FAQ

工程ポスト (1)

 「工程ポスト」自体はハードウェアです。「作業進捗見える化ツール」がソフトウェア製品となります。

 IT導入補助金ではハードウェアは対象になりません。本システムをお使いいただくには、ソフトウェアの「作業進捗見える化ツール」とハードウェアの「工程ポスト」の両方を組み合わせてご購入いただく必要があります。その場合、IT導入補助金の申請対象に出来るのはソフトウェア(および導入に関するサポート作業)のみとなります。

ビジネスとサービス (44)
2018年8月14日に法律化されたNISTスモールビジネスサイバーセキュリティ法により、NISTは中小企業もつサイバーセキュリティリスクを特定、評価、管理、削減することに対する懸念に対応するのを支援するために、明確かつ簡潔な資源を普及させるよう指示されました。

サイバーセキュリティは、ビジネスの基本として極めて重要です。サイバーセキュリティは、毎年、失われた収益および生産性の損失という観点で、大変規模の大きなビジネスコスになります。評判の悪化および顧客の信頼の喪失は、中小企業に長期的な損害をもたらす可能性があります。

“IT製品の有するセキュリティ機能について、主に政府調達などにおいて調達者が求めるセキュリティの要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価認証を行う制度です。概要については、評価認証制度概要(JISEC)を参照してください。

“ISO/IEC 27001は、組織における情報セキュリティマネジメントシステム(ISMS)適合性評価規格です。ISO/IEC 27001認証機関の審査員が組織におけるセキュリティ管理について規格に基づき審査を行い、認証を行います。
ISO/IEC 15408認証製品を適切に運用することで、セキュリティリスクの低減に寄与することが可能です。
ISO/IEC 15408は、製品のセキュリティ評価基準として定められた規格です。製品のセキュリティ評価において製品の企画・設計・製造・配付・設置・運用といった製品ライフサイクルにわたる評価が行われます。ライフサイクルにおいて、ISO/IEC 27001に適合したマネジメントシステムが安全なセキュリティ製品の提供に寄与することが可能です。”

評価(機関)は対象となる製品に対し実際の評価を行い、認証(機関)は評価結果に対し認証を行います。
評価では、IT製品のセキュリティ機能の妥当性・正確性をIT及びセキュリティの専門的な知識をもって検査します。認証ではその評価項目が評価基準に沿ってなされたか、つまり特定の側面だけが深くあるいは網羅性のみで技術的に浅い評価が行われることなく、特定された評価保証に見合ったバランスのよい評価が行われたことを確認します。”

“期間は、評価対象の規模や評価保証レベル(EAL)によって異なるため一概には言えませんが、短いもので 4~6ヶ月、長い場合は12ヶ月以上かかることもあります。認証調達の要件等になっている場合などは、予め期日にむけたスケジュールを評価開始時に調整する必要があります。
特に評価する製品の技術分野について専門的な知識を持つ評価機関を選択することは、評価の期間に大きくかかわってきます。評価機関の選択に当たっては、対象となる技術分野の専門家を伴い評価機関を訪問し、人材や設備の確認をすべきです。
費用は、評価対象の規模や現開発プロセスの状況などに応じて、また評価機関のサービス内容によって異なります。評価費用とそのサービス内容については、各評価機関にお問い合わせください。”

評価の対象となるものは、「保護するべき資産(情報)」、「対抗すべき脅威(攻撃)」、 「適用すべき環境」が具体化できるものでなければなりません。

セキュリティ評価では、機能テストは一部の側面でしかありません。IT 製品だけではなく、その開発で使用した設計文書やテスト関連の文書、利用者や管理者ガイダンス、実際の開発現場におけるセキュリティ維持のための手順書や実施証拠資料(各種ログや承認書など)も評価の対象となります。また、そのレベルによって評価範囲深さが異なりますので、これらの必要な資料類も異なります。
いずれもセキュリティを確保するために必要な資料であり、評価のために別途作成されるものではありません。該当する資料へのインデックスを評価者に示していただければいいものです。もし評価に必要な資料がないとすれば、それは必要とされるべき手順や記録が欠落していたことを意味します。”

