コンプライアンス マネージャーのフレームワーク

このドキュメントでは、コンプライアンス マネージャーに含まれている組み込みのクラウド フレームワークのリファレンス コンテンツを提供します。

Google Recommended AI Essentials - Vertex AI

サポートされているクラウド プロバイダ: Google Cloud

このフレームワークでは、Vertex AI ワークロードに対して Google が推奨するセキュリティのベスト プラクティスについて説明し、予防的ポリシーと検出ポリシーの必須コレクションを提供します。Security Command Center 内で AI 保護を有効にすると、このフレームワークに対する詳細なセキュリティ コンプライアンス評価が AI セキュリティ ダッシュボードに自動的に表示されます。

このフレームワークには、次のクラウド コントロールが含まれています。

CIS GKE 1.7

サポートされているクラウド プロバイダ: Google Cloud

CIS GKE Benchmark は、Google Kubernetes Engine(GKE)クラスタ専用に調整されたセキュリティに関する推奨事項とベスト プラクティスをまとめたものです。このベンチマークは、GKE 環境のセキュリティ ポスチャーを強化することを目的としています。

このフレームワークには、次のクラウド コントロールが含まれています。

CIS Critical Security Controls v8

サポートされているクラウド プロバイダ: Google Cloud

一般的なサイバー脅威から保護するための優先順位付けされた一連の保護対策。これは、さまざまな成熟度の組織に合わせて実装グループ(IG1、IG2、IG3)に階層化された、サイバー防衛に対する実践的なアプローチを提供します。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

cis-controls-1-1

データが保存または処理される可能性のあるすべてのエンタープライズ アセット(エンドユーザー デバイス(ポータブル デバイスやモバイル デバイスを含む)、ネットワーク デバイス、コンピューティング以外のデバイス/IoT デバイス、サーバーなど)の正確で詳細な最新のインベントリを確立し、維持する。インベントリに、各アセットのネットワーク アドレス(静的の場合)、ハードウェア アドレス、マシン名、企業アセットの所有者、部門、アセットがネットワークへの接続を承認されているかどうかが記録されていることを確認します。モバイル エンドユーザー デバイスの場合、MDM タイプのツールがこのプロセスをサポートできる場合があります。このインベントリには、インフラストラクチャに物理的、仮想的、リモートで接続されているアセットと、クラウド環境内のアセットが含まれます。また、企業が管理していない場合でも、企業のネットワーク インフラストラクチャに定期的に接続されるアセットも含まれます。すべてのエンタープライズ アセットのインベントリを半年に 1 回以上確認して更新します。

cis-controls-10-2

すべてのエンタープライズ アセットでマルウェア対策シグネチャ ファイルの自動更新を構成します。

cis-controls-10-3

リムーバブル メディアの自動実行と自動再生の自動実行機能を無効にします。

cis-controls-10-6

マルウェア対策ソフトウェアを一元管理します。

cis-controls-11-1

詳細なバックアップ手順を含む、文書化されたデータ復元プロセスを確立して維持します。このプロセスでは、データ復元アクティビティの範囲、復元の優先度、バックアップ データのセキュリティに対処します。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-11-2

対象範囲内のエンタープライズ アセットの自動バックアップを実行します。データの機密性に基づいて、週に 1 回以上バックアップを実行します。

cis-controls-11-3

元のデータと同等の制御で復元データを保護します。要件に基づいて、暗号化またはデータ分離を参照します。

cis-controls-11-4

復元データの分離されたインスタンスを確立して維持します。実装例としては、オフライン、クラウド、オフサイトのシステムまたはサービスを介したバックアップ宛先のバージョン管理などがあります。

cis-controls-11-5

対象範囲内の企業アセットのサンプルについて、バックアップ復元を四半期ごと、またはそれ以上の頻度でテストする。

cis-controls-12-2

安全なネットワーク アーキテクチャの設計と維持。安全なネットワーク アーキテクチャでは、少なくともセグメンテーション、最小権限、可用性に対処する必要があります。実装例には、ドキュメント、ポリシー、設計コンポーネントが含まれる場合があります。

cis-controls-12-3

ネットワーク インフラストラクチャを安全に管理する。実装例としては、バージョン管理された Infrastructure-as-Code(IaC)や、SSH や HTTPS などの安全なネットワーク プロトコルの使用などがあります。

cis-controls-12-5

ネットワーク AAA を一元管理します。

cis-controls-12-6

安全なネットワーク管理プロトコル(802.1X)や安全な通信プロトコル(Wi-Fi Protected Access 2(WPA2)Enterprise またはそれよりも安全な代替手段)。

cis-controls-12-7

エンドユーザー デバイスで企業リソースにアクセスする前に、企業管理の VPN と認証サービスに対するユーザー認証を必須にします。

cis-controls-13-1

ログの相関分析と分析のために、企業アセット全体でセキュリティ イベントのアラートを一元化します。ベスト プラクティスの実装には、ベンダー定義のイベント相関アラートを含む SIEM の使用が必要です。セキュリティ関連の相関アラートが構成されたログ分析プラットフォームも、この保護措置を満たします。

cis-controls-13-2

必要に応じて、またはサポートされている場合は、ホストベースの侵入検知ソリューションをエンタープライズ アセットにデプロイする。

cis-controls-13-3

必要に応じて、企業の資産にネットワーク侵入検出ソリューションをデプロイする。実装例としては、ネットワーク侵入検知システム(NIDS)または同等のクラウド サービス プロバイダ(CSP)サービスの使用などがあります。

cis-controls-13-4

必要に応じて、ネットワーク セグメント間でトラフィック フィルタリングを実行します。

cis-controls-13-5

企業リソースにリモート接続するアセットのアクセス制御を管理します。最新のマルウェア対策ソフトウェアがインストールされていること、構成が企業の安全な構成プロセスに準拠していること、オペレーティング システムとアプリケーションが最新の状態であることを基準に、企業リソースへのアクセス量を決定します。

cis-controls-13-6

ネットワーク トラフィック フローログまたはネットワーク トラフィックを収集し、ネットワーク デバイスから確認してアラートを送信します。

cis-controls-13-7

必要に応じて、またはサポートされている場合は、企業アセットにホストベースの侵入防止ソリューションをデプロイする。実装例としては、エンドポイント検出応答(EDR)クライアントまたはホストベースの IPS エージェントの使用があります。

cis-controls-13-8

必要に応じて、ネットワーク侵入防止ソリューションをデプロイします。実装例としては、ネットワーク侵入防止システム(NIPS)または同等の CSP サービスの使用があります。

cis-controls-13-9

ポートレベルのアクセス制御をデプロイします。ポートレベルのアクセス制御では、802.1x などのネットワーク アクセス制御プロトコル(証明書など)が使用され、ユーザーまたはデバイスの認証が組み込まれる場合があります。

cis-controls-14-1

セキュリティ意識向上プログラムを確立し、維持する。セキュリティ意識向上プログラムの目的は、企業のアセットやデータと安全にやり取りする方法について、企業の従業員を教育することです。採用時と少なくとも年 1 回、トレーニングを実施します。この保護機能に影響する可能性のある企業の大幅な変更が発生した場合、または年 1 回、コンテンツを見直して更新します。

cis-controls-14-3

認証のベスト プラクティスについて従業員をトレーニングします。たとえば、MFA、パスワードの構成、認証情報の管理などがあります。

cis-controls-14-5

意図しないデータ漏洩の原因を認識するように従業員をトレーニングします。たとえば、機密データの誤配信、ポータブル エンドユーザー デバイスの紛失、意図しないユーザーへのデータの公開などがあります。

cis-controls-16-1

安全なアプリケーション開発プロセスを確立し、維持する。その過程で、安全なアプリケーション設計標準、安全なコーディング方法、デベロッパー トレーニング、脆弱性管理、サードパーティ コードのセキュリティ、アプリケーション セキュリティ テスト手順などの項目に対処します。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-16-11

ID 管理、暗号化、監査、ロギングなどのアプリケーション セキュリティ コンポーネントに、審査済みのモジュールまたはサービスを活用します。重要なセキュリティ機能でプラットフォーム機能を使用すると、デベロッパーのワークロードが軽減され、設計や実装のエラーの可能性が最小限に抑えられます。最新のオペレーティング システムは、識別、認証、認可のための効果的なメカニズムを提供し、それらのメカニズムをアプリケーションで利用できるようにします。標準化され、現在受け入れられており、広範なレビューを受けている暗号化アルゴリズムのみを使用します。オペレーティング システムには、安全な監査ログを作成して維持するメカニズムも用意されています。

cis-controls-16-12

アプリケーションのライフサイクル内で静的解析ツールと動的解析ツールを適用して、安全なコーディング手法が守られていることを確認します。

cis-controls-16-13

アプリケーション ペネトレーション テストを実施します。クリティカルなアプリケーションの場合、認証済みペネトレーション テストは、コード スキャンや自動セキュリティ テストよりもビジネス ロジックの脆弱性の検出に適しています。侵入テストは、認証済みユーザーと未認証ユーザーとしてアプリケーションを手動で操作するテスターのスキルに依存します。

cis-controls-16-2

外部の組織が報告するための手段を提供することを含め、ソフトウェアの脆弱性に関する報告を受け付け、対処するためのプロセスを確立し、維持する。このプロセスには、報告プロセス、脆弱性レポートの処理を担当する当事者、インテーク、割り当て、修正、修正テストのプロセスを特定する脆弱性処理ポリシーなどの項目を含める必要があります。 このプロセスの一環として、脆弱性の特定、分析、修復のタイミングを測定するための重大度評価と指標を含む脆弱性追跡システムを使用します。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または毎年、ドキュメントを見直して更新します。サードパーティ アプリケーション デベロッパーは、このポリシーを外部関係者の期待値を設定するのに役立つ外部向けのポリシーと考える必要があります。

cis-controls-16-3

セキュリティの脆弱性について根本原因分析を実施します。脆弱性を確認する際、根本原因分析は、コード内の脆弱性を生み出す根本的な問題を評価するタスクです。これにより、開発チームは、個々の脆弱性が発生するたびに修正するだけでなく、根本的な問題に対処できます。

cis-controls-16-7

アプリケーション インフラストラクチャ コンポーネントには、業界推奨の標準的な強化構成テンプレートを使用します。これには、基盤となるサーバー、データベース、ウェブサーバーが含まれ、クラウド コンテナ、Platform as a Service(PaaS)コンポーネント、SaaS コンポーネントに適用されます。自社開発のソフトウェアによって構成の強化が弱まらないようにします。

cis-controls-17-2

セキュリティ インシデントを通知する必要がある関係者の連絡先情報を確立して維持します。連絡先には、内部スタッフ、サービス プロバイダ、法執行機関、サイバー保険プロバイダ、関連する政府機関、情報共有分析センター(ISAC)パートナー、その他の関係者が含まれます。連絡先情報を毎年確認し、最新の状態に保ちます。

cis-controls-17-4

役割と責任、コンプライアンス要件、コミュニケーション計画に対処する、文書化されたインシデント対応プロセスを確立して維持します。毎年、またはこの保護に影響する可能性のある企業の大幅な変更が発生したときに確認します。

cis-controls-17-9

インシデントとイベントの区別など、セキュリティ インシデントのしきい値を設定して維持する。例: 異常なアクティビティ、セキュリティの脆弱性、セキュリティの弱点、データ侵害、プライバシーのインシデントなど。毎年、またはこの保護対策に影響する可能性のある重大な企業の変化が発生したときに確認します。

cis-controls-18-1

企業の規模、複雑さ、業界、成熟度に適したペネトレーション テスト プログラムを確立し、維持する。侵入テスト プログラムの特性には、ネットワーク、ウェブ アプリケーション、アプリケーション プログラミング インターフェース(API)、ホスト型サービス、物理的な施設の制御などの範囲、頻度、許容される時間や除外される攻撃タイプなどの制限事項、連絡先情報、調査結果の社内でのルーティング方法などの修復、事後対応の要件などがあります。

cis-controls-18-2

プログラムの要件に基づいて、少なくとも年 1 回、定期的に外部侵入テストを実施します。外部ペネトレーション テストには、悪用可能な情報を検出するための企業と環境の偵察を含める必要があります。侵入テストには専門的なスキルと経験が必要であり、資格のある第三者を通じて実施する必要があります。テストは、クリア ボックスまたは不透明ボックスのいずれかになります。

cis-controls-18-5

プログラムの要件に基づいて、定期的に(少なくとも年 1 回)内部ペネトレーション テストを実施します。テストは、クリア ボックスまたは不透明ボックスのいずれかになります。

cis-controls-2-7

デジタル署名やバージョン管理などの技術的な制御を使用して、特定の .ps1 ファイルや .py ファイルなどの承認されたスクリプトのみが実行されるようにします。不正なスクリプトの実行をブロックします。半年に 1 回以上再評価します。

cis-controls-3-1

文書化されたデータ管理プロセスを確立し、維持する。このプロセスでは、企業の機密性と保持の基準に基づいて、データの機密性、データ所有者、データの取り扱い、データ保持の制限、廃棄要件に対処します。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-3-11

サーバー、アプリケーション、データベースに保存されている機密データを暗号化します。ストレージ レイヤの暗号化(サーバーサイド暗号化とも呼ばれます)は、この保護対策の最小要件を満たしています。追加の暗号化方法には、アプリケーション レイヤの暗号化(クライアントサイドの暗号化とも呼ばれます)が含まれる場合があります。この場合、データ ストレージ デバイスへのアクセスでは、平文データへのアクセスは許可されません。

cis-controls-3-14

機密データのアクセス(変更や破棄を含む)をログに記録します。

cis-controls-3-2

企業のデータ管理プロセスに基づいてデータ インベントリを確立し、維持します。少なくとも機密データをインベントリします。少なくとも年に 1 回、インベントリをレビューして更新します。機密データを優先します。

cis-controls-3-3

ユーザーの必知事項に基づいてデータアクセス制御リストを構成します。データアクセス制御リスト(アクセス権限)は、ローカルおよびリモートのファイル システム、データベース、アプリケーションに適用します。

cis-controls-3-4

企業の文書化されたデータ管理プロセスに従ってデータを保持します。データ保持には、最小タイムラインと最大タイムラインの両方を含める必要があります。

cis-controls-3-5

企業の文書化されたデータ管理プロセスに沿って、データを安全に破棄します。廃棄プロセスと方法は、データの機密性に見合ったものにしてください。

cis-controls-3-6

機密データを含むエンドユーザー デバイス上のデータを暗号化します。実装例としては、Windows BitLocker®、Apple FileVault®、Linux® dm-crypt などがあります。

cis-controls-3-7

企業全体のデータ分類スキームを確立して維持します。企業は、「機密」、「非公開」、「公開」などのラベルを使用して、それらのラベルに従ってデータを分類できます。この保護対策に影響を与える可能性のある重大な企業変更が発生した場合、または毎年、分類スキームを見直して更新します。

cis-controls-3-8

ドキュメントのデータフロー。データフローのドキュメントには、サービス プロバイダのデータフローが含まれ、企業のデータ管理プロセスに基づく必要があります。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-3-9

リムーバブル メディア上のデータを暗号化します。

cis-controls-4-1

企業アセット(ポータブル デバイスやモバイル デバイスなどのエンドユーザー デバイス、コンピューティング以外のデバイス/IoT デバイス、サーバー)とソフトウェア(オペレーティング システムとアプリケーション)の安全な構成プロセスを文書化して確立し、維持する。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-4-2

ネットワーク デバイスの安全な構成プロセスを文書化して確立し、維持する。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-4-3

