米国 NIST SP 800-172 Rev.3(初公開ドラフト) 管理対象非機密情報保護のための拡張セキュリティ要件
こんにちは、丸山満彦です。
NISTが、SP800-172r3のドラフトを公表していますね...
SP 800-53, 53Aが改定され、SP 800-171が改定されたので、次はSP 800-172の番ということですかね...国防総省のCMMCのレベル3でも172は重要ですからね...
基本的には、整合性をとるための変更なのですが、
・時代遅れで冗長なセキュリティ強化要件を削除した
・(1) 最新の脅威情報、(2) サイバー脅威から得られた経験的データ、(3) 完全性及び可用性を含むセキュリティ目標の拡張、に基づく新たなセキュリティ強化要件を追加した
とのことですね...
● NIST - ITL
| NIST SP 800-172 Rev. 3 (Initial Public Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information | NIST SP 800-172 Rev.3(初公開ドラフト) 管理対象非機密情報を保護するための拡張セキュリティ要件 |
| Announcement | 発表 |
| SP 800-172r3 provides recommended security requirements to protect the confidentiality, integrity, and availability of CUI when it is resident in a nonfederal system and organization and is associated with a high value asset or critical program. The enhanced security requirements give organizations the capability to achieve a multidimensional, defense-in-depth protection strategy against advanced persistent threats (APTs) and help to ensure the resiliency of systems and organizations. The enhanced security requirements in SP 800-172r3 supplement the security requirements in SP 800-171r3 and are intended for use by federal agencies in contractual vehicles or other agreements between those agencies and nonfederal organizations. There is no expectation that all of the enhanced security requirements are needed universally; enhanced security requirements are selected by federal agencies based on specific mission needs and risks. | SP 800-172r3は、CUIが連邦政府以外のシステムおよび組織に常駐し、高価値資産または重要なプログラムに関連する場合に、CUIの機密性、完全性、および可用性を保護するための推奨セキュリティ要件を提供する。拡張セキュリティ要件は、高度な永続的脅威(APT)に対する多次元的な深層保護戦略を実現する能力を組織に与え、システムと組織のレジリエンスを確保するのに役立つ。SP 800-172r3 の拡張セキュリティ要件は、SP 800-171r3 のセキュリティ要 件を補足するものであり、連邦政府機関と連邦政府機関以外の組織との間の契約書または その他の合意において連邦政府機関が使用することを意図している。拡張セキュリティ要件のすべてが普遍的に必要とされることは期待されておらず、拡張セキュリティ要件は、特定のミッションのニーズとリスクに基づいて連邦機関によって選択される。 |
| Significant changes in SP 800-172r3 include: | SP 800-172r3 における重要な変更点は以下のとおりである: |
| ・Increased the specificity of the enhanced security requirements to remove ambiguity, improve the effectiveness of implementation, and clarify the scope of assessments | ・セキュリティ強化要件の具体性を高め、曖昧さをなくし、実装の有効性を改善し、アセスメントの範囲を明確にした。 |
| ・Revised the enhanced security requirements for consistency with the source security control language in SP 800-53 | ・SP 800-53 のソースセキュリティ管理文言との整合性を図るため、拡張セキュリ ティ要件を改訂した。 |
| ・Updated the numbering system for enhanced security requirements and added titles to the requirements | ・セキュリティ強化要件の番号体系を更新し、要件にタイトルを追加した |
| ・Added new enhanced security requirements based on (1) the latest threat intelligence, (2) empirical data from cyber attacks, and (3) the expansion of security objectives to include integrity and availability | ・(1) 最新の脅威情報、(2) サイバー脅威から得られた経験的データ、(3) 完全性及び可用性を含むセキュリティ目標の拡張、に基づく新たなセキュリティ強化要件を追加した。 |
| ・Added new requirement families for consistency with SP 800-171r3: Planning (PL), System and Services Acquisition (SA), and Supply Chain Risk Management (SR) | ・SP 800-171r3 との整合性を図るため、新たな要件ファミリーを追加した: 計画(PL)、システム及びサービス取得(SA)、サプライチェーンリスクマネジメント(SR)を追加した。 |
| ・Removed outdated and redundant enhanced security requirements | ・時代遅れで冗長なセキュリティ強化要件を削除した |
| ・Implemented a one-time “revision number” change for consistency with SP 800-171r3. | ・SP 800-171r3との整合性を図るため、1回限りの「改訂番号」の変更を実施した。 |
| Abstract | 概要 |
| The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality, integrity, and availability of CUI when it is resident in a nonfederal system and organization and associated with a critical program or high value asset (HVA). The security requirements apply to the components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The enhanced security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. | 連邦政府以外のシステムや組織に常駐する管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務や機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、CUIが連邦機関以外のシステムおよび組織に常駐し、重要なプログラムまたは高価値資産(HVA)に関連する場合に、CUIの機密性、完全性、および可用性を保護するための推奨セキュリティ要件を連邦機関に提供する。セキュリティ要件は、CUIを処理、保存、伝送する、またはそのようなコンポーネントの保護を提供する連邦政府以外のシステムのコンポーネントに適用される。拡張セキュリティ要件は、連邦機関と非連邦機関との間で締結された契約書またはその他の合意において、連邦機関が使用することを意図している。 |
で、本文では、どこを特にみて欲しいか?という点について14項目あげています...つまり、これが変更点ということですかね...
