NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー
こんにちは、丸山満彦です。
● NICT - ITL
・2023.02.08 SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu
| SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu | SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー |
| Announcement | 発表 |
| This document addresses the need to support a cloud system’s forensic readiness, which is the ability to quickly and effectively collect digital evidence with minimal investigation costs. | 本文書は、クラウドシステムのフォレンジック対応(最小限の調査コストで迅速かつ効果的にデジタル証拠を収集する能力)を支援する必要性に対処するものである。 |
| The document presents a reference architecture to help users understand the forensic challenges that might exist for an organization’s cloud system based on its architectural capabilities, as well as the mitigation strategies that might be required. The reference architecture is both a methodology and an initial implementation that can be used by cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to analyze and review their cloud computing architectures for forensic readiness. | 本文書は、ユーザーが組織のクラウドシステムに存在するであろうフォレンジックの課題を、そのアーキテクチャの状況に基づいて理解し、必要とされるであろう緩和策を理解するのに役立つ参照アーキテクチャを提示する。この参照アーキテクチャは、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、およびクラウド利用者が、クラウドコンピューティングアーキテクチャのフォレンジック対応状況を分析、レビューするために使用できる手法と初期実装の両方を含む。 |
| Abstract | 概要 |
| This document summarizes research performed by the members of the NIST Cloud Computing Forensic Science Working Group and presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand which cloud forensic challenges might exist for an organization’s cloud system. It identifies challenges that require at least partial mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here is both a methodology and an initial implementation. Users are encouraged to customize this initial implementation for their specific situations and needs. | 本文書は、NIST クラウドコンピューティング・フォレンジック科学作業グループ のメンバーが行った研究を要約し、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔に FRA とも呼ばれる)を提示するもので、その目的は、クラウドシステムのフォレンジック準備に対する支援を提供することである。CC FRAの目的は、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことである。また、少なくとも部分的な緩和策を必要とする課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。ここで紹介するCC FRAは、方法論であり、初期実装である。ユーザーは、特定の状況やニーズに合わせて、この初期実装をカスタマイズすることが推奨される。 |
・[PDF] SP 800-201 (Draft)
目次...
| Executive Summary | エグゼクティブ・サマリー |
| 1. Introduction | 1. 序文 |
| 1.1. The Need for a Cloud-specific Forensic Reference Architecture | 1.1. クラウドに特化したフォレンジック参照アーキテクチャーの必要性 |
| 1.2. The Approach | 1.2. アプローチ |
| 2. Overview of NIST Cloud Forensic Challenges | 2. NISTのクラウドフォレンジックの課題の概要 3. |
| 3. Overview of CSA’s Enterprise Architecture | 3. CSAのエンタープライズ・アーキテクチャの概要 4. |
| 4. The Forensic Reference Architecture Methodology | 4. フォレンジック参照アーキテクチャの方法論 |
| 5. The Forensic Reference Architecture Data | 5. フォレンジック参照アーキテクチャーのデータ |
| 6. Conclusion | 6. 結論 |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書A. 頭字語 |
| Appendix B. Glossary | 附属書B. 用語集 |
| Appendix C. CSA’s Enterprise Architecture | 附属書C. CSAのエンタープライズ・アーキテクチャ |
| Appendix D. NIST’s Forensic Reference Architecture Data Set | 附属書D. NISTのフォレンジック参照アーキテクチャデータセット |
エグゼクティブサマリー
| Executive Summary | エグゼクティブサマリー |
| The rapid adoption of cloud computing technology has led to the need to apply digital forensics to this domain. New methodologies are required for the identification, acquisition, preservation, examination, and interpretation of digital evidence in multi-tenant cloud environments that offer rapid provisioning, global elasticity, and broad network accessibility. This is necessary to provide capabilities for incident response, secure internal enterprise operations, and support for the U.S. criminal justice and civil litigation systems. | クラウドコンピューティング技術の急速な普及により、デジタルフォレンジックをこの領域に適用する必要性が生じている。迅速なプロビジョニング、グローバルな弾力性、幅広いネットワークアクセスを提供するマルチテナントクラウド環境におけるデジタル証拠の特定、取得、保存、調査、解釈には、新しい方法論が必要である。これは、インシデントレスポンス、安全な社内エンタープライズオペレーション、米国刑事司法および民事訴訟システムの支援のための機能を提供するために必要である。 |
| This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies forensic challenges that require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. | 本文書は、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔にFRAとも呼ばれる)を提示する。その目的は、クラウドシステムのフォレンジック準備の支援を提供することである。CC FRAは、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことを目的としている。また、緩和策を必要とするフォレンジック課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。 |
| The CC FRA provides a useful starting point for all cloud forensic stakeholders to analyze the impacts of cloud forensic challenges previously reported by NIST. It does so by considering each cloud forensic challenge in the context of each functional capability presented in the Cloud Security Alliance’s Enterprise Architecture. | CC FRAは、すべてのクラウド・フォレンジック関係者が、NISTが以前に報告したクラウド・フォレンジックの課題の影響を分析するための有用な出発点を提供する。これは、クラウドセキュリティアライアンスのエンタープライズアーキテクチャに示された各機能能力のコンテキストで、各クラウドフォレンジック課題を考慮することによって行われる。 |
| While the CC FRA can be used by any cloud computing practitioner, it is specifically designed to allow cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to ask specific questions related to their cloud computing architectures. The CC FRA is both a methodology and an initial implementation, and users are encouraged to customize this initial implementation for their specific situations and needs. | CC FRAは、クラウドコンピューティングの実務者であれば誰でも利用できるが、特にクラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、クラウド利用者が、それぞれのクラウドコンピューティングアーキテクチャに関連する特定の質問をできるように設計されている。CC FRAは、方法論と初期実装の両方であり、ユーザーはこの初期実装を特定の状況やニーズに応じてカスタマイズすることが推奨される。 |
序文...
