« 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。 | Main | 欧州司法裁判所 (CJEU) 個人データ保護に関する判例事例集 »


NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ




・2021.03.18 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD)


Announcement 発表内容
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as BYOD (Bring Your Own Device), provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの企業では、従業員が個人所有のモバイル・デバイスを使用して、業務上の活動を遠隔地で行うことをサポートしています。BYOD(Bring Your Own Device)として知られるこの一般的な慣行により、従業員はテレワークや組織の情報リソースへのアクセスをより柔軟に行うことができます。個人所有のデバイスから組織のデータにアクセスする際に、組織のデータを確実に保護すると同時に、従業員のプライバシーを確保することは、独自の課題と脅威をもたらします。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  この「モバイル・デバイス・セキュリティ」の目的は 実践ガイド「モバイル・デバイス・セキュリティ:個人所有のデバイスの持ち込み」の目的は、個人所有のモバイル・デバイスによる組織リソースへのアクセスを許可する際に、セキュリティとプライバシーのニーズを満たすために、標準ベースのアプローチと商業的に利用可能な技術の両方を使用するためのソリューション例を提供することです。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: 以下の質問に対する皆様のご意見をお待ちしております。
Does the guide meet your needs? このガイドはあなたのニーズを満たしていますか?
Can you put this solution to practice?  このソリューションを実践できますか? 
Are specific sections more/less helpful? 具体的にはどのような部分が参考になりますか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and Apple smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで仕事上の活動を行うことを指します。この実践ガイドでは、AndroidおよびAppleのスマートフォンのBYOD導入において、セキュリティとプライバシーを強化する方法を示すソリューション例を紹介します。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile first approach in which their employees communicate and collaborate primarily using their mobile devices. 組織にBYOD機能を導入すると、従業員の働き方がより柔軟になり、組織のリソースにアクセスする機会や方法が増えます。ある組織では、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、ポータブルなコミュニケーション・アプローチと適応性のあるワークフローが可能になります。また、従業員が主にモバイルデバイスを使ってコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する企業もあります。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を向上させる機能の一部は、企業とデバイスの所有者の両方に、セキュリティとプライバシーに関する独自の課題をもたらします。このような課題は、種類、年代、オペレーティングシステム(OS)、およびリスクのレベルが異なる多様なデバイスが存在することによって生じます。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premises data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, opening up the possibility of observation and control that would not otherwise exist. 企業内でBYOD機能を利用できるようになると、組織に新たなサイバーセキュリティ・リスクが生じます。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションは、BYOD のための効果的なサイバーセキュリティ・ソリューションを提供しません。BYOD の導入には固有のリスクが伴うため、効果的なソリューションを見つけることは困難です。さらに、BYOD 機能を有効にすると、雇用者が個人のデバイスにある程度アクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、従来は存在しなかった観察と管理の可能性が生じます。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. このプラクティスガイドでは、企業がBYODの柔軟性を活かしつつ、セキュリティとプライバシーに関する重大な課題の多くから自社を守るために、標準規格に準拠した市販の製品を使用したソリューション例と、段階的な導入ガイダンスを提供します。

・[PDF] SP 1800-22 Mobile Device Security: Bring Your Own Device (BYOD)


心してかかってください!、266ページあります (^^)...





