NIST SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン (2023.05.17)

こんにちは、丸山満彦です。

ぼちぼち、キャッチアップしていきますね。。。

NISTが、エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドラインを公表していますね。。。

日本政府、多くの自治体、企業でスマホを業務に利用するようになっているので、こういうガイドラインは重要だろうと思いますね。。。日本政府、自治体、企業でも参考になるところが多いのではないかと思います。。。

• モバイルデバイスおよびモバイルデバイスからアクセスされる情報システムの脅威分析を実施する。
• エンタープライズモビリティ管理、モバイル脅威防御、モバイルアプリケーション審査、その他該当するエンタープライズモバイルセキュリティ技術を採用する。
• モバイルデバイスソリューションのパイロット版を実装し、テストしてから本番に投入する。
• 組織のシステムや情報へのアクセスを許可する前に、組織から支給された各モバイルデバイスのセキュリティを完全に確保する。
• モバイルのOSやアプリを常にアップデートする。
• モバイル端末のセキュリティを定期的に監視・維持する。

が重要なこととなっていますが、どのくらいの日本政府や企業が脅威分析をしているのでしょうかね。。。

 

● NIST - ITL

・2023.05.17 SP 800-124 Rev. 2 Guidelines for Managing the Security of Mobile Devices in the Enterprise

SP 800-124 Rev. 2 Guidelines for Managing the Security of Mobile Devices in the Enterprise	SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン
Abstract	概要
Mobile devices were initially personal consumer communication devices but they are now permanent fixtures in enterprises and are used to access modern networks and systems to process sensitive data. This publication assists organizations in managing and securing these devices by describing available technologies and strategies. Security concerns inherent to the usage of mobile devices are explored alongside mitigations and countermeasures. Recommendations are provided for deployment, use and disposal of devices throughout the mobile-device lifecycle. The scope of this publication includes mobile devices, centralized device management and endpoint protection「PDF] technologies, while including both organization-provided and personally owned deployment scenarios.	モバイルデバイスは、当初は消費者向けの個人用通信機器であったが、現在ではエンタープライズで常設され、最新のネットワークやシステムにアクセスして機密データを処理するために使用されている。本書は、利用可能なテクノロジーと戦略について説明することで、組織がこれらのデバイスを管理し、保護することを支援するものである。モバイルデバイスの使用に固有のセキュリティ上の懸念事項については、緩和策や対策とともに解説している。また、モバイルデバイスのライフサイクルを通じて、デバイスの配備、使用、廃棄に関する推奨事項を記載している。本書では、モバイルデバイス、集中デバイス管理、およびエンドポイント保護技術を対象としており、組織から提供される場合と個人で所有する場合の両方の導入シナリオを含んでいる。

 