| 1. Introduction | 1. 序文 |
| The NIST Cloud Computing Forensic Science Working Group (NCC FSWG) previously published NIST IR 8006, NIST Cloud Computing Forensic Science Challenges [1], which was the result of collaboration between volunteers from the private and public sector. That document highlighted digital forensic challenges triggered by the specific characteristics and business model of public cloud computing services. | NIST クラウドコンピューティング・フォレンジック科学作業グループ (NCC FSWG)は、民間と公共部門のボランティアによる協力の結果、NIST IR 8006, NIST クラウドコンピューティング・フォレンジック科学の挑戦 [1]を発表してる。その文書では、パブリッククラウドコンピューティングサービス特有の特性やビジネスモデルによって引き起こされるデジタルフォレンジックの課題が強調されている。 |
| The approach to examining digital forensics in the cloud was to first understand cloud computing technology and to identify and elucidate its essential and unique characteristics, which play a significant part in three aspects of operation: normal operations, adverse operations when cloud computing resources are under attack, and operations during criminal exploitation. | クラウドにおけるデジタルフォレンジックを検討するアプローチとして、まずクラウドコンピューティング技術を理解し、通常運用、クラウドコンピューティング・リソースが攻撃を受けているときの不利な運用、犯罪利用時の運用という3つの側面で重要な役割を果たす、その本質的かつ独特な特性を特定し、解明することが挙げられる。 |
| The second phase of this approach was a close examination of the challenges that were identified in the previous NIST report. This examination involved analyzing the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2], its various functional capabilities and processes, and the potential impact of each challenge on performing a forensic investigation if a specific functional capability or process were involved in an attack and breach or were used during criminal exploitation. The analysis presumed fictive use case scenarios that would exploit potential weaknesses, vulnerabilities, exposures, or cloud technology for criminal activities. Such elements are of fundamental concern in forensic analysis as they present points that adversaries may seek to exploit or characteristics that can be used by criminals. In either case, there will be evidence of the attack or criminal exploitation for future forensic analysis. The EA is composed of a large number of specific functional capabilities that enable detailed consideration of the effects of each forensic challenge on each of the capabilities. | このアプローチの第二段階は、前回のNIST報告書で明らかにされた課題の精査である。この検証では、クラウドセキュリティアライアンス(CSA)のエンタープライズアーキテクチャ(EA)[2]、そのさまざまな機能能力とプロセス、および特定の機能能力やプロセスが攻撃や侵入に関与した場合、または犯罪搾取の際に使用された場合のフォレンジック調査の実行における各課題の潜在的影響力を分析した。この分析では、潜在的な弱点、脆弱性、エクスポージャー、クラウド技術を犯罪行為に悪用する架空のユースケースシナリオを想定している。このような要素は、敵対者が悪用しようとするポイントや犯罪者が利用できる特徴を示すため、フォレンジック分析における基本的な関心事となる。いずれの場合も、将来のフォレンジック分析のために、攻撃や犯罪に利用された証拠が残る。EAは多数の特定の機能的な能力で構成されており、各能力に対する各フォレンジックの課題の影響を詳細に検討することが可能である。 |
| The third phase of this work has been to examine the nature of each challenge (i.e., whether the challenge is technological or non-technological) to determine its role and impact on the forensic examination process. As each challenge was analyzed, the applicability of techniques or technologies became clearer in terms of how they function and ultimately contribute to the forensic processes of identification, acquisition, preservation, examination, and interpretation of evidence. | この作業の第三段階として、各課題の性質(すなわち、課題が技術的なものか非技術的なものか)を検討し、フォレンジック調査のプロセスにおけるその役割と影響を決定した。それぞれの課題を分析するにつれ、技術や技能がどのように機能し、最終的に証拠の特定、取得、保存、検査、解釈という法医学的プロセスに貢献するかという観点から、その適用可能性が明らかになった。 |
| This work brings value by clarifying how forensics in the cloud can achieve the same acceptance as forensics in traditional computing models. This document, the associated research, and NIST IR 8006 [1] proactively address the White House Executive Order of May 12, 2021, entitled Executive Order on Improving the Nation’s Cybersecurity [3], which points out the importance of having forensic-ready information systems, including cloud systems, to improve the Nation’s cybersecurity. | この作業は、クラウドにおけるフォレンジックが、従来のコンピューティングモデルにおけるフォレンジックと同じように受け入れられるにはどうすればよいかを明らかにすることによって価値をもたらすものである。本書、関連研究、およびNIST IR 8006 [1]は、国家のサイバーセキュリティを向上させるために、クラウドシステムを含むフォレンジック対応の情報システムの重要性を指摘する2021年5月12日のホワイトハウス大統領令、「国家のサイバーセキュリティ向上に関する大統領令」 [3]に主体的に対処するものである。 |