定義された期間操作がない状態が続いた後、エンタープライズ アセットでセッションの自動ロックを構成します。汎用オペレーティング システムの場合、期間は 15 分を超えてはなりません。モバイル エンドユーザー デバイスの場合、期間は 2 分を超えてはなりません。

cis-controls-4-4

サポートされているサーバーでファイアウォールを実装して管理します。実装例としては、仮想ファイアウォール、オペレーティング システム ファイアウォール、サードパーティのファイアウォール エージェントなどがあります。

cis-controls-4-5

エンドユーザー デバイスにホストベースのファイアウォールまたはポート フィルタリング ツールを実装して管理します。明示的に許可されたサービスとポートを除くすべてのトラフィックをドロップするデフォルト拒否ルールを使用します。

cis-controls-4-6

エンタープライズ アセットとソフトウェアを安全に管理します。実装例としては、バージョン管理された Infrastructure-as-Code(IaC)による構成の管理や、Secure Shell(SSH)や Hypertext Transfer Protocol Secure(HTTPS)などの安全なネットワーク プロトコルを介した管理インターフェースへのアクセスなどがあります。運用上不可欠な場合を除き、Telnet(Teletype Network)や HTTP などの安全でない管理プロトコルを使用しないでください。

cis-controls-4-7

ルート、管理者、その他の事前構成されたベンダー アカウントなど、エンタープライズ アセットとソフトウェアのデフォルト アカウントを管理します。実装例としては、デフォルトのアカウントを無効にする、または使用できないようにすることが挙げられます。

cis-controls-4-8

使用されていないファイル共有サービス、ウェブ アプリケーション モジュール、サービス機能など、企業のアセットとソフトウェアで不要なサービスをアンインストールまたは無効にします。

cis-controls-5-1

企業で管理されているすべてのアカウントのインベントリを確立して維持します。インベントリには、少なくともユーザー アカウント、管理者アカウント、サービス アカウントが含まれている必要があります。インベントリには、少なくとも名前、ユーザー名、開始日と終了日、部門を含める必要があります。すべてのアクティブなアカウントが、少なくとも四半期ごと、またはそれ以上の頻度で定期的に承認されていることを確認します。

cis-controls-5-2

すべてのエンタープライズ アセットに固有のパスワードを使用します。ベスト プラクティスの実装には、少なくとも多要素認証(MFA)を使用するアカウントの 8 文字のパスワードと、MFA を使用しないアカウントの 14 文字のパスワードが含まれます。

cis-controls-5-4

管理者権限をエンタープライズ アセットの専用管理者アカウントに制限します。インターネット閲覧、メール、生産性向上スイートの使用などの一般的なコンピューティング アクティビティは、ユーザーのメインの非特権アカウントから行います。

cis-controls-5-5

サービス アカウントのインベントリを確立して維持します。在庫には、少なくとも部門のオーナー、レビュー日、目的が含まれている必要があります。サービス アカウントのレビューを定期的に(少なくとも四半期ごと、またはそれ以上の頻度で)実施し、すべてのアクティブなアカウントが認可されていることを確認します。

cis-controls-5-6

ディレクトリ サービスまたは ID サービスを使用してアカウント管理を一元化します。

cis-controls-6-1

ユーザーの新規採用時やロール変更時に企業アセットへのアクセス権を付与するための、文書化されたプロセス(できれば自動化されたプロセス)を確立し、それに従います。

cis-controls-6-2

ユーザーの退職、権限の取り消し、ロールの変更時にアカウントを直ちに無効化することで、企業資産へのアクセスを取り消すプロセス(できれば自動化されたプロセス)を確立し、それに従います。監査証跡を保持するには、アカウントを削除するのではなく、無効にする必要があります。

cis-controls-6-3

外部に公開されているすべてのエンタープライズ アプリケーションまたはサードパーティ製アプリケーションで、サポートされている場合は MFA を適用することを義務付けます。ディレクトリ サービスまたは SSO プロバイダを介して MFA を適用することは、この保護対策の適切な実装です。

cis-controls-6-5

オンサイトで管理されているか、サービス プロバイダを通じて管理されているかにかかわらず、サポートされているすべてのエンタープライズ アセットで、すべての管理者アクセス アカウントに MFA を要求します。

cis-controls-6-6

オンサイトまたはリモート サービス プロバイダでホストされているシステムを含め、企業の認証システムと認可システムのインベントリを確立して維持する。少なくとも年に 1 回、またはそれ以上の頻度で、インベントリを見直して更新します。

cis-controls-6-7

サポートされている場合は、ディレクトリ サービスまたは SSO プロバイダを使用して、すべてのエンタープライズ アセットのアクセス制御を一元化します。

cis-controls-6-8

企業内の各ロールが割り当てられた職務を正常に遂行するために必要なアクセス権を特定して文書化し、ロールベースのアクセス制御を定義して維持します。エンタープライズ アセットのアクセス制御レビューを実施し、すべての権限が承認されていることを検証します。このレビューは、少なくとも年 1 回、またはそれ以上の頻度で定期的に実施します。

cis-controls-7-2

リスクベースの修復戦略を確立して維持し、修復プロセスに文書化して、月単位またはそれ以上の頻度でレビューします。

cis-controls-7-7

修復プロセスに基づいて、ソフトウェアで検出された脆弱性をプロセスとツールを使用して月単位またはそれ以上の頻度で修復します。

cis-controls-8-1

企業のロギング要件を定義する、文書化された監査ログ管理プロセスを確立し、維持します。少なくとも、エンタープライズ アセットの監査ログの収集、レビュー、保持に対処します。この保護機能に影響を与える可能性のある重要な企業変更が発生した場合、または年 1 回、ドキュメントを見直して更新します。

cis-controls-8-11

監査ログのレビューを実施して、潜在的な脅威を示す可能性のある異常なイベントを検出します。週単位またはそれ以上の頻度でレビューを実施します。

cis-controls-8-2

監査ログを収集します。企業の監査ログ管理プロセスに従って、エンタープライズ アセット全体でロギングが有効になっていることを確認します。

cis-controls-8-3

ロギングの宛先が、企業の監査ログ管理プロセスに準拠するために十分なストレージを維持していることを確認します。

cis-controls-8-4

時刻同期を標準化します。サポートされている場合は、エンタープライズ アセット全体で少なくとも 2 つの同期されたタイムソースを構成します。

cis-controls-8-5

機密データを含むエンタープライズ アセットの詳細な監査ロギングを構成します。イベントソース、日付、ユーザー名、タイムスタンプ、送信元アドレス、宛先アドレスなど、フォレンジック調査に役立つ要素を含めます。

cis-controls-8-6

必要に応じて、エンタープライズ アセットで DNS クエリ監査ログを収集します。

cis-controls-8-7

必要に応じて、サポートされているエンタープライズ アセットで URL リクエスト監査ログを収集します。

cis-controls-8-8

コマンドラインの監査ログを収集します。実装例としては、PowerShell®、BASH™、リモート管理ターミナルから監査ログを収集することが挙げられます。

cis-controls-8-9

文書化された監査ログ管理プロセスに従って、エンタープライズ アセット全体で監査ログの収集と保持を可能な限り一元化します。実装例としては、主に SIEM ツールを活用して複数のログソースを一元化することが挙げられます。

cis-controls-9-1

企業内で実行できるのは、完全にサポートされているブラウザとメール クライアントのみとし、ベンダーから提供された最新バージョンのブラウザとメール クライアントのみを使用します。

cis-controls-9-2

既知の悪意のあるドメインへのアクセスをブロックするため、リモート アセットやオンプレミス アセットを含むすべてのエンドユーザー デバイスで DNS フィルタリング サービスを使用します。

cis-controls-9-3

ネットワーク ベースの URL フィルタを適用して更新し、企業アセットが潜在的に悪意のあるウェブサイトや未承認のウェブサイトに接続することを制限します。カテゴリベースのフィルタリング、評判ベースのフィルタリング、ブロックリストの使用などが実装例として挙げられます。すべてのエンタープライズ アセットにフィルタを適用します。

cis-controls-9-4

承認されていない、または不要なブラウザやメール クライアントのプラグイン、拡張機能、アドオン アプリケーションをアンインストールまたは無効化して制限します。

CSA Cloud Controls Matrix v4.0.11

サポートされているクラウド プロバイダ: Google Cloud

クラウド コンピューティング環境専用に設計されたサイバーセキュリティ管理フレームワーク。主要なドメイン全体にわたる包括的な制御セットを提供し、クラウド サービスのセキュリティ ポスチャーの評価に役立ちます。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

ccm-aa-01

監査と保証のポリシー、手順、基準を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-aa-02

関連する基準に従って、少なくとも年に 1 回、独立した監査と保証の評価を実施する。

ccm-ais-01

アプリケーション セキュリティのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持し、組織のアプリケーション セキュリティ機能の適切な計画、提供、サポートに関するガイダンスを提供します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-ais-02

さまざまなアプリケーションを保護するためのベースライン要件を確立、文書化、維持します。

ccm-ais-03

ビジネス目標、セキュリティ要件、コンプライアンス義務に沿って、技術的指標と運用指標を定義して実装します。

ccm-ais-04

組織が定義したセキュリティ要件に従って、アプリケーションの設計、開発、デプロイ、運用の SDLC プロセスを定義して実装します。

ccm-ais-05

新しい情報システム、アップグレード、新バージョンの受け入れ基準を含むテスト戦略を実装します。これにより、アプリケーションのセキュリティが保証され、コンプライアンスが維持され、組織のデリバリー目標を達成できます。該当する場合や可能な場合は、自動化します。

ccm-bcr-03

リスク許容度内でビジネスの中断の影響を軽減し、耐え、復旧するための戦略を確立します。

ccm-bcr-07

事業継続性と復元性の手順の過程で、関係者や参加者とのコミュニケーションを確立する。

ccm-bcr-08

クラウドに保存されているデータを定期的にバックアップします。バックアップの機密性、完全性、可用性を確保し、復元力を高めるためにバックアップからのデータ復元を検証します。

ccm-bcr-09

自然災害や人為的な災害から復旧するための災害対応計画を策定、文書化、承認、伝達、適用、評価、維持する。少なくとも年 1 回、または重大な変更が発生したときに、プランを更新します。

ccm-bcr-10

災害対応計画を年 1 回、または重大な変更があった場合に実施する。可能であれば、地域の緊急事態当局も参加させる。

ccm-bcr-11

ビジネス クリティカルな機器を、該当する業界標準に従って妥当な最小距離で独立して配置された冗長機器で補完します。

ccm-ccc-01

アプリケーション、システム、インフラストラクチャ、構成など、組織のアセットへの変更の適用に関連するリスクを管理するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。アセットが内部で管理されているか外部で管理されているかにかかわらず、ポリシーと手順を管理する必要があります。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-ccc-02

確立されたベースライン、テスト、リリース基準を使用して、定義された品質変更管理、承認、テスト プロセスに従います。

ccm-ccc-07

確立されたベースラインから逸脱した変更が発生した場合に、事前対応的な通知を行う検出対策を実装します。

ccm-cek-01

暗号化、暗号化、鍵管理に関するポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-cek-02

暗号化、暗号化、鍵管理の役割と責任を定義して実装します。

ccm-cek-03

承認された標準に準拠した暗号ライブラリを使用して、保存データと転送中のデータを暗号保護します。

ccm-cek-04

データの分類、関連するリスク、暗号化技術の使いやすさを考慮して、データ保護に適した暗号化アルゴリズムを使用します。

ccm-cek-05

暗号化、暗号化、鍵管理テクノロジーの変更の審査、承認、実装、伝達について、内部および外部のソースからの変更に対応するための標準的な変更管理手順を確立する。

ccm-cek-08

CSP は、CSC が独自のデータ暗号鍵を管理する機能を提供する必要があります。

ccm-cek-10

業界で認められている暗号ライブラリを使用して暗号鍵を生成し、アルゴリズムの強度と使用する乱数生成ツールを指定します。

ccm-cek-11

特定の目的でプロビジョニングされた暗号シークレットと秘密鍵を管理します。

ccm-cek-18

最小権限のアクセスを必要とする安全なリポジトリでアーカイブされた鍵を管理するためのプロセス、手順、技術的対策を定義、実装、評価する。これには、法的要件と規制要件の規定が含まれます。

ccm-cek-21

鍵管理システムがすべての暗号マテリアルとステータスの変更を追跡して報告できるように、プロセス、手順、技術的対策を定義、実装、評価します。これには、法的要件と規制要件の規定が含まれます。

ccm-dcs-07

物理的なセキュリティ境界を実装して、人員、データ、情報システムを保護します。管理エリアとビジネス エリア、データ ストレージと処理施設のエリアの間に物理的なセキュリティ境界を確立します。

ccm-dcs-09

権限のある担当者のみが安全なエリアにアクセスできるようにし、すべての出入り口を制限し、物理的なアクセス制御メカニズムによって文書化およびモニタリングします。アクセス制御レコードは、組織が適切と判断した定期的な間隔で保持します。

ccm-dsp-01

データのライフサイクル全体にわたる分類、保護、処理に関するポリシーと手順を、適用されるすべての法律、規制、基準、リスクレベルに従って確立、文書化、承認、伝達、適用、評価、維持する。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-dsp-02

データがフォレンジック手段で復元できないように、ストレージ メディアからデータを安全に廃棄するための業界で認められている方法を適用します。

ccm-dsp-07

セキュリティ バイ デザインの原則と業界のベスト プラクティスに基づいて、システム、プロダクト、ビジネス プラクティスを開発します。

ccm-dsp-08

プライバシー バイ デザインの原則と業界のベスト プラクティスに基づいて、システム、プロダクト、ビジネス プラクティスを開発します。適用されるすべての法律と規制に従って、システムのプライバシー設定がデフォルトで構成されていることを確認します。

ccm-dsp-10

個人データまたはセンシティブ データの転送が不正アクセスから保護され、それぞれの法律や規制で許可されている範囲内でのみ処理されることを保証するプロセス、手順、技術的対策を定義、実装、評価する。

ccm-dsp-16

データの保持、アーカイブ、削除は、ビジネス要件、適用される法律と規制に従って管理されます。

ccm-dsp-17

ライフサイクル全体を通して機密データを保護するためのプロセス、手順、技術的対策を定義して実装します。

ccm-grc-01

組織のリーダーシップが後援する情報ガバナンス プログラムのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-grc-03

関連するすべての組織のポリシーと関連する手順を、少なくとも年に 1 回、または組織内で大幅な変更が発生したときに確認します。

ccm-grc-07

組織に適用される関連するすべての基準、規制、法的要件、契約上の要件、および法令上の要件を特定して文書化します。

ccm-iam-01

ID とアクセス管理のポリシーと手順を確立、文書化、承認、伝達、実装、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-iam-03

システム ID とアクセスレベルの情報を管理、保存、確認します。

ccm-iam-04

情報システムへのアクセスを実装する際は、職掌分散の原則を適用します。

ccm-iam-05

情報システムへのアクセスを実装する際は、最小権限の原則を適用します。

ccm-iam-07

Identity and Access Management ポリシーを効果的に採用し、伝達するために、異動者、退職者、システム ID の変更のアクセス権をタイムリーにプロビジョニング解除または変更します。

ccm-iam-09

特権アクセスロールの分離のためのプロセス、手順、技術的対策を定義、実装、評価し、データ、暗号化、鍵管理機能、ロギング機能への管理アクセスが明確に分離されるようにします。

ccm-iam-10

特権アクセス ロールと権限が期間限定で付与されるようにアクセス プロセスを定義して実装し、分離された特権アクセスの累積を防ぐ手順を実装します。

ccm-iam-11

組織のリスク評価で定義された、合意済みの高リスクの特権アクセスロールのアクセス権付与に、該当する場合にお客様が参加するためのプロセスと手順を定義、実装、評価します。

ccm-iam-12

ログ記録インフラストラクチャが、特権アクセスロールを含む書き込みアクセス権を持つすべてのユーザーに対して読み取り専用であることを保証するプロセス、手順、技術的対策を定義、実装、評価し、ログ記録インフラストラクチャを無効にする機能が、職務の分離とブレークグラスの手順を保証する手順を通じて制御されるようにします。

ccm-iam-13

ユーザーが一意の ID で識別できること、または個人をユーザー ID の使用に関連付けることができることを保証するプロセス、手順、技術的対策を定義、実装、評価します。

ccm-iam-14

システム、アプリケーション、データ資産へのアクセスを認証するためのプロセス、手順、技術的対策を定義、実装、評価します。これには、少なくとも特権ユーザーと機密データへのアクセスに対する多要素認証が含まれます。システム ID に対して同等のセキュリティ レベルを実現するデジタル証明書または代替手段を採用します。

ccm-iam-16

データとシステム機能へのアクセスが承認されていることを確認するためのプロセス、手順、技術的対策を定義、実装、評価する。

ccm-ivs-01

インフラストラクチャと仮想化のセキュリティに関するポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-ivs-03

環境間の通信をモニタリング、暗号化し、ビジネス上の正当な理由がある場合にのみ、認証および認可された接続に制限します。これらの構成を少なくとも年に 1 回見直し、許可されたすべてのサービス、プロトコル、ポート、補正コントロールの正当性を文書化したうえでサポートします。

ccm-ivs-04

セキュリティ ベースラインの一部として、それぞれのベスト プラクティスに従って、技術的な制御によってサポートされるホスト OS、ゲスト OS、ハイパーバイザ、インフラストラクチャ制御プレーンを強化します。

ccm-ivs-06

CSP と CSC(テナント)ユーザーのアクセスとテナント内のアクセスが適切にセグメント化および分離され、他のテナントからモニタリングおよび制限されるように、アプリケーションとインフラストラクチャを設計、開発、デプロイ、構成する。

ccm-ivs-07

サーバー、サービス、アプリケーション、データをクラウド環境に移行する場合は、安全で暗号化された通信チャネルを使用します。このようなチャネルには、最新の承認済みプロトコルのみを含める必要があります。

ccm-ivs-09

ネットワーク ベースの攻撃に対する保護、検出、迅速な対応のためのプロセス、手順、多層防御の手法を定義、実装、評価します。

ccm-log-01

ロギングとモニタリングのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-log-02

監査ログのセキュリティと保持を確保するためのプロセス、手順、技術的対策を定義、実装、評価します。

ccm-log-03

アプリケーションと基盤となるインフラストラクチャ内のセキュリティ関連イベントを特定してモニタリングします。このようなイベントと対応する指標に基づいて、責任のある関係者にアラートを生成するシステムを定義して実装します。

ccm-log-04

監査ログへのアクセスを承認された担当者に制限し、一意のアクセス アカウンタビリティを提供するレコードを維持します。

ccm-log-05

セキュリティ監査ログをモニタリングして、通常または想定されるパターンから外れたアクティビティを検出します。検出された異常をレビューし、適切な措置をタイムリーに講じるための定義されたプロセスを確立して遵守します。

ccm-log-07

どの情報メタデータとデータシステム イベントをログに記録するかを確立、文書化、実装します。少なくとも年に 1 回、または脅威環境に変化があった場合は、スコープを見直して更新します。

ccm-log-08

関連するセキュリティ情報を含む監査レコードを生成します。

ccm-log-12

監査可能なアクセス制御システムを使用して、物理アクセスをモニタリングし、ログに記録します。

ccm-sef-01

セキュリティ インシデント管理、電子情報開示、クラウド フォレンジックに関するポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-sef-02

セキュリティ インシデントをタイムリーに管理するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-sef-08