Mobile Device Security: Bring Your Own Device


SP 1800-22B: Approach, Architecture, and Security Characteristics の目次の仮訳はここです。。。



1 Summary 1 概要
1.1 Challenge 1.1 課題
1.2 Solution 1.2 ソリューション
1.2.1 Standards and Guidance 1.2.1 基準とガイダンス
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 文字表記についてのルール
3 Approach 3 アプローチ
3.1 Audience 3.1 対象者
3.2 Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスク評価
4 Architecture 4 アーキテクチャ
4.1 Understanding Common BYOD Architecture Threats and the Example Solution’s Goals to Remediate Those Threats 4.1 BYODアーキテクチャの一般的な脅威の理解と、それらの脅威を修正するためのソリューション例の目標
4.1.1 Threat Events 4.1.1 脅威となるイベント
4.1.2 Privacy Problematic Data Actions 4.1.2 プライバシー上問題のあるデータ操作
4.1.3 Security and Privacy Goals 4.1.3 セキュリティおよびプライバシーに関する目標
4.2 Example Scenario: Putting Guidance into Practice 4.2 シナリオ例:ガイダンスの実践
4.3 Technologies that Support the Security and Privacy Goals of the Example Solution 4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1 Trusted Execution Environment 4.3.1 信頼できる実行環境
4.3.2 Enterprise Mobility Management 4.3.2 エンタープライズモビリティ管理
4.3.3 Virtual Private Network 4.3.3 仮想プライベートネットワーク
4.3.4 Mobile Application Vetting Service 4.3.4 モバイルアプリケーション審査サービス
4.3.5 Mobile Threat Defense 4.3.5 モバイル脅威の防御
4.3.6 Mobile Operating System Capabilities 4.3.6 モバイルオペレーティングシステムの機能
4.4 Architecture Description 4.4 アーキテクチャの説明
4.5 Enterprise Integration of the Employees’ Personally Owned Mobile Devices 4.5 従業員が個人的に所有するモバイルデバイスの企業への統合
4.5.1 Microsoft Active Directory Integration 4.5.1 Microsoft Active Directoryの統合
4.5.2 Mobile Device Enrollment 4.5.2 モバイルデバイスのエンロールメント
4.6 Mobile Components Integration 4.6 モバイルコンポーネントの統合
4.6.1 Zimperium–MaaS360 4.6.1 Zimperium-MaaS360
4.6.2 Kryptowire–MaaS360 4.6.2 Kryptowire-MaaS360
4.6.3 Palo Alto Networks–MaaS360 4.6.3 Palo Alto Networks-MaaS360
4.6.4 iOS and Android MDM Integration 4.6.4 iOS/Android MDMインテグレーション
4.7 Privacy Settings: Mobile Device Data Processing 4.7 プライバシー設定:モバイルデバイスのデータ処理
4.7.1 EMM: MaaS360 4.7.1 EMM:MaaS360
4.7.2 MTD: Zimperium 4.7.2 MTD:Zimperium
4.7.3 VPN: Palo Alto Networks 4.7.3 VPN:Palo Alto Networks
5 Security and Privacy Analysis 5 セキュリティとプライバシーに関する分析
5.1 Analysis Assumptions and Limitations 5.1 解析の前提条件と制限事項
5.2 Build Testing 5.2 ビルドテスト
5.3 Scenarios and Findings 5.3 シナリオと調査結果
5.3.1 Cybersecurity Framework and NICE Framework Work Roles Mappings 5.3.1 サイバーセキュリティフレームワークとNICEフレームワークの作業役割のマッピング
5.3.2 Threat Events and Findings 5.3.2 脅威となる事象とその結果
5.3.3 Privacy Problematic Data Actions and Findings 5.3.3 プライバシー上問題のあるデータ操作とその結果
5.4 Security and Privacy Control Mappings 5.4 セキュリティとプライバシーコントロールのマッピング
6 Example Scenario: Putting Guidance into Practice 6 シナリオ例:ガイダンスの実践
7 Conclusion 7 結論
8 Future Build Considerations 8 将来の構築に関する検討事項
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Standards and Guidance 附属書D 規格とガイダンス
Appendix E Example Solution Lab Build Testing Details 附属書E ソリューションラボの構築テストの詳細例
Appendix F Threat Event Test Information 附属書F 脅威イベントのテスト情報
Appendix G Example Security Subcategory and Control Map 附属書G セキュリティサブカテゴリーとコントロールマップの例
Appendix H Example Privacy Subcategory and Control Map 附属書H プライバシーサブカテゴリーとコントロールマップの例



« 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。 | Main | 欧州司法裁判所 (CJEU) 個人データ保護に関する判例事例集 »


Post a comment

(Not displayed with comment.)

Comments are moderated, and will not appear on this weblog until the author has approved them.

« 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。 | Main | 欧州司法裁判所 (CJEU) 個人データ保護に関する判例事例集 »