米国 CISA クラウドサービス・ガイダンス、参考資料を公表
こんにちは、丸山満彦です。
CISAが、セキュア・クラウド・ビジネス・アプリケーション (SCuBA) プロジェウトの一環として、クラウドサービスのガイダンスを公表していますね。。。
こういうのが作れるのはUSですよね。。。
まだ、さっとしか読んでいませんが、ちゃんと読んでおきたいなぁと思いました。。。
● CISA
プレスリリース...
・2023.06.27 CISA Releases Cloud Services Guidance and Resources
| CISA Releases Cloud Services Guidance and Resources | CISAがクラウドサービス・ガイダンスとリソースを発表 |
| Final guidance and resources help agencies adopt necessary security and resilience best practices for utilizing cloud services | 最終ガイダンスとリソースは、各省庁がクラウド・サービスを利用するために必要なセキュリティとレジリエンスのベスト・プラクティスを導入するのに役立つ |
| WASHINGTON – Today, CISA released the first series of final security guidance resources under our Secure Cloud Business Applications (SCuBA) project: the Extensible Visibility Reference Framework (eVRF) Guidebook and a Technical Reference Architecture (TRA) document. With input from public comment period in 2022, the final guidance documents help public and private entities implement necessary security and resilience best-practices for their cloud services. | ワシントン発 - 本日、CISAは、セキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクトにおける一連の最終セキュリティ・ガイダンス・リソースの第1弾として、拡張可能な可視性参照フレームワーク(eVRF)ガイドブックと技術参照アーキテクチャ(TRA)文書をリリースした。2022年のパブリック・コメント期間からの意見を反映した最終ガイダンス文書は、公共および民間の事業体がクラウド・サービスに必要なセキュリティとレジリエンスのベスト・プラクティスを導入するのに役立つ。 |
| ・The eVRF Guidebook provides an overview of the eVRF framework, which enables organizations to identify visibility data, mitigate threats, and understand the extent to which specific products and services provide visibility data and identify where potential gaps exist. | ・eVRFガイドブックは、組織が可視化データを特定し、脅威を軽減し、特定の製品やサービスがどの程度可視化データを提供しているかを理解し、潜在的なギャップが存在する場所を特定することを可能にするeVRFフレームワークの概要を提供する。 |
| ・The TRA Document is a security guide that organizations can use to adopt technology for cloud deployment, adaptable solutions, secure architecture, and zero trust frameworks. | ・TRAドキュメントは、組織がクラウド展開、適応可能なソリューション、安全なアーキテクチャ、ゼロ・トラスト・フレームワークの技術を採用する際に使用できるセキュリティガイドである。 |
| "As evidenced by supply chain compromises and associated cyber threat campaigns, persistent threat actors continue to evolve their capabilities with the intent to compromise federal government networks and critical infrastructure, whether on on-premises or cloud-based environments,” said CISA Executive Assistant for Cybersecurity, Eric Goldstein. “The final eVRF and TRA provides all organizations, including federal agencies, with adaptable, flexible, and timely guidance. These resources will help organizations address cybersecurity and visibility gaps that have long hampered our collective ability to adequately understand and manage cyber risk.” | 「サプライチェーンの侵害や関連するサイバー脅威キャンペーンで明らかなように、持続的脅威行為者は、オンプレミス環境であれクラウドベース環境であれ、連邦政府のネットワークや重要インフラを侵害する意図を持って、その能力を進化させ続けている」と、CISAサイバーセキュリティ担当エグゼクティブ・アシスタントのエリック・ゴールドスタインは述べた。「最終的なeVRFとTRAは、連邦政府機関を含むすべての組織に、適応可能で柔軟かつタイムリーなガイダンスを提供する。これらのリソースは、サイバーリスクを適切に理解しマネジメントする我々の能力を長い間妨げてきたサイバーセキュリティと可視性のギャップを解決するのに役立つだろう。 |
