May 28, 2022

NIST SP 800-171暗号化とコンプライアンス:FAQ

NIST SP800-171と言えば、イマドキのセキュリティエンジニア必読だが、81枚にも及ぶボリュームだ。
一方、FAQの方は、骨子が読みやすくまとまっていそうなので、機械翻訳の上で、少々手を加えてみた。

以下は、FAQの内容である。
  ↓

連邦政府の請負業者と毎日協力していると、暗号化とNIST SP 800-171コンプライアンスに関する多くの質問があります。基本的な事と感じる人もいるかもしれませんが、誰もが情報技術の専門家であるとは限らず、多くの人がこの政府のコンプライアンスモンスターに自分で、または限られたリソースで取り組んでいます。だから、お手伝いしましょう。

暗号化とは何ですか?

NIST SP 800-171の目的での暗号化とは、ハードウェアまたはソフトウェアを使用して情報を暗号で保護し、意図された者のみ情報にアクセスできるようにすることを意味します。ファイル、データ、またはハードドライブが暗号化されている場合、権限のない人がその情報を持っていても、キーやパスワードを持っていないと、情報を読み取ることができませんでした。800-171で懸念される暗号化には、保存データと転送中のデータの2つの主要なタイプがあります。

保存データ(DAR: Data At Rest)の暗号化とは何ですか?

保存データの暗号化とは、デバイスに保存されている間のデータの暗号化です。電源を切った後に携帯電話のロックを解除し、PINを入力する必要がある場合は、そのデバイスでDAR暗号化を使用している可能性があります。もし誰かがPINを持っておらず、携帯電話の電源がオフでログインしていない場合、データにアクセスできません。

ワークステーション/ラップトップ/モバイルデバイス/サーバーで保存データ(DAR)暗号化が必要ですか?

NIST SP 800-171で保存データの暗号化が必要かどうかについて、答えは「場合による」という事です。DAR暗号化は、CUI(Controlled Unclassified Information)を格納するすべてのモバイルデバイス(ラップトップ、タブレット、携帯電話)に必要です。NIST SP 800-171準拠では、デスクトップまたはサーバーのDAR暗号化は必要ありません。  

NIST SP 800-171とは? 解説と対策https://www.manageengine.jp/solutions/nist_publications/nist_SP800-171/lp/

『米国政府は機密情報を(Classified Information, CI)、機密情報以外の重要情報を(Controlled Unclassified Information, CUI)として管理しています。

NIST SP 800-171は、機密情報以外の重要情報(CUI)を扱う民間企業が実施すべきセキュリティ対策をまとめたガイドラインです。』

NIST SP 800-53とは? 解説と対策https://www.manageengine.jp/solutions/nist_publications/nist_SP800-53/lp/

『NIST SP 800-53は、米国政府内の情報システムをより安全なものにし、効果的にリスク管理するためのガイドラインです。

.. 政府組織だけでなく民間組織においてもNIST SP 800-53を活用するよう推奨しています。』

800-171の観点からは、デスクトップとサーバーは施設の安全な境界内にあり、他の制御と保護が実施されます。これに関連する主なコントロールは、3.1.19「モバイルデバイスでCUIを暗号化する」です。

特定の連邦契約要件や別のコンプライアンス要件など、他の要件の下でサーバーまたはデスクトップにDAR暗号化を利用する必要がある場合があることに注意してください。DAR暗号化は、デバイスの紛失や盗難によるデータの損失を防ぐための安価で簡単な保険です。

転送中のデータの暗号化(DIT)とは正確には何ですか?

転送中のデータの暗号化は、移動中のデータの暗号化です。これにより、機密情報がネットワークまたはインターネット上を移動するときに、機密情報への不正アクセスを防ぐことができます。これにより、機密情報の「スヌーピング」が防止されます。銀行などのWebサイトにサインオンすると、DIT暗号化を使用して、信頼できないパブリックインターネットからトランザクションを安全に保つことができます。

では、転送中のCUIデータの暗号化が必要ですか?

800-171準拠の情報システムの境界内では、データの移動時(DIT: Data In Transit)にデータを暗号化する必要はありませんが、インターネットなどの信頼できない安全でないネットワーク間を移動するとすぐに、データを暗号化する必要があります。  

最も安全なWebサイト、政府のWebサイト、銀行のWebサイト、そして次第に通常のインターネットでさえ、このタイプの暗号化を実施するようになったため、機密データがインターネット上で盗聴されることはありません。

DIT暗号化に関連する統制は、主に3.13.8、「代替の物理的保護手段によって保護されていない限り、転送中にCUIが不正に開示されるのを防ぐための暗号化メカニズムを実装する」です。  

どのタイプの暗号化製品を使用する必要がありますか?

多くの場合、この質問は最も差し迫ったものです。政府は1つのベンダーをサポートまたは承認せず、1つの制限付きで請負業者に選択を任せます。CUIを保護するために使用されるデータ暗号化は、FIPS検証済み(FIPS: Federal Information Processing Standards、連邦情報処理標準)である必要があります。

FIPSの「準拠」暗号化とは何ですか?AESは十分ではありませんか?  