“暗号化または復号に使う鍵が何ビットあるかを鍵の長さと言います。鍵を長くすると安全性は向上しますが、暗号化・復号が遅くなるという欠点があります。
また、暗号化の方法によっても鍵の長さが異なります。共通鍵暗号で用いる鍵の長さは、40ビットから 128ビット程度です。公開鍵暗号では 100ビット程度から 2,048ビットまで様々な長さの鍵が用いられます”

“一般的に鍵の選択の余地が多いほど、解読が難しくなります。例えば、鍵の選択が 10個しかないと、総当たりでも 10回試せば必ず解読に成功できるわけです。ですから、鍵の選択の余地が多いことが重要です。一般的に鍵が長いほど暗号の強度が増加します。
また、アルゴリズムによっても暗号の強度が異なります。安全なアルゴリズムは、公開されたアルゴリズムでかつ解読時間を短縮するような欠陥が発見されていないアルゴリズムです。”

暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判らなくするためのものです。例えば、文章を暗号化するときは、まず始めに文章を数字で表現します。そしてそれを一定の規則に従って変換していくわけですが、規則が皆同じだと誰でも暗号文を復号する(元に戻す)ことが出来てしまいます。それを避けるには、変換するときの規則を変えれば良い訳で、暗号の鍵はそのためのものです。現在の暗号の鍵は通常ビットで表現されています。

1970年代に全く新しい暗号方式が考え出されました。それが、公開鍵暗号方式です。共通鍵暗号方式では暗号化する人と復号する人が同じ鍵を使いましたが、公開鍵暗号方式では暗号化する鍵と復号する鍵が異なっているのが大きな特徴です。この方式は一方の鍵を公開しても、もう一方の鍵が計算できないという画期的なものです。このことにより、共通鍵暗号方式のように当事者間ごとに鍵を作成する必要がなくなり、公開鍵を使うことで多くの鍵を作成したり管理したりしなくてすむという利便性があります。

DFARS条項252.204-7012は、市販品の獲得のための連邦調達規則(FAR)パート12の手続を使っているものを含めて、すべての約定および契約において必要とされています。なお、本条項は汎用の市販品(COTS)のみの取得に関する約定および契約には必要とされていません。COTSとは、ある程度以上の量が一般市場で販売されており、 仕様変更等がなく、そのままの形態で契約または下請けから政府に提供されるものです。
なお、商用品の中には、一般市場で入手可能ではありますが、政府要件に適合するように変更することもできるようなCOTSもあります。もし、その商用品に対して政府の要件を満たすように変更する必要がある場合は、 注意が必要です。”

DFARS条項252.204-7012の要件は変更なしに下請事業者に展開することになります。252.204-7012(m)(1)に基づき、主契約事業者は、下請事業者の業務遂行に必要な情報が、引き続き本節に基づく対応を必要とするCDIであるかどうか、を決定しなくてはなりません。DoDの重点は、保護を必要とする情報に対する意図的な管理にあります。主契約事業者は、保護が必要となる情報の下請事業者への提供を最小限に抑えねばなりません。
下請事業者に管理策の徹底を求める(フローダウン)条項は連邦政府との契約上の要件で、これらの契約要件に適合させる結果として主契約事業者によって遂行されるべきものです。下請事業者が、252.204-7012の要件に適合させることに合意しない場合は、CUIはその下請事業者の情報システムに提供することは出来ません。)”

DFARSは一般的に米国の契約事業者のために書かれており、外国のパートナー/下請け関係によって導入される複雑な状況については考慮していません。サイバーインシデントのDoDへの直接的な報告、DoDへのマルウェアとメディアの提出、情報や機器へのアクセスを提供するなどの領域についてはDFARS条項252.204-7012の要件と相手国の既存の合意/国内法との間でいくつかの潜在的な矛盾が確認されています。現在、OUSD(国防次官 Office of the Under Secretary of Defense : A&S)、OUSD(R&E)、およびDoD CIOは、OUSD(政策)のもとで、国防技術セキュリティ管理局(DTSA)と協力し、これらの潜在的な矛盾を国別に解決し、国内法の中でこの規則をどのように実施するかについて、米国の契約事業者に指針を提供すべく作業中です。