| The SCuBA project provides guidance and capabilities to secure cloud business application environments and protect information created, accessed, shared, and stored in those environments. The eVRF Guidebook and TRA document further the project’s goal of developing consistent, effective, modern, and manageable security configurations to help organizations adopt necessary cloud-focused security and resilience practices. | SCuBAプロジェクトは、クラウド・ビジネス・アプリケーション環境を保護し、そこで作成、アクセス、共有、保存される情報を保護するためのガイダンスと機能を提供する。eVRFガイドブックとTRAドキュメントは、一貫性があり、効果的で、最新かつ管理可能なセキュリティ構成を開発し、組織がクラウドに焦点を当てた必要なセキュリティとレジリエンスを実践できるようにするというプロジェクトの目標をさらに推進するものである。 |
| To download the eVRF Guidebook and TRA document, visit Secure Cloud Business Applications (SCuBA). | eVRFガイドブックとTRA文書をダウンロードするには、Secure Cloud Business Applications (SCuBA)を参照のこと。 |
・Secure Cloud Business Applications (SCuBA) Project
| Secure Cloud Business Applications (SCuBA) Project | セキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクト |
| Secure Cloud Business Applications (SCuBA) | セキュア・クラウド・ビジネス・アプリケーション(SCuBA) |
| Description | プロジェクト概要 |
| The Secure Cloud Business Applications (SCuBA) project provides guidance and capabilities to secure agencies’ cloud business application environments and protect federal information that is created, accessed, shared and stored in those environments. SCuBA will help secure federal civilian executive branch (FCEB) information assets stored within cloud environments through consistent, effective, modern, and manageable security configurations. | セキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクトは、各省庁のクラウド・ビジネス・アプリケーション環境を保護し、それらの環境で作成、アクセス、共有、保存される連邦情報を保護するためのガイダンスと機能を提供する。SCuBAは、一貫性があり、効果的で、最新かつ管理可能なセキュリティ設定を通じて、クラウド環境内に保存される連邦文民行政機関(FCEB)の情報資産の安全確保を支援する。 |
| This project accelerates CISA cybersecurity shared services offerings, strengthens its relationship with other agencies, and supports CISA’s role leading federal efforts to mitigate cybersecurity risks to the nation, its execution of security requirements, and the Department of Homeland Security (DHS) cybersecurity mission. | このプロジェクトは、CISAのサイバーセキュリティ共有サービス提供を加速し、他省庁との関係を強化し、国家に対するサイバーセキュリティ・リスクを軽減する連邦政府の取り組みを主導するCISAの役割、セキュリティ要件の実行、国土安全保障省(DHS)のサイバーセキュリティ使命を支援する。 |
| For information not provided, please refer to the Frequently Asked Questions, or email [mail]. | 提供されていない情報については、「よくある質問」を参照するか、[mail] にメールを。 |
| Current Status | 現在の状況 |
| In October 2022, CISA published the Microsoft 365 baselines and encouraged FCEB agencies to pilot and provide feedback. The public comment period ended on December 16, 2022. | 2022年10月、CISAはMicrosoft 365ベースラインを公表し、FCEB機関に試験運用とフィードバックの提供を促した。パブリックコメント期間は2022年12月16日に終了した。 |
| The SCuBA Technical Reference Architecture (TRA) and Extensible Visibility Reference Framework (eVRF) Guidebook were finalized and published June 27, 2023. | SCuBA 技術参照アーキテクチャー(TRA)および拡張可能な可視性参照フレームワーク(eVRF) ガイドブックが最終化され、2023 年 6 月 27 日に発行された。 |
| CISA released the Hybrid Identity Solutions Architecture guidance document for comment in March 2023. The public comment period ended on April 19th, 2023. | CISA は 2023 年 3 月にハイブリッド ID ソリューション・アーキテクチャ指針文書を公開し、コ メントを求めた。パブリックコメント期間は 2023 年 4 月 19 日に終了した。 |
| CISA eVRF & TRA | CISA eVRF および TRA |
