セキュア IoT プラットフォームが NIST SP800-171、NIST SP800-53 で実現する機能
| セキュア IoT プラットフォーム(SIOTP)が実現する機能 | NIST SP800-171 | NIST SP800-53 | 備考:解説(経済産業省 CPFS) サイバー・フィジカル・セキュリティ対策フレームワーク |
||
|---|---|---|---|---|---|
| ファミリ | 管理策 ID | 要求事項 | 管理策名称 | ||
| ① 鍵管理 | アクセス制御 | 3.1.1 | システムアクセスを許可された利⽤者、許可された利⽤者を代⾏して動作するプロセス、またはデバイス(その他のシステムを含めて) に制限する。 | ・AC-2 アカウント管理 ・AC-3 アクセス制御の実施 ・AC-17 リモートアクセス |
・IoT機器やユーザーを、取引のリスク(個⼈のセキュリティ、プライバシーのリスク、及びその他の組織的なリスク)に⾒合う形で認証する |
| 3.1.2 | システムアクセスを許可された利⽤者に対して実⾏が許可された種類のトランザクション及び機能に制限する。 | ||||
| システムと通信の保護 | 3.13.10 | 組織のシステムで採⽤された暗号のための暗号鍵を確⽴し、管理する。 | ・SC-12 暗号鍵の確⽴と管理 | ・情報(データ)を適切な強度の⽅式で暗号化して保管する ・送受信データ、保管データの暗号化等に⽤いる鍵を、ライフサイクルを通じて安全に管理する。 |
|
| 3.13.11 | CUI の機密性を保護するために使⽤されるとき、FIPS 認証された暗号を採⽤する。 | ・SC-13 暗号化の利用 | ・情報(データ)を適切な強度の⽅式で暗号化して保管する | ||
| 3.13.16 | 保存されたCUI の機密性を保護する。 | ・SC-28 保存情報の保護 | ・情報(データ)を適切な強度の⽅式で暗号化して保管する | ||
| メディア処理 | 3.8.3 | 廃棄または再利⽤のために⼿放す前に、CUI を含むシステムメディアをサニタイズまたは破壊する。 | ・MP-2 メディアへのアクセス ・MP-4 メディアの保管 ・MP-6 メディア上の記録の抹消とメディアの廃棄 |
・IoT機器、サーバ等の廃棄時には、内部に保存されているデータ及び、正規IoT機器、サーバ等を⼀意に識別するデータID(識別⼦)や重要情報(秘密鍵、電⼦証明書等)を削除⼜は読み取りできない状態にする | |
| ② セキュアアップデート | 構成管理 | 3.4.9 | 利⽤者がインストールしたソフトウェアを管理し、監視する。 | ・CM-11 利⽤者がインストールしたソフトウェア | ・IoT機器、サーバ等の導⼊後に、追加するソフトウェアを制限する |
| メンテナンス | 3.7.4 | 組織のシステム内でメディアが使⽤される前に、悪意のあるコードが⼊っていないか診断及びテストプログラムを⽤いてメディアをチェックする。 | ・MA-3(2) 保守ツール | ・IoT 機器、サーバ等のセキュリティ上重要なアップデート等を必要なタイミングで適切に実施する⽅法を検討し、適⽤する ・可能であれば、遠隔地からの操作によってソフトウェア(OS、ドライバ、アプリケーション)を⼀括して更新するリモートアップデートの仕組みを備えたIoT機器を導⼊する |
|
| 3.7.5 | 外部のネットワークコネクションを介した⾮ローカルメンテナンスセションを確⽴するため、複数要素の認証を要求し、⾮ローカルメンテナンスの完了時にこの ようなセションを終了する。 |
・MA-4 遠隔保守 | ・⾃組織のIoT機器、サーバ等に対する遠隔保守は、承認を得て、ログを記録し、不正アクセスを防げる形で実施している | ||
| システムと情報の完全性 | 3.14.1 | タイムリーなやり⽅で情報及びシステムフローを識別し、報告し、訂正する。 | ・SI-2 ⽋陥の修正 ・SI-3 悪意のコード(不正プログラム) からの保護 ・SI-5 セキュリティ警報と勧告 |
・ネットワーク運⽤のベースラインと、ヒト、モノ、システム間の予測されるデータの流れを特定し、管理する | |
| 3.14.2 | 組織のシステム内の適切な場所で、悪意のあるコードから保護を提供する。 | ・サイバー空間から受ける情報(データ)が許容範囲内であることを動作前に検証する | |||
