NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー
こんにちは、丸山満彦です。
● NICT - ITL
・2023.02.08 SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu
SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu | SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー |
Announcement | 発表 |
This document addresses the need to support a cloud system’s forensic readiness, which is the ability to quickly and effectively collect digital evidence with minimal investigation costs. | 本文書は、クラウドシステムのフォレンジック対応(最小限の調査コストで迅速かつ効果的にデジタル証拠を収集する能力)を支援する必要性に対処するものである。 |
The document presents a reference architecture to help users understand the forensic challenges that might exist for an organization’s cloud system based on its architectural capabilities, as well as the mitigation strategies that might be required. The reference architecture is both a methodology and an initial implementation that can be used by cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to analyze and review their cloud computing architectures for forensic readiness. | 本文書は、ユーザーが組織のクラウドシステムに存在するであろうフォレンジックの課題を、そのアーキテクチャの状況に基づいて理解し、必要とされるであろう緩和策を理解するのに役立つ参照アーキテクチャを提示する。この参照アーキテクチャは、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、およびクラウド利用者が、クラウドコンピューティングアーキテクチャのフォレンジック対応状況を分析、レビューするために使用できる手法と初期実装の両方を含む。 |
Abstract | 概要 |
This document summarizes research performed by the members of the NIST Cloud Computing Forensic Science Working Group and presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand which cloud forensic challenges might exist for an organization’s cloud system. It identifies challenges that require at least partial mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here is both a methodology and an initial implementation. Users are encouraged to customize this initial implementation for their specific situations and needs. | 本文書は、NIST クラウドコンピューティング・フォレンジック科学作業グループ のメンバーが行った研究を要約し、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔に FRA とも呼ばれる)を提示するもので、その目的は、クラウドシステムのフォレンジック準備に対する支援を提供することである。CC FRAの目的は、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことである。また、少なくとも部分的な緩和策を必要とする課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。ここで紹介するCC FRAは、方法論であり、初期実装である。ユーザーは、特定の状況やニーズに合わせて、この初期実装をカスタマイズすることが推奨される。 |
・[PDF] SP 800-201 (Draft)
目次...
Executive Summary | エグゼクティブ・サマリー |
1. Introduction | 1. 序文 |
1.1. The Need for a Cloud-specific Forensic Reference Architecture | 1.1. クラウドに特化したフォレンジック参照アーキテクチャーの必要性 |
1.2. The Approach | 1.2. アプローチ |
2. Overview of NIST Cloud Forensic Challenges | 2. NISTのクラウドフォレンジックの課題の概要 3. |
3. Overview of CSA’s Enterprise Architecture | 3. CSAのエンタープライズ・アーキテクチャの概要 4. |
4. The Forensic Reference Architecture Methodology | 4. フォレンジック参照アーキテクチャの方法論 |
5. The Forensic Reference Architecture Data | 5. フォレンジック参照アーキテクチャーのデータ |
6. Conclusion | 6. 結論 |
References | 参考文献 |
Appendix A. Acronyms | 附属書A. 頭字語 |
Appendix B. Glossary | 附属書B. 用語集 |
Appendix C. CSA’s Enterprise Architecture | 附属書C. CSAのエンタープライズ・アーキテクチャ |
Appendix D. NIST’s Forensic Reference Architecture Data Set | 附属書D. NISTのフォレンジック参照アーキテクチャデータセット |
エグゼクティブサマリー
Executive Summary | エグゼクティブサマリー |
The rapid adoption of cloud computing technology has led to the need to apply digital forensics to this domain. New methodologies are required for the identification, acquisition, preservation, examination, and interpretation of digital evidence in multi-tenant cloud environments that offer rapid provisioning, global elasticity, and broad network accessibility. This is necessary to provide capabilities for incident response, secure internal enterprise operations, and support for the U.S. criminal justice and civil litigation systems. | クラウドコンピューティング技術の急速な普及により、デジタルフォレンジックをこの領域に適用する必要性が生じている。迅速なプロビジョニング、グローバルな弾力性、幅広いネットワークアクセスを提供するマルチテナントクラウド環境におけるデジタル証拠の特定、取得、保存、調査、解釈には、新しい方法論が必要である。これは、インシデントレスポンス、安全な社内エンタープライズオペレーション、米国刑事司法および民事訴訟システムの支援のための機能を提供するために必要である。 |
This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies forensic challenges that require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. | 本文書は、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔にFRAとも呼ばれる)を提示する。その目的は、クラウドシステムのフォレンジック準備の支援を提供することである。CC FRAは、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことを目的としている。また、緩和策を必要とするフォレンジック課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。 |
The CC FRA provides a useful starting point for all cloud forensic stakeholders to analyze the impacts of cloud forensic challenges previously reported by NIST. It does so by considering each cloud forensic challenge in the context of each functional capability presented in the Cloud Security Alliance’s Enterprise Architecture. | CC FRAは、すべてのクラウド・フォレンジック関係者が、NISTが以前に報告したクラウド・フォレンジックの課題の影響を分析するための有用な出発点を提供する。これは、クラウドセキュリティアライアンスのエンタープライズアーキテクチャに示された各機能能力のコンテキストで、各クラウドフォレンジック課題を考慮することによって行われる。 |
While the CC FRA can be used by any cloud computing practitioner, it is specifically designed to allow cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to ask specific questions related to their cloud computing architectures. The CC FRA is both a methodology and an initial implementation, and users are encouraged to customize this initial implementation for their specific situations and needs. | CC FRAは、クラウドコンピューティングの実務者であれば誰でも利用できるが、特にクラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、クラウド利用者が、それぞれのクラウドコンピューティングアーキテクチャに関連する特定の質問をできるように設計されている。CC FRAは、方法論と初期実装の両方であり、ユーザーはこの初期実装を特定の状況やニーズに応じてカスタマイズすることが推奨される。 |
序文...
