米国 CISA 継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版) (2024.12.04)
こんにちは、丸山満彦です。
CISAが継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版)を公表していました...
今回公開されているバージョンの変更履歴をみえていると2016年から取り組んでいますよね...米国連邦政府で8年間...
CDMって日本のデジタル庁で今どれくらい取り組んでいるのでしょうかね...
● CISA
・2024.12.04 CDM Data Model Document 5.0.1
・[PDF] Continuous Diagnostics and Mitigation (CDM) Program Architecture CDM Data Model Document
目次...
1 INTRODUCTION | 1 序文 |
1.1 Purpose | 1.1 目的 |
1.2 Scope | 1.2 範囲 |
1.3 Audience | 1.3 対象者 |
1.4 Context for the Model Derivation Process | 1.4 モデル導出プロセスの文脈 |
2 CDM GUIDANCE IN INTERPRETING THE DATA MODEL | 2 データモデルの解釈におけるCDMガイダンス |
2.1 CDM Datasets | 2.1 CDMデータセット |
2.2 Relational Structure and Implications | 2.2 関係構造とその意味合い |
2.3 Specialization/Generalization | 2.3 特殊化/一般化 |
2.4 Multivalued Attributes | 2.4 多値属性 |
2.5 Master Device Record: Unique Identification of Hardware Devices | 2.5 マスター・デバイス・レコード: ハードウェア・デバイスの一意な識別 |
2.6 Creating a Software Inventory: Unique Identification of Software | 2.6 ソフトウェアインベントリの作成: ソフトウェアの一意識別 |
2.7 Managed Applications: Risk Accountability Based on HWAM and SWAM Datasets | 2.7 管理されたアプリケーション HWAMおよびSWAMデータセットに基づくリスク説明責任 |
2.8 Master User Record: Unique Identification of People | 2.8 マスターユーザーレコード: 人の一意な識別 |
2.9 Creating the Master Incident Record: Tying Incidents, Related Events, Actors, and Activities Together | 2.9 マスターインシデントレコードを作成する: インシデント、関連イベント、アクター、アクティビティを結びつける |
2.10 Organizational Unit Containers (Organizational Unit Boundaries) | 2.10 組織単位のコンテナ(組織単位の境界) |
2.11 FISMA System Containers (System Boundaries) | 2.11 FISMAシステムコンテナ(システム境界) |
2.12 CVE and CCE Dictionaries | 2.12 CVE辞書とCCE辞書 |
2.13 CyHy “Findings” Datasets | 2.13 CyHy「発見」データセット |
2.14 Threat Intelligence Within CDM | 2.14 CDM内の脅威インテリジェンス |
2.15 CDM-Required Data | 2.15 CDMが要求するデータ |
3 DATA MODEL KEY TERMS | 3 データモデルのキーワード |
4 DATA DICTIONARY FOR THE LOGICAL DATA MODEL | 4 論理データモデルのデータ辞書 |
APPENDIX A: REFERENCES | 附属書A:参考文献 |
APPENDIX B: THREAT ACTION VALUES | 附属書B:脅威アクション値 |
APPENDIX C: RELEASE NOTES FOR THIS VERSION | 附属書C:本バージョンのリリースノート |
序文...