| Note to Reviewers | 査読者への注記 |
| This update to NIST Special Publication (SP) 800-172 represents over one year of data collection, technical analysis, customer interaction, and the redesign and development of enhanced security requirements and supporting information for the protection of Controlled Unclassified Information (CUI) associated with critical programs and high value assets. Many trade-offs have been made to ensure that the technical and non-technical requirements have been stated clearly and concisely while recognizing the specific needs of both federal and nonfederal organizations. The following provides a summary of the significant changes that have been made to SP 800-172 in transitioning to Revision 3: | この NIST 特別刊行物(SP)800-172 の更新は、重要なプログラムや高価値の資産に関連する管理対象非機密情報 (CUI)を保護するための、1 年以上にわたるデータ収集、技術分析、顧客との対話、および拡張セキュ リティ要件の再設計と開発、およびそれを裏付ける情報の提供を反映したものである。連邦組織と非連邦組織双方の固有のニーズを認識しつつ、技術的・非技術的要件が明確かつ簡潔に記述されるよう、多くのトレードオフが行われた。以下は、SP800-172 を改訂 3 に移行する際に行われた重要な変更の概要である: |
| • Streamlined introductory information in Sec. 1 and Sec. 2 to improve clarity and understanding | ・セクション1とセクション2の導入情報を合理化し、明確性と理解度を向上させた。 |
| • Increased specificity of the enhanced security requirements to remove ambiguity, improve the effectiveness of implementation, and clarify the scope of assessments | ・拡張セキュリティ要件の具体性を高め、曖昧さをなくし、実施の有効性を改善し、アセスメントの範囲を明確にした。 |
| • Grouped enhanced security requirements, where possible, to improve understanding and the efficiency of implementations and assessments | ・拡張セキュリティ要件を可能な限りグループ化し、 理解と実施及びアセスメントの効率を改善した |
| • Removed outdated and redundant enhanced security requirements | ・時代遅れで冗長なセキュリティ強化要件を削除した。 |
| • Added new enhanced security requirements based on (1) the latest threat intelligence, (2) empirical data from cyber-attacks, and (3) the expansion of security objectives to include integrity and availability | ・(1) 最新の脅威情報、(2) サイバー脅威から得られた経験的データ、(3) 完全性及び可用性攻撃を含むセキュリティ目標の拡張、に基づく新たなセキュリティ強化要件を追加した。 |
| • Added new requirement families for consistency with SP 800-171r3, Revision 3: Planning (PL), System and Services Acquisition (SA), and Supply Chain Risk Management (SR) | ・SP 800-171r3改訂3版との整合性を図るため、新たな要件ファミリーを追加した:計画(PL)、システム及びサービス取得(SA)、サプライチェーンリスクマネジメント(SR)。 |
| • Added titles to the enhanced security requirements | ・拡張セキュリティ要件にタイトルを追加した |
| • Restructured and streamlined the security requirement discussion sections | ・セキュリティ要件の説明セクションを再構成し、合理化した |
| • Revised the enhanced security requirements for consistency with the source security control language in SP 800-53 | ・拡張セキュリティ要求事項を SP800-53 の元のセキュリ ティ管理に関する文言と整合させるために修正した |
| • Revised the structure of the References, Acronyms, and Glossary sections for greater clarity and ease of use | ・参考文献、略語、用語集の構成を見直し、より明瞭で使いやすくした |
| • Removed appendix with mapping table for security controls and protection strategies and transferred information to the individual security requirements in Sec. 3 | ・セキュリティ管理と保護戦略の対応表を含む附属書を削除し、情報をセクション3の各セキュリティ要件に移した。 |
| • Added new appendix that summarizes the enhanced security requirements | ・拡張セキュリティ要件をまとめた附属書を追加した |