“いいえ、本規則による新たな管理監督の枠組みは作成されません。
DFARSの252.204-7012の準拠規定は、契約事業者/下請事業者が本条項のすべての要件に適合することを求めています。契約書に署名することにより、契約事業者は契約条件を遵守することを同意したことになります。もし、これらの要件に関する管理監督が必要であると考えられた場合は、既存のFARおよびDFARS範囲内で遂行されるか、追加要件を契約条件に追加することもできます。
システムセキュリティ計画書(SSP)およびそれに伴う実装計画あるいは緩和策に関する実施計画書(PoA)がNIST SP 800-171におけるセキュリティ要件の実装または実装計画を実証します。なお、現在整備中のCMMCに基づく調達体制では認証を行うべく現在準備が行われています。”

“第三者評価または認証certification)は、DoDによる要求も、認定(authorized)も、承認もされていません。契約書に署名することにより、契約事業者は契約条件を遵守することに同意したことになります。
CDIを保護する上で 、サイバーセキュリティに関する専門知識が限られている企業では、自社でNIST SP 800-171の要件にどのように適合させ実装するのが良いかを決定する際に、外部の支援を求めることもありましょう。しかし、企業が要件を一度実装した後は、NIST SP 800-171に準拠しているかどうかについて第三者の評価または認証を受ける必要はありません。これについても、現在準備が進められているCMMCに基づく調達体制では、第三者による認証が必要となります。”

DFARS規則には、契約事業者が要求されたセキュリティ要件の実装状況を政府が監視するための独自の要件または追加要件を追加していません。これらの要件における契約事業者の適合性については、既存の一般的に適用される契約事業者のコンプライアンス監視メカニズムの対象になります。具体的には
- 契約事業者が適切なシステムセキュリティ計画書(SSP)とそれに伴う実施計画書(PoA)を持っていることを確認します。
- 契約事業者がサイバーインシデント報告するために必要なDoDで承認された外部認証局(ECA)発行の中位保証レベルの公開鍵基盤(PKI)証明書を所持していることを確認します。
- 必要に応じて、管轄政府機関および契約事業責任者との調整の上、政府の外部評価チームを、適用可能な契約事業者施設に送り込みます。”

主契約事業者(プライム(最上位)コントラクター)は、本規則のフローダウン要件を実施する責任があります。主契約事業者は、下請事業者を評価または監査するために通常用いているどのような仕組みを用いることもできます。

発注者側に基本的に責任があります。契約事業者が契約の履行に際して開発したCUIについて、マークするように作業書(契約データ要件リストなどの)によるなどにより、契約書、作業指示書、または物品引き渡し指図書に要件を含むことを保証しなくてはなりません。主契約事業者は、サプライチェーン全体にわたるCUI保護責任があります。

CUIは、法、規則、または政府全体のポリシーによって保護または配布管理が求められている情報です。CUIレジストリには承認済のCUI区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本basicCUI」と「特定(specified)CUI」に分けて説明されています:

基本CUI」とは、法、規則、または政府全体のポリシーにおいて特別な保護が示されていないすべてのCUIです。この場合、非連邦政府の情報システム上のCUI秘匿性保護するために政府機関がセキュリティ要件を定めるにはNIST SP 800-171を用いなければなりません。

「特定CUI」は、それを管理する権限者によって要件とされるか、あるいは許可された特定の管理要件を含むCUIのタイプを認めています。「特定CUI」として参照される必須/許可された管理要件は主としては、たとえば、官民間での管理対象非機密技術情報(CTI)の配布管理です。既知の例外の一つはHIPAAデータで、NIST SP800- 171の範囲を超えて拡張する追加的保護(HIPAAセキュリティ規則集第45巻パート160)を要件としています。

CUIレジストリ(www.archives.gov/cui/registry/category-list.html)には承認済のCUI区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本basicCUI」と「特定(specified)CUI」に分けて説明されています:

