米国 NIST IR 8523（初期公開ドラフト） 刑事司法情報システムのための多要素認証： 刑事司法情報を保護するための実装上の考慮事項 (2025.03.13)

こんにちは、丸山満彦です。

NISTが、IR 8523（初期公開ドラフト） 刑事司法情報システムのための多要素認証： 刑事司法情報を保護するための実装上の考慮事項を公表し、意見募集をしていますね...

刑事司法情報システムには、多要素認証が義務付けられているということです...

米国は合衆国ですから、連邦政府、州政府、地方自治体でそれぞれ警察機構があり、指名手配犯、失踪者、盗難等の事件関係の情報や、顔写真、指紋といった情報が共有できる仕組みとなっていますから、データへのアクセス管理は重要ですよね...

日本ではこのあたりの情報の保護ってどのようになっているんでしょうね...

 

● NIST - ITL

・2025.03.13 NIST IR 8523 (Initial Public Draft) Multi-Factor Authentication for Criminal Justice Information Systems: Implementation Considerations for Protecting Criminal Justice Information

 

NIST IR 8523 (Initial Public Draft) Multi-Factor Authentication for Criminal Justice Information Systems: Implementation Considerations for Protecting Criminal Justice Information	NIST IR 8523（初期公開ドラフト） 刑事司法情報システムのための多要素認証： 刑事司法情報を保護するための実装上の考慮事項
Announcement	発表
Criminal and non-criminal justice agencies in the U.S. require the use of multi-factor authentication (MFA) to protect access to criminal justice information (CJI). MFA is important for protecting against credential compromises and other cyber risks such as attacks by cybercriminals or other adversaries that threaten CJI.	米国の刑事司法機関および非刑事司法機関は、刑事司法情報（CJI）へのアクセスを保護するために多要素認証（MFA）の使用を義務付けている。MFA は、クレデンシャルの漏洩や、CJI を脅かすサイバー犯罪者やその他の敵による攻撃などのサイバーリスクから保護するために重要である。
CJI is commonly accessed using computer-aided dispatch (CAD) and record management system (RMS) software, which communicate with a state-level message switch application. MFA architectures will likely need to integrate with one or both technologies. As agencies around the country begin to implement MFA solutions, the approaches they use require careful consideration and planning. This document provides a general overview of MFA, outlines design principles and architecture considerations for implementing MFA to protect CJI, and offers specific examples of use cases that agencies face today. It also outlines how CAD/RMS and message switch technologies can support standards and best practices that provide agencies with maximum optionality to implement MFA in a way that promotes security, interoperability, usability, and cost savings.	CJI は一般に、コンピュータ支援発送（CAD）および記録管理システム（RMS）ソフトウェアを使用してアクセスされ、これらは州レベルのメッセージ・スイッチ・アプリケーション と通信する。MFAアーキテクチャは、おそらくどちらか、あるいは両方の技術と統合する必要があるだろう。国内の各機関がMFAソリューションの実装を始めるにあたり、どのようなアプローチを用いるかについては、慎重な検討と計画が必要である。本文書は、MFA の一般的な概要を提供し、CJI を保護するために MFA を実装するための設計原則とアーキテ クチャの考慮事項を概説し、今日、各省庁が直面しているユースケースの具体例を提供する。また、CAD/RMSとメッセージ・スイッチ技術が、セキュリティ、相互運用性、ユーザビリティ、コスト削減を促進する方法でMFAを実装するために、機関に最大限の選択肢を提供する標準とベスト・プラクティスをどのようにサポートできるかを概説する。
Abstract	概要
Most recent cybersecurity breaches have involved compromised credentials. Migrating from single-factor to multi-factor authentication (MFA) reduces the risk of compromised credentials and unauthorized access. Both criminal and noncriminal justice agencies need to access criminal justice information (CJI); to reduce the risk of unauthorized access, the Criminal Justice Information Services (CJIS) Security Policy now requires the use of MFA when accessing CJI. This document provides practical guidance to agencies that are implementing MFA, reflecting on lessons learned from agencies around the country and from CJI-related technology vendors.	最近のサイバーセキュリティ侵害のほとんどは、漏洩した認証情報が関与している。単要素認証から多要素認証（MFA）への移行は、クレデンシャルの漏洩と不正アクセスのリスクを低減する。刑事司法機関と非刑事司法機関の両方が刑事司法情報（CJI）にアクセスする必要がある。不正アクセスのリスクを低減するため、刑事司法情報サービス（CJIS）セキュリティ・ポリシーは現在、CJIにアクセスする際にMFAを使用することを義務付けている。本書は、MFA を導入する機関に対し、全国の機関および CJI 関連技術ベンダ ーから学んだ教訓を反映した実践的なガイダンスを提供するものである。