適用される規制当局、国および地方の法執行機関、その他の法的管轄当局の連絡先を維持します。

ccm-sta-04

クラウド サービス オファリングの SSRM に従って、すべての CSA CCM コントロールの共有所有権と適用範囲を明確にします。

ccm-sta-08

CSP は、サプライ チェーン内のすべての組織に関連するリスク要因を定期的に見直します。

ccm-sta-09

CSP と CSC(テナント)間のサービス契約には、少なくとも、ビジネス関係と提供されるサービスの範囲、特性、ロケーション、情報セキュリティ要件(SSRM を含む)、変更管理プロセス、ロギングとモニタリングの機能、インシデント管理とコミュニケーションの手順、監査と第三者評価の権利、サービスの終了、相互運用性と移植性の要件、データ プライバシーを含む、相互に合意した条項と条件を組み込む必要があります。

ccm-tvm-01

脆弱性の悪用からシステムを保護するため、脆弱性の特定、報告、修復の優先順位付けを行うためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-tvm-02

管理対象アセットのマルウェアから保護するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持します。ポリシーと手順を少なくとも年に 1 回見直し、更新します。

ccm-tvm-03

特定されたリスクに基づいて、脆弱性の特定に対する定期的な対応と緊急対応の両方を可能にするプロセス、手順、技術的対策を定義、実装、評価します。

ccm-tvm-06

独立した第三者による定期的なペネトレーション テストの実施に関するプロセス、手順、技術的対策を定義、実装、評価します。

ccm-uem-04

会社データの保存とアクセスに使用されるすべてのエンドポイントのインベントリを維持します。

ccm-uem-07

会社の変更管理プロセスを通じて、エンドポイントのオペレーティング システム、パッチレベル、アプリケーションの変更を管理します。

ccm-uem-10

適切に構成されたソフトウェア ファイアウォールを使用して、管理対象エンドポイントを構成します。

ccm-uem-11

リスク評価に従って、データ損失防止(DLP)テクノロジーとルールを使用して管理対象エンドポイントを構成します。

Data Security and Privacy Essentials

サポートされているクラウド プロバイダ: Google Cloud

データ セキュリティとプライバシーに関する Google の推奨クラウド コントロール

このフレームワークには、次のクラウド コントロールが含まれています。

Data Security Framework Template

サポートされているクラウド プロバイダ: Google Cloud

高度な DSPM クラウド コントロールをデプロイするための Google の組み込みフレームワーク。

このフレームワークには、次のクラウド コントロールが含まれています。

FedRAMP Low 20x

サポートされているクラウド プロバイダ: Google Cloud

政府機関によって使用される非機密情報を処理するクラウド コンピューティング プロダクトおよびサービスのセキュリティ評価と認証に対して、標準化された再利用可能なアプローチを提供する政府規模プログラム。FedRAMP Low の影響は、機密性、完全性、可用性の喪失が機関の運用、資産、個人に限定的な悪影響をもたらす CSO に最も適しています。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

ksi-cmt-1

システム変更をログに記録してモニタリングします。すべてのシステム変更が文書化され、構成ベースラインが更新されていることを確認します。

ksi-cna-1

すべての情報リソースを構成して、受信トラフィックと送信トラフィックを制限します。

ksi-cna-2

攻撃対象領域を縮小し、侵害された場合のラテラル ムーブメントを最小限に抑えるようにシステムを設計します。

ksi-cna-4

厳密に定義された機能と権限を持つ不変のインフラストラクチャを使用します。

ksi-cna-6

高可用性と迅速な復元機能を備えた情報システムを設計して、データ損失を防止します。

ksi-cna-7

ホスト プロバイダのベスト プラクティスとドキュメント化されたガイダンスに基づいて、クラウド ファーストの情報リソースを実装します。

ksi-iam-3

Google Cloud 内のすべてのユーザー以外のアカウントとサービスに安全な認証方法を適用して、データとリソースを不正アクセスから保護します。

ksi-iam-4

最小権限、ロールと属性ベース、ジャストインタイムのセキュリティ認可モデルを実装します。このモデルをすべてのユーザー アカウント、非ユーザー アカウント、サービスに使用して、不正なアクセスや不正使用のリスクを軽減します。

ksi-mla-2

アプリケーションとサービスの監査ログを定期的に確認します。

ksi-mla-3

脆弱性を検出し、迅速に修正または軽減して、アプリケーションとサービスに対するリスクの影響を軽減します。

ksi-piy-1

デプロイされたすべてのアセット、ソフトウェア、サービスを定義する最新の情報リソース インベントリまたはコードを維持します。

ksi-piy-4

ソフトウェア開発ライフサイクル(SDLC)にセキュリティ上の考慮事項を組み込み、サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の Secure By Design の原則に沿って対応します。

ksi-svc-1

ネットワークとシステムの構成を定期的に見直し、強化して、安全なベースラインを確保します。

ksi-svc-2

Google Cloud に接続するマシン間で交換されるすべてのコア コンテンツ データを暗号化するか、すべてのネットワーク トラフィックを保護してデータを保護します。

ksi-svc-6

自動化された鍵管理システムを使用して、デジタル鍵と証明書を保護、管理し、定期的にローテーションします。

ksi-svc-7

アプリケーションとサービスにセキュリティ パッチを適用するための、リスクに基づいた一貫性のあるアプローチを実装します。

ISO 27001:2022

サポートされているクラウド プロバイダ: Google Cloud

情報セキュリティ管理システム(ISMS)の国際標準。この規格は、セキュリティ統制の確立と改善の要件を規定することで、機密情報の管理に対する体系的でリスクベースのアプローチを提供します。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

iso-27001-2022-a-5-1

情報セキュリティ ポリシーとトピック固有のポリシーは、定義され、経営陣によって承認され、公開され、関連する担当者と関連する利害関係者に通知され、承認され、計画された間隔で、また重大な変更が発生した場合は見直されるものとします。

iso-27001-2022-a-5-10

情報およびその他の関連する資産の取り扱いに関する利用規約と手順を特定し、文書化して実装しなければなりません。

iso-27001-2022-a-5-12

情報は、機密性、完全性、可用性、および関連する利害関係者の要件に基づいて、組織の情報セキュリティ ニーズに従って分類されます。

iso-27001-2022-a-5-14

組織内のすべての種類の転送施設、および組織と他の当事者間の転送施設について、情報転送のルール、手順、または契約が整備されていること。

iso-27001-2022-a-5-15

情報およびその他の関連する資産への物理的アクセスと論理的アクセスを制御するルールは、ビジネス要件と情報セキュリティ要件に基づいて確立し、実装しなければなりません。

iso-27001-2022-a-5-17

認証情報の割り当てと管理は、認証情報の適切な取り扱いについて担当者に助言することを含め、管理プロセスによって制御されるものとします。

iso-27001-2022-a-5-18

情報およびその他の関連アセットへのアクセス権は、アクセス制御に関する組織のトピック固有のポリシーとルールに従って、プロビジョニング、レビュー、変更、削除されます。

iso-27001-2022-a-5-19

サプライヤーの製品またはサービスの使用に関連する情報セキュリティ リスクを管理するためのプロセスと手順を定義し、実装する必要があります。

iso-27001-2022-a-5-20

関連する情報セキュリティ要件は、サプライヤー関係の種類に基づいて各サプライヤーと合意し、確立するものとします。

iso-27001-2022-a-5-23

クラウド サービスの取得、使用、管理、終了に関するプロセスは、組織の情報セキュリティ要件に従って確立する必要があります。

iso-27001-2022-a-5-24

組織は、情報セキュリティ インシデント管理のプロセス、役割、責任を定義、確立、伝達することにより、情報セキュリティ インシデントの管理を計画し、準備しなければならない。

iso-27001-2022-a-5-25

組織は、情報セキュリティ イベントを評価し、情報セキュリティ インシデントとして分類するかどうかを決定しなければならない。

iso-27001-2022-a-5-28

組織は、情報セキュリティ イベントに関連する証拠の特定、収集、取得、保存の手順を確立し、実施しなければならない。

iso-27001-2022-a-5-30

ICT の準備状況は、事業継続の目標と ICT の継続性の要件に基づいて計画、実装、維持、テストされるものとします。

iso-27001-2022-a-5-33

記録は、紛失、破壊、改ざん、不正アクセス、不正な公開から保護されなければならない。

iso-27001-2022-a-5-5

組織は、関連する当局との連絡を確立し、維持しなければなりません。

iso-27001-2022-a-5-6

組織は、特別利益団体、その他の専門的なセキュリティ フォーラム、専門家団体との連絡を確立し、維持しなければなりません。

iso-27001-2022-a-5-9

所有者を含む情報およびその他の関連アセットのインベントリを開発し、維持しなければなりません。

iso-27001-2022-a-6-7

組織の敷地外でアクセス、処理、保存される情報を保護するため、従業員がリモートワークを行う場合はセキュリティ対策を実施しなければなりません。

iso-27001-2022-a-8-1

ユーザー エンドポイント デバイスに保存されている情報、ユーザー エンドポイント デバイスで処理される情報、ユーザー エンドポイント デバイスを使用してアクセスできる情報は保護されるものとします。

iso-27001-2022-a-8-10

情報システム、デバイス、その他のストレージ メディアに保存された情報は、不要になった時点で削除されます。

iso-27001-2022-a-8-13

情報、ソフトウェア、システムのバックアップ コピーは、バックアップに関する合意済みのトピック固有のポリシーに従って維持され、定期的にテストされます。

iso-27001-2022-a-8-14

情報処理施設は、可用性要件を満たすのに十分な冗長性を備えて実装されるものとします。

iso-27001-2022-a-8-15

アクティビティ、例外、障害、その他の関連イベントを記録するログを生成、保存、保護、分析しなければならない。

iso-27001-2022-a-8-16

ネットワーク、システム、アプリケーションをモニタリングして異常な動作を検出し、適切な措置を講じて潜在的な情報セキュリティ インシデントを評価しなければならない。

iso-27001-2022-a-8-17

組織が使用する情報処理システムのクロックは、承認されたタイムソースと同期されなければならない。

iso-27001-2022-a-8-2

特権アクセス権の割り当てと使用は制限され、管理されるものとします。

iso-27001-2022-a-8-20

システムとアプリケーションの情報を保護するために、ネットワークとネットワーク デバイスを保護、管理、制御する必要があります。

iso-27001-2022-a-8-21

ネットワーク サービスのセキュリティ メカニズム、サービスレベル、サービス要件を特定し、実装し、モニタリングする必要があります。

iso-27001-2022-a-8-22

情報サービス、ユーザー、情報システムのグループは、組織のネットワーク内で分離されるものとする。

iso-27001-2022-a-8-23

外部ウェブサイトへのアクセスは、悪意のあるコンテンツへの露出を減らすように管理する必要があります。

iso-27001-2022-a-8-24

暗号鍵の管理を含む、暗号を効果的に使用するためのルールを定義し、実装しなければならない。

iso-27001-2022-a-8-25

ソフトウェアとシステムの安全な開発に関するルールを確立し、適用しなければならない。

iso-27001-2022-a-8-26

アプリケーションの開発または取得時には、情報セキュリティ要件を特定、指定、承認する必要があります。

iso-27001-2022-a-8-27

安全なシステムを設計するための原則を確立し、文書化し、維持し、すべての情報システム開発アクティビティに適用しなければならない。

iso-27001-2022-a-8-28

安全なコーディングの原則は、ソフトウェア開発に適用されるものとします。

iso-27001-2022-a-8-29

セキュリティ テスト プロセスを定義し、開発ライフサイクルに実装しなければなりません。

iso-27001-2022-a-8-3

情報およびその他の関連アセットへのアクセスは、アクセス制御に関する確立されたトピック固有のポリシーに従って制限されます。

iso-27001-2022-a-8-30

組織は、外部委託されたシステム開発に関連する活動を指示、監視、レビューしなければなりません。

iso-27001-2022-a-8-4

ソースコード、開発ツール、ソフトウェア ライブラリに対する読み取り / 書き込みアクセス権は適切に管理されなければなりません。

iso-27001-2022-a-8-5

情報アクセス制限とアクセス制御に関するトピック固有のポリシーに基づいて、安全な認証技術と手順を実装する必要があります。

iso-27001-2022-a-8-6

リソースの使用状況をモニタリングし、現在および予想される容量要件に合わせて調整する必要があります。

iso-27001-2022-a-8-7

マルウェア対策を実装し、適切なユーザー認識によってサポートする必要があります。

iso-27001-2022-a-8-8

使用中の情報システムの技術的な脆弱性に関する情報を取得し、組織がそのような脆弱性にさらされている状況を評価し、適切な対策を講じなければならない。

iso-27001-2022-a-8-9

ハードウェア、ソフトウェア、サービス、ネットワークの構成(セキュリティ構成を含む)を確立、文書化、実装、モニタリング、レビューしなければならない。

Qatar National Information Assurance Standard v2.1

サポートされているクラウド プロバイダ: Google Cloud

カタール NIAS は、カタール国内の組織に、組織内で本格的な情報セキュリティ管理システムを実装するために必要な基盤と関連ツールを提供することを目的としています。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

qa-nias-2-1-am-1

ユーザーには最小権限の原則に基づいてアクセス権が付与され、Need to Know(知る必要がある人にのみ知らせる)または Need to Have(必要な人にのみ知らせる)の原則に基づいて管理されます。

qa-nias-2-1-am-11

LDAP や認証データベースなどの一元化された認証リポジトリは、サービス拒否攻撃から保護され、認証データの取得に安全で認証済みのチャネルを使用します。このようなリポジトリには、不正な更新またはアクセス、アクティビティの開始日時と終了日時(システム識別子を含む)、ユーザー識別(不正なログオンの場合)、ログオンとログオフのアクティビティ(不正なログオンの場合)、セッション、端末、リモート接続などのイベントを記録する必要があります。

qa-nias-2-1-am-12

組織は、システム ユーザーの識別、認証、認可を対象とする、国家データ分類ポリシー(IAP-NAT-DCLS)から派生した一連のポリシー、計画、手順を策定し、維持する必要があります。

qa-nias-2-1-am-14

すべてのシステム ユーザーは一意に識別可能であり、システムへのアクセス権が付与されるたびに認証されます。

qa-nias-2-1-am-17

システム アクセスを許可する、または暗号化されたデバイスを復号する保護されていない認証情報が、認証情報がアクセスを許可するシステムまたはデバイス上、またはシステムまたはデバイスとともに存在する。

qa-nias-2-1-am-18

使用中のシステム認証データは、リプレイ、中間者攻撃、セッション ハイジャックなどの攻撃を受けません。

qa-nias-2-1-am-2

アクセスは、情報の機密性に基づいて、システム アクセス制御、識別と認証、監査証跡を通じて管理および制御されます。これらのアクセス権のリクエストは、スタッフの監督者または管理者が承認する必要があります。

qa-nias-2-1-am-20

パスワードは少なくとも 90 日ごとに変更されます。

qa-nias-2-1-am-23

画面とセッションのロックは、システム ユーザーが 15 分間操作しなかった場合に有効になるように設定します。また、必要に応じてシステム ユーザーが標準的に有効にできるようにします。ロックすると画面上のすべての情報が完全に隠され、ロック状態でも画面がオフになっているように見えないようにします。システム ユーザーが再認証してシステムをロック解除できるようにします。システム ユーザーがロック機構を無効にできないようにします。

qa-nias-2-1-am-24

システムへのアクセスは、ログイン試行の失敗回数が指定回数を超えた場合、またはスタッフ メンバーがロールの変更や退職によりアクセスを必要としなくなった後、できるだけ早く停止されます。

qa-nias-2-1-am-3

組織の情報資産を作成、読み取り、更新、削除、送信するユーザーまたはエンティティのアクセス権は、その情報の所有者が確立したビジネスルールによって定義される権限のマトリックス(階層)モデルに基づくものとします。

qa-nias-2-1-am-31

特権アカウントの使用は文書化され、制御され、説明責任が果たされ、最小限に抑えられています。特権アカウントは管理作業にのみ使用するものとします。

qa-nias-2-1-am-32

システム管理者には、管理タスクを実行するための個別のアカウントが割り当てられます。

qa-nias-2-1-am-34

システム管理ログが更新され、サニタイズ アクティビティ、システムの起動とシャットダウン、コンポーネントまたはシステムの障害、メンテナンス アクティビティ、バックアップとアーカイブ アクティビティ、システム復元アクティビティ、特別なアクティビティまたは時間外のアクティビティなどの情報が記録されます。

qa-nias-2-1-am-35

リモート アクセスは、部門長が明示的に承認した場合にのみ、ビジネス要件によって正当性が認められ、関連するリスクを分析するためのデュー デリジェンスが実施され、特定されたリスクを軽減するための適切な制御が実施された後にのみ提供されます。

qa-nias-2-1-am-36

C3 以上の分類のデータを処理するシステムにアクセスする際は、ハードウェア トークン、生体認証制御などを使用した 2 要素認証を使用します。

qa-nias-2-1-am-37

リモート アクセス セッションは、セクション C-10「暗号セキュリティ(CY)」で指定されている適切なエンドツーエンドの暗号化を使用して保護されます。

qa-nias-2-1-am-6

組織のアクセス制御を回避しようとする不正な行為は、セキュリティ インシデントと見なされ、確立されたインシデント処理手順と適切な人事ポリシーおよび手順に従って処理されます。

qa-nias-2-1-am-7

監査ログは、政府のポリシーに準拠したモニタリングを可能にし、インシデント管理を支援するような方法で有効化および維持されなければなりません。

qa-nias-2-1-am-8

組織のネットワークへの論理アクセスは技術的に制御されています。これは、ネットワーク アクセス制御(NAC)サービスとデバイスを使用することで実現できます。

qa-nias-2-1-cy-1

暗号アルゴリズム、暗号化ハードウェアまたはソフトウェア、鍵管理システム、デジタル署名は、電子商取引および取引に関する法律の公布に関する 2010 年法律第 16 号に規定されている、所轄官庁が指定する承認済みの暗号化/暗号アルゴリズムおよびシステムに準拠していることを証明しなければなりません。