| • Added new appendix that lists organization-defined parameters for the enhanced security requirements | ・拡張セキュリティ要件について、 組織が定義したパラメータを列挙した附属 書を追加した |
| • Implemented a one-time “revision number” change for consistency with SP 800-171r3 | ・SP 800-171r3 との整合性を図るため、1 回限りの「改訂番号」の変更を実施した。 |
・[PDF] SP.800-172r3.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1 Purpose and Applicability | 1.1 目的と適用性 |
| 1.2 Organization of This Publication | 1.2 本出版物の構成 |
| 2. The Fundamentals | 2. 基本的事項 |
| 2.1. Enhanced Security Requirement Assumptions | 2.1. 拡張セキュリティ要件の前提 |
| 2.2. Enhanced Security Requirement Development Methodolog | 2.2. 拡張セキュリティ要件の開発方法論 |
| 2.3. Enhanced Security Requirement Selection | 2.3. セキュリティ強化要件の選択 |
| 3. The Security Requirements | 3. セキュリティ要件 |
| 3.1. Access Control | 3.1. アクセス制御 |
| 3.2. Awareness and Training | 3.2. 意識向上およびトレーニング |
| 3.3. Audit and Accountability | 3.3. 監査および説明責任 |
| 3.4. Configuration Management | 3.4. 構成管理 |
| 3.5 Identification and Authentication | 3.5. 識別および認証 |
| 3.6. Incident Response | 3.6. インシデント対応 |
| 3.7. Maintenance | 3.7. 保守 |
| 3.8. Media Protection | 3.8. 媒体保護 |
| 3.9. Personnel Security | 3.9. 職員のセキュリティ |
| 3.10. Physical Protection | 3.10. 物理的保護 |
| 3.11. Risk Assessment | 3.11. リスクアセスメント |
| 3.12. Security Assessment and Monitoring | 3.12. セキュリティアセスメントと監視 |
| 3.13. System and Communications Protection | 3.13. システムおよび通信の保護 |
| 3.14. System and Information Integrity | 3.14. システムおよび情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システムとサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンのリスクマネジメント |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書 A. 略語 |
| Appendix B. Glossary | 附属書 B. 用語集 |
| Appendix C. Summary of Enhanced Security Requirements | 附属書 C. 拡張セキュリティ要件の概要 |
| Appendix D. Adversary Effects | 附属書 D. 敵の影響 |
| Appendix E. Organization-Defined Parameters | 附属書 E. 組織定義のパラメータ |
| Appendix F. Change Log | 附属書 F. 変更履歴 |
拡張セキュリティ要件...
| Access Control | アクセス制御 | |
| 03.01.01E | Dual Authorization for Commands and Actions | コマンドおよびアクションの二重認可 |
| 03.01.02E | Non-Organizationally Owned Systems Restricted Use | 非組織所有システム 使用制限 |
| 03.01.03E | Withdrawn | 廃止 |
| 03.01.04E | Concurrent Session Control | 同時セッション制御 |
| 03.01.05E | Remote Access Monitoring and Control | リモートアクセスの監視および管理 |
| 03.01.06E | Protection of Remote Access Mechanism Information | リモートアクセス機構情報の防御 |
| 03.01.07E | Automated Actions for Account Management | アカウント管理のための自動アクション |
| 03.01.08E | Account Monitoring for Atypical Usage | 非定型使用に対するアカウント監視 |
| 03.01.09E | Attribute-Based Access Control | 属性ベースのアクセス管理 |
| 03.01.10E | Object Security Attributes | オブジェクトのセキュリティ属性 |
| Awareness and Training | 意識向上およびトレーニング | |
| 03.02.01E | Advanced Literacy and Awareness Training | リテラシー向上および意識向上トレーニング |
| 03.02.02E | Literacy and Awareness Training Practical Exercises | 意識向上およびトレーニング 実践演習 |
| 03.02.03E | Literacy and Awareness Training Feedback | 意識向上およびトレーニング フィードバック |
| 03.02.04E | Anti-Counterfeit Training | 対偽造トレーニング |
| Audit and Accountability | 監査および説明責任 | |
| 03.03.01E | Audit Record Storage in Separate Environment | 監査記録の別環境での保管 |
