NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント
こんにちは、丸山満彦です。
ゼロトラスト・アーキテクチャ実装ガイドライン全5巻(Vol.A 〜 Vol.E)のうちVol.E リスクとコンプライアンスマネジメントのドラフト第2版となりますね。。。
コメントは、2023.10.31まで...
| SP 1800-35A | Executive Summary | エグゼクティブサマリー | 2nd Preliminary Draft |
| SP 1800-35B | Approach, Architecture, and Security Characteristics | アプローチ、アーキテクチャ、セキュリティ特性 | 3rd Preliminary Draft |
| SP 1800-35C | How-To Guides | ハウツーガイド | 3rd Preliminary Draft |
| SP 1800-35D | Functional Demonstrations | 機能デモ | 3rd Preliminary Draft |
| SP 1800-35E | Risk and Compliance Management | リスクとコンプライアンスマネジメント | 2nd Preliminary Draft |
サイバーセキュリティフレームワーク、SP800-53、大統領令14028とのマッピング。。。です。。。
● NIST - ITL
| NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture (Volume E, Risk and Compliance Management) | NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装(E編 リスク・コンプライアンスマネジメント) |
| Announcement | 発表 |
| The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has released the second version of volume E of a preliminary draft practice guide titled Implementing a Zero Trust Architecture and is seeking the public's comments on the contents. | NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のZero Trust Architecture(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題する初期ドラフト実践ガイドのE巻の第2版を公開し、その内容に関する一般からのコメントを求めている。 |
| This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. | このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。 |
| Volume E provides a risk analysis and mapping of ZTA reference design security characteristics to cybersecurity standards and recommended practices. The updated version also includes mappings from the vendor products that have been implemented so far to applicable cybersecurity standards and recommended practices. | E編では、リスク分析とZTA参照設計のセキュリティ特性とサイバーセキュリティ標準および推奨実施事項とのマッピングを提供している。更新版には、これまでに実装されたベンダー製品から、適用可能なサイバーセキュリティ標準や推奨事例へのマッピングも含まれている。 |
| The public comment period for Volume E is open through October 31st, 2023. Please note that Vol. A, B, and C are the previous versions and do not require reviews; also, Volume D is open for public comment until October 9th, 2023. | E編のパブリックコメント募集期間は2023年10月31日までである。 なお、A巻、B巻、C巻は旧版であり、レビューの必要はない。また、D巻は2023年10月9日までパブリックコメントを受け付けている。 |
| Abstract | 概要 |
| A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized 56 access to enterprise resources that are distributed across on-premises and multiple cloud environments, 57 while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from 58 any device in support of the organization’s mission. Each access request is evaluated by verifying the 59 context available at access time, including criteria such as the requester’s identity and role, the 60 requesting device’s health and credentials, the sensitivity of the resource, user location, and user 61 behavior consistency. If the enterprise’s defined access policy is met, a secure session is created to 62 protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and 64 its collaborators use commercially available technology to build interoperable, open, standards-based 65 ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, 66 Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available 67 technology can be integrated and used to build various ZTAs. This volume of the NIST Cybersecurity 68 Practice Guide discusses risks addressed by the ZTA reference architecture. It also maps ZTA security 69 characteristics to Cybersecurity Framework Subcategories, NIST SP 800-53r5 (Security and Privacy 70 Controls for Information Systems and Organizations) security controls, and Executive Order (EO) 14028 71 security measures. | ゼロトラストアーキテクチャ(ZTA)は、データとリソースの保護に重点を置く。