・[PDF] SP 800-124 Rev. 2

・[DOCX] 仮訳

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Audience	1.3. 対象者
1.4. Document Structure	1.4. 文書の構成
1.5. Document Conventions	1.5. 文書の決まりごと
2. Overview of Mobile Devices	2. モバイルデバイスの概要
2.1. Mobile Device Definition	2.1. モバイルデバイスの定義
2.2 Mobile Device Characteristics	2.2 モバイルデバイスの特性
2.3. Mobile Device Components	2.3. モバイルデバイスの構成要素
2.4. Mobile Communication Mechanisms and Other Common Mobile Components	2.4. モバイル通信機構とその他の共通モバイルコンポーネント
3. Threats to the Mobile Enterprise	3. モバイルエンタープライズの脅威
3.1. Threats to Enterprise Use of Mobile Devices	3.1. エンタープライズにおけるモバイルデバイスの使用に対する脅威
3.1.1. Exploitation of Underlying Vulnerabilities in Devices	3.1.1. 端末に内在する脆弱性の悪用
3.1.2. Device Loss and Theft	3.1.2. 端末の紛失・盗難
3.1.3. Exploitation of Supply Chain Vulnerabilities	3.1.3. サプライチェーンにおける脆弱性の悪用
3.1.4. Accessing Enterprise Resources Via a Misconfigured Device	3.1.4. 設定ミスしたデバイスを経由したエンタープライズリソースへのアクセス
3.1.5. Credential Theft Via Phishing	3.1.5. フィッシングによるクレデンシャルの窃取
3.1.6. Installation of Unauthorized Certificates	3.1.6. 未認証の証明書のインストール
3.1.7. Use of Untrusted Mobile Devices	3.1.7. 信頼されていないモバイルデバイスの使用
3.1.8. Wireless Eavesdropping	3.1.8. 無線による盗聴
3.1.9. Mobile Malware	3.1.9. モバイルマルウェア
3.1.10. Information Loss Due to Insecure Lock Screen Configuration	3.1.10. 安全でないロック画面設定による情報損失
3.1.11. User Privacy Violations	3.1.11. ユーザーのプライバシー侵害
3.1.12. Data Loss via Synchronization	3.1.12. 同期によるデータ消失
3.1.13. Shadow IT Usage	3.1.13. シャドーITの利用
3.2. Threats to Device Management Systems	3.2. デバイス管理システムに対する脅威
3.2.1. Exploitation of Vulnerabilities within the Underlying EMM Platform	3.2.1. EMMプラットフォーム内の脆弱性を利用したもの
3.2.2. EMM Administrator Credential Theft	3.2.2. EMM 管理者クレデンシャルの窃取
3.2.3. Insider Threat	3.2.3. インサイダー脅威
3.2.4. Installation of Malicious Developer and EMM Profiles	3.2.4. 悪意のある開発者及び EMM プロファイルのインストール
4. Overview of Mobile Security Technologies	4. モバイルセキュリティ技術の概要
4.1 Device-Side Management and Security Technologies	4.1 デバイスサイドの管理・セキュリティ技術
4.1.1. Hardware-Backed Processing and Storage	4.1.1. ハードウェアに裏打ちされた処理とストレージ
4.1.2. Data Isolation Mechanisms	4.1.2. データ分離の仕組み
4.1.3. Platform Management APIs	4.1.3. プラットフォーム管理API
4.1.4. VPN Support	4.1.4. VPN支援
4.1.5. Authentication Mechanisms	4.1.5. 本人認証機構
4.2. Enterprise Mobile Security Technologies	4.2. エンタープライズ・モバイル・セキュリティ技術
