セキュリティ管理のメモ帳

セキュリティに関する備忘録

ベースライン管理策(セキュリティベースライン)について

CISSP関連知識 リスクマネジメント

はじめに

 情報セキュリティリスクマネジメントを実施する際に、ベースライン管理策(セキュリティベースライン)を理解することで効率的、効果的に進めることが可能になります。今回は、ベースライン管理策についてまとめます。
 CISSPを受験する予定の方は、各プロセスの関連性と用語の意味を理解しておいた方が良いと思われます。
 注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)

ベースライン管理策とは?

背景

 ベースライン管理策の背景を理解するために、米国連邦政府における情報セキュリティ政策について簡単に触れておきます。
 米国政府では、PUBLIC LAW 107-347 “E-Government Act of 2002” TITLE III Federal Information Security Management Act of 2002 (一般的に「FISMA」と呼ばれています)が2002年に制定されました。この法律は、連邦政府機関に対し情報セキュリティの強化を義務付け、その実施支援を目的とした「連邦政府の情報及び情報システムのセキュリティをリスクに基づき適切に管理するための分類、及びその分類に応じた最低限のセキュリティ要求事項を明らかにするためのプログラム」の開発をNISTに指示しました。

 上記の指示とその対応についてまとめたものが下図になります。

図1 セキュリティに関連する法律、規格、ガイドラインの関連性(米国)

 上図の中に登場するガイドライン NIST SP800-53において、各分類(低、中、高)に応じた管理策ベースライン(Control Baselines)カタログが提供されています*1。また、その上位規格である FIPS PUB 200 には次の記述があり、原則、管理策ベースラインで示されている全てのセキュリティ管理策の実施が義務付けられています。

FIPS Publication 200 4 SECURITY CONTROL SELECTIONから引用

Organizations must employ all security controls in the respective security control baselines unless specific exceptions are allowed based on the tailoring guidance provided in NIST Special Publication 800-53.

組織は、NIST Special Publication 800-53 で提供されるテーラリングガイダンスに基づく特定の例外が認められない限り、それぞれのセキュリティ管理策ベースラインにある全てのセキュリティ管理策を採用しなければならない。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 このような背景があるため、一般的にベースライン管理策とは、民間組織においても、その組織で定める分類(ほとんどのケースではリスクによる分類)に応じた最低限実施すべきセキュリティ管理策の基準を意味します。このベースライン管理策は、リスクアセスメント時に利用されることの多い手法であるベースラインアプローチ*2を実施する際の基準としても使用されます。

組織内標準での位置付け

 組織内の情報セキュリティマネジメントを進める上で、セキュリティポリシーの実装を支援するための構成要素として様々な組織内標準(文書類)を作成します。ベースライン管理策も実施すべき管理策の基準としてその中に含まれ、下図のような位置づけになると考えます。

図2 組織内標準の中でのベースラインの位置付け

 法的要件や事業要件などを含む組織の内外の状況に基づくセキュリティポリシーを満たすベースライン管理策*3を策定することにより、管理策相互の影響を含めた包括的なリスクマネジメントと管理策全体に渡る適切な配備が可能になります。

具体的な実施例

 前項で述べた通り、実装すべき管理策はそれを適用する組織のセキュリティポリシーにより異なり、また、管理策に求める優先度や成熟度も異なります。そのため、効果的な実装のために組織のセキュリティポリシーに合わせ管理策をテーラーリングすることが一般的です。
 以降において、一般的なベースライン管理策の作成(テーラーリング)手順を示します。

1.参照するベースラインカタログの選択

 次に示すような汎用ベースラインカタログ(一般的には、セキュリティのための標準規格、管理策カタログ、管理策フレームワークガイドラインと呼ばれます)から、法的要件を含む組織のセキュリティポリシーに適していると思われるものを選択します。選択したベースラインを本稿では初期ベースラインと呼ぶことにします。

  • 法、規制
    FISMA、GDPR個人情報保護法など

  • 国際機関などによる標準規格
    ISO、NIST、ENISA、CISなど

  • 業界の標準規格や推奨事項
    PCI DSS、JAMA/JAPIA サイバーセキュリティガイドラインなど

2.管理策のテーラリング(tailoring

 初期ベースラインを自組織のセキュリティポリシーに合わせテーラリングします。
 このプロセスは、リスクマネジメントの一部として実施されるためデューケア、デューディリジェンスが求められます。したがって、個々の管理策に対するテーラリングがリスクベース*4 *5に基づき実施されていることを説明できるような(特に、管理策の採否を決定した根拠や実施に対する承認などの)記録を保持することが必要とされます*6
 以降で、NIST SP800-53Bに例示されているものを参考にテーラリングプロセスの流れを簡単に説明したいと思います。

