NIST 特別出版物 800-53 リビジョン 5.2.0 レポート
NIST Special Publication 800-53 Revision 5.2.0 のコンプライアンスレポートは、米国連邦情報システムに必要なセキュリティおよびプライバシーコントロールに対するウェブアプリのセキュリティを評価するのに役立ちます。
NIST 特別出版物 800-53 について
National Institute of Standards and Technology (NIST) は、Federal Information Security Management Act (FISMA) を満たすために、連邦情報システムのための標準とガイドラインを開発しています。NIST Special Publication 800-53 は、米国連邦情報システムおよび資産を保護するためのセキュリティおよびプライバシーコントロールのカタログを提供します。
- 情報システムのセキュリティカテゴリを決定する(FIPS 199 に従って)。
- NIST Special Publication 800-53 から適切なベースラインセキュリティコントロールを適用する。
- リスク評価を使用してコントロールセットを検証し、必要な追加コントロールを特定する。
AppScan の NIST コンプライアンスレポートは、これらのセキュリティコントロールに関連するウェブアプリケーションの潜在的な問題を検出するのに役立ちます。このレポートは、HIGH-IMPACT Information Systems ベースラインに基づいています。組織が低または中程度のコントロールベースラインを使用している場合、結果を調整する必要があるかもしれません。
対象となる情報
NIST Special Publication 800-53は、情報システムおよび組織のためのセキュリティおよびプライバシー管理策のカタログを提供します。これらの管理策は、組織の運営、資産、個人、その他の組織を多様な脅威やリスクから保護します。これらのリスクには、敵対的な攻撃、人為的なエラー、自然災害、構造的な失敗、外国の諜報活動、プライバシーリスクが含まれます。
管理策は柔軟でカスタマイズ可能であり、組織全体のリスク管理プロセスの一部として実施されます。これらは、ミッションやビジネスのニーズ、法律、規制、ポリシー、標準からの要件に対応します。
対象となる組織
- 行政機関。
- 行政機関の契約者。
- 行政機関を代表している他の組織。
これらのガイドラインは、適切な連邦当局によって承認されない限り、国家安全保障システムには適用されません。州、地方、部族、および民間部門の組織も、適切にこれらのガイドラインを使用することが奨励されています。
コンプライアンスと監査
- コンプライアンスが要求される
- 通常、機関は、管理予算局(OMB)またはNISTによって別途指示されない限り、発行日から1年以内にNISTの標準およびガイドラインに準拠することが期待されます。
- 規制当局と監査人
- FISMAに従い、OMBは、ITセキュリティの弱点が見つかったすべてのプログラムおよびシステムに対して、連邦機関が行動計画とマイルストーン (POA&M) レポートを作成することを要求しています。
NIST特別出版物800-53は脆弱性を報告します
以下の表は、AppScan Enterpriseが評価する特定のNIST特別出版物800-53の技術的セキュリティコントロールを一覧にしています。あなたのアプリで見つかった脆弱性は、これらのコントロールIDにマッピングされます。
| ID | 名前 (Name) |
|---|---|
| AC-2(2) | 選択: 削除; 無効化] 組織が定義した各アカウントタイプの時間経過後に一時的および緊急アカウントを自動的に。 |
| AC-4 | 組織が定義した情報フロー制御ポリシー] に基づいて、システム内および接続されたシステム間で情報の流れを制御するための承認を強制します。 |
| AC-6 | 最小特権の原則を採用し、割り当てられた組織のタスクを達成するために必要なユーザー(またはユーザーの代わりに行動するプロセス)にのみ許可されたアクセスを許可します。 |
| AC-7.a | 組織が定義した時間期間] 内にユーザーによる連続した無効なログオン試行の[組織が定義した数] の制限を強制します。 |
| AC-10 | 各[組織が定義したアカウントおよび/またはアカウントタイプ] の同時セッション数を[組織が定義した数] に制限します。 |
| AC-12 | 組織が定義した条件またはセッション切断を要求するトリガーイベント] 後にユーザーセッションを自動的に終了します。 |
| AC-17 | a.各タイプのリモートアクセスに許可される使用制限、構成/接続要件、および実装ガイダンスを確立し、文書化すること。および b.そのような接続を許可する前に、システムへの各タイプのリモートアクセスを承認すること。 |