結論
6. Conclusion | 6. 結論 |
This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA) comprised of: | 本書は、以下の内容からなる NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー(CC FRA)を提示するものである。 |
a) A methodology for analyzing the functional capabilities of an existing architecture – preferably a security architecture like the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2] – through a set of cloud forensic challenges, such as the set identified in NIST IR 8006 [1] | a) NIST IR 8006 [1]で特定された一連のクラウドフォレンジック課題を通じて、既存のアーキテクチャ(できれば、Cloud Security Alliance (CSA) のエンタープライズアーキテクチャ (EA) [2] のようなセキュリティアーキテクチャ)の機能能力を分析するための方法論。 |
b) A data set that aggregates the results of the above methodology applied to the CSA’s EA [2] and the NIST IR 8006 [1] set of cloud forensic challenges | b) CSA の EA [2] と NIST IR 8006 [1] のクラウド・フォレンジック課題セットに適用した上記手法の結果を集約したデータセット。 |
The goal of the FRA is to enable the analysis of cloud systems to determine the extent to which a system proactively supports digital forensics. More precisely, the FRA is meant to help users understand how the previously identified cloud forensic challenges might impact an organization’s cloud-based system. When developing a new system or analyzing an existing one, the FRA helps identify those cloud forensic challenges that could affect the system’s capabilities and, therefore, require at least partial mitigation strategies to support a complete forensic investigation. The FRA also identifies how a forensic investigator would apply the mitigation strategies to a particular investigation. While the FRA can be used by any cloud computing practitioner, it is specifically designed to enable cloud system architects, cloud engineers, forensic practitioners, and even cloud consumers to analyze and review their cloud computing architectures for forensic readiness. | FRAの目的は、クラウドシステムを分析し、システムがデジタルフォレンジックをどの程度まで積極的に支援しているかを判断できるようにすることである。より正確には、FRAは、先に特定されたクラウド・フォレンジックの課題が、組織のクラウドベースのシステムにどのような影響を与えうるかをユーザーが理解するのを助けることを意図している。新しいシステムを開発する場合、または既存のシステムを分析する場合、FRAは、システムの機能に影響を与える可能性があり、したがって、完全なフォレンジック調査を支援するために少なくとも部分的な緩和戦略を必要とするクラウドフォレンジックの課題を特定するのに役立つ。また、FRAは、フォレンジック調査員が特定の調査に緩和策を適用する方法を特定する。FRAは、クラウドコンピューティングの専門家なら誰でも使用できるが、特に、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、さらにはクラウド利用者が、フォレンジック準備のためにクラウドコンピューティングアーキテクチャを分析およびレビューできるよう設計されている。 |
The FRA data provided in this document offers an initial implementation of the FRA methodology and a useful starting point for all cloud forensic stakeholders to analyze how the NIST cloud forensic challenges presented in NIST IR 8006 [1] affect each functional capability present in the CSA’s EA [2]. | 本文書で提供されるFRAデータは、FRA手法の初期実装と、NIST IR 8006 [1]で示されたNISTクラウドフォレンジックの課題がCSAのEA [2]にある各機能能力にどのように影響するかを分析する、すべてのクラウド・フォレンジックの関係者にとって有用な出発点を提供するものである。 |
All users are encouraged to customize this initial implementation (shown in Appendix D) for their specific situations and needs. For example, if the existing functional capabilities are not appropriate for the user’s situation, some or all can be removed, and new ones can be added. Similarly, new forensic challenges appropriate for the user’s situation can be added, and challenges that have been adequately mitigated can be removed. The FRA methodology promotes analysis of how cloud forensic challenges affect particular functional capabilities and helps determine whether mitigations are necessary to ensure forensic readiness related to the respective capability. This means that users can replace all cloud forensics challenges or functional capabilities used in the current FRA data set with their own. | すべてのユーザは、この初期実装(附属書D に示す)を特定の状況やニーズに応じてカスタマイズすることが推奨される。例えば、既存の機能的能力がユーザーの状況に適していない場合、一部または全部を削除し、新しいものを追加することができる。同様に、ユーザーの状況に適した新たなフォレンジック課題を追加し、十分に緩和された課題を削除することができる。FRA手法は、クラウドのフォレンジック課題が特定の機能能力にどのように影響するかの分析を促進し、それぞれの能力に関するフォレンジック対応力を確保するために緩和が必要かどうかを判断するのに役立つ。これは、ユーザーが現在のFRAデータセットで使用されているすべてのクラウドフォレンジックの課題または機能的能力を独自のものに置き換えることができることを意味する。 |