| 3.14.3 | システムセキュリティ警報及びアドバイザリを監視し、適切な対応アクションを取る。 | ||||
| 3.14.4 | 新しいリリースが利⽤可能となったとき、悪意のあるコードからの保護メカニズムをアップデートする。 | ・SI-3 悪意のコード(不正プログラム) からの保護 | ・指⽰された動作内容と実際の動作結果を⽐較して、異常の検知や動作の停⽌を⾏うIoT機器を導⼊する ・サイバー空間から受ける情報(データ)が許容範囲内であることを動作前に検証する |
||
| 3.14.5 | 組織のシステムの定期的スキャン、及びファイルがダウンロードされ、開かれ、または実⾏されるような、外部情報源からのファイルのリアルタイムスキャンを 実⾏する。 |
・SI-3 悪意のコード(不正プログラム) からの保護 | IoT機器、サーバ等において、送受信する情報(データ)の完全性および真正性を動作前に確認する | ||
| ③SBOM | 構成管理 | 3.4.1 | 個別のシステム開発ライフサイクル全体で、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、及び⽂書を含めて) のベースライン構成とインベントリを確⽴し、維持する。 | ・CM-2 ベースライン構成 ・CM-6 構成設定 ・CM-8 情報システムコンポーネントのインベントリ ・CM-8(1) 情報システムコンポーネントのインベントリインストレーション/除去中のアップデート |
・システムを構成するハードウェア及びソフトウェアおよびその管理情報の⼀覧を⽂書化し、保存する |
| 3.4.2 | 組織のシステムで採⽤された情報技術製品のセキュリティ構成設定を確⽴し、強制 (実施) する。 | ・機器等の構成管理では、ソフトウェア構成情報、ネットワーク接続状況(ネットワーク接続の有無、アクセス先等)および他の組織、ヒト、モノ、システムとのデータの送受信状況について、継続的に把握する | |||
| 3.4.3 | 組織のシステムへの変更を追跡、レビュー、承認/⾮承認、及び監査する。 | ・CM-3 構成変更管理 | |||
| 3.4.4 | 実装に先⽴ち、変更のセキュリティへの影響を分析する | ・CM-4 構成変更の監視 | |||
| ④ 暗号化通信 | システムと通信の保護 | 3.13.15 | 通信セションの真正性を保護する。 | ・SC-23 セションの真正性 | ・無線接続先(ユーザーやIoT機器、サーバ等)を正しく認証する ・IoT機器、サーバ等の間、サイバー空間で通信が⾏われる際、通信経路を暗号化する |
| ⑤認証/認可 | アクセス制御 | 3.1.11 | 定義された条件の後、利⽤者セションを(⾃動的に)終了する。 | ・AC-12 セションの終了 | ・システムは、特に機密性の⾼いデータを取り扱う⾃組織のシステムへのログインについて、公開鍵基盤を利⽤した認証を要求する。 ・システムは、⾃組織のシステムについて、セッションの切断が必要な条件を設定し、その条件に該当する場合にはユーザのセッションを⾃動的に終了させる機能を実装する。 |
| 3.1.17 | 認証と暗号化を⽤いて無線アクセスを保護する。 | ・AC-18(1) 無線アクセス認証と暗号化 | ・無線接続先(ユーザーやIoT機器、サーバ等)を正しく認証する | ||
| 3.1.18 | モバイルデバイスのコネクションを制御する。 | ・AC-19 携帯機器に対するアクセス制御 | |||
| 識別と認証 | 3.5.3 | 多要素認証を、特権アカウントへのローカル及びネットワークアクセスのために、及び⾮特権アカウントへのネットワークアクセスのために、使⽤する。 | ・IA-2(1) ユーザ識別及び認証 特権アカウントへのネットワークアクセス ・IA-2(2) ユーザ識別及び認証 ⾮特権アカウントへのネットワークアクセス ・IA-2(3) ユーザ識別及び認証 特権アカウントへのローカルアクセス |
・特権を持つユーザーのシステムへのログインに対して、⼆つ以上の認証機能を組み合わせた多要素認証を採⽤する | |
参照:NIST(アメリカ国立標準技術研究所)、経済産業省
※上記表に記載以外の要件についても、当社サービスで対応できる場合がありますのでお問い合わせください。
