NIST SP 800-219r1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
こんにちは、丸山満彦です。
NISTがSP 800-219 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンスの改訂版についてのドラフトを公表し、意見募集(2023.04.27まで) をしています。OSのバージョンアップに合わせて変更していかないといけないので、大変ですね。。。
● NIST - ITL
・2023.03.13 macOS Configuration Guidance from the mSCP: Draft NIST SP 800-219r1 Available for Comment
| macOS Configuration Guidance from the mSCP: Draft NIST SP 800-219r1 Available for Comment | mSCPによるmacOS設定ガイダンス:NIST SP 800-219r1ドラフトがコメント受付中である。 |
| NIST requests comments on the initial public draft of Special Publication (SP) 800-219r1, Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP). It provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. | NISTは、特別出版物 (SP) 800-219r1「macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス」の初期公開草案に対するコメントを求めている。 本書は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ責任者、監査人が、macOSであるクトップおよびラップトップシステムのセキュリティを自動化した方法で確保し評価するために活用できるリソースを提供する。 |
| This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The draft also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS. | 本書では、mSCPを紹介し、mSCPのコンテンツを活用するためのユースケースを説明し、組織がより簡単にセキュリティルールをカスタマイズできるmSCPの新機能を紹介する。また、ドラフトでは、プロジェクトのGitHubサイトで利用できるリソースの概要を説明している。このリソースは、セキュアベースラインと関連ルールの形で実用的で実行可能な推奨事項を提供し、macOSの新しいリリースごとにサポートするために継続的に更新される。 |
| SP 800-219 Rev. 1 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) | SP 800-219 Rev.1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス |
| Announcement | 発表 |
| This draft revision of NIST SP 800-219 provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. | NIST SP 800-219のこのドラフト改訂版は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSであるクトップおよびラップトップシステムのセキュリティを自動で確保し評価するために活用できるリソースを提供する。 |
| This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The draft also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS. | 本書では、mSCPを紹介し、mSCPのコンテンツを活用するためのユースケースを説明し、組織がセキュリティルールをより簡単にカスタマイズできるmSCPの新機能を紹介している。また、このドラフトでは、プロジェクトのGitHubサイトで利用できるリソースの概要を説明している。このリソースは、セキュアベースラインと関連ルールの形で実用的で実行可能な推奨事項を提供し、macOSの新しいリリースごとにサポートするために継続的に更新される。 |
| Abstract | 概要 |
The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. Updates from the previous version of this publication mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline. |
macOS セキュリティ・コンプライアンス・プロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSのであるクトップおよびラップトップシステムのセキュリティを自動で確保し評価するために活用できるリソースを提供する。本書では、mSCPを紹介し、プロジェクトのGitHubサイトで利用できるリソースの概要を説明する。このサイトは、macOSの新しいリリースをサポートするために継続的にキュレーションと更新が行われている。GitHubサイトでは、セキュアベースラインと関連ルールの形で、実用的で実行可能な推奨事項を提供している。また、本書では、mSCPのコンテンツを活用するためのユースケースについても説明している。本書の前バージョンからの更新点は、ベースラインをカスタマイズしてカスタムベンチマークを作成する新しいmSCP機能に関するものである。 |
・[PDF] SP 800-219 Rev. 1 (Draft)
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的および範囲 |
| 1.2. Audience | 1.2. 想定読者 |
| 1.3. Relevance to NIST SP 800-70 and the National Checklist Program | 1.3. NIST SP 800-70及びナショナルチェックリストプログラムとの関連性 |
| 1.4. Document Structure | 1.4. 文書構造 |
| 2. Project Description | 2. プロジェクト概要 |
| 2.1. Project Goals | 2.1. プロジェクトの目標 |
| 2.2. mSCP Content Use | 2.2. mSCPコンテンツ利用 |
| 3. mSCP Components | 3.mSCPの構成要素 |
| 3.1. Baselines and Benchmarks | 3.1. ベースラインとベンチマーク |
| 3.2. Security Baseline Files | 3.2. セキュリティベースラインファイル |
| 3.2.1. Rule File Composition | 3.2.1. ルールファイルの構成 |
| 3.2.2. Rule File Categories | 3.2.2. ルールファイルのカテゴリ |
| 3.3. Configuration Profiles and Scripts | 3.3. コンフィギュレーション・プロファイルとスクリプト |
| 3.4. Content Generation Scripts | 3.4. コンテンツ生成スクリプト |
| 3.4.1. Generate Baseline Script | 3.4.1. ベースライン・スクリプトを生成する |
| 3.4.2. Generate Guidance Script | 3.4.2. ガイダンススクリプトを生成する |
| 3.4.3. macOS Security Compliance Tool | 3.4.3. macOSセキュリティコンプライアンスツール |
| 3.4.4. SCAP Generation Script | 3.4.4. SCAP生成スクリプト |
| 3.4.5. Generate Mapping Script | 3.4.5. マッピングスクリプトを生成する |
| 3.5. Customization | 3.5. カスタマイズ |
| 3.6. Directories | 3.6. ディレクトリー |
| References | 参考文献 |
| Appendix A. mSCP User Roles | 附属書A mSCPのユーザーロール |
