NIST 特別刊行物 800-53 改訂 5 レポート

このレポートには、アプリケーションで検出された米国連邦情報・技術局 (NIST) の問題が表示されます。Web アプリケーションの脆弱性の多くは、直接的または間接的に個人情報のセキュリティー違反につながる可能性があり、規則違反と見なされる可能性があります。

問題点

NIST は、2002 年連邦情報セキュリティー最新化法 (FISMA) を実施する連邦機関を支援する、標準、ガイドライン、およびその他の文書を開発し、発行します。 これらの標準とガイドラインには、機関のすべての業務と資産に十分な情報セキュリティを提供するための最小要件が含まれますが、国家安全保障システムには適用されません。連邦情報処理規格 (FIPS) は、FISMA に従って NIST によって開発されたものです。FISMA からの要求により、連邦政府機関はこれらの標準に準拠する必要があります。ガイダンス文書および勧告は、NIST Special Publication (SP) 800 シリーズで発行されています。行政管理予算局 (OMB) のポリシーでは、国家のセキュリティー・プログラムおよびシステム以外については、各機関は NIST ガイダンスに従わなければならないことが明記されています。

連邦政府の情報および情報システムに対する最低限のセキュリティー要求事項 (FIPS 200) は、FISMA に対応して作成された、必須で適用免除不能な標準です。連邦標準に準拠するために、政府機関はまず連邦情報システムのセキュリティ分類の標準である FIPS 199 に従って情報システムのセキュリティ・カテゴリーを決定し、次に、NIST SP 800-53 の適切なベースライン・セキュリティ制御のセットを適用する必要があります。連邦政府機関のリスク評価は、機関の運営、機関の資産、または個人を保護するために追加の制御が必要かどうかを判別することで、セキュリティー管理セットを検証します。その結果のセキュリティー管理セットは、連邦政府機関および請負業者のための「セキュリティー・デュー・ディリジェンス」のレベルを設定します

政府機関は、 OMB または NIST から特に指示がない限り、この発行日から 1 年以内に NIST のセキュリティ標準とガイドラインに準拠することが期待されます。(NIST SP の改訂に対する 1 年間の順守期限は、新規または更新された資料にのみ適用されます。)
1. 規則の 14/20 セクションで検出された問題:
管理番号制御
AC-2(2)[割り当て: アカウントのタイプごとに組織で定義された期間] が経過すると、一時アカウントと緊急アカウントを自動的に [選択: 削除、無効化] します。
AC-4[割り当て: 組織で定義された情報フロー制御ポリシー] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された権限を強制します。
AC-6最小権限の原則を適用し、割り当てられた組織のタスクを実行するために必要なユーザー (またはユーザーに代わって動作するプロセス) に、許可されたアクセスのみを許可します。
AC-7 a.[割り当て: 組織で定義された時間] における、ユーザーによる [割り当て: 組織で定義された数] の連続無効ログオンの試行の制限を強制します。
AC-10[割り当て: 組織で定義されたアカウントまたはアカウント・タイプまたはその両方] の同時セッション数を [割り当て: 組織で定義された数] に制限します。
AC-12[割り当て: セッションの切断を必要とする組織で定義された条件またはトリガー・イベント] の後にユーザー・セッションを自動的に終了します
AC-17a.許可するリモート・アクセスのタイプごとの使用制限、設定/接続要件、実装ガイドを確立して文書化します。

b.システムへのリモート・アクセスをそれぞれの方法で承認してから、接続します。

CM-7a.[割り当て: 組織で定義されたミッションの重要な機能] のみを提供するようにシステムを設定します。

b.次の機能、ポート、プロトコル、ソフトウェア、サービスの使用を禁止または制限します: [割り当て: 組織で定義された禁止または制限する機能、システム・ポート、プロトコル、ソフトウェア、サービス]

IA-2組織のユーザーを固有に識別して認証し、その固有の ID をユーザーの代理として動作するプロセスに関連付けます。
IA-4(1)個々のアカウントの公開識別子と同じシステム・アカウント識別子の使用を禁止します。
IA-5システム認証コードを管理:

a.初期認証コード配信の一部として、認証コードを受信する個人、グループ、ロール、サービス、デバイスの ID を確認します。

b.組織によって発行されたすべての認証コード用の初期認証コード・コンテンツを確立します。

c.認証コードが、その意図した使用に対して十分な強度のメカニズムを持っていることを保証します。

d.認証コードの初期配布または認証コードの紛失、破損または損傷に対する認証コードの無効化のための管理手順を確立し、実装します。

e.はじめて使用する前にデフォルトの認証コードを変更します。

f.認証コードの変更/更新 [割り当て: 認証コード・タイプ別の組織が定義した期間] または [割り当て: 組織が定義したイベント] が発生した場合。

g.認証コードのコンテンツを不正な開示と変更から保護します。

h.認証コードを保護するための特定の制御を個人に要求し、デバイスに実装させます。

i.グループまたはロール・アカウントのメンバーシップが変更された場合のグループまたはロールアカウントの認証コードを変更します。

RA-5a.システムとホストされているアプリケーションの脆弱性を監視およびスキャンします [割り当て: 組織で定義された頻度または組織で定義されたプロセスに従った無作為な頻度]、およびシステムに影響を与える可能性がある新規脆弱性が識別され報告された場合。

b.次を目的とする標準を使用することにより、ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化する脆弱性監視ツールと技術を採用します。

  1. プラットフォーム、ソフトウェアの脆弱性、不適切な設定の列挙
  2. チェックリストとテスト手順の作成
  3. 脆弱性の影響の測定

c.脆弱性スキャン・レポートと脆弱性モニターの結果を分析します。

d.組織のリスク評価に従って、正規の脆弱性 [割り当て: 組織で定義された応答時間] を修復します。

e.脆弱性監視プロセスと制御評価から取得した情報を [割り当て: 組織で定義された担当者またはロール] に共有し、他のシステムの同様の脆弱性を排除します。

f.スキャンする脆弱性をすぐに更新する機能を含む脆弱性モニター・ツールを利用します。

SC-5a. サービス拒否イベントのタイプ [割り当て: サービス拒否イベントの組織で定義されたタイプ] の効果を [選択: 保護、制限] します。

b.サービス拒否の目的を達成するために、 [割り当て: サービス拒否イベントのタイプごとの組織で定義された制御] の制御を採用します。

SC-8送信された情報の [選択 (1 つ以上): 機密性、統合性] を保護します。
SC-13a.[割り当て: 組織が定義した暗号使用] を決定します。

b.特定された暗号使用それぞれに必要な次のタイプの暗号を実装します: [割り当て: 組織が特定した暗号使用ごとに定義した暗号]

SC-23通信セッションの信頼性を保護します。
SI-3.A悪意のあるコードを検出して根絶するために、システムの入口と出口に [選択 (1つ以上): 署名ベース、非署名ベース] の悪意のあるコード保護メカニズムを実装します。
SI-3.B組織の構成管理のポリシーと手順に従い、新規リリースが利用可能になり次第、悪意のあるコードの保護メカニズムを自動的に更新します。
SI-10情報入力 [割り当て: システムへの組織が定義した情報の入力] の有効性を確認します。
SI-11.A不正利用の可能性がある情報を公開することなく、修正アクションに必要な情報を提供するエラー・メッセージを生成します。