2-1.共通管理策の識別と指定

 個々の管理策を実装するためのアプローチの方式を定めます。NIST SP800-53では、次に示す3種類の実装アプローチが紹介されています。

  • 共通管理策:

 組織内の各部署、施設、各支援資産、それぞれに対し固有ではなく、組織全体として共通で実装すべき管理策です。
 共通管理策として実装することでリソースの効率的な運用や組織全体での管理策の標準化の効果が期待できる反面、実装する管理策が脆弱であった場合に単一障害点(Single Point of Failure)となってしまう点や資産の管理責任と関連する管理策の実施責任の所在が異なることによるガバナンス欠如の点がリスクとして考えられます。
 共通管理策として実装されることが多い管理策は、物理的対策全般、要員の教育などの組織的対策全般、インシデント対応、境界保護、監査などがあげられます。

  • 固有管理策:

 各部署、施設、各支援資産などの管理責任及び認可権限のある担当者が管理策の実装責任を担う方式です。
 共通管理策と逆の効果が期待できますが、投資効果が非効率になることと、各管理策の実施内容に差が生じ、脆弱な箇所が発生するリスクがあります。

  • ハイブリッド管理策:

 可能な管理策は共通化し、他の部分を個別に実装する方式です。
 共通管理策と固有管理策の良い面を併せ持つメリットを有しますが、管理策の共通部分と固有部分の実装及び維持・継続のための管理責任があいまいになりがちなリスクがあります。

2-2.適用範囲の調整(scoping

 前項で選択した汎用ベースラインカタログで提供されている個々の管理策について、組織のセキュリティポリシーに従い(リスクベース及びコンプライアンスベースの考え方に基づき)要否を検討し採否を決定します。これにより組織にとって実装不要な管理策を取り除くことができ合理的な管理策の運用が可能になります。  例えば、次のような管理策は適用範囲外とする可能性があります。

◆ 組織のセキュリティポリシーとの不整合

  • 実装することにより法令違反の可能性が高まったり、組織の事業要件を満たさない(機能低下させる)管理策
  • 組織において適用外の法的要件を満たすための管理策

◆ 対象の管理策が前提としている運用や環境と組織の状況との不整合

  • 一時的な仮想インスタンスにより運用されるOSやアプリケーションに対する管理策
  • 完全なエアギャップ環境に対するネットワーク関連(ネットワークの分離など)の管理策
  • インターネットVPNなど、組織が認めていない運用または環境に関する管理策
2-3.代替管理策の選択

 組織として実装が必要と判断した管理策が、技術面、費用面などの理由により、即時対応が難しい場合、代替となり得る管理策の実装を検討します。初期ベースライン、又は他の汎用ベースラインからの選択や組織独自に検討した代替管理策の実装を想定したリスクアセスメントを行い、リスク許容を根拠とする最終的な実装の判断をします。原則、代替管理策は正規に必要と判断した管理策が実装されるまでの一時的なものとして扱います。
 例えば、人的リソースが豊富ではない組織では、職務の分離を実施するための人員を確保できないため、頻繁な監査、詳細な役割毎の教育・訓練や雇用時の厳しいスクリーニングを代替管理策として実装することが考えられます。また、ツールによる自動化をするための投資がすぐにはできない場合も、同じように手順の明確化、詳細な役割毎の教育・訓練や頻繁な監査により手動で代替されることが考えられます。

2-4.管理策パラメータの調整

 NIST SP800-53のように各管理策のパラメータの数値を利用組織に委ねている場合や汎用ベースラインカタログでパラメータが指定されている場合でも、(例えば、アプリケーションのタイムアウト要件を 10 分間の非アクティブ状態から 5 分間に変更するなど)組織のセキュリティポリシーに従いパラメータを調整することがあります。

2-5.追加管理策と拡張管理策による補完(Supplementing

 組織のセキュリティポリシーを満たすために、初期ベースラインでは不十分と判断する場合は、追加または拡張管理策を実装します。本アクティビティを効率的、効果的に実施するためには、後述する3.ケイパビリティと4.オーバーレイを理解する必要があります。

2-6.管理策実装のための仕様情報の提供

 初期ベースラインにより示される管理策の内容が、例えば抽象的な表現がとられており、解釈により実際の実装が意図したものと異なる内容になってしまう可能性がある場合には、その管理策の詳細を説明するための仕様情報により補足します。このアクティビティについても効率的、効果的に実施するためには、後述する3.ケイパビリティと4.オーバーレイを理解する必要があります。

