こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティの日です。っということで、先週の続きでCSFについて調べようと先週紹介したリンクをたどってみました。
[興味深い文書がいっぱい]
IPAのサイトで、CSFについてズバリ書いたのがあると思い、ページの頭から当該文書をダウンロードを始めたのですが途中で、手が止まりました。それは、同ページでリンクされている文書量が半端ではないのです。内容をみると、これからシステムを作る上で関係しそうな文書ばかりなので、どんなタイトルがあるのかちょっと、調べてみました。
[セキュリティ関連NIST文書についての概要]
IPAの「セキュリティ関連NIST文書について」というページの内容を一望すると、以下の文書構成になっています。
OMB文書
FIPS
SP
そして、先週紹介したCSFはその他の文書という扱いです。しかも、当該文書群の一番下・・・。
FIPSは、情報処理の試験ではおなじみのセキュリティに関する文書です。ちょっと、興味が出てきたので、どのような文書なのかChatGPTに聞いてみました。
[OMB文書]
まずは、OMB文書から聞いてみました。
OMB(Office of Management and Budget, 米国管理予算局)の文書は、米国連邦政府の予算編成や行政運営に関するポリシーを定めたものです。OMBは、連邦政府全体のリソース管理を行い、政策や計画を実行する上での基準を提供する役割を担っています。
■OMB文書の特徴
❶ポリシーガイドライン
・OMB文書は、連邦機関が政策やプログラムを計画、実行、監査する際に従うべき指針を提供します。
・特に、情報技術やセキュリティの分野では、NISTの文書(SPシリーズ)と連携して使用されることが多いです。
❷行政管理の標準化
・連邦政府全体で一貫した運用を行うために、財務管理、セキュリティ管理、情報公開などの基準が含まれています。
❸連邦情報セキュリティ管理法(FISMA)との関係
・OMB文書は、FISMAの実施を支援する重要な役割を果たしており、各機関がNIST SPシリーズをどのように適用すべきかを補足します。
■代表的なOMB文書
以下は、OMB文書の中でもよく知られているものや重要なものです。
@OMB Circular A-130
・正式名称: Managing Information as a Strategic Resource
・概要:
┣情報資源管理(IRM)のポリシーを定めています。
┣情報技術(IT)の管理、セキュリティ、プライバシー、記録管理に関する連邦政府全体の基準。
┗NIST SPシリーズ(例: SP 800-53)の適用における基本方針を規定。
AOMB Memoranda(覚書)
OMBは特定の課題や新しい政策に対応するために、メモランダム(Memos)を発行します。以下がその例です:
┣M-22-09: Moving the U.S. Government Towards Zero Trust Cybersecurity Principles
┃┗ゼロトラストアーキテクチャ(ZTA)の導入に関する指針。
┗M-17-25: Reporting Guidance for FISMA Metrics
┗FISMAのセキュリティメトリクス報告に関する詳細指針。
BOMB Circular A-11
・概要:
1)予算編成およびパフォーマンス管理に関する指針。
2)政府機関が予算提案を行う際の基準を提供。
COMB Circular A-76
・概要:
政府業務を民間委託するかどうかの基準を定めた文書。
■OMB文書とNIST文書の関係
・OMB文書は政策の枠組みや政府全体の運用基準を定め、連邦機関が従うべき方針を指示します。
・NIST文書(例: SP 800シリーズ)は、具体的な技術的実践ガイドラインを提供します。
┗例えば、OMB Circular A-130で定められたセキュリティ管理基準を実現するために、NIST SP 800-53を参照することが求められます。
■OMB文書の活用方法
・連邦政府機関: OMBの指針に基づき、予算管理やセキュリティポリシーの実行計画を立てます。
・民間企業: 連邦機関と契約する際、OMB文書で求められる基準(特にITやセキュリティ)を理解し、準拠する必要があります。
OMB文書は、米国連邦政府の予算編成や行政運営に関するポリシーを定めたモノなのですが、その中の「OMB M-04-04連邦政府機関向けの電子認証にかかわるガイダンス」という文書を紹介したく、このページに持ってきたようです。
[FIPS]
続きましては、情報処理試験を受ける人にはおなじみの、FIPSに関して、ChatGPTに解説をしてもらいましょう!