「情報システムおよび/またはその中に存在する情報に対する危殆化または実際のまたは潜在的な悪影響」と定義されている。

潜在的な悪影響の例としては、(例えば、アンチウィルスまたはエンドポイント保護によって)ブロックされていない契約事業者の情報システムまたはネットワーク上におけるマルウェアの発見です。そのケースでは、何らかのメカニズムを介してマルウェアが配信されており、CDIが影響を受けた可能性があるかもしれません

契約事業者が管理対象契約事業者システムまたはその中に存在するCUIに影響を及ぼすサイバーインシデントを発見した場合に報告が必要です 。報告する場合、契約事業者はDIBNetポータル(https://dibnet.dod.mil)にアクセスし、インシデントコレクションフォーマット(ICF:インシデント報告様式)の各項目を完成させることになります。この様式にアクセスするためにはDoDに承認された中位保証レベルの公開鍵基盤(PKI)電子証明書を必要とします。

サイバーインシデントが検出された場合、契約事業者/下請事業者は、検出から72時間以内に、DIBNetポータル(https://dibnet.dod.mil)に報告する必要があります。契約事業者/下請事業者が、報告時にインシデントコレクションフォーム(ICF)で必要とされるすべての情報を持っていない場合、追加情報が入手可能になった時点で、契約事業者/下請事業者は追加された情報に関する継続(follow-on)報告を提出する必要があります。

すべての要件(基本派生の両方)は個別に満たされなければなりません。NIST SP 800-171のセクション2.2で説明されているように、基本要件はFIPS 200「連邦政府情報と情報システムの最小セキュリティ要件」に、および派生要件はNIST SP 800-53連邦政府の組織および情報システムのセキュリティおよびプライバシー管理策」に由来しています。FIPS 200の要件は最も基本的な要件であるため、NISTはそれらを基本要件として参照しています。しかしながら、FIPS 200は「最小要件」のセットであるため、CDIの「中位Moderate)」影響レベルで保護するには不十分であることが多い。したがって、基本要件が「中位」の要件を完全には満たしていない場合、NIST SP 800-53の「中位」ベースラインから関連する管理策が特定され、NIST SP 800-171派生要件として識別されます

NIST SP 800-171 rev.1の「システム」の定義は語彙上の観点からは「情報システム」の定義と何も変わっていません。rev.1のページⅳにあるグレー表示された枠内の注記のとおり、セキュリティ要件は、汎用情報システムだけでなく、可能であれば、専用の情報システム(例えば、産業制御システム、医療システム、製造システム)にも適用されます。これは変更ではありません。これらの専用システムについては、NIST SP 800-171最初のバージョン(第3章、第8章の脚注18)でも取り上げられています。

NIST SP800-171は、CUIを処理、蓄積、通信するために新たなシステムの開発または導入を必要とするのではなく、契約事業者がすでに保有しているシステムおよび運用手続を用いて要件に適合させることを可能にする意図により、実効ベースの要件を用いて作成されました。
NIST SP800-171における大部分の要件は、ポリシー、運用手続き、およびITセキュリティを構成することになっていますが、他はセキュリティ関連のソフトウェアまたは追加のファイアウォールなどハードウェアを必要としています。
多要素認証要件(3.5.3)を除けば、一般的には追加のソフトウェアまたはハードウェアは必要とされていません。”

契約事業者が、求められる管理策が必要でないかあるいは代替的な管理策とすることができるのではないかと提案することを認めています。

可搬型記憶装置NISTの用語)は情報システムに組み入れたり取り外したりできる情報システムのコンポーネント(構成要素)であり、データまたは情報(例えばテキスト、ビデオ、オーディオ、イメージデータ)を格納するために使われるものです。そのようなコンポーネントは、一般に、磁気、光学式、または半導体の機器(例えば、フロッピーディスク、コンパクト/ディジタルビデオディスク、フラッシュ/サムドライブ、外付けハードディスクドライブ、およびフラッシュメモリカード/ドライブなどの不揮発メモリー)として実装されます。