 

・IR.8523.ipd

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Approach	1.1. アプローチ
1.2. How to Use This Document	1.2. この文書の使い方
2. An Overview of MFA Technologies and Concepts	2. MFA の技術とコンセプトの概要
2.1. Introduction to MFA	2.1. MFA の序文
2.2. CJIS Requirements for MFA	2.2. MFA に対する CJIS 要件
2.3. Identity Providers	2.3. ID プロバイダ
2.4. Single Sign-On and Identity Federation	2.4. シングルサインオンと ID フェデレーション
2.4.1. Benefits of Identity Federation	2.4.1. ID フェデレーションの利点
2.4.2. Benefits of Single Sign-On	2.4.2. シングルサインオンの利点
2.5. The Importance of Phishing Resistance	2.5. フィッシング耐性の重要性
3. Choosing an MFA Implementation for Protecting CJ	3. CJを保護するためのMFA実装の選択
3.1. MFA Design Principles	3.1. MFA 設計原則
3.1.1. Principle 1: Authenticator Reusability	3.1.1. 原則 1：認証の再利用性
3.1.2. Principle 2: Authenticator Optionality	3.1.2. 原則 2：認証者のオプション性
3.1.3. Principle 3: Minimize the Passing of Memorized Secrets	3.1.3. 原則 3：記憶された秘密の受け渡しの最小化
3.1.4. Principle 4: Ensure MFA Is Integrated to Protect CJI	3.1.4. 原則 4：MFAの統合によるCJIの確実な保護
3.2. MFA Requirements Assessment	3.2. MFA 要件アセスメント
3.2.1. MFA Users	3.2.1. MFA ユーザ
3.2.2. IT Support Staff	3.2.2. IT サポートスタッフ
3.2.3. Other Agencies	3.2.3. 他の省庁
3.2.4. Procurement Teams	3.2.4. 調達チーム
3.2.5. Compliance Teams	3.2.5. コンプライアンスチーム
3.2.6. Legal Team	3.2.6. 法務チーム
3.2.7. Technology Vendors	3.2.7. 技術ベンダー
3.3. Phased MFA Deployment	3.3. 段階的 MFA 展開
3.4. Choosing Where to Deploy MFA	3.4. MFA を展開する場所の選択
3.4.1. Local Agency MFA Architectures	3.4.1. 地方機関の MFA アーキテクチャ
3.4.2. State MFA Deployments	3.4.2. 州の MFA 展開
3.4.3. Implementing MFA with VPNs	3.4.3. VPN による MFA の実装
4. Key Takeaways	4. キーポイント
References	参照文書
Appendix A. Technology Components Relevant to MA for CJIS Access	附属書 A. CJIS アクセスの MA に関連する技術要素
Appendix B. Federated Identity Architectures	附属書 B. フェデレーテッド ID アーキテクチャ
B. 1. Establishing Federation Trust	B.1. フェデレーション信頼の確立
B.2. Challenges in Using Federation Technologies for Message Switch Use Cases	B.2. メッセージ交換ユースケースにフェデレーション技術を使用する際の課題
B.3. Meeting FAL Requirements in Complex Federation Scenarios	B.3. 複雑なフェデレーションシナリオにおける FAL 要件の達成
B.4. Federated Architectures for Access to CJ	B.4. CJへのアクセスのための統合アーキテクチャ
B.4.1. Both CAD/RMS Web App & IdP at the State Agency	B.4.1. 州機関における CAD/RMS ウェブ・アプリと IdP の両方
B.4.2. CAD Thick Client at the County with the IdP at the State Agency	B.4.2. 郡の CAD シッククライアントと州機関の IdP
B.4.3. Both the CAD/RMS Web App and IdP at a County Agency	B.4.3. 郡庁における CAD/RMS ウェブ・アプリと IdP の両方
B.4.4. Integrations with Auth 2.0 and OIDC	B.4.4. Auth 2.0 および OIDC
B.5. VPN Integration	B.5. VPNの統合
B.5.1. VPN Integration with Kerberos but without Federation	B.5.1. フェデレーションを使用しない、Kerberos との VPN 統合
B.5.2. VPN Integration with an Identity Provider	B.5.2. ID プロバイダとの VPN 統合
Appendix C. Questions to Ask Your Technology Vendors	附属書 C. テクノロジベンダ向け質問票
C.1. Questionnaire for CAD/RMS Vendors	C.1. CAD/RMS ベンダ向け質問票
C.2. Questionnaire for Identity Services Vendors	C.2. アイデンティティサービスベンダ向け質問票
C.3. Questionnaire for Message Switch Vendors	C.3. メッセージスイッチベンダ向け質問票
C.4. Questionnaire for VPN Vendors	C.4. VPNベンダー向け質問票
Appendix D. List of Symbols, Abbreviations, and Acronyms	附属書D. 記号、略語、および頭字語のリスト