| Appendix B. Example of mSCP Usage by a Security Professional | 附属書B.セキュリティ専門家によるmSCPの活用例 |
| Appendix C. Example of Creating a Benchmark Using ODVs | 附属書C.ODVを用いたベンチマーク作成例 |
| Appendix D. Example of mSCP Usage by an Assessment Tool Vendor | 附属書D.評価ツールベンダーによるmSCPの使用例 |
| Appendix E. List of Symbols, Abbreviations, and Acronyms | 附属書E.記号・略語・頭字語リスト |
| Appendix F. Change Log | 附属書F.変更履歴 |
| 1. Introduction | 1. 序文 |
| The National Institute of Standards and Technology (NIST) has traditionally published secure configuration guides for Apple desktop/laptop operating system versions as prose-based Special Publications (SPs), such as NIST SP 800-179, Revision 1, Guide to Securing Apple macOS 10.12 Systems for IT Professionals: A NIST Security Configuration Checklist. In order to provide security configuration guidance to organizations more quickly and in a machine-consumable format, NIST established the open-source macOS Security Compliance Project (mSCP). NIST no longer produces SP guidance documents for each macOS release; instead, the mSCP continuously curates and updates machine-consumable macOS guidance. The latest macOS security baseline content is maintained and updated on the mSCP GitHub page [1]. | 米国国立標準技術研究所(NIST)は、従来からAppleのであるクトップ/ラップトップOSのバージョンに対応した安全な設定ガイドを、NIST SP 800-179、改訂1、IT専門家のためのApple macOS 10.12 Systemsの安全確保のためのガイドなどの散文ベースの特別出版物(SP)として発行している。A NIST Security Configuration Checklist」など、散文ベースの特別刊行物(SP)として提供されている。NISTは、セキュリティ構成ガイダンスをより迅速に、かつ機械消費型のフォーマットで組織に提供するため、オープンソースのmacOS Security Compliance Project (mSCP)を設立しました。NISTは、macOSのリリースごとにSPガイダンス文書を作成しなくなりました。その代わりに、mSCPは、機械消費型のmacOSガイダンスを継続的にキュレーションして更新する。最新のmacOSセキュリティベースラインの内容は、mSCPのGitHubページで管理・更新されている[1]。 |
| Security baselines are groups of settings used to configure a system to meet a target level or set of requirements or to verify that a system complies with requirements. The mSCP seeks to simplify the macOS security development cycle by reducing the amount of effort required to implement security baselines. This collaboration between federal agencies minimizes duplicate effort that would otherwise be needed for these agencies to administer individual security baselines. Additionally, the secure baseline content provided is easily extensible by other parties to implement their own security requirements. | セキュリティベースラインは、目標レベルや一連の要件を満たすようにシステムを構成するため、またはシステムが要件に準拠していることを検証するために使用する設定グループである。mSCPは、セキュリティベースラインの実装に必要な労力を削減することで、macOSのセキュリティ開発サイクルを簡素化することを目指している。この連邦政府機関間の協力により、これらの機関が個別のセキュリティベースラインを管理するために必要な重複した労力を最小限に抑えることがである。さらに、提供されるセキュアベースラインのコンテンツは、他の関係者が独自のセキュリティ要件を実装するために容易に拡張可能である。 |
| Organizations using mSCP content, particularly security baseline examples, should take a riskbased approach for selecting the appropriate settings and defining values that consider the context under which the baseline will be utilized. | mSCPのコンテンツ、特にセキュリティベースラインの例を使用する組織は、リスクベースのアプローチで適切な設定を選択し、ベースラインが使用されるコンテキストを考慮した値を定義する必要がある。 |
| 1.1. Purpose and Scope | 1.1. 目的及び範囲 |
| The purpose of this document is to introduce the mSCP to broader audiences. This document provides a high-level overview of the mSCP, its components, and some common use cases. It refers readers to the online project documentation for in-depth technical information and use instructions. This document is intended to be independent of macOS version releases; updates will be released as needed when there are substantial changes to the mSCP. Updates from the previous release of this document mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline. | 本書は、mSCP をより多くの人に紹介することを目的とする。本書では、mSCP の概要、構成要素、および一般的な使用例について説明する。詳細な技術情報や使用方法については、オンライン・プロジェクト・ドキュメントを参照すること。本書は、macOSのバージョンに依存しないことを意図している。mSCPに大きな変更があった場合は、必要に応じてアップデートを行いる。このドキュメントの以前のリリースからの更新は、主にベースラインを調整することによってカスタムベンチマークを作成する新しいmSCP機能に関するものである。 |