qa-nias-2-1-cy-2

鍵の有効期間は、主にアプリケーションと、そのアプリケーションが使用される情報インフラストラクチャによって決定されます。キーが不正使用された場合、または不正使用された疑いがある場合は、直ちに取り消して置き換える必要があります。

qa-nias-2-1-cy-3

C3(IAP-NAT-DCLS)に分類された情報資産は、保存形式やメディアに関係なく、保存時と転送時に暗号化され、不正な開示から保護されます。組織は、リスク評価で必要と判断された場合、機密性の要件が低いアセットにこれらの暗号制御を適用できます。

qa-nias-2-1-cy-4

I3(IAP-NAT-DCLS)に分類された情報資産は、暗号学的ハッシュを使用して完全性が保証されています。組織は、リスク評価で必要と判断された場合、完全性の要件が低いアセットにこれらの暗号制御を適用できます。

qa-nias-2-1-cy-5

転送中の C3 に分類されたデータを保護するために、次のプロトコルまたはそれ以上のプロトコルと、管轄当局が発行したカタール国家暗号標準 - 英語 v1.0(またはそれ以上)に記載されている承認済みアルゴリズムが使用されます。ウェブ トラフィックの保護: TLS(+128 ビット)(RFC4346)。ファイル転送の保護: SFTP(SFTP)。安全なリモート アクセス: SSH v2(RFC4253)または IPSEC(RFC 4301)。メールの保護: S/MIME v3(RFC3851)以上のみが使用されます。関連する要件については、CY11 を参照してください。

qa-nias-2-1-cy-6

パスワードは、保存形式やメディアに関係なく、保存時または転送時に常に暗号化またはハッシュ化され、不正な開示から保護される必要があります。完全な復元を保証するため、パスワードが変更されるたびに、特権パスワードを暗号化してバックアップ ファイルとともにオフサイトに保存する必要があります。

qa-nias-2-1-cy-7

ハードウェア セキュリティ モジュール(HSM)を使用する場合、少なくとも FIPS 2-140 レベル 2(FIPS2-140)または Common Criteria(CC3.1)EAL4 の認証を受けています。

qa-nias-2-1-cy-9

(ISO1-11770)に従って適切な鍵管理プロセスが定義され、暗号鍵のライフサイクルを管理するために使用されます。これには、鍵管理者ロールと責任、鍵の生成、二重制御と分割知識、安全な鍵の保存、鍵の使用、安全な鍵の配布と転送、鍵のバックアップと復元、定期的な鍵ステータスの確認、鍵の漏洩、鍵の取り消しと破棄、監査証跡とドキュメントなどの機能が含まれます。

qa-nias-2-1-gs-1

ネットワークはゲートウェイによって他のネットワークから保護され、データフローは適切に制御されます。

qa-nias-2-1-gs-13

分類ラベルのチェックを少なくとも使用してデータをフィルタリングすることで、分類の低いシステムへのデータのエクスポートが制限されます。

qa-nias-2-1-gs-2

組織のネットワークを他の組織のネットワークまたは制御されていないパブリック ネットワークに接続するゲートウェイは、データフローを制御する適切なネットワーク デバイスを使用して、すべてのデータフローを適切に制御し、ゲートウェイ コンポーネントを適切に保護されたサーバー ルーム内に物理的に配置することで実装されます。

qa-nias-2-1-gs-6

非武装地帯(DMZ)は、ファイアウォールやその他のネットワーク セキュリティ対応機器を使用して、外部からアクセス可能なシステムを制御されていないパブリック ネットワークや内部ネットワークから分離するために使用されます。

qa-nias-2-1-gs-7

ゲートウェイは、内部ネットワークへの出入り口となる唯一の通信経路でなければなりません。デフォルトでは、ネットワークへの出入り口となるすべての接続を拒否し、明示的に承認された接続のみを許可します。接続されたすべてのネットワークから分離された安全な経路を使用して管理し、ゲートウェイのセキュリティ侵害やネットワーク侵入の試みを検出するのに十分な監査機能を備え、リアルタイムのアラームを提供します。

qa-nias-2-1-gs-8

ゲートウェイは、本番環境サイトに実装される前に強化され、悪意のあるコードと脆弱性、誤った構成や不適切な構成、アカウントの侵害と権限昇格、不正なネットワーク モニタリング、サービス拒否(DoS)攻撃、情報やデータの漏洩から保護されます。

qa-nias-2-1-gs-9

ゲートウェイのモニタリングと監視が実施されており、脅威防止メカニズム、ロギング、アラート、機器の監視が含まれている。セクション B-10「ロギングとセキュリティ モニタリング(SM)」を参照してください。

qa-nias-2-1-ie-12

システム間で交換される情報が、不正使用、不正アクセス、データ破損から保護されていることを確認します。C2、I2 以上の分類の情報を送信する場合は、CY5 のセクション C-10「暗号セキュリティ(CY)」で指定されている認証済み暗号化チャネルを使用する必要があります。

qa-nias-2-1-ie-3

情報交換を行うエンティティ間で必要な契約(特に機密保持契約)が情報交換前に締結されていることを確認します。契約には、責任、情報交換の通知手順、送信の技術標準、配送業者の特定、責任、所有権、管理に関する情報が記載されます。ベンダーや第三者に対しては、正式な秘密保持契約(NDA)を使用します。付録 D に NDA テンプレートを示します。

qa-nias-2-1-ie-4

組織は、情報交換に使用されるメディアが、組織環境内外での不正アクセス、操作、誤用から保護されていることを確認する必要があります。

qa-nias-2-1-ie-8

電子メッセージを使用して交換される情報を、不正なアクセス、変更、サービスの中断から保護します。

qa-nias-2-1-ms-20

機密情報を含むメディア(欠陥のあるメディアを含む)は、廃棄前に可能な限りサニタイズされます。

qa-nias-2-1-ns-1

内部ネットワークとシステム構成、従業員またはデバイス関連のディレクトリ サービス、その他の機密技術の詳細は、一般に公開されず、権限のない担当者によって列挙されることもありません。

qa-nias-2-1-ns-17

インターネットに公開されない内部ドメイン情報用に、別の内部 DNS サーバーが設定され、内部ネットワークに配置されます。

qa-nias-2-1-ns-2

組織が、すべてのデフォルト アカウント(root や管理者など)を削除または無効にするか、セクション C-6「ソフトウェア セキュリティ(SS)」で指定されているとおりにパスワードを変更する。

qa-nias-2-1-ns-20

ゾーンファイルはデジタル署名され、ゾーン転送と動的更新の暗号相互認証とデータ完全性が提供されます。

qa-nias-2-1-ns-21

DNS データの暗号化された送信元認証と完全性保証が提供されます。

qa-nias-2-1-ns-22

ゾーン転送などの DNS サービスは、承認されたユーザーにのみ提供されます。

qa-nias-2-1-ns-25

インターネット ゲートウェイは、明示的に有効にしない限り、すべてのインターネット サービスを拒否します。

qa-nias-2-1-ns-27

組織には、トラフィックをモニタリングし、トラフィック パターンや使用状況などを推測するために必要な機能があります。詳細については、セクション B-10、ロギングとセキュリティ モニタリング(SM)をご覧ください。

qa-nias-2-1-ns-29

TLS 保護は、セクション C-10 の暗号セキュリティ(CY)に沿って SMTP メールサーバーで使用されます。

qa-nias-2-1-ns-3

ネットワーク構成はネットワーク管理者または同様の担当者の管理下に置かれ、構成に対するすべての変更は、セクション B-5、変更管理(CM)で定義されている正式な変更制御プロセスを通じて承認され、セクション B-12、ドキュメント(DC)で定義されているネットワーク セキュリティ ポリシーとセキュリティ プランに準拠して文書化され、定期的に見直される。組織の手順で義務付けられている古い構成は、変更リビジョンの一部として維持されます。構成のレビュー頻度は、組織のリスクとプロセスによって異なります。

qa-nias-2-1-ns-5

ネットワーク インフラストラクチャを通過する情報への不正アクセスを制限するように、ネットワークが設計および構成されています。組織は、この要件を満たすために、ハブではなくスイッチ、アクセスを制限して未使用のポートをすべて無効にするスイッチのポート セキュリティ、必要に応じてネットワークの一部を分離するルーターとファイアウォール、IPsec または IP バージョン 6、アプリケーション レベルの暗号化、ネットワーク デバイスの実行中の構成を文書化された構成と比較する自動化ツール、ネットワーク エッジ認証、MAC アドレス フィルタリングなどの手法を使用して組織のネットワークと通信するエンドユーザー デバイスの制限と管理、ネットワーク内の悪意のあるアクティビティを検出して防止する IPS または IDS、時間と曜日の制限などの技術を使用する必要があります。

qa-nias-2-1-ns-53

音声とデータは別々のネットワークです。分離は物理的に行う必要がありますが、仮想 LAN の使用は許可されています。PSTN とのインターフェースとなる音声ゲートウェイは、H.323、SIP、その他の VoIP プロトコルをデータ ネットワークから分離します。

qa-nias-2-1-ns-6

管理ネットワークでは、次の保護対策が採用されています。管理デバイスには、個別の管理 VLAN または物理的に分離されたインフラストラクチャを実装して専用ネットワークを使用します。また、VPN や SSH などの安全なチャネルを使用します。

qa-nias-2-1-ns-7

VLAN は、ビジネス クリティカルなネットワークで IP 電話トラフィックを分離するために使用されます。

qa-nias-2-1-ns-8

管理アクセスは、最も高い分類の VLAN から同じ分類レベルまたは低い分類レベルの VLAN にのみ許可されます。

qa-nias-2-1-pr-5

プロダクトのセキュリティ評価は、機能テスト、セキュリティ テスト、潜在的な脅威や脆弱性から保護するためのパッチ適用などを含む専用の評価構成で行われます。

qa-nias-2-1-pr-6

製品の納品は、安全な納品に関する組織のセキュリティ プラクティスに準拠している。

qa-nias-2-1-pr-7

安全な配送手順には、改ざんやなりすましを検出する対策を含めるものとする。

qa-nias-2-1-pr-8

製品の保証の継続的なメンテナンスを約束したデベロッパーから製品を購入している。

qa-nias-2-1-pr-9

プロダクトのパッチ適用と更新のプロセスが確立されている。プロダクトの更新は、セクション B-5「変更管理(CM)」で指定された変更管理ポリシーに準拠するものとします。

qa-nias-2-1-ss-13

ワークステーションでは、次の項目を対象とする強化された標準オペレーティング環境(SOE)を使用します。不要なソフトウェアの削除、インストールされたソフトウェアとオペレーティング システムの未使用または不要な機能の無効化、関連オブジェクトに対するアクセス制御の実装によるシステム ユーザーとプログラムの職務遂行に必要な最小限のアクセス権への制限、インバウンドとアウトバウンドのネットワーク接続を制限するソフトウェア ベースのファイアウォールのインストール、リモート ロギングまたはローカル イベントログの中央サーバーへの転送の構成。

qa-nias-2-1-ss-14

不要なファイル共有の削除、パッチの最新状態の維持、不要な入出力機能へのアクセスの無効化、未使用のアカウントの削除、デフォルト アカウントの名前変更、デフォルト パスワードの置き換えにより、SOE とシステムの潜在的な脆弱性が軽減されます。

qa-nias-2-1-ss-15

制御されていないパブリック ネットワークに接続されているウェブ、メール、ファイル、インターネット プロトコル テレフォニー サーバーなどの高リスク サーバーは、次のガイドラインを満たしている必要があります。サーバー間の効果的な機能分離を維持し、サーバーが独立して動作できるようにする。ネットワーク レベルとファイル システム レベルの両方で、サーバー間の通信を適切に最小限に抑える。システム ユーザーとプログラムを、職務の遂行に必要な最小限のアクセスに制限する。

qa-nias-2-1-ss-16

組織にとって重要な機能を持つすべてのサーバーと、侵害のリスクが高いと特定されたサーバーの完全性を確認します。可能な限り、これらのチェックはシステム自体ではなく、信頼できる環境から実行する必要があります。

qa-nias-2-1-ss-17

完全性を維持する形で、完全性情報をサーバーから安全にオフロードして保存します。

qa-nias-2-1-ss-19

組織の継続的な監査スケジュールの一環として、保存された完全性情報を現在の完全性情報と比較し、侵害が発生したかどうか、または正当なシステム変更が誤って完了したかどうかを判断します。

qa-nias-2-1-ss-2

すべてのアプリケーション(新規および開発済みを含む)は、国家データ分類ポリシー(IAP-NAT-DCLS)を使用して分類され、機密性、完全性、可用性の評価に応じた適切なセキュリティ保護が適用されます。

qa-nias-2-1-ss-20

組織は、検出された変更を組織の情報通信技術(ICT)セキュリティ インシデント管理手順に従って解決する必要があります。

qa-nias-2-1-ss-21

すべてのソフトウェア アプリケーションが審査され、外部接続を確立しようとしているかどうかが判断されます。自動アウトバウンド接続機能が含まれている場合、組織は、これらの接続を許可するか拒否するかを決定するビジネス上の判断を行う必要があります。これには、接続を許可または拒否することに伴うリスクの評価が含まれます。

qa-nias-2-1-ss-23

各ウェブ アプリケーション コンポーネント間の接続とアクセスが最小限に抑えられます。

qa-nias-2-1-ss-24

個人情報と機密データは、適切な暗号制御を使用して、保存中と転送中に保護されます。

qa-nias-2-1-ss-29

データベース ファイルは、データベースの通常のアクセス制御をバイパスするアクセスから保護されます。

qa-nias-2-1-ss-3

機能要件、技術要件、保証要件などのセキュリティ要件は、システム要件の一部として開発および実装されます。

qa-nias-2-1-ss-30

データベースには、システム ユーザーのアクションの監査を可能にする機能が用意されています。

qa-nias-2-1-ss-31

データベースの内容を表示するのに十分な権限を持たないシステム ユーザーは、検索エンジンのクエリの結果リストに関連付けられたメタデータを表示できません。データベース クエリの結果を適切にフィルタリングできない場合、組織は、すべてのクエリ結果がシステム ユーザーの最小セキュリティ権限を満たすように適切にサニタイズされていることを確認する必要があります。

qa-nias-2-1-ss-4

システムやデータを含む専用のテスト環境と開発環境が利用可能で、本番環境システムとは分離されています。さらに、環境間の情報フローは、定義され文書化されたポリシーに従って厳密に制限され、明確なビジネス要件を持つシステム ユーザーにのみアクセス権が付与され、ソフトウェアの信頼できるソースへの書き込みアクセスは無効化されます。

qa-nias-2-1-ss-5

取得または開発されたすべてのアプリケーションは、システムが意図したセキュリティ要件を確認し、準拠していることを保証するための適切な品質とセキュリティのテストとチェックが完了した後にのみ、本番環境で使用できます。

qa-nias-2-1-ss-6

ソフトウェア デベロッパーは、コードの作成時に安全なプログラミング プラクティスを使用します。たとえば、Mitre の最も危険なプログラミング エラーの上位 25 個(Mitre)などのベスト プラクティスに準拠する、タスクの達成に必要な最小限の権限レベルを使用するようにソフトウェアを設計する、デフォルトでアクセスを拒否する、すべてのシステムコールの戻り値をチェックする、すべての入力を検証する、などです。

qa-nias-2-1-ss-7

ソフトウェアは、本番環境で使用する前に脆弱性のレビューやテストを行う必要があります。ソフトウェアは、デベロッパーではなく、独立した第三者によってレビューまたはテストされる必要があります。

qa-nias-2-1-vl-1

MD やノートパソコンに対して、緊急破壊、ロックプラン、リモートワイプ、自動破壊が設定されている。

qa-nias-2-1-vl-2

業界で受け入れられているベスト プラクティスとセキュリティ ガイドライン、ベンダーの推奨事項に従って、ハイパーバイザ、管理レイヤ、仮想マシン、関連コンポーネントを強化します。

qa-nias-2-1-vl-3

仮想環境の管理に最小権限と職務分離を適用します。具体的には、中央の仮想化管理ソフトウェアで各管理者の特定のロールと詳細な権限を定義し、ハイパーバイザーへの直接管理アクセスを可能な限り制限します。また、処理される情報のリスクと分類に応じて、多要素認証の使用や、複数の管理者間での管理パスワードの二重制御または分割制御を検討する必要があります。詳細については、セクション C9 アクセス管理をご覧ください。

qa-nias-2-1-vl-5

仮想化されたテクノロジー環境は、サードパーティのセキュリティ テクノロジーによって補完される必要があります。これにより、多層防御アプローチなどの多層セキュリティ制御が提供され、ベンダーとテクノロジー自体が提供する制御が補完されます。

qa-nias-2-1-vl-6

処理または保存するデータの分類に基づいて仮想マシンを分離します。

qa-nias-2-1-vl-7

チェンジ マネジメント プロセスは、仮想テクノロジー環境を包含します。これには、仮想マシン プロファイルが更新され、仮想マシン イメージの完全性が常に維持されるようにすること、アクティブ状態でない(休止状態または使用されていない)VM の維持と更新に注意することが含まれます。詳細については、セクション B6 - 変更管理を参照してください。

qa-nias-2-1-vl-8

仮想テクノロジー環境のログは、他の IT インフラストラクチャとともに記録およびモニタリングされます。セクション B10 ロギングとセキュリティ監視を参照してください。

