NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ：私物端末の持ち込み(BYOD)(2次ドラフト)

こんにちは、丸山満彦です。

NISTが、去年の3月（なので、1年９ヶ月前）にBYOD（私物端末の持ち込み）の実践ガイダンスのドラフトを公表し、意見募集をしていましたが、それを踏まえて第２ドラフトを公表し、意見募集をしています。。。

BYODは、従業員にとっては、携帯二台もちが避けられるのでメリットがありますが、

・情報技術（IT）部門の責任と複雑さの増加、

・保護されていない個人用デバイスから生じる企業のセキュリティ脅威、

・個人データのプライバシーの保護

に関する課題がありますね。。。

エグゼクティブサマリーの次の指摘はなかなか興味深いですね。。。

Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist.

企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。

 

● NIST - ITL

・2022.11.29 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)

 

SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)	SP 1800-22 (ドラフト) モバイルデバイスセキュリティ：私物端末の持ち込み(BYOD)(2次ドラフト)
Announcement	発表
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as Bring Your Own Device or BYOD, provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats.	多くの組織では、従業員が個人所有のモバイルデバイスを使用して、業務に関連する活動をリモートで実行できるようになった。BYOD（Bring Your Own Device）と呼ばれるこの一般的な慣行は、テレワークや組織の情報リソースへのアクセスをより柔軟に行えるようにするもので、ますます普及している。しかし、個人所有のデバイスから組織のデータにアクセスする際、従業員のプライバシーを守りながらデータを保護することは、非常に困難な課題であり、脅威でもある。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.	モバイルデバイスセキュリティの目標は、「Bring Your Own Device（私物端末の持ち込み）」である。Bring Your Own Deviceの実践ガイドの目的は、標準ベースのアプローチと市販のテクノロジーの両方を使用して、個人所有のモバイルデバイスによるエンタープライズリソースへのアクセスを許可する場合に、セキュリティとプライバシーのニーズを満たすのに役立つソリューションの例を提供することである。
This second draft includes major updates to the iOS BYOD implementation.	この第 2 ドラフトには、iOS BYOD の実装に関する大幅な更新が含まれている。
We look forward to receiving your comments and any feedback on the following questions will be very helpful:	また、以下の質問に対するご意見もお待ちしている。
Does the guide meet your needs?	このガイドはあなたのニーズを満たしているか？
Can you put this solution to practice?	このソリューションを実践できるか？
Are specific sections more/less helpful?	特定のセクションはより有用であるか/そうではありませんか？
Abstract	概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and iOS smartphone BYOD deployments.	BYOD（Bring Your Own Device）とは、個人所有のデバイスで業務に関連する活動を行うことを指す。この実践ガイドでは、Android および iOS スマートフォンの BYOD 導入におけるセキュリティとプライバシーを強化する方法を示すソリューションの例を示する。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices.	BYOD 機能を組織に組み込むことで、従業員の働き方に柔軟性が生まれ、組織のリソースにアクセスする機会や方法が増えます。組織によっては、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、携帯可能なコミュニケーション・アプローチと適応性のあるワークフローを実現できる。また、従業員が主にモバイルデバイスを使用してコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する組織もある。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed.	しかし、BYODモバイル・デバイスの柔軟性と機能性を高めるいくつかの機能は、職場組織とデバイスの所有者の両方に対して、セキュリティとプライバシーに関する独自の課題を提起している。これらの課題は、種類、年齢、オペレーティング・システム（OS）、およびリスクのレベルが異なるさまざまなデバイスが利用可能であることに起因している。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist.	企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance.	この実践ガイドでは、BYOD の柔軟性を活用しながら、セキュリティとプライバシーに関する多くの重要な課題から組織を保護するために、標準ベースの市販製品を使用したソリューションの例と段階的な実装ガイダンスを提供する。

 

・[PDF]  NIST SP 1800-22 2pd

 

・エグゼクティブサマリー...