3.ケイパビリティ(capability

 外部脅威などを含む組織内外の状況を踏まえたセキュリティポリシーを満たすために組織全体として満たすべきセキュリティケイパビリティ*7を定めます。
 具体的には、必要なセキュリティ要件を満たしつつ、想定したリスクを許容可能なレベルまで下げるために必要な管理策とその成熟度(それらを満たすための管理策の選択及び構成)を定めることをセキュリティケイパビリティと呼ぶようです。

4.オーバーレイ(overlay

 オーバーレイ仕様とは、特定の分野・業界、技術・サービス、運用環境においてベースライン管理策を(例えば、拡張管理策や補足ガイダンスなどにより)補完することを目的として提供されているもので、利用することでテーラリングプロセスを効率的、効果的に進めることができます。 例えば、NISTでは、NIST SP800-53を初期ベースラインとする、次のようなオーバーレイ仕様が提供されています。

  •  800-82 Guide to Operational Technology (OT) Security
  •  800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations

 また、ISMSでも、ISO/IEC 27017(クラウドサービス)やISO/IEC 27701(プライバシーマネジメント)は、ISO/IEC 27002(ISO/IEC 27001)を初期ベースラインとするオーバーレイ仕様(ISOでは、アドオン規格と呼びます)と見なすことができると思います。
 次のようなガイドラインで提供されている管理策や補足ガイダンスも初期ベースラインの各管理策とマッピングすることにより、オーバーレイ仕様として利用することが可能です。

4-1.業界特有の要件及びリスクへの対応

◆ 医療関連

◆ 金融関連

  • CRI) CRI Profile
  • FSSCC) Cybersecurity Assessment Tool
  • PCI SSC) Payment Card Industry Data Security Standard
  • FSA) 監督指針
  • FISC) 金融機関等コンピュータシステムの安全対策基準・解説書
  • ISO)(ISO/IEC TR 27015)現在は廃止
4-2.技術・サービス特有のリスクへの対応

◆ IoT技術関連

クラウドサービス関連

4-3.運用環境特有のリスクへの対応

サプライチェーン関連

  • ISO/IEC) ISO/IEC 27036
  • NIST) NIST SP800-161
  • NCSC) Supply chain security guidance

 採用したオーバーレイについては、採用の根拠や改定内容のベースライン管理策への反映を速やかに実施するための記録を残しておきます。NIST SP800-53Bの第3章に詳しく記載されています。

5.ベースライン管理策の作成例

 ここまでのプロセスに従い作成したベースライン管理策の例(技術的脆弱性管理に関する内容のみ抜粋)を下表に示します。

表1 ベースライン管理策の作成例(技術的脆弱性管理のみ抜粋)

まとめ

 今回はベースライン管理策についてまとめてみました。前述のとおり、ベースライン管理策は、リスクアセスメントを実施する上で重要な情報であるため、例えば、組織のセキュリティポリシー、選択した汎用ベースラインカタログとそれを選んだ根拠、テーラリングの実施内容とその根拠など、その作成に至るまでのプロセスが記録により説明できるようにしておくことが求められます。 

参考資料

 本稿は、次の文献を参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

  • PUBLIC LAW 107-347 “E-Government Act of 2002” TITLE III Federal Information Security Management Act of 2002
  • Federal Information Processing Standards Publication 199
  • Federal Information Processing Standards Publication 200
  • NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations
  • NIST SP800-53B Control Baselines for Information Systems and Organizations

脚注

*1:本ブログを書いている時点での最新版 NIST SP800-53 Rev.5 では、管理策ベースラインカタログはNIST SP800-53Bで提供されています

*2:ベースラインと実際の管理策の実施状況とのギャップ分析によりリスクを評価する手法です。

*3:組織内外の状況は刻々と変化しているため、その変化に応じベースライン管理策も見直します。また、変化に対し適切に対応できていることを定期的にレビューすることも重要です。

*4:例えば、アセットベースアプローチによる場合は、対象となる支援資産やそれに関連する業務の価値、また、イベントベースアプローチによる場合は、対象となるイベントの結果と影響の大きさに応じたもの

*5:一般的にコンプライアンスベースに基づく各種要件はテーラリングすべきではないとされています。

*6:ISMS適用宣言書をイメージすると理解しやすいかと思います。

*7:個々の管理策によるそれぞれの効果ではなく、同じ管理目的(セキュリティ目的)のための一連の管理策による相互補完を含め全体としてのセキュリティ能力(例えば、組織的(Organizational)、人的(People)、物理的(Physical)、技術的(Technological)、あるいは、予防(Preventive)、検知(Detective)、是正(Corrective)など多角的、多層的にバランス良く管理策を組合せることによりケイパビリティは向上します。)