| 1.1. The Need for a Cloud-specific Forensic Reference Architecture | 1.1. クラウド専用フォレンジック参照アーキテクチャーの必要性 |
| Digital forensics is the application of science and technology to the discovery and examination of digital artifacts within information systems and networks to establish facts and evidence concerning events and conditions that occur within them. Digital forensics is traditionally used for judicial proceedings and regulatory issues but may also be used for other purposes as described below. | デジタルフォレンジックとは、情報システムやネットワーク内のデジタルアーチファクトを発見・調査し、その中で発生した事象や状況に関する事実や証拠を確定するために、科学技術を応用したものである。デジタルフォレンジックは、伝統的に司法手続きや規制問題のために使用されているが、以下に述べるように他の目的にも使用されることがある。 |
| Digital forensics continues to evolve in step with computer and information science. As these technologies, their implementations, and their operations have changed, digital forensics has adapted. The number of scenarios that may require the application of digital forensic techniques have increased along with the complexity of the underlying architectures . | デジタルフォレンジックは、コンピュータと情報科学と歩調を合わせて進化し続けている。これらの技術、その実装、および運用が変化するにつれて、デジタルフォレンジックも適応してきた。デジタルフォレンジック技術の適用を必要とするシナリオの数は、基盤となるアーキテクチャの複雑さとともに増加している。 |
| One common scenario involves the detailed investigation of criminal activities. As computers become widely available and develop greater capabilities, criminal elements worldwide have adopted them as tools to manage their endeavors. These include both “traditional” forms of crime (e.g., violent crime, property crime, drug trafficking, human trafficking, white-collar crime) and crimes that occur in cyberspace (e.g., ransomware attacks, data breaches, identity theft, cyber-terrorism, distributed denial of service, illicit cryptocurrency mining, child pornography, and attacks against governments, key corporations, or power grids). Forensic procedures involve locating and analyzing digital traces that can help solve the crime and/or allow for incident response. | よくあるシナリオの1つは、犯罪行為の詳細な調査である。コンピュータが広く利用されるようになり、その機能が向上するにつれて、世界中の犯罪者が自分たちの活動を管理するためのツールとしてコンピュータを採用するようになった。これには、「伝統的な」犯罪形態(暴力犯罪、財産犯罪、麻薬取引、人身売買、ホワイトカラー犯罪など)とサイバースペースで発生する犯罪(ランサムウェア攻撃、データ漏洩、個人情報の盗難、サイバーテロ、分散サービス妨害、不正暗号通貨マイニング、児童ポルノ、政府・主要企業・電力網に対する攻撃など)の双方が含まれる。フォレンジック手順では、犯罪の解決やインシデント対応に役立つデジタル痕跡を探し出し、分析する。 |
| Forensic procedures are also used to investigate civil actions, such as divorce proceedings, asset discovery, insurance claims, lawsuits, and similar cases that often require forensic methods to determine the presence, absence, and movement of data and funds. | また、フォレンジック手法は、民事訴訟の調査、例えば離婚訴訟、資産開示、保険金請求、訴訟など、にも使用され、データや資金の存在、不存在、移動を特定するために必要となる場合も多い。 |
| An example of how forensic techniques are used involves the collection of a laptop computer while apprehending a presumed perpetrator of an illegal act. The suspected act could involve – for instance –financial exploitation of stolen identities, hacking into a hospital’s records management system to implant ransomware, electronic entry of a corporate system in attempted commercial espionage, or penetrating a government or military computer. Similarly, civil actions can require forensic examination, such as discovering financial assets for a divorce proceeding. | フォレンジック技術の使用例としては、違法行為の加害者と思われる人物を逮捕する際に、ノートパソコンを回収することが挙げられる。このような行為には、例えば、盗まれたIDを利用した金銭的搾取、病院の記録管理システムへのハッキングによるランサムウェアの埋め込み、商業スパイの試みによる企業システムへの電子侵入、政府または軍のコンピュータへの侵入などが含まれる可能性がある。同様に、民事訴訟でも、離婚訴訟のための金融資産の発見など、フォレンジック調査が必要となる場合がある。 |
| In each of these cases, forensics plays an essential role in determining facts; assisting in the analysis, validation, and authentication of data; and enabling documentation of findings to present to a court and attorneys. | このような場合、フォレンジックは、事実の特定、データの分析、検証、認証、裁判所や弁護士に提出する調査結果の文書化において、重要な役割を担っている。 |
