NIST SP 1800-22 モバイル・デバイス・セキュリティ: 自分のデバイスを持ち込む(BYOD)
こんにちは、丸山満彦です。
NIST-ITLの9月末駆け込み?発行の最後はBYODですね。。。
● NIST - ITL
・2023.09.28 NIST SP 1800-22 Mobile Device Security: Bring Your Own Device (BYOD)
| NIST SP 1800-22 Mobile Device Security: Bring Your Own Device (BYOD) | NIST SP 1800-22 モバイル・デバイス・セキュリティ: 自分のデバイスを持ち込む(BYOD) |
| Abstract | 概要 |
| Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and Apple phones and tablets used in BYOD deployments. | BYOD(Bring Your Own Device)とは、個人所有のデバイスで業務関連の活動を行うことを指す。この実践ガイドでは、BYOD 導入で使用される Android および Apple の携帯電話やタブレットのセキュリティとプライバシーを強化する方法を示すソリューションの例を示す。 |
| Incorporating BYOD deployments into an organization can increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices. | BYOD を組織に導入すると、組織のリソースにアクセスする機会や方法が増える可能性がある。組織によっては、従来のオフィス内プロセスとモバイル・デバイス・テクノロジーを組み合わせることで、持ち運び可能なコミュニケーション・アプローチと適応性の高いワークフローが実現する。また、従業員が主にモバイル・デバイスを使ってコミュニケーションやコラボレーションを行う、モバイル・ファーストのアプローチを促進する組織もある。 |
| However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both organizations and device owners. The unique nature of these challenges is driven by the differing risks posed by the type, age, operating system (OS), and other variances in mobile devices. | しかし、BYODモバイル・デバイスの柔軟性と機能性を高める機能の中には、組織とデバイスの所有者の双方に、セキュリティとプライバシーに関する独自の課題をもたらすものもある。このような課題のユニークな性質は、モバイル・デバイスの種類、年齢、オペレーティング・システム(OS)、およびその他の違いによってもたらされるリスクの違いによってもたらされる。 |
| Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks. Solutions that are designed to secure corporate devices and on-premises data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, opening up the possibility of observation and control that would not otherwise exist. | BYOD 機能を企業で利用できるようにすると、新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するように設計されたソリューションでは、BYOD に効果的なサイバーセキュリティ・ソリューションを提供できない。BYOD の導入に特有のリスクがあるため、効果的なソリューションを見つけるのは困難な場合がある。さらに、BYOD 機能を有効にすると、雇用主が個人のデバイスにある程度アクセスできるようになるため、従業員に新たなプライバシー・リスクがもたらされ、そうでなければ存在しなかった観察および制御の可能性が広がる。 |
| To help organizations benefit from BYOD’s flexibility while protecting themselves from critical security and privacy challenges, this practice guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. | この実践ガイドでは、組織が BYOD の柔軟性の恩恵を受けながら、重要なセキュリティおよびプライバシーの課題から自らを保護できるように、標準ベースの市販製品を使用したソリューションの例と、段階的な実装ガイダンスを提供する。 |
・[PDF]
目次...
| Contents | 目次 |
| 1 Summary . | 1 概要 |
| 1.1 Challenge | 1.1 課題 |
| 1.2 Solution | 1.2 解決策 |
| 1.2.1 Standards and Guidance | 1.2.1 標準とガイダンス |
| 1.2.2 Benefits of this Example Solution | 1.2.2 このソリューション例の利点 |
| 2 How to Use This Guide | 2 このガイドの使い方 |
| 2.1 Typographic Conventions | 2.1 組版規則 |
| 3 Approach | 3 アプローチ |
| 3.1 Audience | 3.1 対象者 |
| 3.2 Scope | 3.2 対象範囲 |
| 3.3 Assumptions | 3.3 前提条件 |
| 3.4 Risk Assessment | 3.4 リスクアセスメント |
| 3.4.1 Security Threats | 3.4.1 セキュリティ上の脅威 |
| 3.4.2 Vulnerabilities | 3.4.2 脆弱性 |
| 3.4.3 Problematic Data Actions | 3.4.3 問題のあるデータアクション |
| 3.4.4 Risks | 3.4.4 リスク |
| 3.5 Applying Risk Assessments to this BYOD Example Solution | 3.5 この BYOD ソリューション例へのリスクアセスメントの適用 |