| 03.03.02E | Real-Time Alerts for Audit Processing Failures | 監査処理の失敗に対するリアルタイム・アラート |
| 03.03.03E | Dual Authorization for Audit Information and Actions | 監査情報および処置の二重認可 |
| 03.03.04E | Integrated Analysis of Audit Records | 監査記録の統合分析 |
| Configuration Management | 構成管理 | |
| 03.04.01E | Withdrawn | 廃止 |
| 03.04.02E | Automated Unauthorized or Misconfigured Component Detection | 未承認または誤設定コンポーネントの自動検知 |
| 03.04.03E | Automation Support for System Component Inventory | システムコンポーネントインベントリの自動化サポート |
| 03.04.04E | Automation Support for Baseline Configuration | ベースライン構成の自動化サポート |
| 03.04.05E | Dual Authorization for System Changes | システム変更の二重認可 |
| 03.04.06E | Retention of Previous Configurations | 以前の設定の保持 |
| 03.04.07E | Testing, Validation, and Documentation of Changes | 変更のテスト、妥当性確認、文書化 |
| Identification and Authentication | 識別および認証 | |
| 03.05.01E | Cryptographic Bidirectional Authentication | 暗号化双方向認証 |
| 03.05.02E | Password Managers | パスワード・マネージャー |
| 03.05.03E | Device Attestation | デバイス認証 |
| 03.05.04E | Embedded Unencrypted Static Authenticators | 埋め込まれた非暗号化静的認証子 |
| 03.05.05E | Expiration of Cached Authenticators | キャッシュされた認証の期限切れ |
| 03.05.06E | Identity Proofing | 身元確認 |
| Incident Response | インシデント対応 | |
| 03.06.01E | Security Operations Center | セキュリティ・オペレーション・センター |
| 03.06.02E | Integrated Incident Response Team | 統合インシデント対応チーム |
| 03.06.03E | Behavior Analysis | 行動分析 |
| 03.06.04E | Automation Support for Incident Reporting | インシデント報告の自動化サポート |
| Maintenance | 保守 | |
| 03.07.01E | Maintenance Tool Software Updates and Patches | 保守ツール ソフトウェア・アップデートとパッチ |
| Media Protection | 媒体保護 | |
| 03.08.01E | Dual Authorization for Media Sanitization | メディア・サニタイズの二重認可 |
| 03.08.02E | Dual Authorization for System Backup Deletion and Destruction | システム・バックアップの削除と破棄の二重認可 |
| 03.08.03E | Testing System Backups for Reliability and Integrity | システム・バックアップの信頼性と完全性のテスト |
| Personnel Security | 職員のセキュリティ | |
| 03.09.01E | Withdrawn | 廃止 |
| 03.09.02E | Withdrawn | 廃止 |
| 03.09.03E | Access Agreements | アクセス協定 |
| 03.09.04E | Citizenship Requirements | 市民権要件 |
| Physical Protection | 物理的保護 | |
| 03.10.01E | Visitor Access Records | 訪問者のアクセス記録 |
| 03.10.02E | Intrusion Alarms and Surveillance Equipment | 侵入アラームおよび監視装置 |
| 03.10.03E | Delivery and Removal of System Components | システム・コンポーネントの納入と撤去 |
| Risk Assessment | リスクアセスメント | |
| 03.11.01E | Threat Awareness Program | 脅威認識プログラム |
| 03.11.02E | Threat Hunting | 脅威ハンティング |
| 03.11.03E | Predictive Cyber Analytics | 予測サイバー分析 |
| 03.11.04E | Withdrawn | 廃止 |
| 03.11.05E | Withdrawn | 廃止 |
| 03.11.06E | Withdrawn | 廃止 |
| 03.11.07E | Withdrawn | 廃止 |
| 03.11.08E | Dynamic Threat Awareness | 動的脅威認識 |
| 03.11.09E | Indicators of Compromise | 侵害の指標 |
| 03.11.10E | Criticality Analysis | クリティカリティ分析 |
| 03.11.11E | Discoverable Information | 発見可能な情報 |
| 03.11.12E | Automated Means for Sharing Threat Intelligence | 脅威インテリジェンスを共有するための自動化された手段 |
| Security Assessment and Monitoring | セキュリティアセスメントおよび監視 | |
| 03.12.01E | Penetration Testing | 侵入テスト |