NIST 800-53 Revision 5

サポートされているクラウド プロバイダ: Google Cloud

堅牢なセキュリティ プログラムを構築するためのセキュリティ管理とプライバシー管理の包括的なカタログ。米国の連邦システムで義務付けられており、現在ではあらゆる分野の組織で使用されているベスト プラクティス フレームワークです。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

nist-r5-ac-02

A. システム内で使用が許可されているアカウントの種類と、使用が禁止されているアカウントの種類を定義し、文書化します。B. アカウント マネージャーを割り当てます。C. グループとロールのメンバーシップに、組織で定義された前提条件と基準を要求します。D. 次のものを指定します。a. システムの承認済みユーザー。b. グループとロールのメンバーシップ。c. 各アカウントのアクセス認証または権限と組織定義の属性。E. アカウント作成リクエストについて、組織で定義された担当者またはロールによる承認を必須にします。F. 組織が定義したポリシー、手順、前提条件、基準に従って、アカウントを作成、有効化、変更、無効化、削除します。G. アカウントの使用状況をモニタリングします。H. 次の組織内のアカウント マネージャーと組織定義の担当者または役割に通知します。a. アカウントが不要になる組織定義の期間。b. ユーザーが終了または転送される組織定義の期間。c. 組織が定義した期間。この期間に、個人のシステム利用状況または知る必要のある情報が変化します。I. 次の情報に基づいてシステムへのアクセスを承認します。a. 有効なアクセス権限。b. システムの想定される使用状況。c. 組織定義の属性。J. 組織が定義した頻度に従って、アカウント管理の要件を満たしているかどうかアカウントを審査します。K. 個人がグループから削除されたときに、共有アカウントまたはグループ アカウントの認証情報を変更するプロセスを確立して実装します。L.アカウント管理プロセスを従業員の退職および異動プロセスに合わせます。

nist-r5-ac-03

適用可能なアクセス制御ポリシーに従って、情報とシステム リソースへの論理アクセスに対する承認済みの認可を適用します。

nist-r5-ac-04

組織が定義した情報フロー制御ポリシーに基づいて、システム内および接続されたシステム間の情報フローを制御するための承認済み認可を適用します。

nist-r5-ac-05

分離が必要な個人の組織定義の職務を特定して文書化します。職務分掌をサポートするために、システム アクセス承認を定義します。

nist-r5-ac-06

最小権限の原則を採用し、割り当てられた組織のタスクを完了するために必要な、ユーザーまたはユーザーの代わりに動作するプロセスに対する承認済みのアクセスのみを許可します。

nist-r5-ac-06-05

システム上の特権アカウントを、組織で定義された担当者またはロールに制限します。

nist-r5-ac-07

組織で定義された期間内にユーザーが連続して無効なログオンを試行できる回数を、組織で定義された回数に制限します。試行の最大失敗回数を超えた場合、組織で定義された期間、アカウントまたはノードを自動的にロックする。管理者が解除するまで、アカウントまたはノードをロックする。組織で定義された遅延アルゴリズムに従って、次のログイン プロンプトを遅延させる。システム管理者に通知する。組織で定義されたその他のアクションを実行する。

nist-r5-ac-12

組織で定義された条件またはセッションの切断を必要とするトリガー イベントが発生した後に、ユーザー セッションを自動的に終了します。

nist-r5-ac-17

許可されるリモート アクセスの種類ごとに、使用制限、構成と接続の要件、実装ガイダンスを確立して文書化します。このような接続を許可する前に、システムへのリモート アクセスの各タイプを承認します。

nist-r5-ac-17-03

承認済みで管理されたネットワーク アクセス制御ポイントを介してリモート アクセスをルーティングします。

nist-r5-ac-17-04

リモート アクセスを使用して、特権コマンドの実行とセキュリティ関連情報へのアクセスを、評価可能な証拠を提供する形式で、組織が定義したニーズに対してのみ承認します。システムのリモート アクセスの理由をシステムのセキュリティ プランに記載します。

nist-r5-ac-18

各タイプのワイヤレス アクセスについて、構成要件、接続要件、実装ガイダンスを確立します。このような接続を許可する前に、システムへの各タイプのワイヤレス アクセスを承認します。

nist-r5-ac-19

組織が管理するモバイル デバイスの構成要件、接続要件、実装ガイダンスを確立します。これには、そのようなデバイスが管理領域外にある場合も含まれます。モバイル デバイスの組織システムへの接続を承認します。

nist-r5-au-01

コンプライアンスに準拠した監査と説明責任のポリシー、およびその実施手順を策定、文書化、普及させ、ポリシーがその目的、範囲、役割、責任に対処していることを確認します。このドキュメントを管理する特定の担当者を指定し、定義されたスケジュールに基づいて、または特定のイベントに応じて、ポリシーと手順を定期的に見直し、更新します。

nist-r5-au-02

A. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを特定します。B. 監査関連の情報を必要とする他の組織エンティティとイベント ロギング機能を調整して、ログに記録するイベントの選択基準をガイドし、通知します。C. AU-02a で定義されたイベントタイプのサブセットである組織定義のイベントタイプと、各識別されたイベントタイプのロギングが必要となる頻度または状況を指定します。D. ロギング用に選択したイベントタイプが、インシデントの事後調査をサポートするのに十分であると判断された理由を説明します。E. 組織で定義された頻度に従って、ロギング用に選択されたイベントタイプを確認して更新します。

nist-r5-au-03

監査レコードに、次のことを証明する情報が含まれていることを確認します。A. 発生したイベントのタイプ。B. イベントが発生した日時。C. イベントが発生した場所。D. イベントのソース。D. イベントの結果。F. イベントに関連付けられた個人、対象、オブジェクト、エンティティの ID。

nist-r5-au-03-01

組織で定義された追加情報を含む監査レコードを生成します。

nist-r5-au-04

組織で定義された監査ログの保持要件に対応するように、監査ログのストレージ容量を割り当てます。

nist-r5-au-05

監査ロギング プロセスが失敗した場合、組織で定義された期間内に、組織で定義された担当者またはロールにアラートを送信します。組織で定義された追加のアクションを実行します。

nist-r5-au-05-02

組織定義の監査ロギングの失敗イベントが発生し、リアルタイム アラートが必要な場合、組織定義のリアルタイム期間内に、組織定義の担当者、役割、または場所にアラートを提供します。

nist-r5-au-06

組織が定義した頻度でシステム監査レコードを確認して分析し、組織が定義した不適切または異常なアクティビティの兆候と、不適切または異常なアクティビティの潜在的な影響を特定する。組織で定義された担当者またはロールに結果を報告します。法執行機関の情報、インテリジェンス情報、その他の信頼できる情報源に基づくリスクの変化がある場合は、システム内の監査レコードのレビュー、分析、レポートのレベルを調整します。

nist-r5-au-07

オンデマンドの監査レコードのレビュー、分析、レポート作成の要件と、インシデントの事後調査をサポートする監査レコードの削減とレポート生成の機能を提供し、実装します。この機能は、監査レコードの元のコンテンツや時間順序を変更してはなりません。

nist-r5-au-11

インシデントの事後調査をサポートし、規制および組織の情報保持要件を満たすために、レコード保持ポリシーに沿って組織が定義した期間、監査レコードを保持します。

nist-r5-au-12

A. 組織で定義されたシステム コンポーネントで、AU-2a で定義されているシステムが監査できるイベントタイプについて、監査レコード生成機能を提供します。B. 組織で定義された担当者またはロールが、システムの特定のコンポーネントによってログに記録されるイベントタイプを選択できるようにします。C. AU-3 で定義された監査レコードの内容を含む、AU-2c で定義されたイベントタイプの監査レコードを生成します。

nist-r5-ca-2-2

組織が定義した頻度に従って、発表ありまたは発表なしで、管理評価の一部として、詳細なモニタリング、セキュリティ計測、自動化されたセキュリティ テストケース、脆弱性スキャン、悪意のあるユーザーテスト、インサイダーの脅威の評価、パフォーマンスと負荷のテスト、データ漏洩またはデータ損失の評価、または組織が定義したその他の形式の評価を含めます。

nist-r5-ca-7

システムレベルの継続的モニタリング戦略を策定し、組織レベルの継続的モニタリング戦略に従って継続的モニタリングを実装します。これには、次のものが含まれます。A. 組織定義のシステムレベルの指標を確立します。B. コントロールの有効性のモニタリングと評価について、組織が定義した頻度を確立する。C. 継続的なモニタリング戦略に沿った継続的な制御評価。D. 継続的なモニタリング戦略に沿って、システムと組織定義の指標を継続的にモニタリングします。E. 制御評価とモニタリングによって生成された情報の相関関係と分析。F. 制御の評価とモニタリング情報の分析結果に対処するためのレスポンス アクション。G. 組織が定義した頻度に従って、組織が定義した担当者または役割にシステムのセキュリティとプライバシーのステータスを報告する。

nist-r5-ca-9

A. 組織定義のシステム コンポーネントまたはコンポーネント クラスのシステムへの内部接続を承認します。B. 内部接続ごとに、インターフェースの特性、セキュリティとプライバシーの要件、通信される情報の性質を文書化します。C. 組織が定義した条件に基づいて、内部システム接続を終了します。D. 組織が定義した頻度で、各内部接続の継続的な必要性を確認します。

nist-r5-cm-01

A. 組織で定義された担当者または役割に対して、次の項目を開発、文書化、配布します。a. 組織レベル、ミッションまたはビジネス プロセス レベル、システムレベルで定義される構成管理ポリシー。ポリシーでは、目的、範囲、役割、責任、経営陣のコミットメント、組織エンティティ間の調整、コンプライアンスに対処する必要があります。このポリシーは、適用される法律、大統領令、指令、規制、ポリシー、標準、ガイドラインと一貫性がある必要があります。b. 構成管理ポリシーと関連する構成管理制御の実装を容易にするための手順。B. 構成管理ポリシーと手順の開発、ドキュメント化、普及を管理する組織定義の担当者を指定します。C. 組織で定義された頻度とイベントに従って、現在の構成管理ポリシーと手順を確認し、更新します。

nist-r5-cm-02

A. システムの現在のベースライン構成を、構成管理の下で開発、文書化、維持する。B. システムのベースライン構成を確認して更新します。a. 組織で定義された頻度に従って。b. 組織が定義した状況により必要になった場合。c. システム コンポーネントがインストールまたはアップグレードされた場合。

nist-r5-cm-06

A. 組織で定義された共通の安全な構成を使用して、運用要件と一貫性のある最も制限の厳しいモードを反映する、システム内で使用されるコンポーネントの構成設定を確立して文書化します。B. 構成設定を実装します。C. 組織定義の運用要件に基づいて、組織定義のシステム コンポーネントの確立された構成設定からの逸脱を特定、文書化、承認します。D. 組織のポリシーと手順に従って、構成設定の変更をモニタリングして制御します。

nist-r5-cm-07

組織が定義したミッションに不可欠な機能のみを提供するようにシステムを構成します。組織で定義された関数、ポート、プロトコル、ソフトウェア、サービスの使用を禁止または制限します。

nist-r5-cm-09

次の要件を満たすシステムの構成管理計画を策定、文書化、実装する。A. 役割、責任、構成管理のプロセスと手順について説明します。B. システム開発ライフサイクル全体で構成アイテムを特定し、構成アイテムの構成を管理するプロセスを確立します。C. システムの構成アイテムを定義し、構成アイテムを構成管理下に置きます。D. 組織で定義された担当者またはロールによって審査され、承認されている。E. 構成管理計画を不正な開示や変更から保護します。

nist-r5-cp-06

システム バックアップ情報の保存と取得を許可する必要な契約を含め、代替ストレージ サイトを確立します。代替ストレージ サイトがプライマリ サイトと同等の制御を提供していることを確認します。

nist-r5-cp-07

A. プライマリ処理機能が使用できない場合に、組織定義のミッション クリティカルな機能とビジネス クリティカルな機能の組織定義のシステム運用を、復旧時間と復旧時点の目標に沿った組織定義の期間内に転送して再開できるようにする必要な契約を含め、代替処理サイトを確立する。B. 代替処理サイトで、オペレーションの転送と再開に必要な機器と消耗品を利用できるようにするか、転送と再開のために組織が定義した期間内にサイトへの配送をサポートする契約を締結します。C. 代替処理サイトに、プライマリ サイトと同等の制御を提供します。

nist-r5-ia-04

システム ID を管理するには、次の手順を行います。A. 組織で定義された担当者またはロールから、個人、グループ、ロール、サービス、デバイスの識別子を割り当てる権限を取得する。B. 個人、グループ、ロール、サービス、デバイスを識別する識別子を選択する。C. 識別子を目的の個人、グループ、ロール、サービス、デバイスに割り当てる。D. 組織が定義した期間、識別子の再利用を防止します。

nist-r5-ia-05

システム認証情報を管理する: a. 初期の認証情報配布の一環として、認証情報を受け取る個人、グループ、ロール、サービス、デバイスの ID を確認する。b. 組織が発行した認証システムの初期認証システム コンテンツを確立します。c. 認証システムが、その使用目的に十分な強度のメカニズムを備えていることを確認する。d. 初期の認証情報配布、認証情報の紛失、漏洩、破損、認証情報の取り消しに関する管理手順を確立し、実施すること。e. 初回使用前にデフォルトの認証システムを変更する。f. 組織で定義された期間(認証システムのタイプ別)または組織で定義されたイベントの発生時に、認証システムを変更または更新します。認証ツールのコンテンツを不正な開示や変更から保護する。h. 個人が認証情報を保護するための特定の制御を実施すること、およびデバイスがその制御を実装することを要求する。i. グループ アカウントまたはロール アカウントのメンバーシップが変更されたときに、それらのアカウントの認証情報を変更する。

nist-r5-ia-08

組織外のユーザー、または組織外のユーザーに代わって行動するプロセスを一意に識別して認証します。

nist-r5-ma-04

A. ローカル以外のメンテナンスと診断アクティビティを承認してモニタリングします。B. 組織のポリシーに準拠し、システムのセキュリティ プランに記載されている場合にのみ、ローカル以外のメンテナンス ツールと診断ツールの使用を許可します。C. 非ローカルのメンテナンス セッションと診断セッションの確立に強力な認証を使用します。D. 非ローカルのメンテナンスと診断アクティビティの記録を保持します。E. 非ローカル メンテナンスが完了したら、セッションとネットワーク接続を終了します。

nist-r5-mp-02

組織で定義されたタイプのデジタル メディアまたは非デジタル メディアへのアクセスを、組織で定義された担当者またはロールに制限します。

nist-r5-pe-01

A. 組織で定義された担当者または役割に対して、次の項目を開発、文書化、配布します。a. 組織レベル、ミッションまたはビジネス プロセス レベル、システムレベルで定義される物理的保護と環境的保護のポリシー。ポリシーでは、目的、範囲、役割、責任、経営陣のコミットメント、組織エンティティ間の調整、コンプライアンスに対処する必要があります。このポリシーは、適用される法律、大統領令、指令、規制、ポリシー、標準、ガイドラインと一貫性がある必要があります。b. 物理的保護と環境的保護のポリシー、および関連する物理的保護と環境的保護の管理策の実装を促進する手順。B. 物理的保護と環境保護のポリシーと手順の開発、文書化、普及を管理する組織定義の担当者を指定します。C. 組織で定義された頻度とイベントに従って、現在の物理的保護と環境的保護のポリシーと手順を見直し、更新します。

nist-r5-pl-08

A. システムのセキュリティとプライバシーのアーキテクチャを開発する。a. 組織情報の機密性、完全性、可用性を保護するために講じる要件とアプローチについて説明します。b. 個人情報の処理に関する要件と、個人のプライバシー リスクを最小限に抑えるためのアプローチについて説明します。c. アーキテクチャがエンタープライズ アーキテクチャに統合され、エンタープライズ アーキテクチャをサポートする方法を説明します。d. 外部システムとサービスに関する前提条件と依存関係について説明します。B. 組織が定義した頻度でアーキテクチャを確認して更新し、エンタープライズ アーキテクチャの変更を反映します。C. 計画されたアーキテクチャの変更を、セキュリティ計画とプライバシー計画、運用コンセプト(CONOPS)、重要度分析、組織の手順、調達と取得に反映します。

nist-r5-ra-03

A. 次の項目を含むリスク評価を実施する。a. システムに対する脅威と脆弱性を特定する。b. システム、システムが処理、保存、送信する情報、および関連情報の不正なアクセス、使用、開示、中断、変更、破壊による危害の可能性と重大度を判断する。c. 個人を特定できる情報の処理によって個人に悪影響が及ぶ可能性と影響を判断する。B. 組織、ミッション、ビジネス プロセスの観点から得られたリスク評価の結果とリスク管理の決定を、システムレベルのリスク評価と統合する。C. セキュリティとプライバシーの計画、リスク評価レポート、組織定義のドキュメントにリスク評価の結果を記録します。D. 組織が定義した頻度でリスク評価の結果を確認します。E. リスク評価の結果を、組織で定義された担当者またはロールに配布します。F 組織が定義した頻度で、またはシステム、運用環境、システムのセキュリティまたはプライバシーの状態に影響を与える可能性のあるその他の条件に大きな変更があった場合に、リスク評価を更新します。