| The application of forensic methods may also be required for normal business operations. For example, forensic methods may be employed to recover data that, at first, appears to be lost or destroyed on computer drives. During incident response, additional goals of using forensic methods may include mitigating future cyberattacks, preventing system failure, or minimizing data loss. | また、通常の業務においても、フォレンジック手法の適用が必要となる場合がある。例えば、フォレンジック手法は、一見、コンピュータドライブ上で失われたり破壊されたりしたように見えるデータを復元するために採用されることがある。インシデントレスポンスにおいて、フォレンジック手法の使用は、将来のサイバー攻撃の軽減、システム障害の防止、またはデータ損失の最小化などの追加的な目標を含むことができる。 |
| In the commercial context, the use of forensics in incident response can help determine the root cause of an outage event, such as a component failure, corrupted software, or intentional sabotage. Other scenarios may involve close examination of system configurations, potentially questionable employee data storage and activities, and operational aspects related to compliance matters. In any of these cases, forensic methods may supply insights that are not available through any other means. | 商業的な文脈では、インシデントレスポンスにおけるフォレンジックの使用は、コンポーネントの故障、破損したソフトウェア、または意図的な妨害行為などの障害事象の根本原因の特定に役立つ。また、システム構成、従業員のデータ保存や活動に問題がある可能性、コンプライアンス問題に関連する運用面などを綿密に調査するシナリオも考えられる。いずれの場合も、フォレンジックの手法は、他の手段では得られない知見をもたらす可能性がある。 |
| For decades, information processing systems have enabled the storage, processing, and transmission of information for public and private organizations and individuals. The maintenance, operations, and protection of these information systems have become paramount concerns since a disruption of sufficient magnitude or specific type could threaten business activities. In addition, the use of these systems in support of criminal activities has been of major concern. | 数十年にわたり、情報処理システムは、公共および民間の組織や個人による情報の保存、処理、送信を可能にしてきた。十分な規模や特定の種類の障害が発生すると事業活動が脅かされるため、これらの情報システムの維持、運用、保護は最重要事項となっている。さらに、これらの情報システムが犯罪行為に利用されることも懸念されている。 |
| Industry and government have an array of authoritative sources that guide the design, engineering, and operations of information systems. Each of the frameworks listed below can provide core support for the design, implementation, assessment, monitoring, and operations of information systems: | 産業界と政府は、情報システムの設計、エンジニアリング、および運用の指針となる権威ある情報源を数多く持っている。以下に挙げるフレームワークは、情報システムの設計、実装、評価、監視、運用を支援する中核となるものである。 |
| • NIST Risk Management Framework (RMF) [4] – A focused guide to information system risk management | - NIST リスクマネジメントフレームワーク(RMF)[4] - 情報システムのリスクマネジメントに焦点をあてたガイド。 |
| • ISO 27000 Series [5] – A series of standards dealing with a wide range of information security topics, such as: | - ISO 27000シリーズ[5] - 情報セキュリティに関する幅広いテーマを扱う一連の規格。 |
| o ISO/IEC 27001 [6] – Information Security Management o ISO/IEC 27002 [7] – Information Security Controls | o ISO/IEC 27001 [6] - 情報セキュリティ管理 o ISO/IEC 27002 [7] - 情報セキュリティ管理 |
| o ISO/IEC 27018 [8] – Security of Personally Identifiable Information (PII) in the Cloud | o ISO/IEC 27018 [8] - クラウドにおける個人特定可能情報(PII)のセキュリティ |
| o ISO/IEC 27035 [9] – Incident Response | o ISO/IEC 27035 [9] - インシデントレスポンス |
| o ISO/IEC 27037 [10] – Digital Evidence Collection and Preservation | o ISO/IEC 27037 [10] - デジタル証拠の収集と保存 |
| • IT Infrastructure Library (ITIL) [11] – A service-oriented architecture (SOA) | - ITIL (IT Infrastructure Library) [11] - サービス指向アーキテクチャ(SOA) |
| • Sherwood Applied Business Security Architecture (SABSA) [12] | - シャーウッド応用ビジネスセキュリティアーキテクチャ(SABSA)[12]。 |
| • The Open Group Architecture Framework (TOGAF) [13] – A general security framework | - The Open Group Architecture Framework (TOGAF) [13] - 一般的なセキュリティフレームワーク |
| • Cloud Security Alliance STAR program [14] – A progressive security certification | - クラウドセキュリティアライアンス STAR プログラム [14] - 進歩的なセキュリティ認証 |
| The focus of each of these frameworks varies but generally facilitates architecting, implementing, and operating secure and resilient information systems. The RMF is focused on security from a risk identification and management perspective. As varied as the ISO 27000 series [5] is, it contains standards that address digital evidence and incident response. Interestingly, however, there is not a readily apparent, in-depth exploration of cloud-system forensics. | これらのフレームワークの焦点はそれぞれ異なるが、一般に、安全でレジリエンスに優れた情報システムの設計、実装、運用を容易にする。RMFは、リスクの特定とマネジメントの観点からのセキュリティに焦点を合わせている。ISO 27000シリーズ[5]と同様に多様で、デジタル証拠とインシデント対応に対処する規格が含まれている。しかし、興味深いことに、クラウドシステムのフォレンジックについては、容易に理解でき、深く掘り下げたものはない。 |