| 03.12.02E | Independent Assessors | 独立評価機関 |
| 03.12.03E | Risk Monitoring | リスク監視 |
| 03.12.04E | Internal System Connections | 内部システム接続 |
| System and Communications Protection | システムおよび通信の保護 | |
| 03.13.01E | Heterogeneity | 不均質性 |
| 03.13.02E | Randomness | ランダム性 |
| 03.13.03E | Concealment and Misdirection | 隠蔽およびミスディレクション |
| 03.13.04E | Isolation of System Components | システム・コンポーネントの分離 |
| 03.13.05E | Change Processing and Storage Locations | 処理と保管場所の変更 |
| 03.13.06E | Platform-Independent Applications | プラットフォームに依存しないアプリケーション |
| 03.13.07E | Virtualization Techniques | 仮想化技術 |
| 03.13.08E | Decoys | おとり |
| 03.13.09E | Security Tool, Mechanism, and Support Component Isolation | セキュリティツール、メカニズム、サポート コンポーネントの分離 |
| 03.13.10E | Separate Subnetworks | サブネットワークの分離 |
| 03.13.11E | Thin Nodes | シン・ノード |
| 03.13.12E | Denial-of-Service Protection | サービス拒否防御 |
| 03.13.13E | Port and Input/Output Device Access | ポートおよび入出力デバイスへのアクセス |
| 03.13.14E | Detonation Chambers | 爆轟環境 |
| System and Information Integrity | システムおよび情報の完全性 | |
| 03.14.01E | Software, Firmware, and Information Integrity | ソフトウェア、ファームウェア、情報の完全性 |
| 03.14.02E | Withdrawn | 廃止 |
| 03.14.03E | Withdrawn | 廃止 |
| 03.14.04E | Refresh from Trusted Sources | 信頼できる情報源からのリフレッシュ |
| 03.14.05E | Non-Persistent Information | 永続的でない情報 |
| 03.14.06E | Withdrawn | 廃止 |
| 03.14.07E | Withdrawn | 廃止 |
| 03.14.08E | Integrity Checks | 完全性チェック |
| 03.14.09E | Cryptographic Protection | 暗号防御 |
| 03.14.010E | Protection of Boot Firmware | ブート・ファームウェアの防御 |
| 03.14.11E | Integration of Detection and Response Capability | 検知と対応能力の統合 |
| 03.14.12E | Information Input Validation | 情報入力の妥当性確認 |
| 03.14.13E | Error Handling | エラー処理 |
| 03.14.14E | Memory Protection | メモリ防御 |
| 03.14.15E | Non-Persistent System Components and Services | 非永続的なシステム・コンポーネントとサービス |
| 03.14.16E | Tainting | 汚染 |
| 03.14.17E | System-Generated Alerts | システム生成的アラート |
| 03.14.18E | Automated Organization-Generated Alerts | 自動化された組織生成的アラート |
| Planning | 計画 | |
| 03.15.01E | Security Architecture | セキュリティ・アーキテクチャ |
| 03.15.02E | Defense In Depth | 深層防衛 |
| 03.15.03E | Supplier Diversity | サプライヤーの多様性 |
| System and Services Acquisition | システムとサービスの獲得 | |
| 03.16.01E | Specialization | 専門化 |
| Supply Chain Risk Management | サプライチェーンリスクマネジメント | |
| 03.17.01E | Notification Agreements | 通知契約 |
| 03.17.02E | Inspection of Systems or Components | システムまたはコンポーネントの検査 |
| 03.17.03E | Component Authenticity | コンポーネントの認証 |
● まるちゃんの情報セキュリティ気まぐれ日記
SP 800-53, 171, 172 と国防総省のCMMC
・2024.04.26 米国 MITRE サイバーレジリエンシー・エンジニアリング・フレームワーク・ナビゲータが国防総省のサイバーセキュリティ成熟度モデルと整合
・2024.02.22 米国 国防総省 CMMCパブリックコメント募集の 手引きビデオを公開 (2023.02.15)
・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)
・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)
・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護
・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
« 米国 NIST IR 8517 ハードウェア・セキュリティの失敗シナリオ: 潜在的なハードウェアの弱点 (2024.11.13) | Main | 米国 意見募集 NIST SP 800-157r1 派生個人アイデンティティ検証(PIV)クレデンシャル・ガイドラインと、SP 800-217 個人 アイデンティティ 検証(PIV)連携ガイドラインの最終ドラフト »
Comments