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The Criminal Justice Information Services (CJIS) Security Policy versions 5.9.2 and later [1] require the use of multi-factor authentication (MFA) to protect access to criminal justice information (CJI). MFA is important for protecting against credential compromises and other cyber risks that may threaten CJI. Criminal and non-criminal justice agencies around the country will need to work with their technology vendors to implement this CJIS requirement.	刑事司法情報サービス（CJIS）セキュリティポリシバージョン5.9.2以降[1]は、刑事司法情報 （CJI）へのアクセスを保護するために多要素認証（MFA）の使用を義務付けている。MFA は、CJI を脅かす可能性のあるクレデンシャルの漏洩およびその他のサイバー・リ スクから保護するために重要である。全国の刑事司法機関および非刑事司法機関は、この CJIS 要件を実装するために、テクノロジー・ベンダーと協力する必要がある。
CJI is commonly accessed using computer-aided dispatch (CAD) and record management system (RMS) software, which communicate with a state-level message switch application. CJI MFA architectures will likely need to integrate with one or both of these technologies. As agencies around the country begin to implement MFA solutions, the approaches they use require careful consideration and planning. This document provides a general overview of MFA, outlines design principles and architecture considerations for implementing MFA to protect CJI, and offers specific examples of use cases that agencies face today. It also outlines how CAD/RMS and message switch technologies can support standards and best practices that provide agencies with maximum optionality to implement MFA in a way that promotes security, interoperability, usability, and cost savings.	CJIは一般に、コンピュータ支援派遣（CAD）と記録管理システム（RMS）ソフトウェアを使用してアクセスされ、これらのソフトウェアは州レベルのメッセージスイッチアプリケーションと通信する。CJI MFAアーキテクチャーは、おそらくこれらの技術の一方または両方と統合する必要があろう。国内の各機関がMFAソリューションの導入を始めるにあたり、どのようなアプローチを採用するかについては、慎重な検討と計画が必要である。本文書は、MFA の一般的な概要を提供し、CJI を保護するために MFA を実装するための設計原則とアーキテクチャの考慮事項を概説し、今日、各省庁が直面しているユースケースの具体例を提示している。また、CAD/RMS とメッセージ・スイッチ技術が、セキュリティ、相互運用性、使いやすさ、 およびコスト削減を促進する方法で MFA を実装するために、機関に最大限の選択肢を提供する標準とベスト・プラクティスをどのようにサポートできるかを概説する。

 

序文...