FIPS検証済みとは、製品が適切に設計され、期待どおりに機能していることを確認するために、通常、ラボなどの承認された認証局を介して、製品が暗号化モジュールを政府に提出したことを意味します。  

連邦政府のコンプライアンスの観点から、暗号化がFIPSで検証されていない場合は、プレーンテキストである可能性があります。実際のアプリケーションでは、これは正しくありませんが、政府のコンプライアンスの観点からは正しいです。暗号化モジュールを取得するプロセス全体は時間がかかり、複雑であり、ほとんどのベンダーは、連邦政府の人口統計を対象としない限り、それを通過することを望んでいません。  

ベンダーの製品がFIPSで検証されているかどうかを確認する方法は、一つだけあります。政府が設定した検証システムを介するものです。お気に入りのベンダーの営業チームは、FIPSに準拠していることを伝えたいと思います。これは通常、AESなどの承認された暗号化モジュールを使用していることを意味しますが、ほとんどの場合、実際にはFIPSで検証されていません。  

ベンダーに尋ねる必要があるのは、暗号化モジュールの証明書番号が何であるかだけです。次に、ここでその証明書番号を検索でき ます。
( https://csrc.nist.gov/Projects/cryptographic-module-validation-program/Validated-Modules/Search )

選択した製品の証明書を取得したら、それをシステムセキュリティプラン(SSP)の証拠ドキュメントに追加できます。しかし、それはまったく別のブログ投稿です。

これらすべてを結び付けるために、請負業者が見落としている非常に一般的なことの1つは、モバイルデバイスでの暗号化のFIPS検証です。  

モバイルデバイスはFIPSで検証および暗号化されていますか?  

いくつかのAndroidフォンはFIPS検証済みであり、iPhoneは通常、一定期間内に検証されますが、多くの場合、iOSはFIPS検証よりもバージョンが遅れています。CUIを含む可能性のあるモバイル用のBYOD(個人所有のデバイスの持ち込み)設定がある場合は、ユーザーが使用しているデバイスやFIPS検証済みのデバイスがわからない可能性があるため、特に注意する必要があります。この投稿の日付の時点では、Outlook MobileもIntuneもFIPSで検証されていません。

ラップトップで、BitLocker暗号化を使用している場合、システムはFIPSモードになっていますか?BitLockerはFIPSで検証されていますが、FIPSモードである必要があります

NIST 800-171コンプライアンスとは何ですか?

NIST 800-171準拠とは、通常、組織がNIST SP 800-171統制に準拠するための努力をしたことを意味し ます。これは、非連邦システムにおける制御された未分類情報の保護に重点を置いています。つまり、連邦政府の情報システム保護の範囲を超えて、商業空間で政府の機密データを保護します。

NIST 800-171 Compliance Services https://www.fullscopeit.com/it-support/nist-compliance-services/

NIST SP 800-171の現在のバージョンには、アクセス制御、インシデント対応、人員のセキュリティなど、14の異なる領域に110の制御があります。各領域には、いくつかの基本的なセキュリティ要件と派生したセキュリティ要件があります。これらの要件を完了しようとしている組織は、多くの場合、完了する項目の簡単なNIST 800 171コンプライアンスチェックリストを探しますが、要件にはかなりの時間とリソースが必要です。それほど単純ではありません。

組織がNIST800-171に準拠していると誰かが言った場合、それらはいくつかのことを意味する可能性があります。

  1. 彼らの組織は現在、システムセキュリティ計画(SSP)を実施しており、少なくとも将来のある時点で残りの109の統制に準拠するための行動計画とマイルストーン(POAM)を実施しています。
  2. 彼らの組織は現在、110のコントロールの数に準拠しており、まだ実装していない残りのコントロールの行動計画とマイルストーン(POAM: Plan Of Action and Milestones)を持っています。これは、特に時間やリソースを消費することを証明している可能性があります。
  3. 彼らの組織は、NIST SP 800-171内から110の要件をすべて完了しており、「完全に準拠している」と考えています。

2018年の終わりまで、最初のオプションが最も費用対効果の高いルートであると考えた多くの連邦請負業者を見ました。ただし、政府機関が授与前および授与後のプロセスでSSPおよびPOAMを検討し始めるにつれて、これは連邦契約の中小企業の世界で急速に変化しています。プライムは、執行とサプライチェーンの調査も強化しました。NIST800-171に準拠していることを確認する単一ページのチェックボックスフォームは、もはや見られませんが、代わりに詳細な質問書、完全なSSPの要求、POAMの詳細なレビューが行われています。

NIST 800-171に関するもう1つの重要な注意事項 – 過剰なコストや実装の難しさなど、他のフレームワークで見られるような従来のコンプライアンスの例外は見られません。会社と契約する代理店のCIOから書面による例外がない限り、遵守する必要があります。そうでない場合、それはPOAMにある必要があり、代理店は契約の授与中に管理された情報の保護の穴を検討することができます(そしておそらくそうするでしょう)。  

NISTは何の略ですか?

NISTは、National Institute of Standards and Technology の略です。米国国立標準技術研究所と訳されます。NISTは米国商務省の一部であり、連邦情報技術標準の多くを作成する責任があります。NISTは、とりわけ情報技術に関連するほとんどすべての優れた参考資料をリリースしています。

NIST認定を取得するにはどうすればよいですか?

NIST 800-171のことでしたら、取得はできません。現在、NIST 800-171認定はありません。あなたにそれを売ろうとしている人が居たら、誰であっても距離を置くべきです。他のいくつかのNIST標準には、NIST 800-53やFedRAMP承認など、関連する認証または検証が含まれている場合がありますが、連邦請負業者として、NISTの認証について心配する必要はありません。NIST 800-171は現在、コンプライアンスについて自己評価されています。政府契約の顧客やプライムは、管理された非機密情報のセキュリティに関する要件を遵守しているかどうかを確認するために、システムセキュリティ計画(SSP)や行動計画・マイルストーン(POAM)の閲覧を求めるなど、何らかの形であなたに情報を送る可能性があります。

これらのタイプの問題の解決策が必要な場合は、お気軽に  お問い合わせください。
 https://www.fullscopeit.com/contact/
私たちがお手伝いします。

No comments: