NIST White Paper ドラフト データ格付の実践:データ中心のセキュリティ管理の促進
こんにちは、丸山満彦です。
NISTがIデータ格付の実践:データ中心のセキュリティ管理の促進についての白書のドラフトが公開され、意見募集していますね。。。
● NIST - ITL - Computer Security Resource Center
・2021.05.19 White Paper (Draft) [Project Description] Data Classification Practices: Facilitating Data-Centric Security Management
・[PDF] Draft Project Description
Announcement | 発表 |
The National Cybersecurity Center of Excellence (NCCoE) has released a new draft project description, Data Classification Practices: Facilitating Data-Centric Security. This begins a process to further identify project requirements, scope, and hardware and software components for use in a laboratory environment. | National Cybersecurity Center of Excellence(NCCoE)は、新しいプロジェクト案「データ格付の実践:データ中心のセキュリティ管理の促進」を発表しました。これにより、実験室環境で使用するためのプロジェクトの要件、範囲、ハードウェアおよびソフトウェアコンポーネントをさらに特定するプロセスが開始されます。 |
The NCCoE will solicit participation from industry to develop an approach for defining data classifications and data handling rulesets and for communicating them to others. In addition, this project will attempt a basic proof-of-concept implementation that will include limited data discovery, analysis, classification, and labeling capabilities, as well as a rudimentary method for expressing how data with a particular label should be handled for each use case scenario. This project will result in practice guides and other publications to encourage increased standardization and adoption of data classification methods. | NCCoEは、データ格付とデータ処理ルールセットを定義し、それを他の人に伝えるためのアプローチを開発するために、産業界からの参加を募ります。さらに、このプロジェクトでは、限られたデータの発見、分析、格付、ラベル付けの機能と、ユースケースのシナリオごとに特定のラベルを持つデータをどのように処理するかを表現する初歩的な方法を含む、基本的な概念実証の実装を試みます。このプロジェクトでは、データ分類方法の標準化と採用を促進するため、プラクティスガイドなどの出版物を作成します。 |
Abstract | 概要 |
As part of a zero trust approach, data-centric security management aims to enhance protection of information (data) regardless of where the data resides or who it is shared with. Data-centric security management necessarily depends on organizations knowing what data they have, what its characteristics are, and what security and privacy requirements it needs to meet so the necessary protections can be achieved. Standardized mechanisms for communicating data characteristics and protection requirements are needed to make data-centric security management feasible at scale. This project will examine such an approach based on defining and using data classifications. The project’s objective is to develop technology-agnostic recommended practices for defining data classifications and data handling rulesets and for communicating them to others. This project will inform, and may identify opportunities to improve, existing cybersecurity and privacy risk management processes by helping with communicating data classifications and data handling rulesets. It will not replace current risk management practices, laws, regulations, or mandates. This project will result in a freely available NIST Cybersecurity Practice Guide. | データ中心のセキュリティ管理は、ゼロトラスト・アプローチの一環として、データがどこにあるか、誰と共有されているかにかかわらず、情報(データ)の保護を強化することを目的としています。 データ中心のセキュリティ管理は、組織がどのようなデータを持っているか、その特性は何か、必要な保護を達成するために満たすべきセキュリティおよびプライバシーの要件は何かを知ることに必然的に依存します。データ中心のセキュリティ管理を大規模に実現するためには、データの特性と保護要件を伝達するための標準的なメカニズムが必要です。このプロジェクトでは、データ格付の定義と使用に基づいて、そのようなアプローチを検討します。このプロジェクトの目的は、データ格付とデータ処理ルールセットを定義し、それを他者に伝えるための技術にとらわれない推奨プラクティスを開発することである。本プロジェクトは、データ分類とデータ取り扱いルールセットの伝達を支援することで、既存のサイバーセキュリティとプライバシーのリスク管理プロセスに情報を提供し、改善の機会を見出すことができる。本プロジェクトは、現行のリスクマネジメントの実践、法律、規制、または義務に取って代わるものではありません。このプロジェクトは、自由に利用できるNISTのサイバーセキュリティ実践ガイドになる予定です。 |
1 Executive Summary | 1 エグゼクティブサマリー |
Purpose | 目的 |
Scope | 範囲 |
Assumptions/Challenges | 前提・課題 |
Background | 背景 |
2 Scenarios | 2 シナリオ |
Scenario 1: Financial sector | シナリオ1:金融部門 |
Scenario 2: Government sector | シナリオ2:官公庁 |
Scenario 3: Manufacturing sector | シナリオ3:製造業 |
Scenario 4: Technology sector | シナリオ4:技術部門 |
Scenario 5: Healthcare sector | シナリオ5:ヘルスケア分野 |
3 High-Level Architecture | 3 ハイレベル・アーキテクチャ |
Component List | コンポーネントリスト |
Desired Security Capabilities | 望ましいセキュリティ機能 |
4 Relevant Standards and Guidance | 4 関連する規格とガイダンス |
Appendix A References | 附属書A 参考文献 |
Appendix B Acronyms and Abbreviations | 附属書B 頭語と略語 |
1 EXECUTIVE SUMMARY | 1 エグゼクティブサマリー |
Purpose | 目的 |
A critical factor for achieving success in any business is the ability to share information and collaborate effectively and efficiently while satisfying the security and privacy requirements for protecting that information. Conventional network-centric security measures focus on protecting communications and information systems by providing perimeter-based security with multiple complex layers of security around users, hosts, applications, services, and endpoints. | あらゆるビジネスにおいて成功を収めるためには、情報を保護するためのセキュリティおよびプライバシーの要件を満たしながら、情報を共有し、効果的かつ効率的に協働できるかが重要です。従来のネットワークを中心としたセキュリティ対策は、ユーザー、ホスト、アプリケーション、サービス、エンドポイントなど、複数の複雑なセキュリティ層を持つ境界ベースのセキュリティを提供することで、通信や情報システムを保護することに重点を置いていました。 |
This model is increasingly ineffective for protecting information as systems become more dispersed, mobile, dynamic, and shared across different environments and subject to different types of stewardship. | このモデルは、システムがより分散し、モバイル化し、動的になり、異なる環境で共有され、異なるタイプのスチュワードシップを受けるようになると、情報の保護にはますます効果的ではなくなります。 |
As part of a zero trust approach [1], data-centric security management aims to enhance protection of information (data) regardless of where the data resides or who it is shared with. Data-centric security management necessarily depends on organizations knowing what data they have, what its characteristics are, and what security and privacy requirements it needs to meet so the necessary protections can be achieved. Standardized mechanisms for communicating data characteristics and protection requirements across systems and organizations are needed to make data-centric security management feasible at scale. The desired approach for this is to define and use data classifications, and this project will examine that approach. | ゼロ・トラスト・アプローチ [1] の一環として、データ中心のセキュリティ管理は、データがどこに存在するか、誰と共有されているかに関わらず、情報(データ)の保護を強化することを目的としています。データ中心のセキュリティ管理は、組織がどのようなデータを持っているか、その特性は何か、必要な保護を達成するために満たす必要のあるセキュリティおよびプライバシーの要件は何かを知ることに必然的に依存します。データ中心のセキュリティ管理を大規模に実現するためには、システムや組織間でデータの特性や保護要件を伝達するための標準的なメカニズムが必要です。そのための望ましいアプローチは、データの格付を定義して使用することであり、本プロジェクトではそのアプローチを検討します。 |
This document defines a National Cybersecurity Center of Excellence (NCCoE) project on which we are seeking feedback. The project focuses on data classification in the context of data management and protection to support business use cases. The project’s objective is to define technology-agnostic recommended practices for defining data classifications and data handling rulesets, and communicating them to others. Organizations will also be able to use the recommended practices to inventory and characterize data for other security management purposes, such as preparing for and prioritizing transitions to post-quantum cryptographic algorithms. | この文書では、フィードバックを求めているNational Cybersecurity Center of Excellence(NCCoE)のプロジェクトを定義しています。このプロジェクトは、ビジネスユースケースをサポートするためのデータ管理と保護の観点から、データ格付に焦点を当てています。このプロジェクトの目的は、データ格付とデータ処理ルールセットを定義し、それを他の人に伝えるための技術にとらわれない推奨プラクティスを定義することです。また、ポスト量子暗号アルゴリズムへの移行の準備や優先順位付けなど、その他のセキュリティ管理の目的で、データのインベントリや特徴付けを行う際にも、推奨プラクティスを使用できるようになります。 |
This project will focus on communicating and safeguarding data protection requirements through data classifications and labels. Cybersecurity and privacy risk management processes and other sources of data protection requirements are out of scope, as are mechanisms for enforcing data protection requirements. This project will inform, and may identify opportunities to improve, existing risk management processes by helping with communicating data classifications and data handling rulesets. It will not replace current risk management practices, laws, regulations, or mandates. | このプロジェクトでは、データの格付とラベルによるデータ保護要件の伝達と保護に焦点を当てます。サイバーセキュリティおよびプライバシーのリスク管理プロセスや、データ保護要件の他のソースは対象外であり、データ保護要件を実施するためのメカニズムも対象外である。本プロジェクトは、データ格付およびデータ処理ルールセットの伝達を支援することにより、既存のリスク管理プロセスに情報を提供し、改善の機会を特定することができる。本プロジェクトは、現行のリスクマネジメントの実践、法律、規制、または義務に取って代わるものではありません。 |