4.2.1. Enterprise Mobility Management	4.2.1. エンタープライズモビリティ管理
4.2.2. Mobile Application Management	4.2.2. モバイルアプリケーション管理
4.2.3. Mobile Threat Defense	4.2.3. モバイル脅威防御
4.2.4. Mobile App Vetting	4.2.4. モバイルアプリの審査
4.2.5. Virtual Mobile Infrastructure	4.2.5. 仮想モバイルインフラ
4.2.6. Application Wrapping	4.2.6. アプリケーションのラッピング
4.2.7. Secure Containers	4.2.7. セキュアコンテナ
4.3. Recommended Mitigations and Countermeasures	4.3. 推奨される緩和策と対策
4.3.1. EMM Technologies	4.3.1. EMM技術
4.3.2. Cybersecurity Recommended Practices	4.3.2. サイバーセキュリティの推奨プラクティス
4.3.3. Remote/Secure Wipe	4.3.3. リモートワイプ／セキュアワイプ
4.3.4. Security-Focused Device Selection	4.3.4. セキュリティに重点を置いたデバイスの選択
4.3.5. Use Secure Connections to Resources	4.3.5. リソースへの安全な接続の使用
4.3.6. Rapid Adoption of Software Updates	4.3.6. ソフトウェアアップデートの迅速な導入
4.3.7. OS and Application Isolation	4.3.7. OSとアプリケーションの分離
4.3.8. Mobile Application Vetting	4.3.8. モバイルアプリケーションの審査
4.3.9. Mobile Threat Defense	4.3.9. モバイル脅威の防御
4.3.10. User Education	4.3.10. ユーザー教育
4.3.11. Mobile Device Security Policies	4.3.11. モバイルデバイスセキュリティポリシー
4.3.12. Notification and Revocation of Enterprise Access	4.3.12. エンタープライズアクセスの通知と取り消し
4.3.13. Strong Authentication	4.3.13. 強固な本人認証
5. Enterprise Mobile Device Deployment Life Cycle	5. エンタープライズモバイルデバイス導入のライフサイクル
5.1. Identify Mobile Requirements	5.1. モバイル要件の特定
5.1.1. Explore Mobile Use Cases	5.1.1. モバイルのユースケースの探索
5.1.2. Survey Current Inventory	5.1.2. 現在の在庫を調査する
5.1.3. Choose Deployment Model	5.1.3. 展開モデルの選択
5.1.4. Select Devices	5.1.4. デバイスの選択
5.1.5. Determine EMM Capabilities	5.1.5. EMM 機能の決定
5.2. Perform Risk Assessment	5.2. リスクアセスメントの実施
5.3. Implement Enterprise Mobility Strategy	5.3. エンタープライズモビリティ戦略の実施
5.3.1. Select and Install Mobile Technology	5.3.1. モバイルテクノロジーの選択と導入
5.3.2. Integration of EMM into the Enterprise Service Infrastructure	5.3.2. エンタープライズサービスインフラへのEMMの統合
5.3.3. Set Policy, Device Configuration, and Provision	5.3.3. ポリシーの設定、デバイスの構成、およびプロビジョニング
5.3.4. Define EMM Policy	5.3.4. EMM ポリシーを定義する
5.3.5. Verification Testing	5.3.5. 検証テスト
5.3.6. Deployment Testing	5.3.6. デプロイメントテスト
5.4. Operate and Maintain	5.4. 運用・保守
5.4.1. Auditing	5.4.1. 監査
5.4.2. Device Usage	5.4.2. デバイスの使用状況
5.5. Dispose of and/or Reuse Device	5.5. デバイスの廃棄および再利用
References	参考文献
Appendix A. Change Log	附属書 A. 変更履歴