| The endeavor presented here deals with the matter of forensics performed within a cloud computing environment. The advent of cloud computing has simplified business operations and introduced a level of business agility not previously experienced with traditional or on-premises computing. However, cloud computing has also introduced a range of security and forensics challenges. Enhanced capabilities enjoyed by legitimate businesses and friendly governments are often equally available to opposing nation-states, terrorist groups, and international criminal elements and assets. As a result, targets that were once unassailable by nefarious actors may now be vulnerable to attack or exploitation. | ここで紹介する試みは、クラウドコンピューティング環境内で実行されるフォレンジックに関する事項を扱うものである。クラウドコンピューティングの登場により、従来のオンプレミス・コンピューティングでは経験できなかったビジネスの簡素化と俊敏性がもたらされた。しかし、クラウドコンピューティングは、セキュリティとフォレンジックに関する様々な課題ももたらしている。合法的な企業や友好的な政府が享受している強化された機能は、しばしば敵対する国家、テログループ、国際的な犯罪要素や資産も同様に利用できるようになっている。その結果、かつては悪意のある行為者に手出しができなかった対象が、今では攻撃や搾取に対して脆弱になっている可能性がある。 |
| To a great extent, cloud computing runs on virtualization – that is, the creation of processing resources that have hardware as their basis but run as multiplexed programs and are thus functionally multiplied through it. Cloud forensics involves performing analysis on “virtual machines” using techniques that rely on having “real machines” on which to work. In addition, there is the issue of the information obtained. If the “machine” is essentially “unreal,” what does that say about any evidence derived from it? This evidence is therefore different from traditional digital evidence. | クラウドコンピューティングは、仮想化、つまり、ハードウェアをベースとしながらも、多重化されたプログラムとして動作する処理資源を作り、それによって機能的に多重化させることで成り立っている部分が大きい。クラウドフォレンジックでは、「実機」を前提とした手法で「仮想マシン」を分析することになる。さらに、得られる情報の問題もある。もし「マシン」が本質的に「非現実」であるなら、そこから得られる証拠はどうなるのだろうか。そのため、この証拠は、従来のデジタル証拠とは異なる。 |
| Cloud computing has become increasingly pervasive as more entities discover its advantages. | クラウドコンピューティングは、その利点を発見する事業者が増えるにつれて、ますます普及している。 |
| These entities include legitimate businesses, governments, and individuals who use SaaS cloud platforms, as well as criminal and terrorist organizations and opposing nation-states. For legitimate consumers, cloud computing provides capabilities such as: | これらの主体には、SaaS クラウド・プラットフォームを利用する合法的な企業、政府、個人だけでなく、犯罪組織やテロ組織、敵対する国家も含まれる。正規の消費者にとって、クラウド・コンピューティングは次のような機能を提供する。 |
| • More rapid business continuity and disaster recovery | ・より迅速な事業継続と災害復旧 |
| • More effective incident response | ・より効果的なインシデントレスポンス |
| • Improved information access, management, and archiving | ・情報へのアクセス,管理,アーカイブの改善 |
| • Easier and more immediate collaboration between widely separated individuals and groups | ・遠く離れた個人やグループ間での,より簡単で迅速な共同作業 |
| This research has adapted solutions that originated in the on-premises data center to the significant differences presented by the cloud. | この研究では,オンプレミスのデータセンターで生まれ たソリューションを,クラウドがもたらす大きな違いに適合させた。 |
| As important as they are for addressing significant events related to business operations (as described above), forensic methods have at least equal importance when contributing to matters of compliance, legality, and criminal exploitation. Careful treatment has been given to these questions during this research to ensure that the findings do not merely consider technical aspects but also address the broader aspects of their material application. Unquestionably, close examination of these adverse events is required to understand their incipience and progression and – in particular – to ensure that remediation, event reconstruction, and attribution are effectively and credibly realized. | フォレンジック手法は、事業運営に関連する重要な事象に対処する上で重要であるのと同様に(上述)、コンプライアンス、合法性、犯罪利用といった問題に貢献する上でも、少なくとも同等の重要性を持っている。本研究では、調査結果が単に技術的な側面を考慮するだけでなく、その重要な応用のより広い側面を扱うことを確実にするために、これらの質問に対して慎重な取り扱いがなされた。有害事象の発生と進行を理解し、特に是正、事象の再現、帰属を効果的かつ信頼できる形で実現するためには、これらの有害事象を詳細に調査することが必要であることは疑う余地がない。 |
