「Federal Information Security Management Act (FISMA)」レポート
このレポートには、サイトで見つかった FISMA に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
問題点
連邦情報セキュリティー・マネジメント法 (FISMA) は、米国連邦議会を通過し、電子政府法 (2002) の一部として大統領の署名によって法制化されました。これは、連邦政府の情報および資産を保護する包括的な方法を確実に行うためのフレームワークを提供します。FISMA コンプライアンスは、国家安全保障の問題であるため、政府の最高レベルで精査されます。この法令は、政府機関、請負業者、およびその他の組織が使用する情報および情報システムに適用されるため、従来のセキュリティー法よりも適用可能な範囲が広くなっています。政府機関の IT セキュリティー・プログラムは、連邦政府の情報を所有または使用するすべての組織に適用されます。言い換えれば、連邦政府機関の代理として連邦政府の情報システムを操作、使用、またはアクセスする組織であり、これには、請負業者、許可された者、州政府や地方自治政府、および産業パートナーが含まれます。したがって、連邦政府のセキュリティー要件を継続して適用する必要があり、政府機関には適切なセキュリティー管理を行う責任が生じます。連邦政府機関は、IT セキュリティー要件のコンプライアンスについて、年次レポートを毎年 10 月までに行政管理予算局 (OMB: Office of Management and Budget) に送信する必要があります。OMB は、このレポートを参考にして政府全体のセキュリティー・パフォーマンスを評価し、このレポートを連邦議会に提出する年次セキュリティー・レポートに発展させます。このようにして、政府機関のセキュリティー・パフォーマンスを向上させ、十分なレベルを維持させるのに役立ちます。また、大統領行政管理アジェンダ (President Management Agenda) で電子政府のスコアカードの作成を通知します。このレポートは、システムおよびプログラムの IT セキュリティーに関する年次レビューの結果、および政府機関が FISMA の掲げる目標およびマイルストーンを達成するために成し遂げた進捗について、要約している必要があります。
FISMA コンプライアンスでは、修復プランおよび既存リスクの両方について、政府機関のサイバー・セキュリティーに関する詳細なレポート作成および測定が必要です。組織内のすべての IT システムにおけるコンプライアンスを検証するには、政府機関の責任者が現在の FISMA コンプライアンス・ステータスについて正確なレポートを作成できるように、組織的なレポート作成および情報フローに加えて、包括的な妥当性テストおよび修復プランが必要です。
さまざまな IT システムについてのテストおよびレポート作成に必要な、集中型の IT 機能、および基本的なプロセスや手順を持たない組織は、このインフラストラクチャーを、時間という厳しいプレッシャーの下で、言い換えればわずかなミスも許されない状況下で、最初から構築しなければいけません。ほとんどの政府機関が、何千とまではいかなくとも、何百という IT/IS インフラストラクチャーから成るシステムを所有しています。この数が、コンプライアンスについてのレポート作成要件を厳しくさせ、最終的に FISMA コンプライアンスの違反の原因となります。制限された資金、および要件の誤った解釈と相まって、政府機関の多くは、悲惨なコンプライアンス状況に陥ってしまいます。
| 管理番号 | 制御 |
|---|---|
| AC-2(2) | 自動[選択範囲: 削除; [無効にする]一時的および緊急アカウントの [割り当て: アカウントタイプごとの組織定義の期間] の後。 |
| AC-4 | [割り当て: 組織で定義された情報フロー制御ポリシー] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された権限を強制します。 |
| AC-6 | 最小権限の原則を適用し、割り当てられた組織のタスクを実行するために必要なユーザー (またはユーザーに代わって動作するプロセス) に、許可されたアクセスのみを許可します。 |
| AC-7 a. | [割り当て: 組織で定義された時間] におけるユーザーによる連続無効ログオンの試行の制限を強制する[割り当て: 組織で定義された期間] |
| AC-10 | それぞれの[割り当て: 組織で定義されたアカウントおよび/またはアカウントタイプ] の同時セッション数を [割り当て: 組織で定義された数]に制限します。 |
