米国 NIST IR 8523 刑事司法情報システム向け多要素認証：刑事司法情報防御のための実装上の考慮事項 (2025.09.03)

こんにちは、丸山満彦です。

刑事司法情報サービス（CJIS）セキュリティポリシーでは、CJIアクセス時にMFAの使用を義務付けているが、全国の行政機関およびCJI関連技術ベンダーからの教訓を踏まえ、MFAを導入する機関向けに実践的な情報を提供する文書として、IR 8523が作成されているようですね...

米国は合衆国ですから、連邦政府、州政府、地方自治体でそれぞれ警察機構があり、指名手配犯、失踪者、盗難等の事件関係の情報や、顔写真、指紋といった情報が共有できる仕組みとなっていますから、データへのアクセス管理は重要ですよね...

 

● NIST - ITL

・2025.09.03 NIST IR 8523 Multi-Factor Authentication for Criminal Justice Information Systems: Implementation Considerations for Protecting Criminal Justice Information

 

NIST IR 8523 Multi-Factor Authentication for Criminal Justice Information Systems: Implementation Considerations for Protecting Criminal Justice Information	NIST IR 8523 刑事司法情報システム向け多要素認証：刑事司法情報防御のための実装上の考慮事項
Abstract	要約
Most recent cybersecurity breaches have involved compromised credentials. Migrating from single-factor to multi-factor authentication (MFA) reduces the risk of compromised credentials and unauthorized access. Both criminal and noncriminal justice agencies need to access criminal justice information (CJI); to reduce the risk of unauthorized access, the Criminal Justice Information Services (CJIS) Security Policy now requires the use of MFA when accessing CJI. This document provides practical information to agencies that are implementing MFA, reflecting on lessons learned from agencies around the country and from CJI-related technology vendors.	最近のサイバーセキュリティ侵害のほとんどは、認証情報の侵害が関与しています。単一要素認証から多要素認証（MFA）への移行は、認証情報の侵害や不正アクセスのリスクを低減する。刑事司法機関と非刑事司法機関の双方が刑事司法情報（CJI）へのアクセスを必要とする。不正アクセスのリスクを低減するため、刑事司法情報サービス（CJIS）セキュリティポリシーでは、CJIアクセス時にMFAの使用を義務付けている。本文書は、全国の機関およびCJI関連技術ベンダーからの教訓を踏まえ、MFAを導入する機関向けに実践的な情報を提供する。

 

・[PDF] NIST.IR.8523

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Approach	1.1. アプローチ
1.2. How to Use This Document	1.2. 本文書の活用方法
2. An Overview of MFA Technologies and Concepts	2. MFA技術と概念の概要
2.1. Introduction to MFA	2.1. MFAの序論
2.2. CJIS Requirements for MFA	2.2. CJISにおけるMFAの要件
2.3. Identity Providers	2.3. におけるIDプロバイダ
2.4. Single Sign-On and Identity Federation	2.4. シングルサインオンとアイデンティティフェデレーション
2.4.1. Benefits of Identity Federation	2.4.1. アイデンティティ連携の利点
2.4.2. Benefits of Single Sign-On	2.4.2. シングルサインオンの利点
2.5. The Importance of Phishing Resistance	2.5. フィッシング耐性の重要性
3. Choosing an MFA Implementation for Protecting CJI	3. CJI保護のためのMFA実装選択
3.1. MFA Design Principles	3.1. MFA設計原則
3.1.1. Principle 1: Authenticator Reusability	3.1.1. 原則1：認証器の再利用性
3.1.2. Principle 2: Authenticator Optionality	3.1.2. 原則2：認証器の任意性（ ）
3.1.3. Principle 3: Minimize the Passing of Memorized Secrets	3.1.3. 原則3：記憶された秘密情報の伝達を最小限に抑える
3.1.4. Principle 4: Ensure MFA Is Integrated to Protect CJI	3.1.4. 原則4：CJI保護のためMFAを統合する
3.2. MFA Requirements Assessment	3.2. MFAアセスメント
3.2.1. MFA Users	3.2.1. MFAユーザー
3.2.2. IT Support Staff	3.2.2. ITサポートスタッフ
3.2.3. Other Agencies	3.2.3. その他の機関
3.2.4. Procurement Teams	3.2.4. 調達チーム
3.2.5. Compliance Teams	3.2.5. コンプライアンスチーム
3.2.6. Legal Teams	3.2.6. 法務チーム
3.2.7. Technology Vendors	3.2.7. 技術ベンダー
3.3. Phased MFA Deployment	3.3. 段階的なMFA展開
3.4. Choosing Where to Deploy MFA	3.4. MFAの展開場所の選択
3.4.1. Local Agency MFA Architectures	3.4.1. 地方機関向けMFAアーキテクチャ
3.4.2. State MFA Deployments	3.4.2. 州レベルでのMFA展開
3.4.3. Implementing MFA with VPNs	3.4.3. VPN による MFA の実装
4. Key Takeaways	4. 重要なポイント
References	参考文献
Appendix A. Technology Components Relevant to MFA for CJIS Access	附属書A. CJISアクセス向けMFAに関連する技術コンポーネント
Appendix B. Federated Identity Architectures	附属書B. フェデレーテッド・アイデンティティ・アーキテクチャ
B.1.  Establishing Federation Trust	B.1. フェデレーション信頼関係の確立
B.2. Challenges in Using Federation Technologies for Message Switch Use Cases	B.2. メッセージスイッチユースケースにおけるフェデレーション技術の利用課題
B.3. Meeting FAL Requirements in Complex Federation Scenarios	B.3. 複雑なフェデレーションシナリオにおけるFAL要件の対応
B.4. Federated Architectures for Access to CJI	B.4. CJI アクセス向けフェデレーションアーキテクチャ
B.4.1. Both CAD/RMS Web App & IdP at the State Agency	B.4.1. CAD/RMS Web アプリと州機関の IdP の両方
B.4.2. CAD Thick Client at the County with the IdP at the State Agency	B.4.2. 郡レベルのCADファットクライアントと州機関のIdP
B.4.3. Both the CAD/RMS Web App and IdP at a County Agency	B.4.3. 郡機関におけるCAD/RMS WebアプリとIdPの両方
B.4.4. Integrations with OAuth 2.0 and OIDC	B.4.4. OAuth 2.0 および OIDC との統合
B.5. VPN Integration	B.5. VPN統合
B.5.1. VPN Integration with Kerberos but without Federation	B.5.1. フェデレーションなしのKerberosによるVPN統合
B.5.2. VPN Integration with an Identity Provider	B.5.2. VPNとIDプロバイダの統合
Appendix C. Questions to Ask Your Technology Vendors	附属書C. 技術ベンダーへの質問事項
C.1. Questionnaire for CAD/RMS Vendors	C.1. CAD/RMSベンダー向け質問票
C.2. Questionnaire for Identity Services Vendors	C.2. 身分サービスベンダー向け質問票
C.3. Questionnaire for Message Switch Vendors	C.3. メッセージスイッチベンダー向け質問票
C.4. Questionnaire for VPN Vendors	C.4. VPNベンダー向け質問票
Appendix D. List of Symbols, Abbreviations, and Acronyms	附属書D. 記号・略語・頭字語一覧