 

エグゼクティブサマリー...

Executive Summary	要旨
Modern mobile devices, which are essentially general-purpose computing platforms capable of performing tasks far beyond the voice and text capabilities of legacy mobile devices, are widespread within modern enterprise networks. Mobility has transformed how enterprises deliver information technology (IT) services and accomplish their missions. Targeted toward consumers for on-demand personal access to communications, information, and services, these devices are not configured by default for business use. As mobile devices perform everyday enterprise tasks, they regularly process, modify, and store sensitive data. While organizations understand that using mobile devices and mobile applications for anytime, anywhere access can increase employee productivity and enhance decision making and situational awareness, these devices bring unique threats to the enterprise.	最新のモバイルデバイスは、基本的に汎用的なコンピューティングプラットフォームであり、従来のモバイルデバイスの音声やテキスト機能をはるかに超えるタスクを実行できるため、現代のエンタープライズネットワークに広く普及している。モビリティは、エンタープライズが情報技術（IT）サービスを提供し、その使命を達成する方法を変えた。通信、情報、サービスへのオンデマンドな個人アクセスを目的とした消費者向けのデバイスは、デフォルトではビジネス用途に設定されていない。モバイルデバイスは、エンタープライズで日常的に使用されるため、機密データを定期的に処理、変更、保存する。企業は、モバイルデバイスとモバイルアプリケーションを使用していつでもどこでもアクセスできるようにすることで、従業員の生産性を高め、意思決定と状況認識を強化できることを理解しているが、これらのデバイスは、企業に独自の脅威をもたらす。
As consumers and enterprise organizations have increased their adoption and use of mobile technologies, the mobile threat landscape has also shifted. This includes an increase in mobile malware and vulnerabilities that span the device (e.g., operating system, firmware, the baseband processor used to access cellular networks), mobile apps, networks, and management infrastructure. The diversity and complexity of the mobile ecosystem and the rapid pace of change challenge the selection, integration, and management of mobile technologies in enterprise IT environments. To reduce the risk to sensitive data and systems, enterprises need to institute appropriate policies and infrastructure to manage and secure mobile devices, applications, content, and access.	消費者やエンタープライズ企業がモバイルテクノロジーの導入と利用を拡大するにつれて、モバイル脅威の状況も変化している。これには、モバイル端末（オペレーティングシステム、ファームウェア、携帯電話ネットワークにアクセスするためのベースバンドプロセッサなど）、モバイルアプリ、ネットワーク、管理インフラにまたがるモバイルマルウェアや脆弱性が増加している。モバイルエコシステムの多様性と複雑性、そして変化の速さは、エンタープライズIT環境におけるモバイルテクノロジーの選択、統合、管理という課題に直面している。機密データやシステムに対するリスクを低減するために、エンタープライズは、モバイルデバイス、アプリケーション、コンテンツ、アクセスを管理し、保護するための適切なポリシーとインフラを確立する必要がある。
Mobile devices often need additional protections as a result of their portability, small size, and common use outside of an organization’s network, which generally places them at higher exposure to threats than other endpoint devices. Laptops are excluded from the scope of this publication. Although some laptop/desktop management technologies are converging with mobile device management technologies, the security capabilities currently available for laptops are different than those available for smartphones, tablets, and other mobile device types. Furthermore, mobile devices contain features that are not generally available in laptops (e.g., multiple wireless network interfaces, Global Positioning System, numerous sensors, built-in mobile apps). Devices with minimal computing capability, such as the most basic cell phones and general Internet of Things (IoT) devices, are also out of scope because they typically do not have a full-fledged operating system (OS), and their functionality and available security options are limited.	モバイルデバイスは、その携帯性、小型化、組織のネットワーク外での一般的な使用により、他のエンドポイントデバイスよりも脅威へのエクスポージャーが高くなるため、追加の保護が必要になることが多い。ノートパソコンは、本書の対象から除外されている。ノートパソコン/であるクトップ管理技術の一部は、モバイルデバイス管理技術と融合しつつあるが、現在ノートパソコンで利用できるセキュリティ機能は、スマートフォン、タブレット、その他のモバイルデバイスで利用できる機能とは異なっている。さらに、モバイルデバイスには、ノートパソコンでは一般的に利用できない機能（複数の無線ネットワークインターフェース、全地球測位システム、多数のセンサー、内蔵モバイルアプリなど）がある。最も基本的な携帯電話や一般的なモノのインターネット（IoT）デバイスなど、最小限のコンピューティング能力を持つデバイスも、一般的に本格的なオペレーティングシステム（OS）を持たず、その機能性や利用できるセキュリティオプションが限られているため、対象外である。
Organizations can use the Enterprise Mobile Device Deployment Life Cycle (Fig. 1) to improve the security of their mobile devices.	組織は、エンタープライズモバイルデバイス導入ライフサイクル（図1）を利用して、モバイルデバイスのセキュリティを向上させることができる。
Fig. 1. Enterprise Mobile Device Lifecycle	図1.エンタープライズモバイルデバイスライフサイクル
Organizations can implement the following to build and maintain the security of their mobile device deployment:	組織は、モバイルデバイス展開のセキュリティを構築し、維持するために、以下を実施することができる：
• Conduct a threat analysis for mobile devices and any information systems accessed from mobile devices.	• モバイルデバイスおよびモバイルデバイスからアクセスされる情報システムの脅威分析を実施する。
• Employ enterprise mobility management, mobile threat defense, mobile application vetting, and other applicable enterprise mobile technologies.	• エンタープライズモビリティ管理、モバイル脅威防御、モバイルアプリケーション審査、その他該当するエンタープライズモバイルセキュリティ技術を採用する。
• Implement and test a pilot of a mobile device solution before putting the solution into production.	• モバイルデバイスソリューションのパイロット版を実装し、テストしてから本番に投入する。
• Fully secure each organization-issued mobile device before allowing a user to access the organization’s systems or information.	• 組織のシステムや情報へのアクセスを許可する前に、組織から支給された各モバイルデバイスのセキュリティを完全に確保する。
• Keep mobile operating systems and apps updated.	• モバイルのOSやアプリを常にアップデートする。
• Regularly monitor and maintain mobile device security.	• モバイル端末のセキュリティを定期的に監視・維持する。

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.25 NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス

・2020.09.11 NISTがSP 800-46 企業向けテレワークセキュリティのガイドの改訂に向けたアイデア募集していますね。。。

・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

 

この文書のドラフトと前のバージョン

・2020.03.25 NIST SP 800-124 Rev. 2(Draft) Guidelines for Managing the Security of Mobile Devices in the Enterprise

・2012.07.22 NIST DRAFT SP 800-124 Revision 1, Guide to Enterprise Telework and Remote Access Security