(情報システムに対する多要素認証では、①あなたが知っているもの(例えば、パスワードなど);②あなたが持っているもの(例えば、フォブのようなワンタイムパスワード生成デバイス、スマートカード、スマートフォンのモバイルアプリなど);および③あなた自身のなにか(例えば、指紋や虹彩のようなバイオメトリック)を含む2つまたはそれ以上の認証方法を使用します。

以前の認証メッセージを再生することにより、認証を成功させることができないならば、認証プロセスはリプレイ攻撃に耐えるといえます。

CMMCは「Cyber​​security Maturity Model Certification」の略です。CMMCは、「基本的なサイバーセキュリティ衛生」から「高度/進歩的」までの範囲の複数の成熟度レベルを網羅します。CMMCを国防連邦調達規制補足DFARS)に組み込んで、契約裁定の要件として使用することを目的としています。

国防総省は、防衛産業のサイバーセキュリティ態勢を評価および強化するために、新しいCMMCフレームワークへの移行を計画しています。CMMCは、適切なレベルのサイバーセキュリティの実践とプロセスが確実に行われるようにする検証メカニズムとして機能し、基本的なサイバーセキュリティ環境を確保するとともに、業界パートナーのネットワークに存在する管理されたCUI保護することを目的としています。

CMMCレベル1〜3には、NIST SP 800-171 rev1で指定されている110のセキュリティ要件が含まれています。CMMCは、NIST SP 800-53、Aerospace Industries Association(AIA)National Aerospace Standard(NAS)9933「Cyber​​ Defenseにおける効果的な機能のための重要なセキュリティ管理」、 Computer Emergency Response Team(CERT)Resilience Management Model(RMM)v1.2など、他の標準、リファレンス、ソースからの追加のプラクティスとプロセスを組み込んでいます。

NIST SP 800-171とは異なり、CMMCモデルには5つのレベルがあります。各レベルは、実践とプロセス、および下位レベルで指定されたもので構成されます。企業のサイバーセキュリティ慣行の評価に加えて、CMMCは企業のサイバーセキュリティプロセスの制度化も評価します。

“非営利の独立した組織であるCMMC認定機関(AB)は、CMMC第三者評価機関(C3PAO)と個々の評価者を認定します。CMMC ABは、Webサイト(www.cmmcab.org)で必要な情報と更新を提供します。
CMMC ABは、承認されたC3PAOのリストおよびその他の情報を含むCMMCマーケットプレイスを確立する予定です。その後、防衛産業は承認されたC3PAOの1つを選択し、特定のレベルのCMMC評価をスケジュールすることができます。”

通常、CMMC証明書は3年間有効です。

COTS製品のみを製造している会社でない限り、CMMC証明書を取得する必要があります。CMMC証明書のレベルは、元請業者から流された情報の種類と性質によって異なります。

国防総省が情報要求(RFI)と提案要求(RFP)で必要なCMMCレベルを指定します。

“企業がCUIを扱わずFederal Contract Information (FCI)を扱う場合でも、CMMCレベル1の取得を要求されます
単にCOTS製品を作る会社はCMMC認定を必要としません。”

基礎知識(情報セキュリティABC) (12)

“暗号化または復号に使う鍵が何ビットあるかを鍵の長さと言います。鍵を長くすると安全性は向上しますが、暗号化・復号が遅くなるという欠点があります。
また、暗号化の方法によっても鍵の長さが異なります。共通鍵暗号で用いる鍵の長さは、40ビットから 128ビット程度です。公開鍵暗号では 100ビット程度から 2,048ビットまで様々な長さの鍵が用いられます”

“一般的に鍵の選択の余地が多いほど、解読が難しくなります。例えば、鍵の選択が 10個しかないと、総当たりでも 10回試せば必ず解読に成功できるわけです。ですから、鍵の選択の余地が多いことが重要です。一般的に鍵が長いほど暗号の強度が増加します。
また、アルゴリズムによっても暗号の強度が異なります。安全なアルゴリズムは、公開されたアルゴリズムでかつ解読時間を短縮するような欠陥が発見されていないアルゴリズムです。”

暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判らなくするためのものです。例えば、文章を暗号化するときは、まず始めに文章を数字で表現します。そしてそれを一定の規則に従って変換していくわけですが、規則が皆同じだと誰でも暗号文を復号する(元に戻す)ことが出来てしまいます。それを避けるには、変換するときの規則を変えれば良い訳で、暗号の鍵はそのためのものです。現在の暗号の鍵は通常ビットで表現されています。

1970年代に全く新しい暗号方式が考え出されました。それが、公開鍵暗号方式です。共通鍵暗号方式では暗号化する人と復号する人が同じ鍵を使いましたが、公開鍵暗号方式では暗号化する鍵と復号する鍵が異なっているのが大きな特徴です。この方式は一方の鍵を公開しても、もう一方の鍵が計算できないという画期的なものです。このことにより、共通鍵暗号方式のように当事者間ごとに鍵を作成する必要がなくなり、公開鍵を使うことで多くの鍵を作成したり管理したりしなくてすむという利便性があります。

基本CUI」とは、法、規則、または政府全体のポリシーにおいて特別な保護が示されていないすべてのCUIです。この場合、非連邦政府の情報システム上のCUI秘匿性保護するために政府機関がセキュリティ要件を定めるにはNIST SP 800-171を用いなければなりません。

「特定CUI」は、それを管理する権限者によって要件とされるか、あるいは許可された特定の管理要件を含むCUIのタイプを認めています。「特定CUI」として参照される必須/許可された管理要件は主としては、たとえば、官民間での管理対象非機密技術情報(CTI)の配布管理です。既知の例外の一つはHIPAAデータで、NIST SP800- 171の範囲を超えて拡張する追加的保護(HIPAAセキュリティ規則集第45巻パート160)を要件としています。

「情報システムおよび/またはその中に存在する情報に対する危殆化または実際のまたは潜在的な悪影響」と定義されている。

潜在的な悪影響の例としては、(例えば、アンチウィルスまたはエンドポイント保護によって)ブロックされていない契約事業者の情報システムまたはネットワーク上におけるマルウェアの発見です。そのケースでは、何らかのメカニズムを介してマルウェアが配信されており、CDIが影響を受けた可能性があるかもしれません

可搬型記憶装置NISTの用語)は情報システムに組み入れたり取り外したりできる情報システムのコンポーネント(構成要素)であり、データまたは情報(例えばテキスト、ビデオ、オーディオ、イメージデータ)を格納するために使われるものです。そのようなコンポーネントは、一般に、磁気、光学式、または半導体の機器(例えば、フロッピーディスク、コンパクト/ディジタルビデオディスク、フラッシュ/サムドライブ、外付けハードディスクドライブ、およびフラッシュメモリカード/ドライブなどの不揮発メモリー)として実装されます。

(情報システムに対する多要素認証では、①あなたが知っているもの(例えば、パスワードなど);②あなたが持っているもの(例えば、フォブのようなワンタイムパスワード生成デバイス、スマートカード、スマートフォンのモバイルアプリなど);および③あなた自身のなにか(例えば、指紋や虹彩のようなバイオメトリック)を含む2つまたはそれ以上の認証方法を使用します。

以前の認証メッセージを再生することにより、認証を成功させることができないならば、認証プロセスはリプレイ攻撃に耐えるといえます。

CMMCは「Cyber​​security Maturity Model Certification」の略です。CMMCは、「基本的なサイバーセキュリティ衛生」から「高度/進歩的」までの範囲の複数の成熟度レベルを網羅します。CMMCを国防連邦調達規制補足DFARS)に組み込んで、契約裁定の要件として使用することを目的としています。

IoT (1)

 「工程ポスト」自体はハードウェアです。「作業進捗見える化ツール」がソフトウェア製品となります。

 IT導入補助金ではハードウェアは対象になりません。本システムをお使いいただくには、ソフトウェアの「作業進捗見える化ツール」とハードウェアの「工程ポスト」の両方を組み合わせてご購入いただく必要があります。その場合、IT導入補助金の申請対象に出来るのはソフトウェア(および導入に関するサポート作業)のみとなります。

Load More

前の記事

情報セキュリティ・認証

次の記事

第3段階【脅威に対する備え】