FIPS(Federal Information Processing Standards, 連邦情報処理規格)は、米国連邦政府が情報技術やデータセキュリティの分野で利用するために制定した標準規格です。FIPSは、連邦政府機関とその契約業者に義務付けられており、情報システムやセキュリティ製品の調達や使用において重要な役割を果たします。
■FIPSの目的
❶連邦政府内の統一性の確保
各機関が異なるセキュリティ基準を使用するのではなく、統一された規格に基づく運用を実現。
❷セキュリティの確保
データの機密性、完全性、可用性を保護し、サイバーセキュリティリスクを軽減。
❸相互運用性の向上
システム間での安全なデータ交換を可能にする。
■FIPSの法的根拠
FIPSは、情報技術管理改革法(ITMRA)や、連邦情報セキュリティ管理法(FISMA)に基づき、NIST(National Institute of Standards and Technology, 米国国立標準技術研究所)が作成・維持しています。
■主要なFIPS規格
以下は、広く採用されている重要なFIPS規格の例です:
@FIPS 140シリーズ: 暗号モジュールのセキュリティ要件
・FIPS 140-2(現行標準)
┣暗号モジュール(例: 暗号化ライブラリ、ハードウェアセキュリティモジュール)のセキュリティ基準。
┗セキュリティレベル: レベル1(最低限の保護)〜レベル4(最高レベルの物理的セキュリティ)。
・FIPS 140-3(次世代標準)
┗国際規格ISO/IEC 19790に基づいて更新され、より厳密なセキュリティ基準を規定。
AFIPS 199: 情報と情報システムのセキュリティ分類
情報とシステムを、機密性・完全性・可用性の観点から「低(Low)」「中(Moderate)」「高(High)」に分類。
BFIPS 200: 最低限のセキュリティ要件
・FISMAに基づき、連邦政府情報システムが満たすべき最低限のセキュリティ要件を規定。
・セキュリティ管理策の詳細は、NIST SP 800-53で補完されています。
CFIPS 201: 個人認証のための標準
・連邦職員や契約業者の身分証明書の標準化(PIVカード: Personal Identity Verification)。
・生体認証、スマートカード技術を使用して、物理的および論理的アクセス制御を実現。
DFIPS 197: 高度暗号化標準(AES: Advanced Encryption Standard)
・データ暗号化のための標準アルゴリズムとして、対称鍵暗号方式AESを規定。
・米国連邦機関だけでなく、世界中の産業界や政府機関で使用されている。
EFIPS 180シリーズ: セキュアハッシュアルゴリズム(SHA)
・データのハッシュ化に使用されるアルゴリズムを規定。
例: SHA-1、SHA-256、SHA-512。
■FIPSの適用範囲
・連邦政府機関
FIPS準拠は連邦機関に必須であり、調達・運用において適用されます。
・政府契約業者
政府と契約する民間企業も、システムや製品がFIPSに準拠している必要があります。
・国際的利用
一部のFIPS規格(特にAESやSHA)は、米国以外でも広く採用されています。
■FIPS準拠の確認方法
・製品がFIPSに準拠しているかどうかは、NISTが管理するCMVP(Cryptographic Module Validation Program)で認証されたモジュールを使用しているかで判断されます。
・NISTのウェブサイトで認証済みモジュールや製品を確認可能です。
■FIPSの最新動向
・FIPS 140-3の導入
140-3は国際規格に整合した内容となり、暗号モジュールの要件がさらに厳密化されています。2021年9月からFIPS 140-3が有効になりました。
・クラウドサービスでのFIPS準拠
FedRAMP認証において、クラウドプロバイダは暗号化にFIPS 140準拠のモジュールを使用する必要があります。