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge. | このプロジェクトでは、この課題に対応するサイバーセキュリティのリファレンスデザインを実装するために必要な実用的な手順を詳細に説明した「NISTサイバーセキュリティ実践ガイド」を作成し、一般に公開する予定です。 |
Scope | 範囲 |
This project will take a layered and modular approach to enable sharing and collaboration within and across organization boundaries. The project will emphasize an evolutionary path through a set of data classification maturity levels that are designed to be adopted at any organizational level (e.g., department, division, or organization) and within/across any geographic locations. | このプロジェクトでは、組織内および組織間での共有とコラボレーションを可能にするために、層状でモジュール式のアプローチを採用します。このプロジェクトでは、あらゆる組織レベル(部門、部署、組織など)、あらゆる地理的な場所で採用できるように設計された、一連のデータ格付の成熟度レベルを通じた進化の道筋を重視します。 |
The first phase of this project will define the approach for the solution, independent of the supporting technologies, services, architectures, operational environments, etc. As part of this, a simple proof-of-concept approach implementation of the approach will be attempted. The proof-of-concept will include limited data discovery, analysis, classification, and labeling capabilities, as well as a rudimentary method for expressing how data with a particular label should be handled for each use case scenario. In support of this phase of the project, basic terminology and concepts will be defined based on existing practices and guidance to provide a common language for discussing data classification. | このプロジェクトの第1フェーズでは、サポートする技術、サービス、アーキテクチャ、運用環境などとは別に、ソリューションのアプローチを定義します。その一環として、このアプローチの簡単な概念実証を試みます。この概念実証では、限られたデータの発見、分析、格付、ラベル付けの機能に加え、ユースケースのシナリオごとに特定のラベルを持つデータをどのように処理するかを表現する初歩的な方法が含まれます。このプロジェクトのこのフェーズでは、データの格付について議論するための共通言語を提供するため、既存の実務やガイダンスに基づいて基本的な用語や概念を定義します。 |
The subsequent phases of the project will build on the first phase by addressing standards, technologies, processes, and recommended practices for discovering and classifying data, and communicating the data classification so the data is properly protected and controlled. This information will span devices and application workloads across on-premises, hybrid, and cloud environments throughout the full data lifecycle. These subsequent phases would primarily focus on the following areas: | このプロジェクトの次のフェーズでは、第1フェーズをベースに、データを発見して格付するための標準、技術、プロセス、および推奨されるプラクティスを取り上げ、データの格付を伝えることで、データを適切に保護・管理します。この情報は、データのライフサイクル全体を通して、オンプレミス環境、ハイブリッド環境、クラウド環境のデバイスやアプリケーションのワークロードに及びます。これらの後続フェーズでは、主に以下の分野に焦点を当てます。 |
· Deployment of additional solutions for information discovery, classification, and labeling, including requirements for secure persistence and binding to content, interoperability, and lifecycle management aligned to the information lifecycle | ・ 情報の発見、格付、ラベリングのための追加ソリューションの導入。これには、コンテンツへのセキュアな永続性とバインド、相互運用性、情報のライフサイクルに沿ったライフサイクル管理の要件が含まれます。 |
· Additional labels that address aspects such as provenance and lineage, classification/sensitivity, and releasability, and appropriate mechanisms to define policies and perform lifecycle management aligned to the information lifecycle and sharing. This will cover both regulatory and business policies related to privacy and security. These policies will be driven by the use case scenarios. | ・ 情報のライフサイクルや共有に合わせてポリシーを定義し、ライフサイクル管理を実行するための適切なメカニズムを提供する。これには、プライバシーとセキュリティに関連する規制とビジネスの両方のポリシーが含まれます。これらのポリシーは、ユースケースのシナリオに基づいて策定されます。 |