| Thus, it has been the specific focus and goal of this effort to research these issues, examine and clarify the forensic challenges, and ultimately formulate and validate the capabilities required to apply accepted forensic techniques and technologies to this unique computing environment. The result is the Cloud Computing Forensic Reference Architecture. | したがって、これらの問題を研究し、フォレンジックの課題を検討し、明確にし、最終的にこのユニークなコンピューティング環境に一般的なフォレンジック技術やテクノロジーを適用するために必要な能力を策定し、検証することが、この取り組みの焦点であり目標であった。その結果が、クラウドコンピューティング・フォレンジック参照アーキテクチャーである。 |
| In as much as a security reference architecture is required to incorporate standards and requirements that will inform system actualization and operation with respect to security, applying the forensic reference architecture will likewise inform that system actualization and operation with the capability to more effectively examine, understand, reconstruct, and remediate the variety of system events and disruptions being experienced. | セキュリティ基準アーキテクチャが、セキュリティに関してシステムの実現と運用に情報を提供するための標準と要件を組み込むために必要とされるのと同様に、フォレンジック基準アーキテクチャを適用することによって、システムの実現と運用に、経験するさまざまなシステムイベントと混乱をより効果的に調査、理解、再構築、是正する能力を提供することができるようになる。 |
| The goal of the CC FRA is to provide support for a cloud system’s forensic readiness. It is meant to help the user understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies which forensic challenges require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here will likely evolve over time with more use and research. | CC FRAの目標は、クラウドシステムのフォレンジック準備の支援を提供することである。これは、組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題をユーザーが理解するのを助けることを目的としている。どのようなフォレンジックの課題が緩和策を必要とするのか、そしてフォレンジック調査者がどのように特定のフォレンジック調査に適用するのかを特定する。ここで紹介するCC FRAは、使用や研究が進むにつれて進化していくと思われる。 |
| 1.2. The Approach | 1.2. アプローチ |
| The CC FRA builds on several foundational layers. We begin with the understanding that this reference architecture addresses forensics in the context of a cloud computing environment. Building upon the fundamental relationship between security, incident response, and forensics, the CC FRA is designed as an overlay to NIST SP 500-299/SP 800-200, NIST Cloud Computing Security Reference Architecture (Draft) [15]. This document discusses the Security Reference Architecture (SRA) and leverages the CSA’s Enterprise Architecture (EA). Section 3 provides descriptions of the CSA’s EA and its use in the SRA, while Section 4 elaborates on the overlay approach employed for the CC FRA. | CC FRA は、いくつかの基礎的なレイヤーの上に構築されている。まず、この参照アーキテクチャは、クラウド・コンピューティング環境のコンテキストでフォレンジックに取り組むということを理解することから始める。セキュリティ、インシデントレスポンス、フォレンジックの間の基本的な関係に基づいて、CC FRA は NIST SP 500-299/SP 800-200、NIST クラウドコンピューティングセキュリティ参照アーキテクチャ (ドラフト) [15] のオーバーレイとして設計されている。本書では、セキュリティ参照アーキテクチャ(SRA)について説明し、CSAのエンタープライズアーキテクチャ(EA)を活用する。セクション 3 では、CSA の EA と SRA におけるその使用について説明し、セクション 4 では、CC FRA に採用したオー バーレイアプローチについて詳しく説明する。 |
| Figure 1 depicts the overlaying approach in which cloud functional capabilities comprising the EA are analyzed using the NIST cloud computing forensic challenges to identify the functional capabilities’ potential for supporting a cloud system’s forensic readiness. | 図1は、EAを構成するクラウドの機能的能力をNISTクラウドコンピューティング・フォレンジック課題を用いて分析し、クラウドシステムのフォレンジック対応力を支援する機能的能力の可能性を特定するオーバーレイアプローチを示している。 |
 |
|
| Fig. 1. Forensic Reference Architecture Overlaying Approach | 図1. フォレンジック参照アーキテクチャーの重ね合わせ手法 |
| The bottom layer in Figure 1 graphically represents the NIST cloud security reference architecture (SRA). The middle layer represents the NIST cloud forensic challenges. The top layer represents the NIST forensic reference architecture (FRA) described in the current document as an overlay (subset) of the graphical representation of the CSA EA – more precisely, the CSA TCI v1.1, which is the initial version of the CSA’s EA (see Appendix C). | 図1の最下層は、NISTクラウドセキュリティ参照アーキテクチャ(SRA)を図式化したものである。中央の層は、NISTのクラウド・フォレンジックの課題を表している。一番上の層は、CSAのEA、より正確にはCSAのEAの初期バージョンであるCSA TCI v1.1のグラフィック表現のオーバーレイ(サブセット)として、本書で説明するNISTフォレンジック参照アーキテクチャ(FRA)を表している(附属書Cを参照)。 |
