CMMCはNIST 800-171第2版に基づいており、110の管理策が14のカテゴリーに分類されています。これらの管理策の一覧を取得できるオンラインリソースは多数あり、NISTのサイトでは、要件を記載したテキスト文書、要件を一覧にしたスプレッドシート、または各管理策の評価方法に関する指針を記載したNIST 800-171Aをダウンロードできます。NIST 800-171管理策の解析は、他のセキュリティサイトに任せます。

ここで興味深いのは、これらの管理策がテストシステムにどのように適用されるかです。テストシステムは、いくつかの点でITシステムとは異なります。

• テストシステムは、数週間から数カ月といった長期間にわたって稼働することがあります。テストチームは、テスト運用に支障をきたさずに重要なセキュリティ更新を適用する方法を検討する必要があります。
• テストシステムは1人のユーザに割り当てられるものではありません。異なるユーザがログインやログアウトをせずにテストシステムへアクセスすることがあります。テストチームは、個々のユーザに紐づく監査ログの作成などの管理策をどのように満たすかを検討する必要があります。
• テストシステムは多くのデータを処理します。テストシステム設計者は、暗号化が必要なデータタイプと不要なデータタイプを理解し、計画する必要があります。

これらの違いを考慮して、NIST 800-171のトピックをいくつか見てみましょう。

NIST 800-171の最初の22の管理策は、テストシステムへのアクセスを制限することに関係しています。システムは、許可されたユーザへのみアクセスを制限し、システムにアクセスできる自動プロセス (デバイス) を制限する必要があります。テストエンジニアは、システムのすべての想定されるユーザとその役割を特定する必要があります。この解析では、一部のユーザがテストシステムから中央データベースにデータを移動するデータベースなどのリモートプロセスを実行することに注意してください。

特定された各ユーザに対して、システム設計者は認証方法を作成する必要があります。Windowsの標準ログインを使用して、システムにアクセスできるユーザを管理しますか。オペレータはどのようなアクセス権を持ち、管理者とどのように異なりますか。リモートプロセスはシステムにどのように認証されますか。 

テストチームは物理的アクセスについても考慮し、それがシステムにどのような影響を与えるかを検討する必要があります。今日のテストシステムにおいて、イーサネットは重要なバスであるため、ケーブルを移動させることで誰かがデバイスに接続する可能性があります。直接接続を介してデバイスからデータを取り出さないようにするにはどうすればよいでしょうか。これを管理できない場合、ケーブルを物理的に保護できますか。 

NIST 800-171は、各操作に適切なアクセスレベルを提供することに重点を置いているため、テスト設計者は最小特権アクセスの原則をどのように適用するかを検討する必要があります。オペレータが個々にログインしていないシステム (複数人でテスターを操作する研究室など) では、アクセス権限を厳重にロックする必要があります。ソフトウェア更新のインストールなど、より高い権限を必要とする操作を実行するためには、システムは管理者がログインして操作を実行するよう要求するべきです。

アクセス管理要件のいくつかは、標準のITアイデンティティ管理ツールで満たすことができます。テストシステムがWindowsベースの場合、テストチームはIT部門と連携して、企業のアイデンティティ管理ツールを活用できます。システムが切断されている場合、またはITシステムでサポートされていないデバイスを使用している場合、テスト設計者はパスワードの複雑さやログイン試行回数の制限などの基本的な要件をどのように満たすかを検討する必要があります。 

このカテゴリーの要件は、オペレータや管理者が自分の役割に応じたサイバーセキュリティの原則について適切に訓練されていることを確認することに重点を置いています。テストチームは、ITチームが提供するトレーニングを利用することができます。テストシステムに特定の操作やプロトコルが求められる場合、それらの要件を満たすためのトレーニングを開発する必要があるかもしれません。

NIST 800-171の中心的な原則の一つは、特定の操作を誰が実行したかを把握できることです。これは、不正な行為を検出するのに役立ち、インシデントが発生した際には、被害の特定や根本原因の分析を行うのに有用です。これを可能にするために、テストシステムは特定の操作を記録できるように設計される必要があります。

効果的に機能させるために、監査ログはアクセス権や設定を変更する特権的な操作を記録する必要があります。監査ログは、システム上で行われたすべての操作の記録を作成します。具体的には、誰がログインしたか、どのデータが移動されたか、システム内のどのオブジェクトが変更されたかを記録します。正確には、監査システムにタイムスタンプに信頼できるクロックが必要です。また、監査ログを変更または削除できないように保護する必要があります。

テストシステム設計の一環として、テスト設計者はこれらの監査ログを作成、更新、および保護するための計画を策定する必要があります。

安全なテストシステムを導入するには、多くの場合、テストチームが構成設定を適用してシステムとコンポーネントをより安全な状態にする必要があります。NIST 800-171では、システムをその構成に迅速にリセットできるように、この構成のスナップショットをベースラインとしてキャプチャする必要があります。