1. Introduction	1. 序文
Credential compromises represent a critical and pervasive cybersecurity threat, serving as a gateway for malicious actors to infiltrate networks and systems, thus gaining access to sensitive data. Whether through phishing, brute-force attacks, or exploiting vulnerabilities in authentication mechanisms, credential compromise poses a significant risk to organizations and individuals alike. To mitigate this threat, version 5.9.2 and subsequent versions of the Federal Bureau of Investigation (FBI) Criminal Justice Information Services (CJIS) Security Policy [1] require multi-factor authentication (MFA) for all users when accessing criminal justice information (CJI). Both criminal and noncriminal justice agencies that receive CJI are subject to this requirement. In this document, we refer to these organizations generically as agencies.	クレデンシャルの侵害は、サイバーセキュリティの重要かつ広範な脅威であり、悪意のあるアクター がネットワークやシステムに侵入し、機密データにアクセスするためのゲートウェイとなる。フィッシング、ブルートフォース攻撃、認証メカニズムの脆弱性の悪用のいずれにせよ、クレデンシャルの危殆化は、組織にとっても個人にとっても重大なリスクである。この脅威を緩和するために、連邦捜査局（FBI）刑事司法情報サービス（CJIS）セキュリティ・ポリシーのバージョン 5.9.2 およびそれ以降のバージョン [1]では、刑事司法情報（CJI）にアクセスするすべてのユーザに多要素認証（MFA）を要求している。CJI を受け取る刑事司法機関と非刑事司法機関の両方が、この要件の対象となる。本文書では、これらの機関を一般的に「機関」と呼ぶ。
As agencies around the country begin to implement this requirement, they face several challenges that require careful consideration and planning. The purpose of this document is to help agencies identify and address their MFA implementation needs by providing insight into MFA architectures and how they can be used to meet law enforcement-specific use cases.	全米の機関がこの要件を実施し始めると、慎重な検討と計画を必要とするいくつかの課題に直面する。本文書の目的は、MFA アーキテクチャと、それらが法執行機関特有のユースケースを満たすた めにどのように利用できるかについての洞察を提供することにより、MFA 実装のニーズを特定し、取 り組むことを支援することである。
1.1. Approach	1.1. アプローチ
To ensure the relevance of this document’s contents, the NIST and FBI CJIS team engaged with agencies around the country on their current and future MFA implementations, as well as law enforcement technology vendors on their current and future support for MFA standards and best practices. The architectures, use cases, technologies, and challenges in this document are heavily based on those discussions. Though this document will promote standards and best practices for MFA and identity federation, the overarching goal of this guidance is to meet agencies “where they are” by providing practical MFA implementation considerations that help agencies make sound risk decisions while also considering cost, functional requirements, and the potential for centralized and shared MFA services.	本文書の内容の妥当性を確保するため、NIST と FBI の CJIS チームは、現在お よび将来の MFA 実装について、また MFA 標準とベスト・プラクティスに対する現在お よび将来のサポートについて、法執行技術ベンダーと同様に、全米の機関と協力し た。本文書のアーキテクチャ、ユースケース、技術、および課題は、これらの議論に大きく基づい ている。本文書は MFA および ID フェデレーションの標準とベスト・プラクティスを促進するが、このガイダ ンスの包括的な目標は、コスト、機能要件、および集中型 MFA サービスと共有型 MFA サービスの可 能性も考慮しながら、機関が適切なリスクを決定するのに役立つ実用的な MFA 実装の考慮事項を提 供することによって、機関が「現在いる場所」に対応することである。
1.2. How to Use This Document	1.2. 本文書の使用方法
The guidance in this document is intended to aid agencies in their MFA implementations but does not guarantee that their implementation will meet CJIS Security Policy requirements or will pass a CJIS audit. All questions about how a specific MFA implementation can meet the CJIS Security Policy should be directed to the CJIS Information Security Officer (ISO) team at iso@fbi.gov.	本文書のガイダンスは、機関が MFA を導入する際の助けとなることを意図してい るが、その導入が CJIS セキュリティポリシー要件を満たすこと、あるいは CJIS 監査に合格することを保証するものではない。特定の MFA の実装がどのように CJIS セキュ リティポリシーを満たすことができるかに関するすべての質問は、CJIS 情報セキュ リティオフィサー（ISO）チーム（iso@fbi.gov）に直接問い合わせること。
Many of the challenges discussed in this document require collaboration between state, local, tribal, and territorial (SLTT) agencies, as well as collaboration with law enforcement technology providers. Agencies should engage all relevant stakeholders to discuss MFA implementation plans to ensure this collaboration can occur.	この文書で議論されている課題の多くは、州、地方、部族、および準州（SLTT）機関間の協 力、ならびに法執行技術プロバイダとの協力を必要とする。各省庁は、関係するすべての利害関係者を巻き込んで MFA の実施計画を議論し、このような協力が確実に行えるようにする必要がある。
Section 2 of this document provides an overview of MFA concepts and the importance of MFA as a cybersecurity control.	本文書のセクション 2 では、MFA の概念とサイバーセキュリティ管理としての MFA の重要性について概説する。
Section 3 of this document details MFA design principles, agency stakeholders that should be part of MFA requirements development, considerations for a phased MFA rollout, and examples of where agencies might choose to implement MFA.	本文書のセクション3では、MFA の設計原則、MFA 要件策定に参加すべき省庁の利害関係者、段階的な MFA 導入のための考慮事項、および省庁が MFA の導入を選択する可能性のある場所の例について詳述する。
Section 4 collects the key considerations for agencies from throughout the document.	セクション4では、この文書全体から、各省庁が考慮すべき重要事項を集めている。
The Appendices of this document include detailed MFA architectures and questionnaires that agencies can use to engage their vendors.	この文書の附属書には、詳細なMFAアーキテクチャーと、各省庁がベンダーを関与させるた めに使用できる質問表が含まれている。