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The Criminal Justice Information Services (CJIS) Security Policy versions 5.9.2 and later [1] require the use of multi-factor authentication (MFA) to protect access to criminal justice information (CJI). MFA is important for protecting against credential compromises and other cyber risks that may threaten CJI. Criminal and non-criminal justice agencies around the country will need to work with their technology vendors to implement this CJIS requirement.	刑事司法情報サービス（CJIS）セキュリティポリシーバージョン5.9.2以降[1]では、刑事司法情報（CJI）へのアクセス保護のために多要素認証（MFA）の使用が義務付けられている。MFAは、CJIを脅かす可能性のある認証情報の侵害やその他のサイバーリスクから保護するために重要である。全国の刑事司法機関および非刑事司法機関は、このCJIS要件を実施するために技術ベンダーと連携する必要がある。
CJI is commonly accessed using computer-aided dispatch (CAD) and record management system (RMS) software, which communicate with a state-level message switch application. CJI MFA architectures will likely need to integrate with one or both of these technologies. As agencies around the country begin to implement MFA solutions, the approaches they use require careful consideration and planning. This document provides a general overview of MFA, outlines design principles and architecture considerations for implementing MFA to protect CJI, and offers specific examples of use cases that agencies face today. It also outlines how CAD/RMS and message switch technologies can support standards and best practices that provide agencies with maximum optionality to implement MFA in a way that promotes security, interoperability, usability, and cost savings.	CJIへのアクセスは、コンピュータ支援指令（CAD）や記録管理システム（RMS）ソフトウェアを介して行われることが一般的であり、これらは州レベルのメッセージスイッチアプリケーションと連携する。CJI向けMFAアーキテクチャは、これらの技術のいずれか、あるいは両方との統合が必要となる可能性が高い。全国の機関がMFAソリューションの導入を開始するにあたり、採用するアプローチには慎重な検討と計画が求められる。本文書はMFAの概要を説明し、CJI保護のためのMFA実装における設計原則とアーキテクチャ上の考慮事項を提示するとともに、機関が現在直面する具体的なユースケース例を示す。またCAD/RMSおよびメッセージスイッチ技術が、セキュリティ・相互運用性・使いやすさ・コスト削減を促進する形でMFAを実装する際に、機関に最大限の選択肢を提供する標準とベストプラクティスをどのように支援できるかを概説する。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.23 米国 NIST IR 8523（初期公開ドラフト） 刑事司法情報システムのための多要素認証： 刑事司法情報を保護するための実装上の考慮事項 (2025.03.13)