| 4 Architecture | 4 アーキテクチャ |
| 4.1 Common BYOD Risks and Potential Objectives to Remediate Those Risks | 4.1 一般的な BYOD リスクと、それらのリスクを修正するための潜在的な目標 |
| 4.1.1 Threat Events | 4.1.1 脅威イベント |
| 4.1.2 Privacy Risks | 4.1.2 プライバシーリスク |
| 4.1.3 Security and Privacy Objectives | 4.1.3 セキュリティとプライバシーの目標 |
| 4.2 Example Scenario: Putting Guidance into Practice | 4.2 シナリオの例 ガイダンスの実践 |
| 4.3 Technologies that Support the Security and Privacy Objectives of the Example Solution | 4.3 ソリューション例のセキュリティとプライバシー目標を支える技術 |
| 4.3.1 Trusted Execution Environment | 4.3.1 信頼可能な実行環境 |
| 4.3.2 Enterprise Mobility Management | 4.3.2 エンタープライズモビリティ管理 |
| 4.3.3 Virtual Private Network | 4.3.3 仮想プライベートネットワーク |
| 4.3.4 Mobile Application Vetting Service | 4.3.4 モバイルアプリケーション審査サービス |
| 4.3.5 Mobile Threat Defense | 4.3.5 モバイル脅威防御 |
| 4.3.6 Mobile Operating System Capabilities | 4.3.6 モバイルオペレーティングシステム機能 |
| 4.4 Architecture Description | 4.4 アーキテクチャの説明 |
| 4.5 Enterprise Integration of the Employees’ Personally Owned Mobile Devices | 4.5 従業員の個人所有モバイルデバイスのエンタープライズ統合 |
| 4.5.1 Microsoft Active Directory Integration | 4.5.1 Microsoft Active Directoryとの統合 |
| 4.5.2 Mobile Device Enrollment | 4.5.2 モバイルデバイスの登録 |
| 4.6 Mobile Components Integration | 4.6 モバイルコンポーネントの統合 |
| 4.6.1 Zimperium–MaaS360 | 4.6.1 Zimperium-MaaS360 |
| 4.6.2 Kryptowire–MaaS360 | 4.6.2 Kryptowire-MaaS360 |
| 4.6.3 Palo Alto Networks–MaaS360 | 4.6.3 パロアルトネットワークス-MaaS360 |
| 4.6.4 iOS and Android MDM Integration | 4.6.4 iOSとAndroid MDMの統合 |
| 4.7 Privacy Settings: Mobile Device Data Processing | 4.7 プライバシー設定 モバイルデバイスのデータ処理 |
| 4.7.1 EMM: MaaS360 | 4.7.1 EMM: MaaS360 |
| 4.7.2 MTD: Zimperium | 4.7.2 MTD: Zimperium |
| 4.7.3 Application Vetting: Kryptowire | 4.7.3 アプリケーション審査 クリプトワイヤ |
| 4.7.4 VPN: Palo Alto Networks | 4.7.4 VPN: パロアルトネットワークス |
| 5 Security and Privacy Analysis | 5 セキュリティとプライバシーの分析 |
| 5.1 Analysis Assumptions and Limitations | 5.1 分析の前提と限界 |
| 5.2 Build Testing | 5.2 ビルド・テスト |
| 5.3 Scenarios and Findings | 5.3 シナリオと結果 |
| 5.3.1 Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings | 5.3.1 サイバーセキュリティフレームワーク、プライバシー・フレームワーク、および NICE フレームワークのワーク・ロールのマッピング |
| 5.3.2 Threat Events and Findings | 5.3.2 脅威イベントと調査結果 |
| 5.3.3 Privacy Risk Findings | 5.3.3 プライバシーリスクの所見 |
| 6 Example Scenario: Putting Guidance into Practice | 6 シナリオ例 ガイダンスの実践 |
| 7 Conclusion | 7 結論 |
| 8 Future Build Considerations | 8 今後の構築に関する考察 |
| Appendix A List of Acronyms | 附属書A 略語リスト |
| Appendix B Glossary | 附属書B 用語集 |
| Appendix C References | 附属書C 参考文献 |
| Appendix D Standards and Guidance | 附属書D 標準とガイダンス |
| Appendix E Example Security Subcategory and Control Map | 附属書E セキュリティサブカテゴリーとコントロールマップの例 |
| Appendix F Example Privacy Subcategory and Control Map | 附属書F プライバシーサブカテゴリーとコントロールマップの例 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.12.04 NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)
・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ
Comments