INTRODUCTION | 序文 |
Purpose | 目的 |
The Cybersecurity and Infrastructure Security Agency (CISA) Continuous Diagnostics and Mitigation (CDM) program operates on the premise of a common architecture that relies on capabilities provided by commercialoff-the-shelf (COTS) tools and sensors. In keeping with that approach, the CDM program has identified a need to overlay similar data requirements on the solution to ensure that common program objectives are met and to provide proper clarity to integration needs. This document outlines fundamental data elements that the program expects each CDM solution deployed at agencies to incorporate. | サイバーセキュリティ・インフラセキュリティ庁(CISA)の継続的診断・緩和(CDM)プログラムは、市販 (COTS)ツールやセンサが提供する機能に依存する共通アーキテクチャを前提に運用されている。このアプローチに従って、CDM プログラムは、共通のプログラム目標が満たされることを保証し、統合ニーズを適切に明確にするために、同様のデータ要件をソリューションに重ねる必要性を特定した。この文書は、プログラムが各機関に展開されるCDMソリューションが取り入れることを期待する基本的なデータ要素の概要を示している。 |
It identifies the minimum set of data requirements needed to leverage the CDM solution to accomplish the program’s objectives: to reduce agency threat surface, increase visibility into the federal cybersecurity posture, improve federal cybersecurity response capabilities, and streamline Federal Information Security Modernization Act (FISMA) reporting. | CDM ソリューションを活用して、省庁の脅威サーフェスを削減し、連邦政府のサイバーセキュリティ態勢を可視化し、連邦政府のサイバーセキュリティ対応能力を向上させ、連邦情報セキュリティ近代化法(FISMA)報告を合理化するというプログラムの目的を達成するために必要な、データ要件の最小セットを特定している。 |
Additionally, this document delivers guidance regarding the data that CDM solutions at agencies must collect, with an explicit understanding that the system will be required to produce datasets from specific interrogations of the CDM data. It is expected that agencies and CDM integrators will enrich these datasets with other relevant Information Security Continuous Monitoring (ISCM) data that fulfill their agency-specific needs. | さらに、この文書は、CDM データに対する特定の質問からデータセットを生成することがシステムに要求されることを明確に理解した上で、各省庁の CDM ソリューションが収集しなければならないデータに関するガイダンスを提供する。各機関とCDMインテグレーターは、これらのデータセットを、各機関固有のニーズを満たす他の関連する情報セキュリティの継続的なモニタリング(ISCM)データで充実させることが期待される。 |
CDM integrators should use this document to drive development and refinement of the implementation of the holistic solution, incorporating these data requirements into the operational rhythm of security tools and sensors. This will provide data to facilitate the execution of the CDM program’s mission objectives. | CDMインテグレーターは、これらのデータ要件をセキュリティツールやセンサーの運用リズムに組み込んで、全体的なソリューションの実装の開発と改良を推進するためにこの文書を使用すべきである。これにより、CDMプログラムのミッション目標の実行を促進するためのデータが提供される。 |
Scope | 適用範囲 |
The data requirements discussed in this document represent the minimum required dataset to accomplish the critical objectives of CDM, as foreseen by the CDM Program Management Office (PMO), across different solutions, while achieving consistent results. Currently, the scope is focused on data requirements related to the technical capabilities found under “Asset Management” (formerly Phase 1), “Identity & Access Management” (formerly Phase 2), and “Network Security Management” (formerly Phase 3). Detailed operational capabilities are found under the following decomposed tool functionalities: | この文書で議論されるデータ要件は、CDM プログラム管理室(PMO)が予見した CDM の重要な目的を、異なるソリューション間で、一貫した結果を達成しながら達成するために最低限必要なデータセットである。現在、この範囲は、「資産管理」(旧フェーズ1)、「アイデンティティ&アクセス管理」 (旧フェーズ2)、「ネットワークセキュリティ管理」(旧フェーズ3)の技術的能力に関連するデータ要 件に焦点を当てている。詳細な運用機能は、以下の分解されたツール機能の下にある: |