nist-r5-ra-05

A. 組織が定義したプロセスに従って、組織が定義した頻度で、またはランダムに、システムとホストされているアプリケーションの脆弱性をモニタリングしてスキャンする。また、システムに影響を与える可能性のある新しい脆弱性が特定されて報告された場合も同様とする。B. ツール間の相互運用性を促進し、次の標準を使用して脆弱性管理プロセスの部分を自動化する脆弱性モニタリング ツールと手法を採用します。a. プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します。b. チェックリストとテスト手順の書式設定。c. 脆弱性の影響を測定します。C. 脆弱性スキャン レポートと脆弱性モニタリングの結果を分析します。D. 組織のリスク評価に従って、組織が定義した対応時間内に正当な脆弱性を修復します。E. 脆弱性モニタリング プロセスと制御評価から得られた情報を、組織で定義された担当者またはロールと共有して、他のシステムで同様の脆弱性を排除できるようにします。F. スキャン対象の脆弱性を簡単に更新できる機能を含む脆弱性モニタリング ツールを使用します。

nist-r5-sa-03

情報セキュリティとプライバシーの考慮事項を組み込んだ、組織が定義したシステム開発ライフサイクルを使用して、システムを取得、開発、管理します。システム開発ライフサイクル全体にわたる情報セキュリティとプライバシーの役割と責任を定義して文書化します。情報セキュリティとプライバシーの役割と責任を担う個人を特定します。組織の情報セキュリティとプライバシーのリスク管理プロセスをシステム開発ライフサイクルのアクティビティに統合します。

nist-r5-sa-08

システムとシステム コンポーネントの仕様、設計、開発、実装、変更に、組織が定義したセキュリティとプライバシーのエンジニアリング原則を適用します。

nist-r5-sa-10

システム、システム コンポーネント、システム サービスのデベロッパーに、次のことを要求する。A. システム、コンポーネント、サービス、設計、開発、実装、運用、廃棄の各段階で構成管理を実施します。B. 構成管理下にある組織定義の構成アイテムに対する変更の完全性を文書化、管理、制御します。C. 組織が承認した変更のみをシステム、コンポーネント、サービスに実装します。D. システム、コンポーネント、サービスに対する承認済みの変更と、そのような変更がセキュリティとプライバシーに及ぼす可能性のある影響を文書化します。E. システム、コンポーネント、サービス内のセキュリティ上の欠陥と欠陥の解決を追跡し、組織が定義した担当者に結果を報告します。

nist-r5-sa-11

システム、システム コンポーネント、またはシステム サービスの開発者に対し、システム開発ライフサイクルの設計後のすべての段階で、次のことを要求する。A. 継続的なセキュリティとプライバシーの評価の計画を策定して実施する。B. 組織が定義した頻度で、組織が定義した深さとカバレッジで、単体テスト、統合テスト、システム テスト、回帰テストを実施する。C. 評価計画の実施と、テストと評価の結果の証拠を作成します。D. 検証可能な欠陥の修正プロセスを実装します。E. テストと評価で特定された欠陥を修正します。

nist-r5-sa-15

システム、システム コンポーネント、システム サービスのデベロッパーに対し、セキュリティとプライバシーの要件を明示的に扱い、開発プロセスで使用される標準とツールを特定し、開発プロセスで使用される特定のツール オプションとツール構成を文書化し、開発で使用されるプロセスとツールに対する変更の完全性を文書化、管理、確保する、文書化された開発プロセスに従うことを要求する。組織が定義した頻度に従って、開発プロセス、標準、ツール、ツール オプション、ツール構成をレビューし、選択して使用したプロセス、標準、ツール、ツール オプション、ツール構成が、組織が定義したセキュリティとプライバシーの要件を満たしているかどうかを判断します。

nist-r5-sa-21

組織定義のシステム、システム コンポーネント、システム サービスの開発者が、割り当てられた組織定義の公的職務によって決定される適切なアクセス権限を有することを要求する。デベロッパーは、組織が定義した追加の要員スクリーニング基準を満たす必要があります。

nist-r5-sc-03

セキュリティ機能と非セキュリティ機能を分離します。

nist-r5-sc-05

組織で定義されたサービス拒否イベントの影響から保護します。サービス拒否イベントのタイプ別に組織定義の制御を適用します。

nist-r5-sc-07

システムへの外部管理インターフェースと、システム内の主要な内部管理インターフェースでの通信をモニタリングして制御します。内部組織ネットワークから物理的および論理的に分離された、一般公開されているシステム コンポーネントにサブネットワークを実装します。組織のセキュリティとプライバシーのアーキテクチャに従って配置された境界保護デバイスで構成されるマネージド インターフェースを介してのみ、外部ネットワークまたはシステムに接続します。

nist-r5-sc-07-05

組織定義のシステムでは、デフォルトでネットワーク通信トラフィックを拒否し、管理対象インターフェースで例外的に許可します。

nist-r5-sc-08

送信される情報の機密性と完全性を保護します。

nist-r5-sc-10

セッションの終了時、または組織で定義された非アクティブ期間の経過後に、通信セッションに関連付けられたネットワーク接続を終了します。

nist-r5-sc-12

システム内で暗号化が使用される場合は、鍵の生成、配布、ストレージ、アクセス、破棄に関する組織定義の要件などの鍵管理要件に従って、暗号鍵を確立して管理する。

nist-r5-sc-13

暗号化の必要な用途を特定し、定義された各用途に必要な特定の種類の暗号化を実装します。

nist-r5-sc-23

通信セッションの信頼性を保護します。

nist-r5-sc-28

組織が定義した保存データの機密性と完全性を保護します。

nist-r5-sc-28-01

組織定義のシステム コンポーネントで組織定義の保存データの不正な開示と変更を防ぐため、暗号メカニズムを実装します。

nist-r5-si-01

A. 組織で定義された担当者または役割に対して、次の項目を開発、文書化、配布します。a. 組織レベル、ミッションまたはビジネス プロセス レベル、またはシステムレベルで定義されたシステムと情報の完全性ポリシー。ポリシーでは、目的、範囲、役割、責任、経営陣のコミットメント、組織エンティティ間の調整、コンプライアンスに対処する必要があります。このポリシーは、適用される法律、大統領令、指令、規制、ポリシー、標準、ガイドラインと一貫性がある必要があります。b. システムと情報の完全性ポリシーおよび関連するシステムと情報の完全性コントロールの実装を容易にするための手順。B. システムと情報の完全性ポリシーと手順の開発、ドキュメント化、普及を管理する組織定義の担当者を指定します。C. 組織で定義された頻度とイベントに従って、現在のシステムと情報の完全性ポリシーと手順を見直し、更新します。

nist-r5-si-02

システムの欠陥を特定、報告、修正します。欠陥の修正に関連するソフトウェアとファームウェアのアップデートは、インストール前に有効性と潜在的な副作用をテストします。セキュリティ関連のソフトウェアとファームウェアのアップデートを、アップデートのリリースから組織が定義した期間内にインストールします。組織の構成管理プロセスに欠陥の修復を組み込みます。

nist-r5-si-02-02

組織が定義した頻度で、組織が定義した自動メカニズムを使用して、システム コンポーネントに適用可能なセキュリティ関連のソフトウェアとファームウェアのアップデートがインストールされているかどうかを判断します。

nist-r5-si-03

A. システムのエントリ ポイントと終了ポイントにシグネチャベースまたは非シグネチャベースの悪意のあるコード保護メカニズムを実装して、悪意のあるコードを検出して排除します。B. 組織の構成管理ポリシーと手順に従って、新しいリリースが利用可能になったら、悪意のあるコード保護メカニズムを自動的に更新します。C. 悪意のあるコードの保護メカニズムを次のように構成します。a. 組織が定義した頻度でシステムの定期的なスキャンを実行し、組織のポリシーに従ってファイルがダウンロード、オープン、実行されるときに、エンドポイント、ネットワークの出入り口で外部ソースからのファイルのリアルタイム スキャンを実行する。b. 悪意のあるコードの検出に応じて、悪意のあるコードをブロックする、悪意のあるコードを隔離する、組織で定義されたアクションを実行する、組織で定義された担当者またはロールにアラートを送信する。D. 悪意のあるコードの検出と駆除中に偽陽性が検出された場合、およびその結果としてシステムが利用できなくなる可能性に対処します。

nist-r5-si-04

A. システムをモニタリングして、次のものを検出します。a. 組織が定義したモニタリングの目的に沿った攻撃と潜在的な攻撃の兆候。b. 不正なローカル接続、ネットワーク接続、リモート接続。B. 組織が定義した手法と方法を使用して、システムの不正使用を特定します。C. 内部モニタリング機能を呼び出すか、モニタリング デバイスをデプロイする: a. 組織が決定した重要な情報を収集するために、システム内で戦略的に配置します。b. システム内のアドホックな場所で、組織が関心のある特定のタイプの取引を追跡します。D. 検出されたイベントと異常を分析します。E. 組織の運用と資産、個人、他の組織、または国家に対するリスクが変化した場合は、システム モニタリング アクティビティのレベルを調整します。F. システム モニタリング アクティビティに関する法的意見を取得します。G. 必要に応じて、または組織定義の頻度に従って、組織定義のシステム モニタリング情報を組織定義の担当者またはロールに提供します。

nist-r5-si-04-02

自動化されたツールとメカニズムを使用して、イベントのニアリアルタイム分析をサポートします。

nist-r5-si-04-04

受信と送信の通信トラフィックについて、異常なアクティビティや不正なアクティビティの基準、または条件を決定します。組織で定義された頻度で、組織で定義された異常または不正なアクティビティや条件について、インバウンドとアウトバウンドの通信トラフィックをモニタリングします。

nist-r5-si-07

a. 整合性検証ツールを使用して、組織が定義したソフトウェア、ファームウェア、情報に対する未承認の変更を検出します。b. ソフトウェア、ファームウェア、情報に対する不正な変更が検出された場合に、組織が定義したアクションを実行します。

nist-r5-si-07-01

組織が定義したソフトウェア、ファームウェア、情報の完全性チェックを、起動時、組織が定義した移行状態またはセキュリティ関連のイベントで、組織が定義した頻度で実行する。

nist-r5-si-07-02

整合性検証中に不一致が検出されたときに、組織で定義された担当者またはロールに通知する自動化ツールを使用します。

nist-r5-si-12

適用される法律、大統領令、指令、規制、ポリシー、基準、ガイドライン、運用要件に従って、システム内の情報とシステムから出力された情報を管理し、保持する。

NIST AI 600-1 Privacy Controls

サポートされているクラウド プロバイダ: Google Cloud

生成 AI の導入のための NIST AI 600-1 ベースのプライバシー管理

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

nist-600-1-gv-6.1-001

さまざまな種類の生成 AI(GAI)コンテンツと、関連する第三者の権利を分類します。たとえば、カテゴリの著作権、知的財産、データプライバシーなどです。

nist-600-1-mg-2.2-002

AI 生成コンテンツの出所と来歴を追跡するために、トレーニング データソースを文書化します。

nist-600-1-mg-2.2-007

AI によって生成されたデータの系統と信頼性の追跡と検証に役立つことが実証されている場合は、リアルタイムの監査ツールを使用します。

nist-600-1-mg-2.2-009

GAI の開発において、合成データやその他のプライバシー強化技術を責任を持って使用する機会を検討します。適切な場合や適用可能な場合は、個人を特定できる情報を開示したり、均質化に貢献したりすることなく、実世界のデータの統計的特性を一致させます。

nist-600-1-mg-3.2-003

トレーニング データのソースと種類、その由来、GAI アプリケーションとそのコンテンツの出所、アーキテクチャ、事前トレーニング済みモデルのトレーニング プロセスに関連するデータに存在する可能性のあるバイアス(ハイパーパラメータ、トレーニング期間、適用された微調整プロセスに関する情報を含む)を文書化します。

nist-600-1-mp-2.1-002

GAI システム内のデータとコンテンツのフロー(元のデータソース、データ変換、意思決定基準など)のテストと評価を実施します。

nist-600-1-mp-4.1-001

AI 生成コンテンツのプライバシー リスクを定期的にモニタリングし、PII や機密データの漏洩の可能性に対処します。

nist-600-1-mp-4.1-004

適用される法律やポリシーに従って、可能な範囲でトレーニング データのキュレーション ポリシーを文書化します。

nist-600-1-mp-4.1-005

不適切な CBRN 情報の開示、違法または危険なコンテンツの使用、攻撃的なサイバー能力、有害なバイアスを生み出す可能性のあるトレーニング データの不均衡、個人の顔画像を含む個人を特定できる情報の漏洩などのリスクを考慮して、データの収集、保持、最小品質に関するポリシーを確立します。

nist-600-1-mp-4.1-009

生成された出力テキスト、画像、動画、音声に PII または機密データが含まれているかどうかを検出するアプローチを活用します。

nist-600-1-mp-4.1-010

トレーニング データの使用について適切なデュー デリジェンスを実施し、知的財産権とプライバシーのリスクを評価する。これには、独自のトレーニング データや機密性の高いトレーニング データの使用が適用法に準拠しているかどうかを調査することも含まれる。

nist-600-1-ms-1.1-002

コンテンツの出所を分析し、データの異常を検出し、デジタル署名の真正性を検証し、誤った情報や操作に関連するパターンを特定するように設計されたツールを統合します。

nist-600-1-ms-2.2-004

匿名化、差分プライバシー、その他のプライバシー強化技術などの手法を使用して、AI 生成コンテンツを個々の人間に関連付けるリスクを最小限に抑えます。

nist-600-1-ms-2.5-005

生成 AI(GAI)システムのトレーニング データとテスト、評価、検証、妥当性確認(TEVV)データの出所、ファインチューニングまたは検索拡張生成データの根拠を確認します。

nist-600-1-ms-2.6-002

システム トレーニング データに含まれる有害なバイアス、知的財産権の侵害、データプライバシーの侵害、わいせつなコンテンツ、過激主義、暴力、CBRN 情報の有無やレベルを評価します。

nist-600-1-ms-2.9-002

提案された用途と組織の価値、前提条件と制限事項、データ収集方法、データの出所、データ品質、モデル アーキテクチャ(畳み込みニューラル ネットワークやトランスフォーマーなど)、最適化の目標、トレーニング アルゴリズム、RLHF アプローチ、ファインチューニングまたは検索拡張生成アプローチ、評価データ、倫理的考慮事項、法的要件と規制要件など、GAI モデルの詳細を文書化します。

NIST Cybersecurity Framework 1.1

サポートされているクラウド プロバイダ: Google Cloud

組織がサイバーセキュリティ リスクを管理するのに役立つ戦略的フレームワーク。アクティビティを特定、保護、検出、対応、復元の 5 つのコア機能に整理し、セキュリティ対策の概要を把握できます。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

nist-csf-de-ae

異常とイベント(DE.AE): 異常なアクティビティを検出し、イベントの潜在的影響を理解します。

nist-csf-de-ae-1

ユーザーとシステムのネットワーク運用と想定されるデータフローのベースラインが確立され、管理されている。

nist-csf-de-ae-2

検出されたイベントを分析して、攻撃のターゲットと方法を把握します。

nist-csf-de-ae-3

イベントデータは、複数のソースとセンサーから収集され、関連付けられます。

nist-csf-de-ae-4

イベントの影響が判断されます。

nist-csf-de-ae-5

インシデント アラートのしきい値が設定されます。

nist-csf-de-cm

セキュリティの継続的モニタリング(DE.CM): 情報システムとアセットをモニタリングしてサイバーセキュリティ イベントを特定し、保護手段の効果を検証します。

nist-csf-de-cm-1

ネットワークをモニタリングして、潜在的なサイバーセキュリティ イベントを検出します。

nist-csf-de-cm-2

物理環境をモニタリングして、潜在的なサイバーセキュリティ イベントを検出します。

nist-csf-de-cm-3

潜在的なサイバーセキュリティ イベントを検出するために、担当者のアクティビティをモニタリングします。

nist-csf-de-cm-4

悪意のあるコードが検出されます。

nist-csf-de-cm-5

不正なモバイルコードが検出されました。

nist-csf-de-cm-6

外部サービス プロバイダのアクティビティをモニタリングして、潜在的なサイバーセキュリティ イベントを検出します。

nist-csf-de-cm-7

不正な担当者、接続、デバイス、ソフトウェアのモニタリングが実施されている。

nist-csf-de-cm-8

脆弱性スキャンが実行されます。

nist-csf-de-dp-1

検出の役割と責任が明確に定義され、説明責任が確保されています。

nist-csf-de-dp-4

イベント検出情報が伝達されます。

nist-csf-id-am

アセット管理: 組織がビジネス目的を達成するためのデータ、人員、デバイス、システム、施設を特定し、組織の目標とリスク戦略に対する相対的な重要性に従って管理します。

nist-csf-id-am-1

組織内の物理デバイスとシステムがインベントリに登録されている。

nist-csf-id-am-4

外部情報システムがカタログ化されている。

nist-csf-id-am-6

全従業員とサードパーティのステークホルダー(サプライヤー、お客様、パートナーなど)のサイバー セキュリティの役割と責任が確立されている。

nist-csf-id-gv-1

組織のサイバーセキュリティ ポリシーが確立され、周知されている。

nist-csf-id-gv-3

プライバシーや市民の自由に関する義務など、サイバーセキュリティに関する法的要件と規制要件を理解し、管理している。

nist-csf-id-gv-4

ガバナンスとリスク管理のプロセスでサイバーセキュリティ リスクに対処する。

nist-csf-id-ra-1

アセットの脆弱性を特定し、文書化している。

nist-csf-id-ra-2

サイバー脅威インテリジェンスは、情報共有フォーラムやソースから取得されます。

nist-csf-id-ra-3

内部と外部の両方の脅威を特定し、文書化している。

nist-csf-id-sc-3

サプライヤーやサードパーティ パートナーとの契約は、組織のサイバーセキュリティ プログラムとサイバー サプライ チェーン リスク管理計画の目標を達成するために設計された適切な対策を実施するために使用されます。

