米国ではFISMA(Federal Information Security Management Act of 2002)[*1] という連邦情報セキュリティマネジメント法の制定に合わせて,ぜい弱性対策の分野でいろいろ新たな試みを進めています。ぜい弱性対策を推進するCSIRTにとって,ぜい弱性対策の新しい技術的な取り組みを調査することは重要な活動の一つです。そこで今回から数回にわたって,米国政府が推進しているISAP(Information Security Automation Program)[*2] について紹介したいと思います。
[*1](独)情報処理推進機構:FISMA導入プロジェクト 解説のページ
[*2]NIST:The Information Security Automation Program and The Security Content Automation Protocol
■FISMA(Federal Information Security Management Act of 2002)
FISMAは2002年12月に制定された法律で,各連邦政府機関とその外部委託先に対して情報および情報システムのセキュリティを強化するためのプログラムを開発,文書化,実践することを義務付けています。また同法では,国立標準技術研究所(NIST:National Institute of Standards and Technology)に情報セキュリティを強化するための規格やガイドラインの作成を義務付けています。
NISTではこれを受け,2003年1月にFISMA導入プロジェクト(The FISMA Implementation Project)を立ち上げました。FISMA導入プロジェクトでは,情報システムのセキュリティを強化し安全に運用するための様々な規格やガイドラインを策定に向け,三つのフェーズに分けて活動を進めています。ただ,単独のフェーズとして活動するのではなく,フェーズIIでの実現や既存のIT製品のテスト,評価や検証プログラムへの組み込みを検討していくことになっています。
フェーズI:規格とガイドランの作成(2003-2007)
情報システムのセキュリティを強化し安全に運用するための規格とガイドライン作成に注力するとしており,これまでにセキュリティ規格(FIPS:Federal Information Processing Standards)およびガイドライン(SPシリーズ)の作成を進めてきました。
フェーズII:セキュリティ評価機関を認定するプログラムの開発(2007-2009)
ガイドラインに従い,セキュリティアセスメントを実施する組織を承認するプログラムを規定することになっています。
フェーズIII:セキュリティ評価ツール検証プログラムの開発(2008-2009)
■ISAP(Information Security Automation Program)
ISAPは,情報セキュリティに関わる技術面での自動化と標準化を目指した取り組みで,"アイサップ"と発音するようです。FISMA導入プロジェクトのフェーズIIの一部として推進されている。
この取り組みは,国防省内部部局(OSD:Office of Secretary of Defense)と国土安全保障省(DHS:Department of Homeland Security) の資金援助を受け,国防情報システム局(DISA: Defense Information Systems Agency),国家安全保障局(NSA: National Security Agency),国立標準技術研究所 (NIST: National Institute of Standards and Technology)が推進しています。
公開されている資料を調べてみると,ISAPは,情報システムのセキュリティ対策がFISMA導入プロジェクトで作成された規格やガイドラインに沿っているかを機械的に判定し,確認することを目的として策定されているようです。規格やガイドラインで規定された内容と,実際のコンピュータに設定されている定義やぜい弱性対策の状況などを関連付けることで,規格とガイドラインを励行しようとしているのです。
NIST作成資料SCAP-02112007-IAWS.pptのページ 4「FISMA Compliance Model」には,次のような記述があります。
It is not possible to manually get from 30,000 ft to ground zero, automated security techniques must be employed.
かなりの意訳となりますが,「実際に稼働する情報システムが,抽象レベルで記載された情報システム・セキュリティの規格やガイドラインに沿っているかを手作業で確認することは難しい。なんらかの機械処理により実現すべきである」ということを伝えたいのではないかと思っています。
2006年9月にNISTで第2回 Security Automation Conference and Workshopという会議が開かれました。このときにはISAPという用語は定義されておらず,Security Content Automation Program(SCAP)がISAPと同義として使われていました。そして2007年5月,取り組みを意図するISAP[*3]とISAP実現のための技術仕様を示すSCAP(Security Content Automation Protocol)[*4]と使い分けるようになったようです。
[*3]NIST:Information Security Automation Program Overview
[*4]NIST:Security Content Automation Protocol
次回は,ISAP実現のための技術仕様を示すSCAPについて紹介する予定です。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| HIRT(Hitachi Incident Response Team)とは |
HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