| In Figure 1, the FRA layer leverages the two layers graphically represented beneath it by analyzing each capability of the SRA (these capabilities being derived from the CSA EA) in the context of the challenges documented in NIST IR 8006 [1]. For each challenge, the analysis determines whether the challenge affects the capability if implemented in a cloud environment as part of a cloud service or solution. If the challenge affects the capability, then the functional capability is considered to have forensic importance, and it is imported to or considered being a capability of the FRA. | 図1 では、FRA 層は、SRA の各能力(これらの能力は CSA EA に由来する)を NIST IR 8006 [1] に記された課題の文脈で分析することにより、その下に図式的に表される 2 つの層を活用する。各課題について、分析は、クラウドサービスまたはソリューションの一部としてクラウド環境に実装された場合、その課題が能力に影響を及ぼすかどうかを判断する。課題が能力に影響を与える場合、その機能的能力はフォレンジック的に重要であるとみなされ、FRAの能力にインポートされるか、または能力であるとみなされる。 |
結論
| 6. Conclusion | 6. 結論 |
| This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA) comprised of: | 本書は、以下の内容からなる NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー(CC FRA)を提示するものである。 |
| a) A methodology for analyzing the functional capabilities of an existing architecture – preferably a security architecture like the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2] – through a set of cloud forensic challenges, such as the set identified in NIST IR 8006 [1] | a) NIST IR 8006 [1]で特定された一連のクラウドフォレンジック課題を通じて、既存のアーキテクチャ(できれば、Cloud Security Alliance (CSA) のエンタープライズアーキテクチャ (EA) [2] のようなセキュリティアーキテクチャ)の機能能力を分析するための方法論。 |
| b) A data set that aggregates the results of the above methodology applied to the CSA’s EA [2] and the NIST IR 8006 [1] set of cloud forensic challenges | b) CSA の EA [2] と NIST IR 8006 [1] のクラウド・フォレンジック課題セットに適用した上記手法の結果を集約したデータセット。 |
| The goal of the FRA is to enable the analysis of cloud systems to determine the extent to which a system proactively supports digital forensics. More precisely, the FRA is meant to help users understand how the previously identified cloud forensic challenges might impact an organization’s cloud-based system. When developing a new system or analyzing an existing one, the FRA helps identify those cloud forensic challenges that could affect the system’s capabilities and, therefore, require at least partial mitigation strategies to support a complete forensic investigation. The FRA also identifies how a forensic investigator would apply the mitigation strategies to a particular investigation. While the FRA can be used by any cloud computing practitioner, it is specifically designed to enable cloud system architects, cloud engineers, forensic practitioners, and even cloud consumers to analyze and review their cloud computing architectures for forensic readiness. | FRAの目的は、クラウドシステムを分析し、システムがデジタルフォレンジックをどの程度まで積極的に支援しているかを判断できるようにすることである。より正確には、FRAは、先に特定されたクラウド・フォレンジックの課題が、組織のクラウドベースのシステムにどのような影響を与えうるかをユーザーが理解するのを助けることを意図している。新しいシステムを開発する場合、または既存のシステムを分析する場合、FRAは、システムの機能に影響を与える可能性があり、したがって、完全なフォレンジック調査を支援するために少なくとも部分的な緩和戦略を必要とするクラウドフォレンジックの課題を特定するのに役立つ。また、FRAは、フォレンジック調査員が特定の調査に緩和策を適用する方法を特定する。FRAは、クラウドコンピューティングの専門家なら誰でも使用できるが、特に、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、さらにはクラウド利用者が、フォレンジック準備のためにクラウドコンピューティングアーキテクチャを分析およびレビューできるよう設計されている。 |
| The FRA data provided in this document offers an initial implementation of the FRA methodology and a useful starting point for all cloud forensic stakeholders to analyze how the NIST cloud forensic challenges presented in NIST IR 8006 [1] affect each functional capability present in the CSA’s EA [2]. | 本文書で提供されるFRAデータは、FRA手法の初期実装と、NIST IR 8006 [1]で示されたNISTクラウドフォレンジックの課題がCSAのEA [2]にある各機能能力にどのように影響するかを分析する、すべてのクラウド・フォレンジックの関係者にとって有用な出発点を提供するものである。 |