以上です。なお、私が試験のために勉強したときは、FIPS 140-2の暗号モジュールのセキュリティ要件について出題されていたと記憶していますが、そのバージョンも2021年に1つ上がり、現在はFIPS 140-3となっているようです。
これからIPAの試験を受験する人は気を付けた方がいいかもしれません。
[SPシリーズ]
そして、最後にSPシリーズについてChatGPTに調べてもらいました。
NIST(アメリカ国立標準技術研究所)の文書の中で「SP」で始まる文書群は、Special Publication (特別刊行物) シリーズを指します。このシリーズは、情報技術、特にセキュリティやプライバシーに関するガイドライン、フレームワーク、標準を提供する文書群として広く知られています。
■主な特徴と役割
❶セキュリティおよびプライバシーのガイドライン
NIST SPシリーズは、主に情報セキュリティおよびプライバシーに関連するベストプラクティスやフレームワークを提供します。特に政府機関や民間企業が安全なシステムを構築し、運用するための指針として利用されています。
❷特定の用途やテーマごとの詳細
各SP文書は特定のテーマや課題に特化しており、詳細な技術ガイドラインや推奨事項が含まれています。
❸米国連邦政府の基準としての役割
米国政府機関が情報システムのセキュリティを管理する際に、FISMA(連邦情報セキュリティ管理法)の下でこれらのガイドラインを適用することが義務付けられています。ただし、民間企業や他国の組織でも参考にすることが多いです。
■主なカテゴリ
以下に、NIST SPシリーズの代表的なカテゴリとその概要を示します。
@NIST SP 800シリーズ
・対象: 情報セキュリティに関するガイドライン
・例:
┣SP 800-53: セキュリティおよびプライバシー管理策のカタログ
┣SP 800-171: 非機密連邦情報の保護(CUI)に関する要件
┣SP 800-61: セキュリティインシデント対応ガイドライン
┗SP 800-63: デジタルIDガイドライン
ANIST SP 500シリーズ
・対象: 情報技術の標準化とベンチマーク
・特徴: 研究や技術実験の結果に基づいた文書が多い。
BNIST SP 1800シリーズ
・対象: 実践的なセキュリティ実装に関するプレイブック
・特徴: サイバーセキュリティフレームワーク(CSF)の応用を具体的な事例を通じて示します。
■NIST SPシリーズの利用方法
・政府機関: セキュリティフレームワークを構築・運用する際の基準として使用。
・民間企業: ベストプラクティスを取り入れて、業務のセキュリティを強化。
・教育機関: 情報セキュリティ教育の教材として活用。
・研究者: 新しいセキュリティ技術や実践方法の研究材料として参照。
[あとがき]
本日は、CSFを調べようと思ったのですが、これからシステムを製造するにあたり、興味をそそるタイトルが複数あったため、ちょっと寄り道して、興味をそそられる文書群について調べてみました。以上の文書は50前後あり、ダウンロードしたモノの中には数百ページあるものもあります。関係しそうもないものもあるので、開発していく過程で、必要に応じて読んでいきたいと思います。
なお、以上の文書と、CSFとの関係について、ChatGPTは以下のように回答しています。
CSFは、FIPSやNIST SPシリーズなどの標準と深い関係を持ち、それらを基盤として設計された柔軟で包括的なフレームワークです。これらの文書群はCSFの導入や運用を具体的にサポートし、セキュリティ成熟度の向上を実現します。CSF導入時には、それぞれの文書がどの機能に対応するかを把握し、適切に参照することが重要です。
CSFの導入を検討するにあたり、特にFIPSやSPシリーズは具体的な導入検討に役立ちそうです。これから、分析を進めていきますが、必須の知識なのかもしれません。
では、また!