 

Executive Summary	要旨
Many organizations provide employees the flexibility to use their personal mobile devices to perform work-related activities. An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. Ensuring that an organization’s data is protected when it is accessed from personal devices poses unique challenges and threats.	多くの組織では、従業員が個人所有のモバイルデバイスを使用して業務に関連する活動を行うことができるように柔軟性を提供している。個人所有のモバイルデバイスのセキュリティが不十分な場合、組織や従業員はデータの損失やプライバシーの侵害にさらされる可能性がある。個人所有のモバイルデバイスからアクセスする際に、組織のデータを確実に保護することは、独自の課題と脅威をもたらする。
Allowing employees to use their personal mobile devices for work-related activities is commonly known as a bring your own device (BYOD) deployment. A BYOD deployment offers a convenient way to remotely access organizational resources, while avoiding the alternative of carrying both a work phone and personal phone. This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their BYOD security and privacy needs.	従業員が個人所有のモバイルデバイスを業務に使用することは、一般的にBYOD（Bring Your Own Device）と呼ばれている。BYOD を導入すると、組織のリソースにリモートでアクセスできるようになる一方で、仕事用の携帯電話と個人用の携帯電話の両方を持ち歩くという選択肢を避けることができる。この NIST サイバーセキュリティ実践ガイドは、組織が標準ベースの市販製品を使用して、BYOD のセキュリティとプライバシーのニーズを満たす方法を示している。
CHALLENGE	課題
BYOD devices can be used interchangeably for work and personal purposes throughout the day. While flexible and convenient, BYOD can introduce challenges to an enterprise. These challenges can include additional responsibilities and complexity for information technology (IT) departments caused by supporting many types of personal mobile devices used by the employees, enterprise security threats arising from unprotected personal devices, as well as challenges protecting the privacy of employees and their personal data stored on their mobile devices.	BYOD デバイスは、1 日を通して仕事とプライベートの両方の目的で交換可能に使用されます。BYOD は柔軟で便利な反面、エンタープライズに課題をもたらす可能性がある。これらの課題には、従業員が使用する多くの種類の個人用モバイルデバイスをサポートすることによる情報技術（IT）部門の責任と複雑さの増加、保護されていない個人用デバイスから生じる企業のセキュリティ脅威、および従業員とそのモバイルデバイスに保存されている個人データのプライバシーを保護する課題などがある。
An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise.	個人用モバイルデバイスのセキュリティが不十分な場合、組織や従業員がデータ損失やプライバシー侵害にさらされる可能性がある。
SOLUTION	解決策
The National Cybersecurity Center of Excellence (NCCoE) collaborated with the mobile community and cybersecurity technology providers to build a simulated BYOD environment. Using commercially available products, the example solution’s technologies and methodologies can enhance the security  posture of the adopting organization and help protect employee privacy and organizational information assets.	国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、モバイルコミュニティおよびサイバーセキュリティ技術プロバイダーと協力し、BYOD環境のシミュレーションを構築した。市販の製品を使用することで、このソリューションのテクノロジーと方法論は、採用する組織のセキュリティ姿勢を強化し、従業員のプライバシーと組織の情報資産を保護するのに役立つ。
This practice guide can help your organization:	この実践ガイドでは、以下のことを実現する。
§  protect data from being accessed by unauthorized persons when a device is stolen or misplaced	§ デバイスの盗難や置き忘れの際に、不正アクセスからデータを保護する。
§  reduce risk to employees through enhanced privacy protections	§ プライバシー保護の強化により、従業員のリスクを軽減する。
§  improve the security of mobile devices and applications by deploying mobile device technologies	§ モバイルデバイス技術の導入によるモバイルデバイスとアプリケーションのセキュリティの向上