ZTA は、オンプレミスと複数のクラウド環境に分散しているエンタープライズリソースへの安全な認証アクセ スを可能にし、同時に、ハイブリッドワーカーとパートナーが、組織のミッションを支援するために、いつでも、 どこからでも、どのデバイスからでもリソースにアクセスできるようにする。各アクセス要求は、アクセス時に利用可能なコンテキストを検証することで評価される。これには、アクセ ス要求者のアイデンティティや役割、要求元デバイスの健康状態や認証情報、リソースの機密性、 ユーザーの場所、ユーザー行動の一貫性などの基準が含まれる。エンタープライズで定義されたアクセス・ポリシーが満たされると、リソースとの間で送受信される すべての情報を保護するために、セキュアなセッションが作成される。リアルタイムかつ継続的なポリシー駆動型のリスクベースのアセスメントが実行され、アクセ スが確立され、維持される。このプロジェクトでは、NCCoEとその協力者は、NIST特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープ ンな標準ベースのZTA実装を構築するために、市販の技術を使用する。この NIST サイバーセキュリティ実践ガイドでは、様々な ZTA を構築するために、市販の技術をどのように統合し、使用できるかを説明する。NIST サイバーセキュリティ実践ガイドの本編では、ZTA 参照アーキテクチャが対処するリスクについて論じる。また、ZTA のセキュリティ特性を、サイバーセキュリティフレームワークのサブカテゴリー、 NIST SP 800-53r5(情報システムおよび組織のセキュリティおよびプライバシー管理)のセキュリテ ィ管理、および大統領令(EO)14028 のセキュリティ対策にマッピングしている。 |
・[PDF]
| 1 Introduction | 1 序文 |
| 1.1 How to Use this Guide | 1.1 このガイドの使い方 |
| 2 Risks Addressed by the ZTA Reference Architecture | 2 ZTAリファレンス・アーキテクチャが対処するリスク |
| 3 ZTA Reference Architecture Security Mappings | 3 ZTAリファレンス・アーキテクチャのセキュリティ・マッピング |
| 3.1 Use Cases | 3.1 ユースケース |
| 3.2 Mapping Producers | 3.2 マッピング・プロデューサー |
| 3.3 Mapping Approach | 3.3 マッピングの考え方 |
| 3.3.1 Mapping Terminology | 3.3.1 マッピング用語 |
| 3.3.2 Mapping Process | 3.3.2 マッピング・プロセス |
| 4 Mappings | 4 マッピング |
| 4.1 NIST CSF Subcategory Mappings | 4.1 NIST CSFサブカテゴリーのマッピング |
| 4.1.1 Mapping Between ZTA Reference Design Functions and NIST CSF Subcategories | 4.1.1 ZTA 基準設計機能と NIST CSF サブカテゴリー間のマッピング |
| 4.1.2 Mapping Between Collaborator Technologies in the ZTA Builds and NIST CSFSubcategories | 4.1.2 ZTA 構築におけるコラボレーション技術 と NIST CSFS サブカテゴリ間のマッピング |
| 4.2 NIST SP 800-53 Control Mappings | 4.2 NIST SP 800-53 コントロールマッピング |
| 4.2.1 Mapping Between ZTA Reference Design Functions and NIST SP 800-53 Controls | 4.2.1 ZTA リファレンスデザイン機能と NIST SP 800-53 コントロールのマッピング |
| 4.2.2 Mapping Between Collaborator Technologies in the ZTA Builds and NIST SP 800-53 Controls | 4.2.2 ZTA 構築におけるコラボレーション技術と NIST SP 800-53 コントロールとの間のマッピング |
| 4.3 EO 14028 Security Measure Mappings | 4.3 EO 14028 セキュリティ対策のマッピング |
| 4.3.1 Mapping Between ZTA Reference Design Functions and EO 14028 Security Measures | 4.3.1 ZTA 参照設計機能と EO 14028 セキュリティ対策との間のマッピング |
| 4.3.2 Mapping Between Collaborator Technologies in the ZTA Builds and EO 14028 Security Measures | 4.3.2 ZTA 構築物に含まれる協力者技術と EO 14028 セキュリティ対策との間のマッピング |
| Appendix A References | 附属書 A 参照 |
● まるちゃんの情報セキュリティ気まぐれ日記
1800-35...
・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ
・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)
・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)
・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)
・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)
800-207他
・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル
・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」
・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド
・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)
・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル
・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表
・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス
・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。
・2020.08.14 NIST SP 800-207 Zero Trust Architecture
・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)
« 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。 | Main | NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル »
Comments