§ Asset Management (inclusive of mobile devices) (formerly known as Phase1) | § 資産管理(モバイル・デバイスを含む)(旧Phase1) |
o Hardware Asset Management (HWAM) | o ハードウェア資産管理(HWAM) |
o Software Asset Management (SWAM) | o ソフトウェア資産管理(SWAM) |
▪ Application Execution Control (AEC) | ・アプリケーション実行制御(AEC) |
o Configuration Settings Management (CSM) | o 構成設定管理(CSM) |
o Vulnerability Management (VUL) | o 脆弱性管理(VUL) |
▪ Enterprise Mobility Management (EMM) Mobile Threat Defense | ・エンタープライズ・モビリティ管理(EMM) モバイル脅威防御 |
§ Identity & Access Management [formerly known as Phase 2] | § アイデンティティ&アクセス管理(旧フェーズ 2] |
o Manage Trust in People Granted Access (TRUST) | o アクセスを許可された人の信頼を管理する(TRUST) |
o Manage Security Related Behavior (BEHAVE) | o セキュリティ関連の行動を管理する(BEHAVE) |
o Manage Credentials and Authentication (CRED) | o クレデンシャルと認証の管理(CRED) |
o Manage Account Access (PRIV) | o アカウントアクセスの管理(PRIV) |
§ Network Security Management [formerly known as Phase 3] | § ネットワーク・セキュリティ管理[旧フェーズ 3] |
o Manage Events (MNGEVT) | o イベントの管理(MNGEVT) |
▪ Incident Response | ・インシデント対応 |
▪ Ongoing Assessment (supporting Asset Management data only) | ・継続的アセスメント(資産管理データのサポートのみ) |
o Operate, Manage, and Improve (OMI) | o 運用・管理・改善(OMI) |
▪ System and Information Integrity (supporting incident response) | ・システム及び情報の完全性(インシデント対応をサポートする) |
o BOUND-E | o BOUND-E |
▪ Certificate Management (non-person entities only) | ・証明書管理(非個人事業体のみ) |
o BOUND-F to Manage Network Filters and Boundary Controls | o BOUND-F ・ネットワーク・フィルタおよびバウンダリ・コントロールの管理 |
▪ Network Access Protection | ・ネットワーク・アクセス防御 |
It is anticipated that additional content will be incorporated in subsequent iterations of this artifact as new technical capabilities are added to the CDM program operational baseline. | 新たな技術的能力が CDM プログラムの運用ベースラインに追加されるにつれて、この成果物の 以降の反復において追加コンテンツが組み込まれることが予想される。 |
CDM’s conceptual architecture and associated security frameworks, which convey program needs through CDM Technical Capabilities, Volume 1 and Volume 2, are also used to derive necessary data requirements that are reflected in this model. Specifically in scope are the definitions of the logical groupings of key cybersecurity information in the following constructs: | CDM の概念アーキテクチャーと関連するセキュリティの枠組みは、CDM 技術能力第 1 巻と第 2 巻を通じてプログラムのニーズを伝えるものであるが、このモデルに反映される必要なデータ要件を導き出すためにも使用される。具体的には、以下の構成要素における主要なサイバーセキュリティ情 報の論理的グループ化の定義が対象となる: |
§ Master Device Records (MDRs) | § マスターデバイスレコード(MDR) |
§ Master User Records (MURs) | § マスター・ユーザ・レコード(MUR) |
§ Master Incident Records (MIRs) | § マスターインシデントレコード(MIR) |
§ FISMA and Organizational Unit (OU) Containers | § FISMA および組織単位(OU)コンテナ |
The CDM datasets included are decomposed into entities and attributes within the interrogation specifications section. They provide strong traceability for data requirements laid out for agencies (i.e., “must have” data). | 含まれる CDM データセットは、質問仕様セクション内で事業体と属性に分解される。CDMデータセットは、各機関に提示されたデータ要件(すなわち 「なくてはならない 」データ)に対して、強力なトレーサビリティを提供する。 |