nist-csf-pr-ac

ID 管理、認証、アクセス制御(PR.AC): 物理アセットと論理アセット、関連する施設へのアクセスを承認済みのユーザー、プロセス、デバイスに制限し、承認済みのアクティビティおよび取引に対する不正アクセスの評価済みリスクに従って管理します。

nist-csf-pr-ac-1

承認されたデバイス、ユーザー、プロセスに対して、ID と認証情報の発行、管理、検証、取り消し、監査が行われる。

nist-csf-pr-ac-2

資産への物理アクセスは管理され、保護されています。

nist-csf-pr-ac-3

リモート アクセスが管理されている。

nist-csf-pr-ac-4

アクセス権限と認可は、最小権限の原則と職掌分散の原則を組み込んで管理されます。

nist-csf-pr-ac-5

ネットワークの完全性が保護されている(ネットワーク分離、ネットワーク セグメンテーションなど)。

nist-csf-pr-ac-6

ID は証明され、認証情報にバインドされ、インタラクションでアサートされます。

nist-csf-pr-ac-7

ユーザー、デバイス、その他のアセットは、トランザクションのリスク(個人のセキュリティとプライバシーのリスクやその他の組織のリスクなど)に見合った方法で認証されます(単一要素、多要素など)。

nist-csf-pr-ds-1

保存データが保護されます。

nist-csf-pr-ds-2

転送中のデータが保護されます。

nist-csf-pr-ds-3

アセットは、削除、転送、処分を通じて正式に管理されます。

nist-csf-pr-ds-4

可用性を確保するために十分な容量が維持されている。

nist-csf-pr-ds-5

データ漏洩に対する保護が実装されています。

nist-csf-pr-ip

情報保護のプロセスと手続き(PR.IP): セキュリティ ポリシー(組織部門間の目的、対象範囲、役割、責任、管理へのコミットメント、調整に対応)、プロセス、手続きをメンテナンスし、情報システムとアセットの保護を管理するために使用します。

nist-csf-pr-ip-1

情報技術または産業用制御システムのベースライン構成が作成され、セキュリティ原則(最小機能の概念など)が組み込まれて維持されます。

nist-csf-pr-ip-10

対応計画と復旧計画がテストされている。

nist-csf-pr-ip-12

脆弱性管理計画が策定され、実施されている。

nist-csf-pr-ip-2

システムを管理するためのシステム開発ライフサイクルが実装されている。

nist-csf-pr-ip-3

構成変更管理プロセスが実施されている。

nist-csf-pr-ip-4

情報のバックアップが実施、維持、テストされている。

nist-csf-pr-ip-6

データはポリシーに従って破棄されます。

nist-csf-pr-ip-9

対応計画(インシデント対応と事業継続)と復旧計画(インシデント復旧と障害復旧)が策定され、管理されている。

nist-csf-pr-ma-1

組織の資産のメンテナンスと修理は、承認された制御されたツールを使用して実施され、記録されます。

nist-csf-pr-pt

防護テクノロジー(PR.PT): 関連するポリシー、手続き、合意事項に従って技術的なセキュリティ ソリューションを管理して、システムとアセットのセキュリティと耐障害性を確保します。

nist-csf-pr-pt-1

監査とログの記録は、ポリシーに従って決定、文書化、実装、確認されます。

nist-csf-pr-pt-3

最小機能の原則は、必要な機能のみを提供するようにシステムを構成することで組み込まれます。

nist-csf-pr-pt-4

通信ネットワークと制御ネットワークが保護されている。

nist-csf-pr-pt-5

通常の状況と不利な状況で復元力の要件を満たすために、メカニズム(フェイルセーフ、ロード バランシング、ホットスワップなど)が実装されます。

nist-csf-rc-im

改善(RC.IM): 今後のアクティビティに教訓を組み込むことで、復旧計画とプロセスが改善されます。

nist-csf-rc-rp-1

復旧計画は、サイバーセキュリティ インシデントの発生中または発生後に実行されます。

nist-csf-rs-an

分析(RS.AN): 効果的な対応と復旧活動のサポートを確実にするために分析を実施します。

nist-csf-rs-an-1

検出システムからの通知は調査されます。

nist-csf-rs-an-5

組織の内部および外部のソース(内部テスト、セキュリティ速報、セキュリティ研究者など)から開示された脆弱性を受け取り、分析し、対応するためのプロセスが確立されている。

nist-csf-rs-co-1

対応が必要な場合に、担当者が自分の役割とオペレーションの順序を把握している。

nist-csf-rs-co-4

利害関係者との調整は、対応計画に沿って行われます。

nist-csf-rs-im-2

レスポンス戦略が更新されます。

nist-csf-rs-mi-2

インシデントが軽減されます。

nist-csf-rs-rp-1

対応計画は、インシデント中またはインシデント後に実行されます。

PCI DSS v4.0.1

サポートされているクラウド プロバイダ: Google Cloud

カード所有者データを処理、保存、送信する企業に対して、必須の PCI データ セキュリティ基準(DSS)を定義する規制の枠組み。PCI DSS は、カード会員データが処理、保存、送信される場所を問わず、その保護に役立つ特定の技術的および運用上の要件を定義しています。PCI DSS は、不正行為の防止に役立つ一連の規範的な技術要件と運用要件を提供します。このフレームワークは PCI DSS v4.0.1 に準拠しています。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

pci-dss-v4-1-2-1

NSC ルールセットの構成標準を定義、実装、維持する必要があります。

pci-dss-v4-1-2-6

使用中で安全でないと見なされるすべてのサービス、プロトコル、ポートについて、リスクが軽減されるようにセキュリティ機能が定義され、実装されている。

pci-dss-v4-1-3-1

CDE への受信トラフィックは、必要なトラフィックのみに制限し、他のすべてのトラフィックは明示的に拒否する必要があります。

pci-dss-v4-1-3-2

CDE からの下り(外向き)トラフィックは、必要なトラフィックのみに制限し、他のすべてのトラフィックは明示的に拒否する必要があります。

pci-dss-v4-1-4-1

NSC は、信頼できるネットワークと信頼できないネットワークの間に実装されています。

pci-dss-v4-1-4-2

信頼されていないネットワークから信頼されているネットワークへのインバウンド トラフィックは、次のものに制限する必要があります。一般公開サービス、プロトコル、ポートを提供する権限を持つシステム コンポーネントとの通信。信頼されているネットワーク内のシステム コンポーネントによって開始された通信に対するステートフル レスポンス。その他のすべてのトラフィックは拒否する必要があります。

pci-dss-v4-1-4-3

なりすまし対策を実装して、偽装された送信元 IP アドレスを検出し、信頼できるネットワークへの侵入を阻止する必要があります。

pci-dss-v4-1-4-4

カード保有者データを保存するシステム コンポーネントに、信頼できないネットワークから直接アクセスできないようにする必要があります。

pci-dss-v4-10-1-1

要件 10 で特定されたすべてのセキュリティ ポリシーと運用手順が文書化され、最新の状態に保たれ、使用され、影響を受けるすべての関係者に周知されている。

pci-dss-v4-10-2-1

すべてのシステム コンポーネントとカード会員データで監査ログが有効になっており、アクティブである。

pci-dss-v4-10-2-1-1

監査ログは、カード会員データに対する個々のユーザーのすべてのアクセスをキャプチャします。

pci-dss-v4-10-2-1-2

監査ログには、アプリケーション アカウントやシステム アカウントのインタラクティブな使用など、管理者権限を持つすべてのユーザーが行ったすべてのアクションが記録されます。

pci-dss-v4-10-2-1-4

監査ログは、無効な論理アクセス試行をすべてキャプチャします。

pci-dss-v4-10-3-3

外部向けテクノロジーのログファイルを含む監査ログファイルは、安全な中央の内部ログサーバーや、変更が困難なその他のメディアに速やかにバックアップされます。

pci-dss-v4-10-4-1-1

監査ログのレビューは、自動化されたメカニズムを使用して行われます。

pci-dss-v4-10-5-1

監査ログの履歴を少なくとも 12 か月間保持し、少なくとも直近 3 か月間の履歴をすぐに分析できるようにします。

pci-dss-v4-11-5-1

ネットワークへの侵入を検出、防止するために、以下のような侵入検知手法や侵入防止手法が使用されている。CDE の境界ですべてのトラフィックが監視されている。CDE 内の重要なポイントですべてのトラフィックが監視されている。侵害の可能性について担当者に警告が発せられている。すべての侵入検知エンジン、侵入防止エンジン、ベースライン、シグネチャが最新の状態に保たれている。

pci-dss-v4-12-10-5

セキュリティ インシデント対応計画には、セキュリティ モニタリング システムからのアラートのモニタリングと対応が含まれます。これには、侵入検知システムと侵入防止システム、ネットワーク セキュリティ制御、重要なファイルの変更検知メカニズム、支払いページの変更と改ざんの検知メカニズム、不正なワイヤレス アクセス ポイントの検知などが含まれますが、これらに限定されません。

pci-dss-v4-12-5-1

PCI DSS の対象範囲に含まれるシステム コンポーネントのインベントリ(機能と使用の説明を含む)が維持され、最新の状態に保たれています。

pci-dss-v4-2-2-1

構成標準は、すべてのシステム コンポーネントを網羅し、既知のすべてのセキュリティ脆弱性に対処し、業界標準のシステム強化基準またはベンダーの強化推奨事項に準拠し、要件 6.3.1 で定義されているように、新しい脆弱性問題が特定されたときに更新され、新しいシステムが構成されるときに適用され、システム コンポーネントが本番環境に接続される前または直後に適用されていることが検証されるように、開発、実装、維持されなければなりません。

pci-dss-v4-2-2-3

必要なセキュリティ レベルが異なる主な機能は、システム コンポーネントに 1 つだけ存在するように管理するか、同じシステム コンポーネントに存在する必要なセキュリティ レベルが異なる主な機能が互いに分離されるように管理するか、同じシステム コンポーネントに存在する必要なセキュリティ レベルが異なる主な機能がすべて、最も高いセキュリティ レベルを必要とする機能のレベルまで保護されるように管理しなければなりません。

pci-dss-v4-2-2-4

必要なサービス、プロトコル、デーモン、機能のみが有効になっていて、不要な機能はすべて削除または無効化されている。

pci-dss-v4-2-2-5

安全でないサービス、プロトコル、デーモンが存在する場合は、ビジネス上の正当性が文書化されていること、および安全でないサービス、プロトコル、デーモンを使用するリスクを軽減する追加のセキュリティ機能が文書化され、実装されていることを確認します。

pci-dss-v4-2-2-6

誤用を防ぐためにシステム セキュリティ パラメータを構成する必要があります。

pci-dss-v4-2-2-7

非コンソール式管理アクセスはすべて、強力な暗号化を使用して暗号化する必要があります。

pci-dss-v4-3-2-1

アカウント データの保存は、データ保持と破棄のポリシー、手順、プロセスを実装することで最小限に抑える必要があります。これらには、少なくとも次のものが含まれていなければなりません。保存されたアカウント データのすべての場所を対象とすること、承認の完了前に保存された機密性の高い認証データ(SAD)を対象とすること、データ保存量と保持期間を法律や規制、ビジネス要件に必要なものに制限すること、保存されたアカウント データの具体的な保持要件(保持期間の長さを定義し、文書化されたビジネス上の正当性を含むこと)、保持ポリシーに従って不要になったアカウント データを安全に削除または復元不能にするプロセス、定義された保持期間を超えた保存済みアカウント データを安全に削除または復元不能にしたことを少なくとも 3 か月ごとに検証するプロセス。

pci-dss-v4-3-3-2

承認の完了前に電子的に保存される SAD は、強力な暗号化を使用して暗号化する必要があります。

pci-dss-v4-3-3-3

発行者と、発行サービスをサポートし、機密性の高い認証データを保存する企業は、機密性の高い認証データの保存が正当な発行業務のニーズに必要なものに限定され、強力な暗号を使用して保護および暗号化されていることを確認する必要があります。

pci-dss-v4-3-5-1

次のいずれかの方法で、PAN が保存されている場所で PAN を読み取り不能にします。PAN 全体の強力な暗号化に基づく一方向ハッシュ、切り捨て(ハッシュを使用して、PAN の切り捨てられた部分と置き換えることはできません)。同じ PAN のハッシュ バージョンと切り捨てバージョン、または同じ PAN の異なる切り捨て形式が環境に存在する場合、異なるバージョンを関連付けて元の PAN を再構築できないように追加の制御が実施されます。インデックス トークン、関連する鍵管理プロセスと手順を備えた強力な暗号化。

pci-dss-v4-3-5-1-3

PAN を読み取り不能にするために(ファイル、列、フィールド レベルのデータベース暗号化ではなく)ディスク レベルまたはパーティション レベルの暗号化を使用する場合は、論理アクセスがネイティブ オペレーティング システムの認証およびアクセス制御メカニズムとは別に独立して管理されていること、復号鍵がユーザー アカウントに関連付けられていないこと、暗号化されていないデータへのアクセスを許可する認証要素(パスワード、パスフレーズ、暗号鍵など)が安全に保存されていることを確認してください。

pci-dss-v4-3-6-1

保存されているアカウント データを保護するために使用する暗号鍵を漏えいや不正使用から保護する手順を定義し、実装する必要があります。これには、鍵へのアクセスを必要な最小限の管理者に制限することが含まれます。

pci-dss-v4-3-6-1-2

保存されたアカウント データの保護に使用されるシークレット鍵と秘密鍵は、常に次のいずれかの形式で保存する必要があります。データ暗号鍵と同等以上の強度の鍵暗号鍵で暗号化され、データ暗号鍵とは別に保存されている。安全な暗号デバイス(SCD)内(ハードウェア セキュリティ モジュール(HSM)や PTS 承認済みのポイント オブ インタラクション デバイスなど)。業界で認められている方法に従って、少なくとも 2 つの完全な長さの鍵コンポーネントまたは鍵共有として。

pci-dss-v4-3-7-1

保存されているアカウント データを保護するために使用する強力な暗号鍵の生成を含む、鍵管理ポリシーと手順を実装する必要があります。

pci-dss-v4-3-7-2

保存されているアカウント データを保護するために使用する暗号鍵の安全な配布を含む、鍵管理ポリシーと手順を実装する必要があります。

pci-dss-v4-3-7-3

保存されているアカウント データを保護するために使用する暗号鍵の安全な保存を含む鍵管理ポリシーと手順を実装する必要があります。

pci-dss-v4-3-7-5

鍵の管理に関するポリシーと手順を実装し、保存されたアカウント データの保護に使用される鍵の廃止、交換、破棄を含める必要があります。これは、鍵の定義された暗号期間が終了した場合、鍵の完全性が低下した場合(クリアテキストの鍵コンポーネントを知る担当者が退職した場合や、鍵コンポーネントが知られていた役割が変更された場合など)、鍵が不正使用された疑いがある場合や不正使用されたことが判明した場合、廃止または交換された鍵が暗号化オペレーションに使用されない場合に必要と見なされます。

pci-dss-v4-4-2-1

公衆ネットワークで送信する PAN を保護するため、堅牢な暗号とセキュリティ プロトコルを実装し、次のことを保証する必要があります。信頼できる鍵と証明書のみが受け入れられること。公衆ネットワークで送信する PAN を保護するために使用される証明書が有効であり、期限切れまたは取り消し済みでないことが確認されること。使用中のプロトコルが安全なバージョンまたは構成のみをサポートし、安全でないバージョン、アルゴリズム、鍵サイズ、実装へのフォールバックまたはそれらの使用をサポートしないこと。暗号化の強度が使用中の暗号化方法に適していること。

pci-dss-v4-5-2-1

マルウェア対策ソリューションは、要件 5.2.3 に基づく定期的な評価でマルウェアのリスクがないと判断されたシステム コンポーネントを除き、すべてのシステム コンポーネントに導入する必要があります。

pci-dss-v4-5-2-2

導入されたマルウェア対策ソリューションは、既知のあらゆるタイプのマルウェアを検知し、既知のあらゆるタイプのマルウェアを削除、ブロック、または封じ込める必要があります。

pci-dss-v4-6-2-3

オーダーメイドのソフトウェアおよびカスタム ソフトウェアは、本番環境または顧客にリリースする前に、潜在的なコーディングの脆弱性を特定して修正するためにレビューする必要があります。コードレビューでは、安全なコーディング ガイドラインに従ってコードが開発されていることを確認します。コードレビューでは、既存のソフトウェアの脆弱性と新たに発生したソフトウェアの脆弱性の両方を探します。リリース前に適切な修正が実装されます。

pci-dss-v4-6-3-1

セキュリティの脆弱性を特定して管理し、次のことを保証する必要があります。セキュリティの新しい脆弱性は、国際的および国内のコンピュータ緊急対応チーム(CERT)からの警告を含む、業界で認知されたセキュリティ脆弱性情報源を使用して特定される。脆弱性には、業界のベスト プラクティスと潜在的な影響の考慮に基づいてリスク ランキングが割り当てられる。リスク ランキングでは、環境にとって高リスクまたは重大と見なされるすべての脆弱性が少なくとも特定される。オーダーメイド、カスタム、サードパーティのソフトウェア(オペレーティング システムやデータベースなど)の脆弱性が対象となる。

pci-dss-v4-6-3-3

すべてのシステム コンポーネントは、該当するセキュリティ パッチまたは更新プログラムをインストールして既知の脆弱性から保護し、次のことを保証する必要があります。重大な脆弱性(要件 6.3.1 のリスク ランキング プロセスに従って特定)のパッチまたは更新プログラムは、リリース後 1 か月以内にインストールされます。その他の該当するセキュリティ パッチまたは更新プログラムは、要件 6.3.1 のリスク ランキング プロセスに従って特定された環境に対するリスクの重大性に関するエンティティの評価によって決定された適切な期間内にインストールされます。

