セキュリティ統制のカタログ化の例

本章では、セキュリティ統制のカタログ化のステップとしてセキュリティ管理策のカタログの例とその機械可読化の例を示す。具体的にはISMAP及びNIST SP800-53の管理策のカタログ並びに機械可読化の取組みであるNIST OSCALについて紹介する。

ISMAP管理基準の例

政府情報システムのためのセキュリティ評価制度（ISMAP）管理基準（以下、「ISMAP管理基準」。）は、クラウドサービス事業者がISMAPクラウドサービスリスト若しくはISMAP-LIUクラウドサービスリストへの登録申請を行う上で実施すべきセキュリティ対策の一覧、及びその活用方法を示すことを目的としており、ISMAPの情報セキュリティ監査基準等に従って監査を行う場合、原則として監査人が監査の前提として用いる基準となっている。

ISMAP管理基準は、国際規格に基づいた規格（JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016）に準拠して編成された「クラウド情報セキュリティ管理基準(平成28年度版)」を基礎としつつ、「政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版」）、及び「SP800-53 rev.4」を参照して作成されている。

情報、情報に関連するその他の資産及び情報処理施設を特定する。また、これらの資産の目録を、作成し、維持する。
目録の中で維持される資産は、管理する。
情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施する。
全ての従業員及び外部の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産の全てを返却する。
P クラウドサービス事業者の領域上にあるクラウドサービス利用者の資産は、クラウドサービス利用の合意の終了時に、時期を失せずに返却または除去する。

ISMAP管理基準において、クラウドサービス事業者が、リスクに対応するために達成するべき統制目標を、管理基準のうち（X.X.X）という３桁の番号で表現している。以下に、ISMAP管理基準における統制目標の例を記載する。

NIST SP800-53のセキュリティ管理策のカタログについて

NIST SP800-53（組織と情報システムのためのセキュリティおよびプライバシー管理策）(以下、「SP800-53」という。) は、米国連邦政府の内部セキュリティ基準を示すガイドラインの一つである。セキュリティポリシーの構成要素は、20のセキュリティ管理策ファミリーで、322のセキュリティ管理策から構成されている。またセキュリティ管理策の一部は、拡張管理策で構成されている。SP800-53におけるセキュリティ管理策の一例を表 3に記載し、セキュリティ管理策一覧について別紙１に示す。

これらの構成要素であるセキュリティ管理策は、NIST SP800-53B（組織と情報システムのための管理策ベースライン）において、インパクトが「低」「中」「高」に対応した各セキュリティ管理策ベースラインで引用されている。インパクトが「低」の場合には、全ての管理策の中から131のセキュリティ管理策の実装を求めている。また「中」の場合には、177管理策と一部の110の拡張管理策の実装を求めている。「高」の場合には、「中」で求めた管理策と拡張管理策に加え、83の管理策・拡張管理策の実装を求めている。

コラム：NIST OSCALでの機械可読形式による表現ついて

catalog:

uuid: 2486041e-ea2a-48ad-ab1b-218f74aaeceb

metadata:

title: NIST Special Publication 800-53 Revision 5 HIGH IMPACT BASELINE

last-modified: 2022-11-02T14:21:44.749362Z

version: Final

oscal-version: 1.0.0

links:

- href: NIST_SP-800-53_rev5_HIGH-baseline_profile.yaml

rel: resolution-source

roles:

- id: creator

title: Document Creator

- id: contact

title: Contact

parties:

- uuid: c748c806-1d77-4695-bb40-e117b2afa82e

type: organization

email-addresses:

- sec-cert@nist.gov

addresses:

- addr-lines:

- National Institute of Standards and Technology

- "Attn: Computer Security Division"

- Information Technology Laboratory

- 100 Bureau Drive (Mail Stop 8930)

city: Gaithersburg

state: MD

postal-code: 20899-8930

responsible-parties:

- role-id: creator

party-uuids:

- c748c806-1d77-4695-bb40-e117b2afa82e

- role-id: contact

party-uuids:

- c748c806-1d77-4695-bb40-e117b2afa82e

図 4　カタログ冒頭部分

groups:

- id: ia

title: Identification and Authentication

controls:

（中略）

- id: ia-3

title: Device Identification and Authentication

params:

- id: ia-03_odp.01

label: devices and/or types of devices

guidelines:

- prose: devices and/or types of devices to be uniquely identified

and authenticated before establishing a connection are defined;

- id: ia-03_odp.02

select:

how-many: one-or-more

choice:

- local

- remote

- network

props:

- name: label

value: IA-3

- name: label

value: IA-03

- name: sort-id

value: ia-03

links:

- href: "#ac-17"

rel: related

- href: "#ac-18"

rel: related

- href: "#ac-19"

rel: related

- href: "#au-6"

rel: related

- href: "#ca-3"

rel: related

- href: "#ca-9"

rel: related

- href: "#ia-4"

rel: related

- href: "#ia-5"

rel: related

- href: "#ia-9"

rel: related

- href: "#ia-11"

rel: related

- href: "#si-4"

rel: related

（その２へ続く）

図 5　識別および認証に関する部分（その１）

parts:

- id: ia-3_smt

prose: "Uniquely identify and authenticate {{ insert: param, ia-03_odp.01\

\ }} before establishing a {{ insert: param, ia-03_odp.02 }} connection."

- id: ia-3_gdn

prose: Devices that require unique device-to-device identification and

authentication are defined by type, device, or a combination of type

and device. Organization-defined device types include devices that

are not owned by the organization. Systems use shared known information

(e.g., Media Access Control [MAC], Transmission Control Protocol/Internet

Protocol [TCP/IP] addresses) for device identification or organizational

authentication solutions (e.g., Institute of Electrical and Electronics

Engineers (IEEE) 802.1x and Extensible Authentication Protocol [EAP],

RADIUS server with EAP-Transport Layer Security [TLS] authentication,

Kerberos) to identify and authenticate devices on local and wide area

networks. Organizations determine the required strength of authentication

mechanisms based on the security categories of systems and mission

or business requirements. Because of the challenges of implementing

device authentication on a large scale, organizations can restrict

the application of the control to a limited number/type of devices

based on mission or business needs.

- id: ia-3_obj

props:

- name: label

value: IA-03

prose: " {{ insert: param, ia-03_odp.01 }} are uniquely identified and\

\ authenticated before establishing a {{ insert: param, ia-03_odp.02\

\ }} connection."

- id: ia-3_asm-examine

props:

- name: method

ns: http://csrc.nist.gov/ns/rmf

value: EXAMINE

- name: label

value: IA-03-Examine

- id: ia-3_asm-examine

props:

- name: method

ns: http://csrc.nist.gov/ns/rmf

value: EXAMINE

- name: label

value: IA-03-Examine

parts:

- name: assessment-objects

prose: >-

Identification and authentication policy

system security plan

procedures addressing device identification and authentication

system design documentation

list of devices requiring unique identification and authentication

device connection reports

system configuration settings and associated documentation