ITSG-33業界標準レポート
ITSG-33業界標準コンプライアンスレポートは、カナダ政府のITセキュリティリスク管理フレームワークに対するウェブアプリのセキュリティを評価するのに役立ちます。
ITSG-33業界標準について
カナダ政府(GC)の各部門は、ビジネス活動を支援するために情報システムを使用しています。これらのシステムは、IT資産の機密性、完全性、または可用性を損なう可能性のある深刻な脅威にさらされることがよくあります。ITSG-33標準は、継続的な運用の一環としてこれらのITセキュリティリスクを管理するためのフレームワークを提供します。
このレポートは、ウェブアプリの安全な設計、開発、および運用に関連するセキュリティコントロールにどのように準拠しているかを示します。
ITSG-33のセキュリティコントロールは、3つのクラスに分類されています:
- 管理コントロールは、ITセキュリティとリスクを管理するための活動に焦点を当てています。
- 技術的コントロールは、ハードウェア、ソフトウェア、およびファームウェアのメカニズムを通じて情報システムによって実装されます。
- 運用コントロールは、人々が実行するプロセスを通じて実装されます。
技術的セキュリティコントロールクラスには、次のファミリーが含まれます:
- アクセスコントロールは、リソースへのユーザーアクセスを許可または拒否する能力をサポートします。
- 監査と説明責任は、ユーザー操作の監査記録を収集、分析、および保存する能力をサポートします。
- 識別と認証は、システムリソースにアクセスするユーザーの一意の識別と認証をサポートします。
- システムおよび通信の保護は、情報システムとその内部および外部の通信の保護をサポートします。
対象となる組織
以下の組織は、<uicontrol>ITSG-33</uicontrol>フレームワークを使用することが期待されています:
- カナダ政府の省庁および機関。
- <uicontrol>Shared Services Canada (SSC)</uicontrol> などの共有サービスおよび共通サービスプロバイダー。
- 機密の連邦情報を処理するクラウンコーポレーションおよび連邦規制機関。
- 連邦機関にITソリューションを提供するサードパーティのベンダーおよび契約者。
<uicontrol>ITSG-33</uicontrol>業界標準レポートの脆弱性
以下の表は、評価される特定の<uicontrol>ITSG-33</uicontrol>技術的セキュリティコントロールを一覧にしています。アプリで見つかった脆弱性は、これらのコントロールIDにマッピングされます。
| ID | 名前 (Name) |
|---|---|
| <uicontrol>AC-3</uicontrol> | 情報システムは、適用されるアクセス制御ポリシーに従って、情報およびシステムリソースへの論理アクセスのための承認を強制します。 |
| <uicontrol>AC-4</uicontrol> | 情報システムは、適用される情報フロー制御ポリシーに従って、システム内および相互接続されたシステム間の情報の流れを制御するための承認を強制します。 |
| <uicontrol>AC-5.A.c</uicontrol> | 組織は、職務分離をサポートするための情報システムアクセス承認を定義します。 |
| <uicontrol>AC-6</uicontrol> | 情報システムは、ユーザーが割り当てられたタスクを達成するために必要な最も制限された権利と特権のセットを強制します。 |
| <uicontrol>AC-7.A</uicontrol> | 情報システムは、特定の期間内にユーザーによる連続した無効なログオン試行の制限を強制します。 |
| AC-7.B | 情報システムは、最大数の失敗した試行が超えた場合にアカウントを自動的にロックするか、次のログオン試行を遅延させます。 |
| AC-10 | 情報システムは、各アカウントの同時セッション数を組織が定義した数に制限します。 |
| AC-11.A | 情報システムは、定義された非活動期間後またはユーザーからの要求を受け取った後にセッションロックを開始することにより、システムへのさらなるアクセスを防ぎます。 |
| AC-11.B | 情報システムは、ユーザーが確立された識別および認証手順を使用してアクセスを再確立するまで、セッションロックを保持します。 |
| AC-12 | 情報システムは、組織が定義した条件または非活動期間後にユーザーセッションを自動的に終了します。 |
| AC-17.A | 組織は、許可された各タイプのリモートアクセスに対する使用制限、構成要件、接続要件、および実装ガイダンスを確立し、文書化します。 |
| AC-18.A | 組織は、情報システムへのワイヤレスアクセスに対する使用制限、構成要件、接続要件、および実装ガイダンスを確立します。 |
| IA-2 | 情報システムは、組織のユーザー(またはユーザーの代わりに行動するプロセス)を一意に識別し、認証します。 |
| IA-4.D | 組織は、組織が定義した非活動期間後に情報システム識別子を無効にします。 |
| IA-5.C | 情報システムは、認証者のための最低限のパスワードの複雑性要件を強制します。 |
| IA-5.E | 情報システムは、指定された世代数のパスワードの再利用を禁止します。 |
| IA-5.F | 情報システムは、パスワードの最小および最大の有効期間の制限を強制します。 |
| IA-5.G | 情報システムは、暗号化メカニズムを使用して、認証者の内容を不正な開示および変更から保護します。 |
| IA-5.H | 情報システムは、送信中の認証者の内容を不正な開示から保護します。 |
| IA-6 | 情報システムは、認証プロセス中に認証情報のフィードバックを隠し、不正使用から情報を保護します。 |
| IA-7 | 情報システムは、暗号化接続を確立する前に暗号モジュールに認証するためのメカニズムを実装します。 |
| SA-18 | 情報システムは、ソフトウェア、ファームウェア、およびハードウェアコンポーネントへの不正な変更を防止および/または識別するための改ざん耐性および検出メカニズムを実装します。 |
| SC-5 | 情報システムは、サービス拒否攻撃の影響を防止または制限します。 |
| SC-6 | 情報システムは、システムプロセスに優先順位を割り当て、リソース競合の際に高優先度のプロセスが優先的に処理されるようにすることで、リソースの可用性を保護します。 |
| SC-7.A | 情報システムは、システムの外部境界およびシステム内の重要な内部境界での通信を監視および制御します。 |
| SC-8 | 情報システムは、送信された情報の機密性と完全性を保護します。 |
| SC-12 | 情報システムは、支援手順を伴う自動化されたメカニズムを使用して暗号鍵を確立し、管理します。 |
| SC-13 | 情報システムは、情報の無許可の開示を防ぎ、情報の変更を検出するために暗号メカニズムを実装します。 |
| SC-20.A | 情報システムは、外部の名前/アドレス解決クエリに応答して返される権威ある名前解決データと共に、追加のデータ起源認証および完全性検証アーティファクトを提供します。 |
| SC-23 | 情報システムは、通信セッションの真正性を保護します。 |
| SC-28 | 情報システムは、保存されている情報の機密性と完全性を保護します。 |
| SI-2.A | 組織は、情報システムの欠陥を特定し、報告し、タイムリーに修正します。 |
| SI-3.A | 組織は、システムの入出力ポイントおよびエンドポイントで悪意のあるコード保護メカニズムを採用し、悪意のあるコードを検出して根絶するためにメカニズムとシグネチャを最新の状態に保ちます。 |
| SI-10 | 情報システムは、情報入力の正確性、完全性、および真正性を確認します。 |
| SI-11.A | 情報システムは、悪用される可能性のある機密情報を明らかにすることなく、是正措置に必要な情報を提供するエラーメッセージを生成します。 |