§  reduce risks to organizational data by separating personal and work-related information from each other	§ 個人情報と業務関連情報を分離することによる組織データへのリスクの低減
§  enhance visibility into mobile device health to facilitate identification of device and data compromise, and permit efficient user notification	§ モバイルデバイスの健全性を可視化し、デバイスとデータの侵害を特定し、ユーザーへの通知を効率的に行う。
§  leverage industry best practices to enhance mobile device security and privacy	§ モバイルデバイスのセキュリティとプライバシーを強化するために、業界のベストプラクティスを活用する。
§  engage stakeholders to develop an enterprise-wide policy to inform management and employees of acceptable practices	§ 管理職と従業員に許容されるポリシーを伝えるため、利害関係者を巻き込んでエンタープライズ全体のポリシーを策定する。
The example solution uses technologies and security capabilities (shown below) from our project collaborators. The technologies used in the solution support security and privacy standards and guidelines including the NIST Cybersecurity Framework and NIST Privacy Framework, among others. Both iOS and Android devices are supported by this guide’s example solution.	このソリューションの例では、プロジェクトの協力者が提供するテクノロジーとセキュリティ機能（以下に示す）を使用している。このソリューションで使用されているテクノロジーは、NIST Cybersecurity FrameworkやNIST Privacy Frameworkなどのセキュリティとプライバシーの標準およびガイドラインをサポートしている。このガイドのサンプルソリューションでは、iOSとAndroidの両方のデバイスがサポートされている。
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.	NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールや IT システムのインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。
HOW TO USE THIS GUIDE	このガイドの使用方法
Depending on your role in your organization, you might use this guide in different ways:	組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる。
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-22a: Executive Summary, to understand the impetus for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.	情報セキュリティおよび技術の最高責任者を含むビジネス意思決定者は、本ガイドのこの部分であるNIST SP 1800-22Aを使用できる。エグゼクティブ・サマリーは、本ガイドのきっかけ、当社が取り組むサイバーセキュリティの課題、この課題を解決するための当社のアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解するために使用する。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use the following:	リスクを特定、理解、評価、および軽減する方法に関心のある技術、セキュリティ、およびプライバシープログラムマネージャーは、以下を利用することができる。
§  NIST SP 1800-22b: Approach, Architecture, and Security Characteristics, which describes what we built and why, the risk analysis performed, and the security/privacy control mappings.	§ NIST SP 1800-22b: NIST SP 1800-22b: アプローチ、アーキテクチャ、およびセキュリティ特性。何をなぜ作ったか、実施したリスク分析、セキュリティ/プライバシー制御のマッピング。
§  NIST SP 1800-22 Supplement: Example Scenario: Putting Guidance into Practice, which provides an example of a fictional company using this practice guide and other NIST guidance to implement a BYOD deployment with their security and privacy requirements.	§ NIST SP 1800-22 Supplement。シナリオの例。この実践ガイドおよび他の NIST ガイダンスを使用して、セキュリティおよびプライバシーの要件を満たす BYOD 展開を行う架空の会社の例を示している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-22c: How To Guides, which provides specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.	このようなアプローチを実施したいIT専門家は、NIST SP 1800-22C: How To Guidesを利用できる。このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が提供されており、このプロジェクトのすべてまたは一部を再現することができる。