Another core principle of the program that influences the common schema is the system’s capability of “standardized scoring” through an algorithm that produces a quantitative measurement to facilitate prioritization and enumeration of risk-relevant states across the .gov enterprise. To support this effort, the CDM | 共通スキーマに影響を与えるプログラムのもう一つの基本原則は、.govエンタープライズ全体のリスクに関連する状態の優先順位付けと列挙を容易にする定量的な測定値を生成するアルゴリズムによる「標準スコアリング」のシステムの機能である。この取り組みを支援するため、CDM |
Data Model includes data requirements for a standardized federal risk score, the Agency-Wide Adaptive Risk Enumeration (AWARE) methodology.[1] AWARE requires that specific data be collected or calculated to successfully implement the algorithm, and the data model acquiesces to these data requirements. | データ・モデルには、標準化された連邦リスク・スコアであるAWARE(Agency-Wide Adaptive Risk Enumeration)手法のためのデータ要件が含まれている[1]。AWAREは、アルゴリズムをうまく実装するために特定のデータを収集または計算することを要求しており、データ・モデルはこれらのデータ要件に従う。 |
Finally, it is important to note that physical schemas and as-built designs are largely out of scope of this document. It is the CDM dashboard developer’s responsibility to develop and align the physical data schema (i.e., CDM “data target”) to the intent of this logical model through the requirements and solution engineering activities within the program.[2] | 最後に、物理的なスキーマと構築時の設計は、この文書の範囲外であることに注意することが重要である。物理的なデータスキーマ(すなわちCDMの 「データターゲット」)を開発し、プログラム内の要求とソリューションエンジニアリングの活動を通じてこの論理モデルの意図に合わせることは、CDMダッシュボード開発者の責任である[2]。 |
1.3 Audience | 1.3 想定読者 |
This document’s intended audience is assumed to have a working knowledge of the CDM program. The audience primarily includes CISA Cybersecurity Division staff,[3] CDM participating agencies’ staff, CDM Dynamic and Evolving Federal Network Defense (DEFEND) integrators, and the CDM dashboard provider. | 本文書の対象読者は、CDMプログラムについて実務的な知識を持っていることを想定している。主な読者には、CISAサイバーセキュリティ・ディビジョンのスタッフ、[3]CDM参加機関のスタッフ、CDM動的・進化型連邦ネットワーク防御(DEFEND)インテグレータ、CDMダッシュボード・プロバイダが含まれる。 |
1.4 Context for the Model Derivation Process | モデル導出プロセスの背景 |
CDM is: | CDMとは |
§ A process within an agency’s ISCM strategy, as originally mandated in the Office of Management and Budget (OMB) Memorandum (M) 14-03[4] (now superseded by OMB M-19-02[5]), to strengthen the security posture of the federal civilian networks by enabling operators to continuously search for flaws, collect results, triage and analyze results, fix the worst flaws first, and report progress. | § 行政管理予算局(OMB)の覚書(M)14-03[4](現在は OMB M-19-02[5] に取って代わられている)で元々義務付けられていたように、オペレータが継続的に欠陥を検索し、結果を収集し、結果をトリアージして分析し、最も悪い欠陥を最初に修正し、進捗を報告することを可能にすることによって、連邦民間ネットワークのセキュリティ体制を強化するための、省庁の ISCM 戦略内のプロセスである。 |
§ A program that provides continuous monitoring, diagnosis, and mitigation capabilities by centrally coordinating the procurement, installation, operation, and maintenance of diagnostic sensors (tools) and dashboards deployed to participating agencies and a federal-level cyber diagnostic dashboard maintained at the Department of Homeland Security (DHS). | § 参加省庁に展開される診断センサー(ツール)とダッシュボード、および国土安全保障省 (DHS)で維持される連邦レベルのサイバー診断ダッシュボードの調達、設置、運用、保守を一元 的に調整することにより、セキュリティの継続的なモニタリング、診断、緩和の機能を提供するプログラム。 |
§ A system consisting of multiple instantiations of tools and dashboards that work together to enable the CDM process. | § CDM プロセスを実現するために連携するツールやダッシュボードの複数のインスタンスから構成されるシステムである。 |