| All users are encouraged to customize this initial implementation (shown in Appendix D) for their specific situations and needs. For example, if the existing functional capabilities are not appropriate for the user’s situation, some or all can be removed, and new ones can be added. Similarly, new forensic challenges appropriate for the user’s situation can be added, and challenges that have been adequately mitigated can be removed. The FRA methodology promotes analysis of how cloud forensic challenges affect particular functional capabilities and helps determine whether mitigations are necessary to ensure forensic readiness related to the respective capability. This means that users can replace all cloud forensics challenges or functional capabilities used in the current FRA data set with their own. | すべてのユーザは、この初期実装(附属書D に示す)を特定の状況やニーズに応じてカスタマイズすることが推奨される。例えば、既存の機能的能力がユーザーの状況に適していない場合、一部または全部を削除し、新しいものを追加することができる。同様に、ユーザーの状況に適した新たなフォレンジック課題を追加し、十分に緩和された課題を削除することができる。FRA手法は、クラウドのフォレンジック課題が特定の機能能力にどのように影響するかの分析を促進し、それぞれの能力に関するフォレンジック対応力を確保するために緩和が必要かどうかを判断するのに役立つ。これは、ユーザーが現在のFRAデータセットで使用されているすべてのクラウドフォレンジックの課題または機能的能力を独自のものに置き換えることができることを意味する。 |
| The FRA presented here will likely evolve over time, and methods for quantifying impact will be developed to enhance FRA usability. | ここで紹介したFRAは、時間の経過とともに進化し、FRAの使い勝手を向上させるために影響を定量化する方法が開発されると思われる。 |
[1] Herman M, Iorga M, Salim AS, Jackson R, Hurst M, Leo R, Lee R, Landreville N, Mishra AK, Wang Y, Sardinas R (2020). NIST Cloud Computing Forensic Science Challenges. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8006. https://doi.org/10.6028/NIST.IR.8006
[2] Cloud Security Alliance Enterprise Architecture. Available at https://ea.cloudsecurityalliance.org/
[3] The White House, Executive Order on Improving the Nation’s Cybersecurity, May 12, 2021. Available at https://www.whitehouse.gov/briefing-room/presidentialactions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
[4] Joint Task Force (2018). Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-37, Rev. 2. https://doi.org/10.6028/NIST.SP.800-37r2
[5] International Organization for Standardization, ISO 2700 Standards. Available at https://www.27000.org/index.htm
[6] ISO/IEC 27001, Information Technology — Security Techniques — Information Security Management Systems — Requirements, 2013. Available at https://www.iso.org/standard/54534.html
[7] ISO/IEC 27002, Information Security, Cybersecurity and Privacy Protection — Information Security Controls, 2022. Available at https://www.iso.org/standard/75652.html
[8] ISO/IEC 27018, Information Technology — Security Techniques — Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors, 2019. Available at https://www.iso.org/standard/76559.html
[9] ISO/IEC 27035-2, Information Technology — Security Techniques — Information Security Incident Management — Part 2: Guidelines to Plan and Prepare for Incident Response, 2016. Available at https://www.iso.org/standard/62071.html
[10] ISO/IEC 27037, Information Technology — Security Techniques — Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence, 2012. Available at https://www.iso.org/standard/44381.html
[11] IT Infrastructure Library (ITIL). Available at https://www.ibm.com/cloud/learn/itinfrastructure-library
[12] The SABSA Institute, SABSA Enterprise Security Architecture. Available at https://sabsa.org/
[13] The Open Group, The TOGAF Standard, Version 9.2. Available at https://www.opengroup.org/togaf
[14] Cloud Security Alliance – Security, Trust, Assurance and Risk (STAR). Available at https://cloudsecurityalliance.org/star
[15] NIST Cloud Computing Security Reference Architecture (Draft). (National Institute of Standards and Technology, Gaithersburg, MD). NIST Special Publication (SP) 500299/800-200. Available at https://github.com/usnistgov/CloudSecurityArchitectureToolCSAT-v0.1/blob/master/Documents/NIST%20SP%20800-200SRA_DRAFT_20180414.pdf
● まるちゃんの情報セキュリティ気まぐれ日記
NISTIR 8006
・2020.08.26 NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理
CSAのインシデント対応
・2021.06.07 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドの日本語訳を公表していますね。。。
・2021.05.05 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。
・2020.04.23 Cloud Security Alliance がクラウド上でのインシデント対応のフレームワーク(クイックガイド)を公表していますね。。。
STAR
・2021.09.17 Cloud Security Alliance STAR認証:継続的監査の導入
・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン
その他
・2021.01.10 CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出
Comments