· Identification of appropriate controls as recommended in existing cybersecurity and privacy risk management frameworks to manage, monitor, enforce, and demonstrate compliance with the defined classifications for effective, dynamic security and privacy risk management supported by auditing throughout the information lifecycle | ・ 既存のサイバーセキュリティおよびプライバシーリスク管理フレームワークで推奨されている適切な管理策を特定し、情報のライフサイクル全体を通じた監査によってサポートされる、効果的で動的なセキュリティおよびプライバシーリスク管理のために、定義された格付へのコンプライアンスを管理、監視、実施、実証すること。 |
· Technologies and industry standards for specifying and implementing classification labels, data handling rulesets, and the corresponding controls such as access control, rights management, and cryptographic protection | ・ 格付ラベル、データ処理ルールセット、およびアクセス制御、権利管理、暗号保護などの対応する制御を指定および実装するための技術および業界標準 |
· Recommended practices for end-user awareness and training, response to non- compliance or a cybersecurity incident, and continuous improvement of classifications, data handling rulesets, and controls | ・エンドユーザの意識向上とトレーニング、コンプライアンス違反やサイバーセキュリティインシデントへの対応、および格付、データ処理ルールセット、コントロールの継続的な改善に関する推奨事項 |
Assumptions/Challenges | 前提・課題 |
Readers are assumed to understand risk management processes and basic data protection and zero trust concepts. | 読者は、リスク管理プロセスおよび基本的なデータ保護とゼロトラストの概念を理解していることを前提としています。 |
Background | 背景 |
Data classification and labeling are becoming much more common needs. In the early days of digital computing, data classification was largely associated with the armed forces and defense industry. Classification terms such as TOP SECRET, while well known to the public due to media portrayals, were nearly completely absent outside of certain government and military environments. | データの格付とラベリングは、より一般的なニーズになりつつあります。デジタルコンピューティングの黎明期には、データの格付は主に軍隊や防衛産業と関連していました。TOP SECRETのような格付用語は、メディアの影響で一般にはよく知られていますが、政府や軍の特定の環境以外ではほとんど使われていませんでした。 |
A number of forces have come to bear on all organizations that have catapulted data classification and labeling to the forefront and resulted in a sense of urgency regarding establishment of models for use with all data. Laws and regulations such as the California Consumer Privacy Act (CCPA), Children’s Online Privacy Protection Act (COPPA), Fair Credit Reporting Act (FCRA)/Fair and Accurate Credit Transactions Act (FACTA), Family Educational Rights and Privacy Act (FERPA), General Data Protection Regulation (GDPR), Gramm Leach Bliley Act (GLBA), Health Information Portability and Accountability Act (HIPAA), and Payment Card Industry Data Security Standard (PCI DSS) mandate that data containing certain types of information be handled with specific safeguards. As new laws and regulations emerge and as existing ones are augmented, much of the data an organization already has may need to be classified or handled differently. | データの格付とラベリングを前面に押し出し、すべてのデータに使用するモデルの確立を急ぐようになったのは、すべての組織にいくつかの力が働いたからです。カリフォルニア州消費者プライバシー法(CCPA)、児童オンラインプライバシー保護法(COPPA)、公正信用報告法(FCRA)/公正・正確な信用取引法(FACTA)、家族教育権・プライバシー法(FERPA)などの法律や規制。General Data Protection Regulation (GDPR)、Gramm Leach Bliley Act (GLBA)、Health Information Portability and Accountability Act (HIPAA)、Payment Card Industry Data Security Standard (PCI DSS)では、特定の種類の情報を含むデータを特定の保護手段で取り扱うことが義務付けられています。新しい法律や規制が生まれ、既存の法律や規制が強化されるにつれ、組織がすでに持っているデータの多くは、格付したり、異なる方法で取り扱ったりする必要が出てきます。 |
Organizations are dealing simultaneously with rapid growth in the sheer volume of data stored and in the requirements for protecting and controlling that data, including longer data retention periods. This can be expected to result in larger capital and operational expenditures. Thus, the ability to communicate data classifications and data handling rulesets improves the efficiency of resource expenditure and allocation since the controls used can correlate with the assigned data classification. There is also a need to break down the data silos and enable data sharing across organizational boundaries to support business objectives while still satisfying security, privacy, and regulatory compliance requirements. This need likely varies from sector to sector. | 組織は、保存されているデータの量の急激な増加と、データ保持期間の延長など、データの保護と管理に関する要件に同時に対処しています。これにより、設備投資や運用コストの増大が予想されます。そのため、データの格付とデータ処理のルールセットを伝えることができれば、使用される制御が割り当てられたデータの格付と関連しているため、リソースの支出と割り当ての効率が向上します。また、データサイロを解消し、組織の壁を越えたデータ共有を可能にすることで、セキュリティ、プライバシー、規制遵守の要件を満たしつつ、ビジネス目標をサポートする必要があります。このようなニーズは、セクターごとに異なると思われます。 |