| CISA requested public comment on the TRA and eVRF in the first phase of the SCuBA project to ensure our guidance enables the best flexibility to keep pace with evolving technologies and capabilities and protect the federal enterprise. | CISA は、SCuBA プロジェクトの第 1 フェーズで TRA と eVRF に関するパブリック・コメントを要求し た。これは、ガイダンスが進化する技術と能力に対応し、連邦エンタープライズを防御するための最 善の柔軟性を確保するためである。 |
| CISA's intent is to properly address cybersecurity and visibility gaps within cloud-based business applications that have hampered our collective ability to adequately understand and manage cyber risk across the Federal and IT enterprise. In addition, CISA is working towards guidance on recommended cybersecurity configuration based for select products that is likely to be released in the coming months. | CISAの意図は、連邦政府とITエンタープライズ全体のサイバーリスクを適切に理解し管理する能力を妨げてきた、クラウドベースのビジネスアプリケーション内のサイバーセキュリティと可視性のギャップに適切に対処することである。さらに、CISAは、今後数カ月以内にリリースされる可能性が高い、特定の製品に基づく推奨サイバーセキュリティ構成に関するガイダンスに向けて取り組んでいる。 |
| CISA has now finalized the TRA and eVRF documents. | CISAは現在、TRAとeVRFの文書を確定している。 |
| SCuBA TRA | SCuBA TRA |
| The SCuBA TRA is a security guide that agencies can use to adopt technology for cloud deployment, adaptable solutions, secure architecture and zero trust frameworks. It is available for download. | SCuBA TRAは、クラウド展開、適応可能なソリューション、セキュアなアーキテクチャ、ゼロ・トラスト・フレームワークなどの技術を採用する際に機関が利用できるセキュリティガイドである。 ダウンロード可能である。 |
| eVRF | eVRF |
| The eVRF Guidebook provides an overview of the eVRF framework, which enables organizations to identify visibility data that can be used to mitigate threats, understand the extent to which specific products and services provide that visibility data, and identify potential visibility gaps. | eVRFガイドブックは、組織が脅威を軽減するために使用できる可視性データを特定し、特定の製品やサービスがどの程度その可視性データを提供しているかを理解し、潜在的な可視性ギャップを特定することを可能にするeVRFフレームワークの概要を提供する。 |
| The eVRF consists of a guidance document, two product-specific workbook overviews, and two product-specific workbooks. | eVRFは、ガイダンス文書、2つの製品別ワークブックの概要、および2つの製品別ワークブックで構成されている。 |
| eVRF documents available for download: | ダウンロード可能なeVRF文書 |
| ・eVRF Guidance Document | ・eVRFガイダンス文書 |
| ・eVRF Google Workspace Workbook Overview | ・eVRFグーグル・ワークスペース・ワークブックの概要 |
| ・eVRF Google Workspace Workbook | ・eVRFグーグル・ワークスペース・ワークブック |
| ・eVRF Microsoft 365 Workbook Overview | ・eVRF Microsoft 365ワークブックの概要 |
| ・eVRF Microsoft 365 Workbook | ・eVRF Microsoft 365 ワークブック |
| Microsoft 365 & Google Workspace Baselines | Microsoft 365 & Google Workspace ベースライン |
| CISA requested federal agencies to pilot M365 security configuration guides. CISA, in partnership with the CIO Council, developed minimum security controls for M365 and solicited agency feedback on the business impact of controls, implementation and any adoption blockers. The public comment period ended on December 16, 2022. | CISAは連邦政府機関にM365セキュリティ設定ガイドを試験的に導入するよう要請した。CISAは、CIO Councilと協力して、M365の最小限のセキュリティコントロールを開発し、コントロールのビジネスインパクト、実装、採用の阻害要因について各機関のフィードバックを求めた。パブリックコメント期間は2022年12月16日に終了した。 |
| The baselines are available through GitHub or download. | ベースラインはGitHubまたはダウンロードで入手できる。 |
| Baselines available for download: | ダウンロード可能なベースライン |
| ・Microsoft Defender for Office 365 | ・Microsoft Defender for Office 365 |
| ・Microsoft Azure Active Directory | ・Microsoft Azure Active Directory |