| The information in this document regarding the details of the mSCP GitHub site is accurate as of the time of publication. Readers seeking the latest detailed information on mSCP content or the content itself should visit the mSCP GitHub page and wiki. | 本書に記載されているmSCPのGitHubサイトの詳細情報は、公開時点の情報である。mSCPコンテンツやコンテンツ自体の最新の詳細情報を知りたい読者は、mSCP GitHubページおよびwikiを参照すること。 |
| Organizations that need to reference a NIST SP to demonstrate how they are complying with United States Government mandates for adopting secure configurations for their macOS devices may reference this SP instead of its deprecated predecessors, such as SP 800-179 or SP 800-179, Revision 1. | macOSデバイスに安全な設定を採用するための米国政府の義務に準拠していることを示すためにNIST SPを参照する必要がある組織は、SP 800-179やSP 800-179、 Revision 1などの非推奨の前身ではなく、本SPを参照である。 |
| 1.2. Audience | 1.2. 想定読者 |
| This document and the mSCP GitHub site are intended for system administrators, security professionals, policy authors, privacy officers, and auditors who have responsibilities involving macOS security. Additionally, vendors of device management, security, configuration assessment, and compliance tools that support macOS may find this document and the GitHub site to be helpful. | この文書と mSCP GitHub サイトは、macOS のセキュリティに関わる責任を持つシステム管理者、セキュリティ専門家、ポリシー作成者、プライバシー担当者、監査人を対象としている。さらに、macOS をサポートするデバイス管理、セキュリティ、構成評価、およびコンプライアンスツールのベンダーは、この文書と GitHub サイトを参考にすることができる。 |
| 1.3. Relevance to NIST SP 800-70 and the National Checklist Program | 1.3. NIST SP 800-70およびNational Checklist Programとの関連性 |
| The security baselines from the mSCP GitHub page are included in the National Checklist Program. NIST SP 800-70, Revision 4 [2], explains that federal agencies are required to use appropriate security configuration checklists from the National Checklist Program when available. Part 39 of the Federal Acquisition Regulations, Section 39.101 paragraph (c) states, | mSCP GitHub ページのセキュリティベースラインは、National Checklist Program に含まれている。NIST SP 800-70、Revision 4 [2]では、連邦政府機関は、National Checklist Programの適切なセキュリティ構成チェックリストが利用できる場合は、それを使用することが求められると説明している。連邦調達規則のパート39、セクション39.101パラグラフ(c)には次のように書かれている。 |
| In acquiring information technology, agencies shall include the appropriate information technology security policies and requirements, including use of common security configurations available from the National Institute of Standards and Technology’s website at https://checklists.nist.gov. Agency contracting officers should consult with the requiring official to ensure the appropriate standards are incorporated. | 情報技術を取得する際、各省庁は、米国国立標準技術研究所のウェブサイト(https://checklists.nist.gov)から入手できる共通セキュリティ構成の使用を含む、適切な情報技術セキュリティ方針および要件を含めるものとする。省庁の契約担当者は、適切な規格が組み込まれていることを確認するために、必要な職員と相談する必要がある。 |
| 1.4. Document Structure | 1.4. 文書の構造 |
| The remaining sections and appendices of this document are as follows: | 本書の残りのセクションと附属書は、以下の通りである。 |
| • Section 2 provides an overview of the project, including what its goals are and how its content can be used. | ・セクション 2 では、プロジェクトの目標やコンテンツの利用方法など、プロジェクトの概要について説明する。 |
| • Section 3 explains the major components of the mSCP and provides pointers to additional information on component usage. | ・セクション 3 では、mSCP の主要なコンポーネントを説明し、コンポーネントの使用方法に関する追加情報へのポインタを提供する。 |
| • The References section lists the references for the document. | ・参考文献では、この文書の参考文献をリストアップしている。 |
| • Appendix A briefly discusses how mSCP can help meet the needs of people in several roles. | ・附属書Aは、mSCP がいくつかの役割の人々のニーズを満たすのにどのように役立つかを簡単に説明している。 |
| • Appendix B provides examples of how a security professional might use mSCP content. | ・附属書Bは、セキュリティ専門家がmSCPのコンテンツをどのように使用するかの例を示している。 |
| • Appendix C contains an example of how an assessment tool vendor could leverage mSCP content. | ・附属書Cは、評価ツールベンダーがmSCPのコンテンツをどのように活用するかの例を示している。 |
| • Appendix D lists selected acronyms and abbreviations used in this document. | ・附属書Dは、本書で使用する頭字語および略語の一覧である。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.02.19 NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
Comments