The FRA presented here will likely evolve over time, and methods for quantifying impact will be developed to enhance FRA usability. | ここで紹介したFRAは、時間の経過とともに進化し、FRAの使い勝手を向上させるために影響を定量化する方法が開発されると思われる。 |
[1] Herman M, Iorga M, Salim AS, Jackson R, Hurst M, Leo R, Lee R, Landreville N, Mishra AK, Wang Y, Sardinas R (2020). NIST Cloud Computing Forensic Science Challenges. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8006. https://doi.org/10.6028/NIST.IR.8006
[2] Cloud Security Alliance Enterprise Architecture. Available at https://ea.cloudsecurityalliance.org/
[3] The White House, Executive Order on Improving the Nation’s Cybersecurity, May 12, 2021. Available at https://www.whitehouse.gov/briefing-room/presidentialactions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
[4] Joint Task Force (2018). Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-37, Rev. 2. https://doi.org/10.6028/NIST.SP.800-37r2
[5] International Organization for Standardization, ISO 2700 Standards. Available at https://www.27000.org/index.htm
[6] ISO/IEC 27001, Information Technology — Security Techniques — Information Security Management Systems — Requirements, 2013. Available at https://www.iso.org/standard/54534.html
[7] ISO/IEC 27002, Information Security, Cybersecurity and Privacy Protection — Information Security Controls, 2022. Available at https://www.iso.org/standard/75652.html
[8] ISO/IEC 27018, Information Technology — Security Techniques — Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors, 2019. Available at https://www.iso.org/standard/76559.html
[9] ISO/IEC 27035-2, Information Technology — Security Techniques — Information Security Incident Management — Part 2: Guidelines to Plan and Prepare for Incident Response, 2016. Available at https://www.iso.org/standard/62071.html
[10] ISO/IEC 27037, Information Technology — Security Techniques — Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence, 2012. Available at https://www.iso.org/standard/44381.html
[11] IT Infrastructure Library (ITIL). Available at https://www.ibm.com/cloud/learn/itinfrastructure-library
[12] The SABSA Institute, SABSA Enterprise Security Architecture. Available at https://sabsa.org/
[13] The Open Group, The TOGAF Standard, Version 9.2. Available at https://www.opengroup.org/togaf
[14] Cloud Security Alliance – Security, Trust, Assurance and Risk (STAR). Available at https://cloudsecurityalliance.org/star
[15] NIST Cloud Computing Security Reference Architecture (Draft). (National Institute of Standards and Technology, Gaithersburg, MD). NIST Special Publication (SP) 500299/800-200. Available at https://github.com/usnistgov/CloudSecurityArchitectureToolCSAT-v0.1/blob/master/Documents/NIST%20SP%20800-200SRA_DRAFT_20180414.pdf
● まるちゃんの情報セキュリティ気まぐれ日記
NISTIR 8006
・2020.08.26 NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理
CSAのインシデント対応
・2021.06.07 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドの日本語訳を公表していますね。。。
・2021.05.05 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。
・2020.04.23 Cloud Security Alliance がクラウド上でのインシデント対応のフレームワーク(クイックガイド)を公表していますね。。。
STAR
・2021.09.17 Cloud Security Alliance STAR認証:継続的監査の導入
・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン
その他
・2021.01.10 CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出
Comments