pci-dss-v4-6-4-1

一般公開されているウェブ アプリケーションについては、新しい脅威と脆弱性に継続的に対処し、次のいずれかの方法で既知の攻撃から保護する必要があります。手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは方法を使用して一般公開されているウェブ アプリケーションをレビューする。少なくとも 12 か月ごとに 1 回、重大な変更後に行う。アプリケーション セキュリティを専門とする組織が行う。要件 6.2.4 のすべての一般的なソフトウェア攻撃を少なくとも含む。すべての脆弱性が要件 6.3.1 に従ってランク付けされている。すべての脆弱性が修正されている。修正後にアプリケーションが再評価されている。または、ウェブベースの攻撃を継続的に検出し防止する自動化された技術的ソリューションをインストールする。具体的には、一般公開されているウェブ アプリケーションの前にインストールしてウェブベースの攻撃を検出し防止する、必要に応じてアクティブに実行され最新の状態である、監査ログを生成する、ウェブベースの攻撃をブロックするか、直ちに調査されるアラートを生成するように構成する。

pci-dss-v4-6-4-2

一般公開されているウェブ アプリケーションについては、ウェブベースの攻撃を継続的に検出し、防止する自動化された技術ソリューションをデプロイする必要があります。このソリューションは、一般公開されているウェブ アプリケーションの前にインストールされ、ウェブベースの攻撃を検出して防止するように構成されていること、必要に応じてアクティブに実行され、最新の状態であること、監査ログを生成すること、ウェブベースの攻撃をブロックするか、直ちに調査されるアラートを生成するように構成されていること、という最小限のチェックを満たしている必要があります。

pci-dss-v4-7-2-1

アクセス制御モデルを定義し、次のようにアクセス権を付与する必要があります。エンティティのビジネスとアクセス ニーズに応じた適切なアクセス権、ユーザーの職務分類と機能に基づくシステム コンポーネントとデータリソースへのアクセス権、職務機能を実行するために必要な最小限の権限(ユーザー、管理者など)。

pci-dss-v4-7-2-2

アクセス権は、職務分類と職務、および職責の遂行に必要な最小限の権限に基づいて、ユーザー(特権ユーザーを含む)に割り当てる必要があります。

pci-dss-v4-7-2-5

すべてのアプリケーション アカウントとシステム アカウント、および関連するアクセス権限は、システムまたはアプリケーションの運用に必要な最小限の権限に基づいて割り当て、管理する必要があります。また、アクセスは、それらの使用を特に必要とするシステム、アプリケーション、プロセスに限定する必要があります。

pci-dss-v4-7-3-1

ユーザーが知る必知事項に基づいてアクセスを制限し、すべてのシステム コンポーネントを対象とするアクセス制御システムを導入する必要があります。

pci-dss-v4-7-3-2

アクセス制御システムは、職務分類と職務に基づいて個人、アプリケーション、システムに割り当てられた権限を適用するように構成する必要があります。

pci-dss-v4-7-3-3

アクセス制御システムは、デフォルトですべて拒否に設定する必要があります。

pci-dss-v4-8-2-1

すべてのユーザーに対して、システム コンポーネントまたはカード会員データへのアクセスが許可される前に、一意の ID が割り当てられる。

pci-dss-v4-8-2-3

顧客の構内へのリモート アクセス権を持つサービス プロバイダは、顧客の構内ごとに一意の認証要素を使用する必要があります。

pci-dss-v4-8-2-5

契約終了したユーザーのアクセス権は直ちに取り消される。

pci-dss-v4-8-2-8

ユーザー セッションが 15 分以上アイドル状態になっている場合、ユーザーは再認証して端末またはセッションを再開する必要があります。

pci-dss-v4-8-3-1

ユーザーおよび管理者のシステム コンポーネントへのすべてのユーザー アクセスは、以下の認証要素の少なくとも 1 つを使用して認証されなければならない。ユーザーが知っているもの(パスワードやパスフレーズなど)、ユーザーが持っているもの(トークン デバイスやスマートカードなど)、ユーザー自身(生体認証要素など)。

pci-dss-v4-8-3-2

強力な暗号化により、すべてのシステム コンポーネントで伝送 / 保存されるすべての認証要素を読み取り不能にする必要があります。

pci-dss-v4-8-3-9

パスワードまたはパスフレーズがユーザー アクセスの唯一の認証要素として使用されている場合(単一要素認証の実装)、少なくとも 90 日ごとに変更する必要があります。または、アカウントのセキュリティ ポスチャーを動的に分析し、リソースへのリアルタイム アクセスをそれに応じて自動的に決定する必要があります。

pci-dss-v4-8-6-2

インタラクティブ ログインに使用できるアプリケーション アカウントとシステム アカウントのパスワードまたはパスフレーズは、スクリプト、構成ファイル、プロパティ ファイル、カスタム ソースコードにハードコードしてはなりません。

pci-dss-v4-8-6-3

アプリケーション アカウントとシステム アカウントのパスワードまたはパスフレーズは、次のことを保証することで不正使用から保護する必要があります。パスワードまたはパスフレーズは、定期的に(要件 12.3.1 で指定されたすべての要素に従って実施される、エンティティの対象リスク分析で定義された頻度で)変更され、侵害の疑いがある場合または侵害が確認された場合にも変更されること。パスワードまたはパスフレーズは、エンティティがパスワードまたはパスフレーズを変更する頻度に適した十分な複雑さで作成されること。

Security Essentials

サポートされているクラウド プロバイダ: Google Cloud

Google Cloud Security Essentials は、Google Cloud のお客様にセキュリティとコンプライアンスの基本的なベースラインを提供します。このフレームワークは、Google の広範な脅威インテリジェンスとベスト プラクティスに基づいて構築されており、セキュリティ体制を可視化し、一般的なコンプライアンス要件を最初から満たすのに役立ちます。

このフレームワークには、次のクラウド コントロールが含まれています。

SOC2 2017

サポートされているクラウド プロバイダ: Google Cloud

独立した監査人が、セキュリティや可用性など、AICPA の Trust サービス基準に関連する組織の統制を評価して報告するために使用できる規制フレームワーク。監査レポートでは、組織のシステムと処理するデータが評価されます。このフレームワークは SOC 2 2017(焦点の改訂版 - 2022)に準拠しています。

このフレームワークには、次のセクションのクラウド コントロール グループとクラウド コントロールが含まれています。

soc2-2017-a-1-2-11

管理者は、システムの可用性と関連データの可用性を損なう可能性のあるデータ復元性に対する脅威(ランサムウェア攻撃など)を特定し、軽減手順を実施します。

soc2-2017-a-1-2-8

データのバックアップ、バックアップの失敗を検出するモニタリング、失敗が発生した場合の是正措置の開始に関する手順が整備されています。

soc2-2017-c-1-1-2

機密情報は、法律や規制で別途定められている場合を除き、特定された目的を達成するために必要な期間を超えて保持されることはありません。

soc2-2017-c-1-1-3

情報の指定された保持期間中に機密情報が消去または破壊されないようにするためのポリシーと手順が用意されています。

soc2-2017-c-1-2-2

破棄対象として特定された機密情報を自動的または手動で消去または破棄するためのポリシーと手順が整備されている。

soc2-2017-cc-1-3-3

経営陣と取締役会は、権限を委任し、責任を定義し、適切なプロセスとテクノロジーを使用して、組織のさまざまなレベルで必要に応じて責任を割り当て、職務を分離します。

soc2-2017-cc-2-1-2

情報システムは、内部および外部のデータソースをキャプチャします。

soc2-2017-cc-2-1-6

エンティティは、インフラストラクチャ、ソフトウェア、その他の情報アセットなどのシステム コンポーネントのレコードを特定、文書化、維持します。情報資産には、物理的なエンドポイント デバイスとシステム、仮想システム、データとデータフロー、外部情報システム、組織内の役割が含まれます。

soc2-2017-cc-2-2-1

すべての担当者が内部統制の責任を理解し、遂行できるように、必要な情報を伝達するプロセスが整備されている。

soc2-2017-cc-3-2-5

リスク評価には、リスクをどのように管理するか、リスクを受け入れるか、回避するか、軽減するか、共有するかを検討することが含まれます。

soc2-2017-cc-3-2-7

エンティティは、システム プロセス、インフラストラクチャ、ソフトウェアなどのシステム コンポーネントの脆弱性を特定します。

soc2-2017-cc-4-1-1

管理には、継続的な評価と個別の評価のバランスが含まれます。

soc2-2017-cc-4-1-5

継続的な評価はビジネス プロセスに組み込まれ、変化する状況に合わせて調整されます。

soc2-2017-cc-4-1-8

経営陣は、さまざまな継続的かつ個別のリスクと制御の評価を使用して、内部統制が存在し、機能しているかどうかを判断します。組織の目標に応じて、このようなリスクとコントロールの評価には、第 1 ラインと第 2 ラインのモニタリングとコントロールのテスト、内部監査の評価、コンプライアンス評価、復元性評価、脆弱性スキャン、セキュリティ評価、ペネトレーション テスト、サードパーティの評価が含まれる場合があります。

soc2-2017-cc-4-2-2

不備は、是正措置を講じる責任のある当事者、上級管理職、取締役会に、必要に応じて伝えられます。

soc2-2017-cc-5-2-2

経営陣は、テクノロジー インフラストラクチャに対する制御活動を選択して開発します。これらの制御活動は、テクノロジー処理の完全性、正確性、可用性を確保するために設計および実装されます。

soc2-2017-cc-5-2-3

経営陣は、職務上の責任に応じて承認済みユーザーのテクノロジー アクセス権を制限し、外部の脅威から組織の資産を保護するために設計および実装された制御アクティビティを選択して開発します。

soc2-2017-cc-5-3-1

経営陣は、期待されることを示すポリシーと、アクションを指定する関連する手順を通じて、ビジネス プロセスと従業員の日常業務に組み込まれる制御アクティビティを確立します。

soc2-2017-cc-6-1-10

エンティティは、エンティティのリスク軽減戦略に基づいて適切な保護措置と判断された場合、暗号化を使用して保存データ、処理中のデータ、転送中のデータを保護します。

soc2-2017-cc-6-1-11

エンティティは、生成、保存、使用、破棄の際に暗号鍵を保護します。暗号モジュール、アルゴリズム、鍵長、アーキテクチャは、エンティティのリスク軽減戦略に基づいて適切である。

soc2-2017-cc-6-1-12

機密情報への論理アクセスと使用は、特定された目的に限定されます。

soc2-2017-cc-6-1-3

このエンティティは、アクセス制御ソフトウェア、ルールセット、標準構成強化プロセスを使用して、インフラストラクチャ(サーバー、ストレージ、ネットワーク要素、API、エンドポイント デバイスなど)、ソフトウェア、保存データ、処理中のデータ、転送中のデータなどの情報資産への論理アクセスを制限します。

soc2-2017-cc-6-1-4

エンティティは、ローカルまたはリモートで情報資産にアクセスする前に、人、インフラストラクチャ、ソフトウェアを識別して認証します。エンティティは、リスク軽減戦略に基づいてこのような保護が適切と判断された場合、多要素認証などのより複雑または高度なユーザー認証手法を使用します。

soc2-2017-cc-6-1-5

エンティティは、ネットワーク セグメンテーション、ゼロトラスト アーキテクチャ、その他の手法を使用して、エンティティのリスク軽減戦略に基づいて、エンティティの情報技術の関連性のない部分を互いに分離します。

soc2-2017-cc-6-1-7

データ分類、個別のデータ構造、ポート制限、アクセス プロトコル制限、ユーザー識別、デジタル証明書の組み合わせを使用して、情報資産のアクセス制御ルールと構成標準を確立します。

soc2-2017-cc-6-1-9

新しい内部インフラストラクチャと外部インフラストラクチャ、ソフトウェアは、アクセス認証情報が付与され、ネットワークまたはアクセス ポイントに実装される前に、登録、承認、文書化されます。アクセスが不要になった場合や、インフラストラクチャとソフトウェアが使用されなくなった場合は、認証情報が削除され、アクセスが無効になります。

soc2-2017-cc-6-2-3

アクセス認証情報が無効になったときに、無効化、破棄、またはその他の方法で使用を防止するプロセスが整備されている。

soc2-2017-cc-6-3-2

保護された情報アセットへのアクセス権が不要になった場合に、アクセス権を削除するプロセスが整備されている。

soc2-2017-cc-6-3-3

エンティティは、ロールベース アクセス制御などのアクセス制御構造を使用して、保護された情報資産へのアクセスを制限し、権限を制限し、互換性のない機能の分離をサポートします。

soc2-2017-cc-6-5-1

データとソフトウェアがアセットで不要になった場合、またはアセットが組織の管理下から外れる場合に、組織、ベンダー、従業員が所有する物理アセットやその他のデバイスからデータとソフトウェアを削除、消去、またはアクセス不能にするための手順が整備されている。

soc2-2017-cc-6-6

エンティティは、システム境界外のソースからの脅威から保護するために、論理アクセス セキュリティ対策を実装します。

soc2-2017-cc-6-6-1

通信チャネル(FTP サイト、ルーターポートなど)を介して発生する可能性のあるアクティビティの種類が制限されます。

soc2-2017-cc-6-6-4

境界保護システム(ファイアウォール、非武装地帯、侵入検知システム、侵入防止システム、エンドポイント検出および対応システムなど)は、外部アクセス ポイントを保護するために構成、実装、保守されます。

soc2-2017-cc-6-7-1

データ損失防止プロセスとテクノロジーを使用して、情報の送信、移動、削除を承認して実行する機能を制限します。

soc2-2017-cc-6-7-2

暗号化技術または安全な通信チャネルを使用して、接続アクセス ポイントを超えたデータ転送やその他の通信を保護します。

soc2-2017-cc-6-8-1

アプリケーションやソフトウェアのインストールと変更は、承認されたユーザーのみが行うことができます。通常のオペレーティング手順やセキュリティ手順をバイパスできるユーティリティ ソフトウェアは、権限のあるユーザーのみが使用でき、定期的にモニタリングされます。

soc2-2017-cc-6-8-2

不正なソフトウェアや悪意のあるソフトウェアを示す可能性のあるソフトウェアと構成パラメータの変更を検出するプロセスが整備されている。

soc2-2017-cc-7-1-1

エンティティは、システムの強化に使用する構成標準を定義しています。

soc2-2017-cc-7-1-3

IT システムには、ファイル整合性モニタリング ツールなどの変更検出メカニズムが含まれており、重要なシステム ファイル、構成ファイル、コンテンツ ファイルの不正な変更を職員に警告します。

soc2-2017-cc-7-1-5

エンティティは、環境に重大な変更が加えられた後、定期的にインフラストラクチャとソフトウェアの脆弱性スキャンを実施し、潜在的な脆弱性や構成ミスを特定します。特定された欠陥をタイムリーに是正する措置が講じられ、組織の目標達成が支援されます。

soc2-2017-cc-7-2-1

インフラストラクチャとソフトウェアに検出ポリシー、手順、ツールを定義して実装し、システムへの侵入の可能性、不適切なアクセス、システムの運用における異常や異常なアクティビティを特定します。手順には、セキュリティ イベントの検出と管理のための定義されたガバナンス プロセス、新たに発見された脅威と脆弱性を特定するためのインテリジェンス ソースの使用、異常なシステム アクティビティのロギングなどが含まれます。

soc2-2017-cc-7-2-2

検出対策は、物理的バリアの侵害、権限のある担当者の不正行為、侵害された識別情報と認証情報の使用、システム境界外からの不正アクセス、権限のある外部関係者の侵害、不正なハードウェアとソフトウェアの実装または接続によって発生する可能性のある異常を特定するように設計されています。

soc2-2017-cc-7-3-2

検出されたセキュリティ イベントは、セキュリティ プログラムの管理を担当する個人に通知され、レビューされます。必要に応じて、対策が講じられます。

soc2-2017-cc-8-1-1

システムとそのコンポーネント(インフラストラクチャ、データ、ソフトウェア、手動および自動化された手順)のライフサイクル全体を通じてシステム変更を管理するプロセスは、組織の目標の達成をサポートするために使用されます。

soc2-2017-cc-8-1-14

インフラストラクチャとソフトウェアのパッチを適時に特定、評価、テスト、承認、実装するプロセスが整備されている。

soc2-2017-cc-8-1-5

実装前にシステム変更を追跡するプロセスが整備されている。

soc2-2017-p-4-2-1

個人情報は、法律または規制で特に定められている場合を除き、明示された目的を達成するために必要な期間を超えて保持されることはありません。

soc2-2017-p-4-2-2

情報の保持期間中に個人情報が消去または破壊されないようにするためのポリシーと手順が実施されている。

soc2-2017-pi-1-2-3

システム入力アクティビティの記録が、完全かつ正確に、タイムリーに作成および維持される。

soc2-2017-pi-1-3-4

システム処理アクティビティが、完全かつ正確に、タイムリーに記録されている。

soc2-2017-pi-1-5

エンティティは、エンティティの目標を達成するために、システム仕様に従って入力、処理中のアイテム、出力を完全かつ正確に、かつタイムリーに保存するためのポリシーと手順を実装します。

soc2-2017-pi-1-5-1

保存されたアイテムは、盗難、破損、破壊、劣化から保護され、出力が仕様を満たさない事態を防ぎます。

soc2-2017-pi-1-5-2

システム記録はアーカイブされ、アーカイブは盗難、破損、破壊、劣化から保護され、使用できなくなることがないようにします。

次のステップ