| CM-7 | a.システムを構成して、[Assignment: organization-defined mission essential capabilities] のみを提供すること。および b.次の機能、ポート、プロトコル、ソフトウェア、および/またはサービスの使用を禁止または制限すること: [Assignment: organization-defined prohibited or restricted functions, system ports, protocols, software, and/or services]。 |
| IA-2 | 組織のユーザーを一意に識別し、これらのユーザーを代表して行動するプロセスにその一意の識別を関連付けること。 |
| IA-4(1) | 個別アカウントの公開識別子と同じシステムアカウント識別子の使用を禁止すること。 |
| IA-5 | システム認証情報を管理するには、次のことを行います: a.認証情報の初期配布の一環として、認証情報を受け取る個人、グループ、役割、サービス、またはデバイスの身元を確認すること; b.組織が発行する認証情報の初期内容を確立すること; c.認証情報がその使用目的に対して十分な強度のメカニズムを持っていることを確認すること; d.初期認証情報の配布、紛失または侵害または損傷した認証情報、および認証情報の取り消しのための管理手続きを確立し実施すること; e.初回使用前にデフォルトの認証情報を変更すること; f.認証情報を[Assignment: 組織が定義した認証情報の種類ごとの期間]または[Assignment: 組織が定義したイベント]が発生したときに変更または更新すること; g.認証情報の内容を不正な開示および改ざんから保護すること; h.個人に特定のコントロールを実施させ、デバイスに認証情報を保護するための特定のコントロールを実装させること; i.グループまたは役割アカウントのメンバーシップが変更されたときに認証情報を変更すること。 |
| RA-5 | a.システムおよびホストされたアプリケーションの脆弱性を監視し、スキャンする [Assignment: 組織が定義した頻度および/または組織が定義したプロセスに従ってランダムに]、およびシステムに影響を与える可能性のある新しい脆弱性が特定され報告された場合; b.ツール間の相互運用性を促進し、次の標準を使用して脆弱性管理プロセスの一部を自動化する脆弱性監視ツールと技術を採用する: 1.プラットフォーム、ソフトウェアの欠陥、不適切な構成の列挙; 2.チェックリストとテスト手順のフォーマット; 3.脆弱性の影響を測定する; c.脆弱性スキャンレポートと脆弱性監視からの結果を分析する; d.リスクの組織的評価に従って、正当な脆弱性を修正する [Assignment: 組織が定義した応答時間]; e.他のシステムで同様の脆弱性を排除するのに役立つように、脆弱性監視プロセスおよび制御評価から得られた情報を [Assignment: 組織が定義した人員または役割] と共有する; f.スキャンされる脆弱性を容易に更新する機能を含む脆弱性監視ツールを採用する。 |
| SC-5 | a. [Selection: 保護する; 制限する] 以下の種類のサービス拒否イベントの影響: [Assignment: 組織定義のサービス拒否イベントの種類]; および b.サービス拒否の目的を達成するために、以下のコントロールを採用する: [Assignment: サービス拒否イベントの種類ごとに組織定義のコントロール]。 |
| SC-8 | 送信情報の[Selection (one or-more): 機密性; 完全性]を保護する。 |
| SC-13 | a.Assignment: 組織定義の暗号利用]を決定する; および b.各指定された暗号利用に必要な以下の種類の暗号を実装する: [Assignment: 各指定された暗号利用のための組織定義の暗号の種類]。 |
| SC-23 | 通信セッションの真正性を保護する。 |
| SI-3.A | Selection (one or more): シグネチャベース; 非シグネチャベース] の悪意のあるコード保護メカニズムをシステムの入出力ポイントで実装し、悪意のあるコードを検出および根絶する。 |
| SI-3.B | 組織の構成管理ポリシーおよび手順に従って、新しいリリースが利用可能になったときに悪意のあるコード保護メカニズムを自動的に更新する。 |
| SI-10 | 以下の情報入力の有効性を確認する: [Assignment: システムへの組織定義の情報入力]。 |
| SI-11.A | 是正措置に必要な情報を提供し、悪用される可能性のある情報を明らかにしないエラーメッセージを生成する; |