Secure Technology Implementation Guide (STIG: セキュアテクノロジー実装ガイド) は、システム管理者がシステムを最も安全な構成に保つための手段を提供します。ベンダーは、米国国防省情報システム局 (DISA) と協力してSTIGを作成します。STIGには、製品の構成を確認および調整する手順が記載されています。承認されると、STIGはDoD STIGデータベースで利用可能になります。可能な限り、テストシステムのソフトウェアコンポーネントのSTIGを収集します。 

IDとアカウントの管理は、NIST 800-171のもう1つの重要な部分です。アクセスを提供する前に、システムがユーザと他のシステムを認証する必要があります。アクセス管理と同様に、テストチームはシステム内の標準的なPC技術の認証にITツールを活用できます。 

テスト設計者は、システム内のコンポーネントを認証する方法を検討する必要があります。イーサネットコンポーネント、データベース、およびネットワーク接続されたコンピュータは、テストデータシステムに接続する前に認証を行う必要があります。 

防御に失敗してシステムが攻撃された場合、組織は迅速に対応する必要があります。この一連の管理策では、インシデントの追跡、システムのテスト、適切な機関へのインシデント報告方法の確立を含め、これらの障害に対する計画を立てることが求められています。 

テストシステムには、キャリブレーションを含む定期的なメンテナンスが必要です。NIST 800-171では、メンテナンス作業中に保護が途切れないように計画を立てることが求められています。

ハードウェアは、修理や校正に送る前に、機密データをすべて消去する必要があります。ベンダーは、これらのデバイスのメモリ領域を適切に消去するための手順を記載したボラティリティレターを提供する必要があります。また、テストチームは、メンテナンスプロセスの一環としてデータを保護するための手順を確立する必要があります。

機密データをメディアデバイスに保存する場合は、それらのデバイスを論理的および物理的に保護する必要があります。デバイス上のデータは暗号化する必要があります。デバイスは盗難から保護され、システムはUSBドライブなどの不明なデバイスからのアクセスを防ぐ必要があります。

テスト設計者は、データを保存する場所と、それらの場所のデータを保護する方法を検討する必要があります。これらの場所ではITツールを活用できます。Windows BitLockerは、ほとんどのサーバーPC上のデータを暗号化できます。他のデバイスでは、テストプログラムがデータを記録する前に暗号化を行うか、接続を許可するデバイスを管理する必要がある場合があります。

特定のユーザのみがテストシステムとデータにアクセスできるようにするには、ユーザを選別し、役割が変更されたときにアクセスを管理するプロセスを確立する必要があります。テストチームは、既存の企業ポリシー内でプロセスを実施し、誰がシステムにアクセスできるかを管理する方法を検討する必要があります。

システムのセキュリティは、接続の変更、ドライブの取り外し、システムの物理パラメータの調整といった物理的な操作によって回避されることがあります。テストシステムを計画する際、テストチームはシステムを物理的に保護する方法を検討する必要があります。これには、部屋へのアクセスを制限したり、システムの特定のコンポーネントをロックしたりする必要がある場合があります。

完璧なセキュリティ計画はありません。なぜなら攻撃者は常に戦略を変えているからです。システムのセキュリティを維持するために、テストチームは定期的にリスクプロファイルを評価し、必要に応じて調整する必要があります。セキュリティチームは脆弱性テストを実施し、弱点を明らかにします。テストチームは、システムの弱点を明らかにするセキュリティテスト戦略を策定する必要があります。大規模な企業では、テストを設計できるセキュリティチームがある場合や、テストチームが外部のコンサルタントを雇ってセキュリティテストを設計する場合があります。

セキュリティ評価により、チームは実施されているセキュリティ管理の有効性を確認し、改善策を検討することができます。セキュリティチームは、定期的に会議を開き、セキュリティシステムの見直しと更新を行う必要があります。

NIST 800-171は、システムが明確に定義され、その定義内で管理策が適用されることで最も効果的に機能します。システムコンポーネントとともに、外部システムへの接続も定義に組み込む必要があります。この一連の要件では、これらの接続が安全に保護されることを求めています。この保護により、データが保護されたシステムの外部に送信されないようにする必要があります。データを意図的に通信する場合は、データの盗聴を防ぐために暗号化する必要があります。

一連のNIST 800-171管理策には、システムの不具合を特定し、それらの不具合を更新するための追加要件が含まれています。これには、悪意のあるコードからの保護を最新の状態に維持するこが記載されています。テストチームは、テストシステムの中断を最小限に抑えながら、システムの見直しと更新の計画を策定する必要があります。

この記事では、NIST 800-171の管理策をテストシステムに適用する方法を概説しています。テストチームは、テストシステムを展開する計画の一環として、これらの要件を確認するべきです。 

NIが提供するリソースを通じて、あなたのチームがこれらの要件を満たす方法をご覧ください。 

• セキュリティに関するお知らせの購読
• セキュリティ更新のダウンロード
• セキュリティ問題の報告