| AC-12 | [割り当て: セッションの切断を必要とする組織で定義された条件またはトリガーイベント] の後にユーザーセッションを自動的に終了する |
| AC-17 | a.許可するリモートアクセスのタイプごとの使用制限、設定/接続要件、実装ガイドを確立し文書化する。 and b.システムへのリモートアクセスをそれぞれの方法で承認してから、接続してください。 |
| CM-7 | a.[割り当て: 組織で定義された重要な機能]のみを提供するようにシステムを設定します。 and b.次の機能、ポート、プロトコル、ソフトウェア、サービスの使用を禁止または制限: [割り当て: 組織で定義された禁止または制限する機能、システムポート、プロトコル、ソフトウェア、サービス] . |
| IA-2 | 組織のユーザーを固有に識別して認証し、その固有の ID をユーザーの代理として動作するプロセスに関連付けます。 |
| IA-4(1) | 個々のアカウントの公開識別子と同じシステムアカウント識別子の使用を禁止します。 |
| IA-5 | システムオーセンティケータを管理: a.初期認証文字配信の一部として、認証文字を受信する個人、グループ、ロール、サービス、デバイスの ID を確認する。 b.組織によって発行されたすべての認証文字用の初期認証文字コンテンツを確立する; c.オーセンティケータが、その意図した使用に対して十分な強度のメカニズムを持っていることを保証する; d.認証文字の初期配布、認証文字の紛失または破損または損傷した場合、認証文字の無効化のための管理手順を確立し、実装する; e.はじめて使用する前にデフォルトのオーセンティケータを変更する。 f.認証文字の変更/更新 [割り当て: 認証文字タイプ別の組織定義の期間]または いつ[割り当て: 組織定義のイベント]が発生します; g.認証コードのコンテンツを不正な開示と変更から保護する。 h.認証者を保護するための特定の制御を個人に要求し、デバイスに実装させる。 and i.グループまたはロールアカウントのメンバーシップが変更された場合のグループまたはロールアカウントの認証システムの変更 |
| RA-5 | a.システムとホストされているアプリケーションの脆弱性を監視およびスキャン[割り当て: 組織が定義した頻度および/または組織が定義したプロセスに従って無作為] 、およびシステムに影響を与える可能性がある新規脆弱性が識別され報告されたとき; b.脆弱性モニターのツールと手法を採用することで、ツール間の相互運用を容易にし、脆弱性管理プロセスの一部を自動化することができます。これには、以下の標準を使用します。
c.脆弱性スキャンレポートと脆弱性モニターの結果を分析; d.組織のリスク評価に従って、正規の脆弱性を修復する [割り当て: 組織で定義された応答時間] e.脆弱性監視プロセスと制御評価から取得した情報を[割り当て: 組織で定義された担当者またはロール]に共有し、他のシステムから同様の脆弱性を排除するために; and f.スキャンする脆弱性をすぐに更新する機能を含む脆弱性モニターツールを利用する。 |
| SC-5 | a. [選択: 保護する; [制限] ; 以下のタイプのサービス拒否イベントの効果: [割り当て: 組織で定義されたサービス拒否イベント] ; and b.サービス拒否の目的を達成するために、以下のコントロールを使用します: [割り当て: サービス拒否イベントのタイプごとの組織で定義されたコントロール] . |
| SC-8 | 保護[選択 (1 つ以上): 機密;送信された情報の完全性] |
| SC-13 | a.[割り当て: 組織定義の暗号使用] を決定します。 and b.特定された暗号用途それぞれに必要な以下のタイプの暗号を実装します: [割り当て: 組織が特定した暗号用途ごとに定義した暗号] . |
| SC-23 | 通信セッションの信頼性を保護します。 |
| SI-3.A | 実装[選択 (1 つ以上): 署名ベース; [非署名ベース]では、システムのエントリポイントとエグジットポイントに、不正なコードを検出して根絶するための、不正なコード保護メカニズムが組み込まれています。 |
| SI-3.B | 組織の構成管理のポリシーと手順に従い、新規リリースが利用可能になり次第、悪質コード保護メカニズムを自動的に更新します。 |
| SI-10 | 次の情報入力の有効性を確認してください: [割り当て: システムへの組織定義の情報入力] |
| SI-11.A | 不正利用の可能性がある情報を公開することなく、修正アクションに必要な情報を提供するエラーメッセージを生成します。 |