Existing NIST standards and guidance regarding data classification and labeling, such as Federal Information Processing Standard (FIPS) 199 [2] and NIST Special Publication (SP) 800-60 [3], address federal government-specific requirements, but not the many other requirements to which federal agencies and other organizations are subject. | データの格付とラベリングに関するNISTの既存の標準およびガイダンス(Federal Information Processing Standard (FIPS) 199 [2]やNIST Special Publication (SP) 800-60 [3]など)は、連邦政府固有の要件には対応していますが、連邦政府機関やその他の組織が対象としているその他の多くの要件には対応していません。 |
More generally, significant challenges that have hindered effective use of data classification approaches include the following: | より一般的には、データ格付アプローチの効果的な使用を妨げている重要な課題として、以下のようなものがあります。 |
· The limited nature of existing standards for data classifications outside of the government and military means that most organizations do not use classifications that are consistent with those of their partners and suppliers. Organizations perform countless transactions with others for which data classification and protection are relevant, and the lack of industry standards impairs organizations’ ability to enforce data handling requirements. | ・ 政府や軍以外のデータ格付に関する既存の基準が限られているため、ほとんどの組織がパートナーやサプライヤーの格付と一致した格付を使用していません。組織は、データの格付と保護に関連する無数の取引を他者との間で行っており、業界標準がないため、組織がデータ処理要件を実施する能力が損なわれています。 |
· The lack of common definitions for and understanding of classifiers can result in information being classified and labeled inconsistently. Reliance on end users to identify and classify the data they create and receive is particularly error-prone and incomplete. | ・ 格付子の共通の定義や理解がないため、情報の格付やラベル付けに矛盾が生じる可能性があります。エンドユーザが作成したり受け取ったりするデータの識別と格付をエンドユーザに依存することは、特にエラーが発生しやすく、不完全です。 |
· Data is everywhere: on devices (e.g., laptops, desktops, mobile devices), in applications running in both on-premises and outsourced environments, and in the cloud. This distributed nature of data complicates the process of establishing and maintaining data inventories. | ・ データは、デバイス(ラップトップ、デスクトップ、モバイルデバイスなど)、オンプレミスとアウトソースの両方の環境で動作するアプリケーション、そしてクラウドなど、あらゆる場所に存在します。このようなデータの分散性は、データインベントリの確立と維持のプロセスを複雑にしています。 |
· Data classifications and data handling requirements often change during the data lifecycle, for example safeguarding the confidentiality of data at first, then subsequently releasing that data to the public. Another example is data being safeguarded and retained for a certain period of time, then being destroyed to prevent further access. | ・ 例えば、データの機密性を保護した後、そのデータを公開するなど、データのライフサイクルの中で、データの格付やデータの取り扱いに関する要件が変わることがよくあります。例えば、最初はデータの機密性を保護し、その後、そのデータを公開します。また、データを一定期間保護・保持し、その後、アクセスできないように破壊することもあります。 |
This is further complicated with the advancement in quantum computing technology, which introduces a threat to data being protected by current public key algorithms. | さらに、量子コンピューター技術の進歩により、現在の公開鍵アルゴリズムで保護されているデータが脅威にさらされていることも問題です。 |
This project is intended to address these challenges and to enable organizations of any size and complexity to launch and maintain a solution for defining and communicating data classifications, labels, and data handling rulesets. This project is also intended to inform future updates to FIPS 199, NIST SP 800-60, and other NIST publications. | 本プロジェクトは、このような課題に取り組み、組織の規模や複雑さに関わらず、データの格付、ラベル、データ処理のルールセットを定義・伝達するためのソリューションを立ち上げ、維持できるようにすることを目的としています。また、このプロジェクトは、FIPS 199、NIST SP 800-60、およびその他のNISTの出版物の今後の更新に役立つことを目的としています。 |
« 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12 | Main | U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた »
Comments