ビジネスとサービス
「多要素認証」とは何を意味するものか?
(情報システムに対する多要素認証では、①あなたが知っているもの(例えば、パスワードなど);②あなたが持っているもの(例えば、フォブのようなワンタイムパスワード生成デバイス、スマートカード、スマートフォンのモバイルアプリな […]
「可搬型記憶装置」の定義はなにか?
可搬型記憶装置(NISTの用語)は情報システムに組み入れたり取り外したりできる情報システムのコンポーネント(構成要素)であり、データまたは情報(例えばテキスト、ビデオ、オーディオ、イメージデータ)を格納するために使われる […]
求められるセキュリティ管理要件に対して契約事業者が、適用不要である、または別の管理策や保護措置が同等の保護をなし得ると考えた場合はどうしたら良いか?
契約事業者が、求められる管理策が必要でないかあるいは代替的な管理策とすることができるのではないかと提案することを認めています。
限定的な情報技術(IT)またはサイバーセキュリティ専門知識しか持たない中小企業は、どのようにNIST SP 800-171の要件に適合すべく取り組めばよいのか?
"NIST SP800-171は、CUIを処理、蓄積、通信するために新たなシステムの開発または導入を必要とするのではなく、契約事業者がすでに保有しているシステムおよび運用手続を用いて要件に適合させることを可能にする意図に […]
NIST SP 800-171 rev.1で「情報システム」から「システム」に変えた意味は何か?
NIST SP 800-171 rev.1の「システム」の定義は語彙上の観点からは「情報システム」の定義と何も変わっていません。rev.1のページⅳにあるグレー表示された枠内の注記のとおり、セキュリティ要件は、汎用情報シ […]
NIST SP 800-171の基本要件と派生要件の違いは何か? すべての要件を満たす必要があるか(つまり、基本要件が満たされている場合、基本要件から「派生」されているため、「派生」要件が満たされていることを意味するか?
すべての要件(基本と派生の両方)は個別に満たされなければなりません。NIST SP 800-171のセクション2.2で説明されているように、基本要件はFIPS 200「連邦政府情報と情報システムの最小セキュリティ要件」に […]
サイバーインシデントを検出した場合は72時間以内に報告するという条項で求められる情報がすべては得られていない場合、契約事業者は何をするべきか?
サイバーインシデントが検出された場合、契約事業者/下請事業者は、検出から72時間以内に、DIBNetポータル(https://dibnet.dod.mil)に報告する必要があります。契約事業者/下請事業者が、報告時にイン […]
契約事業者はいつどのようにサイバーインシデントを報告したらよいか?
契約事業者が管理対象契約事業者システムまたはその中に存在するCUIに影響を及ぼすサイバーインシデントを発見した場合に報告が必要です 。報告する場合、契約事業者はDIBNetポータル(https://dibnet.dod. […]
「潜在的な悪影響がある」サイバーインシデントとは何か
潜在的な悪影響の例としては、(例えば、アンチウィルスまたはエンドポイント保護によって)ブロックされていない契約事業者の情報システムまたはネットワーク上におけるマルウェアの発見です。そのケースでは、何らかのメカニズムを介し […]