ITSG-33 業界標準レポート
ITSG-33 業界標準コンプライアンスレポートは、カナダ政府の IT セキュリティリスク管理フレームワークに対する Web アプリのセキュリティ評価に役立ちます。
ITSG-33 業界標準について
カナダ政府 (GC) の省庁は、事業活動を支援するために情報システムを使用しています。これらのシステムは、IT 資産の機密性、完全性、または可用性を侵害する可能性のある深刻な脅威にさらされることがよくあります。ITSG-33 標準は、継続的な運用の一環としてこれらの IT セキュリティリスクを管理するためのフレームワークを提供します。
このレポートは、Web アプリの安全な設計、開発、および運用のための関連するセキュリティ管理策に、アプリがどのように準拠しているかを示しています。
ITSG-33 のセキュリティ管理策は、次の 3 つのクラスに分類されます。
- 管理策は、IT セキュリティとリスクを管理するための活動に焦点を当てています。
- 技術策は、ハードウェア、ソフトウェア、およびファームウェアのメカニズムを通じて情報システムによって実装されます。
- 運用策は、人が実行するプロセスを通じて実装されます。
技術的セキュリティ管理策クラスには、次のファミリが含まれています。
- アクセス制御は、リソースへのユーザーアクセスを許可または拒否する機能をサポートします。
- 監査と説明責任は、ユーザー操作の監査記録を収集、分析、および保存する機能をサポートします。
- 識別と認証は、システムリソースにアクセスするユーザーの一意の識別と認証をサポートします。
- システムと通信の保護は、情報システムとその内部および外部通信の保護をサポートします。
対象組織
以下の組織は、ITSG-33 フレームワークを使用することが期待されています。
- カナダ政府の省庁および機関。
- Shared Services Canada (SSC) などの共有サービスおよび共通サービスプロバイダー。
- 機密性の高い連邦情報を処理する国営企業および連邦規制機関。
- 連邦機関に IT ソリューションを提供するサードパーティベンダーおよび請負業者。
ITSG-33 業界標準レポートの脆弱性
次の表は、評価される特定の ITSG-33 技術的セキュリティ管理策を示しています。アプリで見つかった脆弱性は、これらの管理策 ID にマッピングされます。
| ID | 名前 |
|---|---|
| AC-3 | 情報システムは、適用可能なアクセス制御ポリシーに従って、情報およびシステムリソースへの論理アクセスの承認された権限を強制します。 |
| AC-4 | 情報システムは、適用可能な情報フロー制御ポリシーに従って、システム内および相互接続されたシステム間の情報のフローを制御するための承認された権限を強制します。 |
| AC-5.A.c | 組織は、職務分掌をサポートするために情報システムのアクセス権限を定義します。 |
| AC-6 | 情報システムは、ユーザーが割り当てられたタスクを遂行するために必要な最も制限された権利と特権のセットを強制します。 |
| AC-7.A | 情報システムは、一定期間内のユーザーによる連続した無効なログオン試行の制限を強制します。 |
| AC-7.B | 情報システムは、失敗した試行の最大数を超えた場合、アカウントを自動的にロックするか、次のログオン試行を遅延させます。 |
| AC-10 | 情報システムは、各アカウントの同時セッション数を組織が定義した数に制限します。 |
| AC-11.A | 情報システムは、定義された非アクティブ期間の後、またはユーザーからの要求を受信したときにセッションロックを開始することにより、システムへのさらなるアクセスを防止します。 |
| AC-11.B | 情報システムは、ユーザーが確立された識別および認証手順を使用してアクセスを再確立するまで、セッションロックを保持します。 |
| AC-12 | 情報システムは、組織が定義した条件または非アクティブ期間の後、ユーザーセッションを自動的に終了します。 |
| AC-17.A | 組織は、許可される各タイプのリモートアクセスについて、使用制限、構成要件、接続要件、および実装ガイダンスを確立し、文書化します。 |
| AC-18.A | 組織は、情報システムへのワイヤレスアクセスについて、使用制限、構成要件、接続要件、および実装ガイダンスを確立します。 |
| IA-2 | 情報システムは、組織のユーザー(またはユーザーに代わって動作するプロセス)を一意に識別し、認証します。 |
| IA-4.D | 組織は、組織が定義した非アクティブ期間の後、情報システムの識別子を無効にします。 |
| IA-5.C | 情報システムは、認証子に対して最小限のパスワード複雑性要件を強制します。 |
| IA-5.E | 情報システムは、指定された世代数の間、パスワードの再利用を禁止します。 |
| IA-5.F | 情報システムは、パスワードの最小および最大有効期間の制限を強制します。 |
| IA-5.G | 情報システムは、暗号化メカニズムを使用して、認証子の内容を不正な開示や変更から保護します。 |
| IA-5.H | 情報システムは、送信中の認証子の内容を不正な開示から保護します。 |
| IA-6 | 情報システムは、認証プロセスの間、認証情報のフィードバックを隠蔽し、情報の不正使用を防ぎます。 |
| IA-7 | 情報システムは、暗号化接続を確立する前に、暗号化モジュールに対して認証するメカニズムを実装します。 |
| SA-18 | 情報システムは、ソフトウェア、ファームウェア、およびハードウェアコンポーネントへの不正な変更を防止および/または特定するために、耐タンパー性および検出メカニズムを実装します。 |
| SC-5 | 情報システムは、サービス拒否攻撃から保護するか、その影響を制限します。 |
| SC-6 | 情報システムは、システムプロセスに優先順位を割り当て、リソースの競合下で優先度の高いプロセスが優先的に処理されるようにすることで、リソースの可用性を保護します。 |
| SC-7.A | 情報システムは、システムの外部境界およびシステム内の主要な内部境界における通信を監視および制御します。 |
| SC-8 | 情報システムは、送信される情報の機密性と完全性を保護します。 |
| SC-12 | 情報システムは、サポート手順を備えた自動メカニズムを使用して、暗号化キーを確立および管理します。 |
| SC-13 | 情報システムは、情報の不正な開示を防ぎ、情報の変更を検出するために、暗号化メカニズムを実装します。 |
| SC-20.A | 情報システムは、外部の名前/アドレス解決クエリへの応答として返される信頼できる名前解決データとともに、追加のデータ発信元認証および完全性検証アーティファクトを提供します。 |
| SC-23 | 情報システムは、通信セッションの真正性を保護します。 |
| SC-28 | 情報システムは、保存されている情報の機密性と完全性を保護します。 |
| SI-2.A | 組織は、情報システムの欠陥をタイムリーに特定、報告、および修正します。 |
| SI-3.A | 組織は、システムの入り口/出口ポイントおよびエンドポイントで悪意のあるコード保護メカニズムを採用し、悪意のあるコードを検出および排除するためにメカニズムと署名を最新の状態に保ちます。 |
| SI-10 | 情報システムは、情報の入力の有効性をチェックし、正確性、完全性、および真正性を確認します。 |
| SI-11.A | 情報システムは、悪用される可能性のある機密情報を明らかにすることなく、是正措置に必要な情報を提供するエラーメッセージを生成します。 |