The CDM Data Model is a common schema of data elements and attributes based on recommendations and requirements conveyed in the CDM architecture. This common schema is authoritative in developing the data requirements for the CDM program and represents the to-be state of the data both within (as ingested and stored) and outside of (as queried and reported) Layer C of the CDM architecture (see Figure 1-1). With regard to data queried or reported, a core set of data interrogation actions were captured based on input from various sources that were solicited in developing this artifact, including the CDM Technical Capabilities,[6] Volume 1 and Volume 2 and the Chief Information Officer (CIO) Federal Information Security Modernization Act (FISMA) Metrics. In the case of the FISMA metrics, this document focused on information that could be specifically tied to CDM asset, identity and access, network security, and data management capabilities (formerly Phase 1, 2, 3, and 4 security capabilities, respectively). Each data interrogation action represents key fundamental mechanisms of the CDM solution, satisfying mission requirements for summary reporting, scoring, and/or defect prioritization. | CDM データモデルは、CDM アーキテクチャで伝達された勧告と要件に基づく、データ要素と属性 の共通スキーマである。この共通スキーマは、CDM プログラムのデータ要件を策定する際の代表者であり、CDM アーキテクチャのレイヤ C 内(取り込まれ、保存された状態)とレイヤ C 外(照会され、報告された状態)の両方のデータのあるべき状態を表している(図 1-1 参照)。照会または報告されるデータに関しては、CDM 技術能力[6]第 1 巻と第 2 巻、および最高情報責任者(CIO)の連邦情報セキュリ ティ近代化法(FISMA)メトリクスを含む、この成果物を開発する際に募集された様々な情報源からのインプットに基 づいて、データ照会アクションの中核となるセットが取り込まれた。FISMA メトリクスの場合、本文書は、CDM 資産、ID とアクセス、ネットワークセキュリティ、およびデータ管理能力(それぞれ旧フェーズ 1、2、3、および 4 のセキュリティ能力)に特に結び付けられる情報に焦点を当てた。各データ調査アクションは、CDM ソリューションの主要な基本メカニズムを表し、概要報告、スコアリング、欠陥の優先順位付けなどのミッション要件を満たす。 |
The cohesive philosophy of normalizing metrics and key machine information is required to facilitate a standard CDM dashboard platform across all agencies (representing the aforementioned “Layer C “of the architecture as shown below). As one of the central aspects of CDM, the dashboard serves as the primary means by which the CDM Logical Data Model (LDM) can be physically implemented. Through the development and deployment of the CDM agency dashboard, a physical schema (“as-built” by the dashboard developer), which is aligned to the intent and requirements of the LDM, provides the realized vision of a normalized CDM dataset (i.e., common schema). | メトリックスと主要なマシン情報を正規化するという一貫した哲学は、すべての機関にわたって標準的なCDMダッシュボード・プラットフォームを促進するために必要である(以下に示すように、前述のアーキテクチャの「レイヤーC」を代表する)。CDMの中心的な側面の一つとして、ダッシュボードはCDM論理データモデル(LDM)を物理的に実装するための主要な手段として機能する。CDM機関ダッシュボードの開発と展開を通じて、LDMの意図と要件に沿った物理スキーマ(ダッシュボード開発者による 「as-built」)が、正規化されたCDMデータセット(すなわち共通スキーマ)の実現ビジョンを提供する。 |
Leveraging this architecture, the federal dashboard collates the summary information and risk scores produced by the multiple agency dashboards to enable standardized, comprehensive cyber visibility into the entire civilian government enterprise. This CDM dashboard hierarchy represents the operationalization of the data architecture within this artifact. It allows for the common schema to be enumerated and queried at each agency, with the results providing stronger cybersecurity measurements across the agencies. | このアーキテクチャを活用して、連邦政府のダッシュボードは、複数の省庁のダッシュボードによって作成されたサマリー情報とリスクスコアを照合し、民間政府エンタープライズ全体に対する標準化された包括的なサイバー可視化を可能にする。この CDM ダッシュボードの階層構造は、この成果物におけるデータアーキテクチャの運用の代表者である。これによって、共通のスキーマを各機関で列挙してクエリし、その結果によって各機関全体でより強力なサイバーセキュリティ測定を行うことができる。 |