| ・Microsoft Exchange Online | ・Microsoft Exchange Online |
| ・Microsoft OneDrive for Business | ・Microsoft OneDrive for Business |
| ・Microsoft Power BI | ・Microsoft Power BI |
| ・Microsoft Power Platform | ・Microsoft Power Platform |
| ・Microsoft SharePoint Online | ・Microsoft SharePoint Online |
| ・Microsoft Teams | ・Microsoft Teams |
| Hybrid Identity Solutions Architecture | ハイブリッド ID ソリューション・アーキテクチャ |
| CISA has released the Hybrid Identity Solutions Architecture guidance document for comment. This document is designed to help agencies understand potential options for identity management interoperability between on-premises and cloud-based solutions, the challenges involved in each, and how to address those challenges. The comment period ended on May 26th, 2023. | CISA は、「ハイブリッド ID ソリューション・アーキテクチャ」ガイダンス文書を公開し、 コメントを求めている。この文書は、オンプレミスとクラウドベースのソリューション間の ID 管理の相互運用性のための潜在的なオプショ ン、それぞれに関連する課題、およびそれらの課題に対処する方法を機関が理解できるように設計されている。意見募集期間は2023年5月26日に終了した。 |
| Available for download: Hybrid Identity Solutions Architecture | ダウンロード可能: ハイブリッド・アイデンティティ・ソリューション・アーキテクチャ |
| Please provide all comments to [mail] | コメントはすべて[mail] まで。 |
| Service Materials | サービス資料 |
| Secure Cloud Business Applications (SCuBA) Frequently Asked Questions (PDF, 151.82 KB ) | セキュア・クラウド・ビジネス・アプリケーション(SCuBA)よくある質問(PDF, 151.82 KB ) |
| csso-scuba-guidance_document-hybrid_identity_solutions_architecture-2023.03.22-final.pdf (PDF, 1.24 MB ) | CSSO-SCUBAガイダンス・ドキュメント-ハイブリッド・アイデンティティ・ソリューション・アーキテクチャ-2023.03.22-final.pdf(PDF, 1.24 MB ) |
| CSSO SCuBA eVRF Guidebook (PDF, 3.11 MB ) | CSSO SCuBA eVRF ガイドブック(PDF, 3.11 MB ) |
| CSSO SCuBA TRA Guidance Document (PDF, 1.57 MB ) | CSSO SCuBA TRAガイダンス文書(PDF, 1.57 MB ) |
主要な文書...
SCUBA TRA
・[PDF] SECURE CLOUD BUSINESS APPLICATIONS (SCUBA) - Technical Reference Architecture
| 1. Introduction | 1. 序文 |
| 1.1 Background | 1.1 背景 |
| 1.2 Purpose | 1.2 目的 |
| 1.3 Scope | 1.3 範囲 |
| Agency Users | 省庁ユーザー |
| External Users | 外部ユーザ |
| Agency Subscribed Cloud Business Applications | 省庁が契約しているクラウド・ビジネス・アプリケーション |
| 2. Development | 2. 開発 |
| 3. Definition of Cloud Business Applications | 3. クラウド業務アプリケーションの定義 |
| 4. Cloud Security Guidance | 4. クラウド・セキュリティ・ガイダンス |
| 4.1 CISA Cloud Security Guidance | 4.1 CISAクラウド・セキュリティ・ガイダンス |
| CISA Cloud Security Technical Reference Architecture | CISA クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャ |
| CISA NCPS Cloud Interface Reference Architecture Volumes 1 and 2 | CISA NCPSクラウド・インタフェース・リファレンス・アーキテクチャ第1巻及び第2巻 |
| CISA Trusted Internet Connections 3.0 Core Guidance and Use Cases | CISA Trusted Internet Connections 3.0 コア・ガイダンスとユースケース |
| Continuous Diagnostics and Mitigation | 継続的な診断と低減 |
| CISA Zero Trust Maturity Model | CISA ゼロ・トラスト成熟度モデル |
| extensible Visibility Reference Framework Guidebook | 拡張可能な可視性参照フレームワーク・ガイドブック |
| 4.2 Federal Cloud Security Guidance | 4.2 連邦クラウド・セキュリティ・ガイダンス |
| Federal Risk and Authorization Management Program | 連邦リスク・権限マネジメント・プログラム |
| OMB Memorandum: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles | OMB Memorandum: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles(OMB覚書:米国政府をゼロ・トラスト・サイバーセキュリティ原則に移行する |
