込め、回復、及び利用者の対応活動などを含む組織の情報システムへの運用可能なインシデント対処能力を確立する。

2. 組織の担当者及び／或いは部署が適切にインシデントの追跡、文書化、報告する。

９．維持管理(MA)：

組織は次の事をしなければならない。

1. 組織の情報システムの維持管理を定期的にタイムリーに実行する

2. 情報システムの維持管理を実行するために使用されるツール、技法、メカニズム及び職員に関する効果的な管理を提供する

１０．メディア保護(MP)：

組織は次の事をしなければならない。

1. 情報システムのメディア、文書の紙とデジタル両方を保護する

2. 権限のある利用者に情報システムのメディアに関する情報に対するアクセスを制限する

3. 捨てる或いは再利用に出す前に情報システムのメディアをサニタイズ或いは破壊する

１１．物理的及び環境的保護(PE)：

組織は次の事をしなければならない。

1. 権限のある個人に対して情報システム、機器及びそれぞれの運用環境などの物理的なアクセスを制限する

2. 物理的な施設及び情報システムへの支援インフラを保護する

3. 情報システムへの支援ユーティリティを提供する

4. 環境保全の危険性に対して情報システムを保護する

5. 情報システムを含む施設に適切な環境保全管理を提供する

１２．計画(PL)：

組織は、情報システムへの実施中或いは計画中のセキュリティ管理と情報システムにアクセスする個人への行動規則を説明する組織の情報システムへのセキュリティ計画を策定し、文書化し、定期的な更新し、実装をしなければならない。

１３．人的セキュリティ(PS)：

組織は次の事をしなければならない。

1.  (サードパーティのサービス提供者を含む)組織内の実行責任の立場に就いている個人は信頼され、組織の立場に確立されたセキュリティ判断基準を満たしていることを確保する

2. 組織の情報と情報システムは、終了及び転送のような社員の行動中及び後に保護されている。

3. 組織のセキュリティ方針と手続きを遵守しない社員への正式な処罰を採用する

１４．リスク評価(RA)：

組織は組織運営(ミッション、機能、イメージ或いは評判などを含む)、組織資産、個人、組織の情報システムと関連した組織の情報の処理、記憶、変換などの運用からの結果に対するリスクを定期的に評価しなければならない。

１５．システム及びサービスの習得(SA)：

組織は、次の事をしなければならない。

1. 組織の情報システムを充分に保護するために充分な資源を割り当てる

2. 情報セキュリティの考慮を織り込んだシステム開発のライフサイクルプロセスに採用する

3. ソフトウェアの利用法とインストールの規制を採用する

4. サードパーティの提供者は、組織から外部委託された情報、アプリケーション、及び／或いは、サービスを保護するために充分なセキュリティ手段を採用する事を確保する

１６．システム及び通信の保護(SC)：

組織は次の事をしなければならない。

1.  情報システムの外部の境界線と主要な内部の境界線における組織の通信(すなわち組織の情報システムによって転送或いは受信された情報)を監視し、制御し、保護する

2. 組織の情報システム内に有効な情報セキュリティを実現する構造的デザイン、ソフトウェア開発技法、システムエンジニアリングの原理原則を採用する

１７．システム及び情報の完全性(SI)：

組織は次の事をしなければならない。

1. 適宜、情報と情報システムの欠陥を特定し、報告し、是正する。

2. 組織の情報システム内の適切な箇所で悪意あるコードから保護を提供する

3. 情報システムセキュリティ警告を監視し、対応にふさわしい行動を取る。

以上