 

目次...

1  Summary	1 概要
1.1  Challenge	1.1 課題
1.2  Solution	1.2 解決策
1.2.1 Standards and Guidance	1.2.1 標準とガイダンス
1.3 Benefits	1.3 利点
2  How to Use This Guide	2 このガイドの使用方法
2.1 Typographic Conventions	2.1 タイポグラフィ規則
3 Approach	3 アプローチ
3.1  Audience	3.1 想定読者
3.2  Scope	3.2 対象範囲
3.3 Assumptions	3.3 前提条件
3.4 Risk Assessment	3.4 リスクアセスメント
4 Architecture	4 アーキテクチャ
4.1  Common BYOD Risks and Potential Goals to Remediate Those Risks	4.1 一般的なBYODリスクと、そのリスクを修正するための潜在的な目標
4.1.1  Threat Events	4.1.1 脅威となる事象
4.1.2  Privacy Risks	4.1.2 プライバシー・リスク
4.1.3  Security and Privacy Goals	4.1.3 セキュリティとプライバシーの目標
4.2  Example Scenario: Putting Guidance into Practice	4.2 シナリオの例：ガイダンスの実践
4.3  Technologies that Support the Security and Privacy Goals of the Example Solution	4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1  Trusted Execution Environment	4.3.1 信頼された実行環境
4.3.2  Enterprise Mobility Management	4.3.2 エンタープライズモビリティ管理
4.3.3  Virtual Private Network	4.3.3 仮想プライベートネットワーク
4.3.4  Mobile Application Vetting Service	4.3.4 モバイルアプリケーション審査サービス
4.3.5  Mobile Threat Defense	4.3.5 モバイル脅威防御
4.3.6  Mobile Operating System Capabilities	4.3.6 モバイルオペレーティングシステム機能
4.4  Architecture Description	4.4 アーキテクチャの説明
4.5  Enterprise Integration of the Employees’ Personally Owned Mobile Devices	4.5 従業員の個人所有のモバイルデバイスのエンタープライズ統合
4.5.1  Microsoft Active Directory Integration	4.5.1 Microsoft Active Directoryの統合
4.5.2  Mobile Device Enrollment	4.5.2 モバイルデバイスのエンロールメント
4.6  Mobile Components Integration	4.6 モバイルコンポーネントの統合
4.6.1  Zimperium–MaaS360	4.6.1 Zimperium-MaaS360
4.6.2  Kryptowire–MaaS360	4.6.2 Kryptowire-MaaS360
4.6.3  Palo Alto Networks–MaaS360	4.6.3 パロアルトネットワークス-MaaS360
4.6.4  iOS and Android MDM Integration	4.6.4 iOSおよびAndroid MDMの統合
4.7  Privacy Settings: Mobile Device Data Processing	4.7 プライバシー設定。モバイルデバイスのデータ処理
4.7.1  EMM: MaaS360	4.7.1 EMM: MaaS360
4.7.2  MTD: Zimperium	4.7.2 MTD: Zimperium（ジンペリウム
4.7.3  Application Vetting: Kryptowire	4.7.3 アプリケーションベッティング Kryptowire
4.7.4  VPN: Palo Alto Networks	4.7.4 VPN：Palo Alto Networks（パロアルトネットワークス
5  Security and Privacy Analysis	5 セキュリティとプライバシーの分析
5.1  Analysis Assumptions and Limitations	5.1 分析の前提条件と限界
5.2  Build Testing	5.2 ビルドテスト
5.3  Scenarios and Findings	5.3 シナリオと調査結果
5.3.1  Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings	5.3.1 サイバーセキュリティフレームワーク、プライバシーフレームワーク、および NICE フレームワークの作業役割マッピング
5.3.2  Threat Events and Findings	5.3.2 脅威イベントと調査結果
5.3.3  Privacy Risk Findings	5.3.3 プライバシーリスクの調査結果
5.4  Security and Privacy Control Mappings	5.4 セキュリティとプライバシーコントロールの対応付け
6  Example Scenario: Putting Guidance into Practice	6 シナリオの例。ガイダンスの実践
7  Conclusion	7 結論
8  Future Build Considerations	8 今後の構築に関する考察
Appendix A List of Acronyms	附属書A 頭字語リスト
Appendix B Glossary	附属書B 用語集
Appendix C References	附属書C 参考文献
Appendix D Standards and Guidance	附属書D 標準とガイダンス
Appendix E Example Security Subcategory and Control Map	附属書E セキュリティサブカテゴリーとコントロールマップの例
Appendix F Example Privacy Subcategory and Control Map	附属書F プライバシーサブカテゴリーとコントロールマップの例

 

 

---

 

1st ドラフトの時...

● まるちゃんの情報セキュリティきまぐれ日記

・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