| OMB Memorandum: Improving the Federal Government’s Investigative and Remediation Capabilities Related to Cybersecurity Incidents | OMB メモランダム:サイバーセキュリティインシデントに関連する連邦政府の調査および修復能力の改善 |
| Federal ICAM Architecture Introduction | 連邦ICAMアーキテクチャ序文 |
| 5. Threats to Cloud Business Applications | 5. クラウド・ビジネス・アプリケーションへの脅威 |
| 6. Securing Cloud Business Applications | 6. クラウド・ビジネス・アプリケーションの保護 |
| 6.1 Identity, Credential, and Access Management | 6.1 ID、クレデンシャル、アクセス管理 |
| 6.2 Secure Cloud Access from Any Location | 6.2 あらゆる場所からの安全なクラウドアクセス |
| 6.3 External Email Protections | 6.3 外部電子メールの防御 |
| 6.4 Protective Domain Name System | 6.4 ドメインネームシステムの防御 |
| 6.5 Endpoint Security Services | 6.5 エンドポイントセキュリティサービス |
| 6.5.1 Desktop Endpoint Security | 6.5.1 デスクトップ・エンドポイント・セキュリティ |
| 6.5.2 Mobile Endpoint Security | 6.5.2 モバイル・エンドポイント・セキュリティ |
| 6.6 Application Security Configuration | 6.6 アプリケーション・セキュリティ構成 |
| 6.6.1 Data Sharing and Exfiltration Protection | 6.6.1 データ共有と流出防御 |
| 6.7 Cyber Visibility and the eVRF Analytical Framework | 6.7 サイバー・ビジビリティとeVRF分析フレームワーク |
| 6.8 Telemetry Generation and Processing | 6.8 テレメトリの生成と処理 |
| 6.8.1 Logging | 6.8.1 ロギング |
| 6.8.2 Monitoring | 6.8.2 モニタリング |
| 6.8.3 Auditing | 6.8.3 監査 |
| 6.8.4 Alerting | 6.8.4 アラート |
| 6.8.5 Threat Detection | 6.8.5 脅威検知 |
| 6.9 Shared Responsibility Model | 6.9 責任共有モデル |
| 6.9.1 Protective Security Controls and Services | 6.9.1 防御セキュリティ・コントロールとサービス |
| 6.9.2 Visibility, Detection, and Response | 6.9.2 可視化、検知、レスポンス |
| 7. Conclusion | 7. 結論 |
| 8. References | 8. 参考文献 |
| Appendix A. Glossary | 附属書A. 用語集 |
| Appendix B. Abbreviations | 附属書B. 略語 |
・[PDF] SECURE CLOUD BUSINESS APPLICATIONS (SCUBA) - EXTENSIBLE VISIBILITY REFERENCE FRAMEWORK
| Extensible Visibility Reference Framework | 拡張可能な可視性参照フレームワーク |
| Executive Summary | エグゼクティブ・サマリー |
| eVRF Layout | eVRFのレイアウト |
| 1. Introduction | 1. 序文 |
| 1.1 eVRF Overview | 1.1 eVRFの概要 |
| 1.2 Benefits of eVRF | 1.2 eVRFの利点 |
| 1.3 Document Organization | 1.3 文書の構成 |
| 1.4 Intended Audience | 1.4 対象読者 |
| 1.5 Assumptions and Constraints | 1.5 前提条件と制約条件 |
| 1.6 Relationship to OMB M-21-31 | 1.6 OMB M-21-31との関係 |
| 1.7 eVRF Use Within Federal Acquisition Lifecycles | 1.7 連邦調達ライフサイクルにおけるeVRFの使用 |
| 2. Visibility | 2. 可視性 |
| 2.1 Key Visibility Concepts | 2.1 主な可視性の概念 |
| 2.2 Division of Enterprise into Domains | 2.2 エンタープライズのドメインへの分割 |
| 3. Generating an eVRF Workbook | 3. eVRFワークブックの作成 |
| 3.1 Workflow Process Overview | 3.1 ワークフロー・プロセスの概要 |
| 3.2 Tailoring the eVRF Workflow | 3.2 eVRFワークフローの調整 |
| 3.3 Organization Integration of eVRF | 3.3 eVRFの組織統合 |
| 4. CISA Use of eVRF | 4. CISAによるeVRFの利用 |
| 4.1 Agency and CISA Benefits of eVRF | 4.1 eVRFの省庁及びCISAの利点 |
| 4.2 Roles and Responsibilities | 4.2 役割と責任 |
| 4.3 FCEB Workflow Example | 4.3 FCEBワークフローの例 |
| 4.4 FCEB Use of Visibility Coverage Comparisons | 4.4 FCEB による可視性カバレッジ比較の利用 |
| 5. Conclusion | 5. 結論 |
| Appendix A: Relationship of eVRF to CISA Programs | 附属書A:eVRFとCISAプログラムの関係 |
| Appendix B: Key Terms | 附属書B:主要用語 |
| Appendix C: Key Documents | 附属書C:主要文書 |
Comments