The CDM Data Model entities and attributes[7] described in this document were iteratively derived using the following process: | 本文書で説明する CDM データモデルの事業体と属性[7]は、以下のプロセスで繰り返し導出された: |
1. Enumerate all relevant data interrogation actions that have traceability to one or more of the key reference materials (see Appendix A). | 1. 1 つ以上の鍵材料(附属書 A 参照)にトレーサビリティを持つ、関連するすべてのデータ問 い合わせアクションを列挙する。 |
2. Generate specifications for each data interrogation action identified in a fully defined, common standard format (e.g., SQL[8]). | 2. 完全に定義された共通の標準形式(例えば、SQL[8])で、識別された各データ問合せ 操作の仕様を生成する。 |
3. Derive data entities and attributes to meet the interrogation specifications (i.e., a common schema for CDM technical capabilities). | 3. 質問仕様(すなわち、CDM技術仕様の共通スキーマ)を満たすデータ事業体と属性を導出する。 |
4. Develop a data dictionary that clearly describes the required entities and attributes to provide a consistent understanding for the audience. | 4. 必要な事業体と属性を明確に記述したデータ辞書を作成し、利用者に一貫した理解を提供する。 |
[1] For more information of the AWARE algorithm, refer to Appendix A. | [1]AWAREアルゴリズムの詳細については、附属書Aを参照のこと。 |
[2] For more information on how to use and interpret this document, refer to the guidance within Section 2. | [2]本書の使用方法および解釈の詳細については、セクション 2 のガイダンスを参照のこと。 |
[3] Specifically, this includes CISA Cybersecurity Division staff who support operationalization or oversight of the CDM program. | [3]具体的には、CDMプログラムの運用化または監視を支援するCISAサイバーセキュリティ部門のスタッフを含む。 |
[4] “Enhancing the Security of Federal Information and Information Systems,” M-14-03, November 18, 2013. [PDF] | [4]「Enhancing the Security of Federal Information and Information Systems,」 M-14-03, November 18, 2013. [PDF] |
[5] “Management Requirements,” M-19-02, October 25, 2018. [PDF] . | [5]「Management Requirements,」 M-19-02, October 25, 2018. [PDF] . |
[6] These documents describe the requirements for the CDM program that are consistent with the overarching goal of enabling U.S. government entities to assess and improve the security posture of an agency’s information systems. These requirements will be used for the CDM solicitations called Dynamically Evolving Federal Enterprise Network Defense (DEFEND) program as well as the Schedule 70 CDM-SIN Approved Product List (APL). | [6]これらの文書は、米国政府機関が機関の情報システムのセキュリティ態勢をアセスメントし、改善できるようにするという包括的な目標に合致するCDMプログラムの要件を記述している。これらの要件は、ダイナミックに進化する連邦エンタープライズ・ネットワーク防御(DEFEND)プログラムと呼ばれるCDMの募集、およびSchedule 70 CDM-SIN Approved Product List (APL)に使用される。 |
[7] Refer to Section 2 for more information regarding Unified Modeling Language (UML) entity relationship (ER) diagraming, entities, and attributes. | [7] 統一モデリング言語(UML)の実体関係(ER)図、事業体、属性に関する詳細は、セクション2を参照のこと。 |
[8] Structured Query Language (SQL) is a special purpose language for accessing data in databases. In this case, it is a well-known formal language that can be used to specify the interaction of the data interrogation action with the object data within the CDM system. | [8]構造化クエリー言語(Structured Query Language:SQL)は、データベースのデータにアクセ スするための特別な目的の言語である。この場合、CDMシステム内のオブジェクト・データとデータ質問アクションの相互作用を指定するために使用できる、よく知られた形式言語である。 |
Recent Comments