NIST 800-171準拠における一般的な課題
組織は、NIST SP 800-171に準拠する際に、システムやプロセス全体で必要なセキュリティコントロールを実装し維持することの複雑さを含む、重大な課題に直面しています。以下は、防衛産業基盤(DIB)請負業者がNIST SP 800-171準拠および機密情報の通信において直面する主な課題を挙げます。
アクセス制御
NIST SP 800-171のアクセス制御要件に準拠することは、組織にとって大きな課題です。詳細なアクセス制御の実装、ユーザーアカウントの管理、さまざまなシステムやアプリケーションにわたる最小権限の原則の適用には、多大な労力とリソースが必要です。組織は、アクセス権が一貫して適用され、定期的に見直され、ユーザーの役割変更や従業員の退職時に迅速に更新されることを確実にしなければなりません。また、CUIのような機密データへのアクセスを監視・監査する作業は、特に多様なシステムと多数のユーザーが存在する大規模な環境では、非常に複雑で時間を要する場合があります。
監査と説明責任
組織は、システムイベントのログ記録と監視、詳細な監査記録の生成、監査情報の不正アクセスや改ざんからの保護を含む監査および説明責任の要件を満たす上で、重大な課題に直面しています。複数のシステムやアプリケーションにわたる包括的なログ記録と監査メカニズムの実装は、複雑でリソースを多く消費します。組織は、効果的な分析と調査を可能にするために十分な情報を含む監査記録を確保するとともに、それらの記録を改ざんや削除から保護する必要があります。さらに、疑わしい活動を検出するために監査ログを定期的にレビューし分析するには、専用のリソースと専門知識が必要です。これらの要件を遵守しない場合、セキュリティインシデントの検出と対応ができなくなるだけでなく、法的および規制上の重大な影響を受ける可能性があります。
構成管理
構成管理の要件は、組織にさまざまな課題をもたらします。これらの要件には、安全なベースライン構成の確立と維持、システム構成の変更管理、不要な機能、ポート、サービスの使用制限が含まれます。組織は、企業全体でシステムが安全かつ一貫して構成されていることを確保しなければならず、特に複雑なIT環境ではこれを達成し維持することが困難です。確立された構成設定からの逸脱を特定し文書化するには、徹底的な分析と承認プロセスが必要です。さらに、組織はシステムのインベントリを定期的にレビューし、更新するだけでなく、CUIの位置を追跡し、高リスク領域で使用されるシステムに適切なコントロールを適用する必要があります。これらの要件を遵守しない場、脆弱性、不整合、セキュリティ侵害のリスクが増大する可能性があります。
識別と認証
識別と認証の要件には、ユーザーとデバイスを一意に識別し認証すること、多要素認証を実装すること、認証情報を安全に管理することが含まれます。組織は、機密システムやデータへのアクセスを許可する前に、すべてのユーザーとデバイスが適切に認証されていることを確認する必要がありますが、特に大規模な環境ではこのプロセスが複雑で多くのリソースを要します。複数のシステムやアプリケーションにわたる多要素認証の導入には、相当な努力を要し、ユーザーエクスペリエンスに影響を与える可能性もあります。さらに、認証情報の配布、取り消し、不正な開示や改ざんからの保護を含む、認証情報を管理するための安全なプロセスを確立する必要があります。これらの要件を遵守しない場合、不正アクセス、データ侵害、規制基準の不遵守につながる可能性があります。
システムと通信の保護
システムと通信の保護要件には、システム境界での通信の監視と制御、ユーザー機能とシステム管理の分離、CUIの送信および保存中の機密性の保護、暗号鍵の安全な管理が含まれます。組織は、システムが適切にセグメント化され、内部ネットワークと外部ネットワーク間の通信が厳密に制御されていることを確保しなければなりません。CUIを送信中および保存中に保護するための強力な暗号化メカニズムを実装することは、特に多様なシステムやプラットフォームを扱う場合、非常に複雑になることがあります。さらに、暗号鍵の生成、配布、保存を含む、安全な管理プロセスを確立する必要があります。これらの要件を遵守しない場合、不正アクセス、データ侵害、規制基準の不遵守につながる可能性があります。
KiteworksがNIST 800-171コンプライアンスをサポート
堅牢なアカウント管理機能
Kiteworksは、アクセス制御要件のコンプライアンスをサポートするための包括的な機能セットを提供します。このプラットフォームは、管理者がユーザーアカウントを作成、変更、無効化し、アカウントの使用状況を監視できる堅牢なアカウント管理機能を提供します。Kiteworksは役割ベースのアクセス制御や最小特権の原則を徹底し、ユーザーが自身の役割に必要なデータと機能にのみアクセスできるようにします。また、職務分離、多要素認証、セキュアなリモートアクセスをサポートしています。さらに、Kiteworksはモバイルデバイス上のCUIを保護し、外部システムへのアクセスを制御するための機能を提供し、組織のセキュリティ管理を強化します。
不変の監査ログとSIEM統合
このプラットフォームは、コンテンツへのすべてのアクセスと共有を記録し、ユーザーアクティビティを追跡し、タイムスタンプ、ユーザーID、イベントタイプを含む詳細な監査記録を生成します。Kiteworksは、リアルタイムのイベント相関や脅威検出のためにSIEMシステムと統合し、セキュリティ調査に役立つ包括的なレポート機能を提供します。プラットフォームは、監査ログを不正アクセス、改ざん、削除から保護し、監査情報の整合性を確保します。Kiteworksは、ログ記録の失敗時に管理者に警告し、システム活動と異常の視覚的概要を提供するCISOダッシュボードを提供します。これらの機能により、組織はシステムを効果的に監視、分析、保護し、監査および説明責任の要件へのコンプライアンスを維持することができます。
強化された仮想アプライアンスと最小特権の設定
Kiteworksのワンクリックコンプライアンスレポートは、ベースライン構成を追跡し、システム構成のすべての変更を記録します。管理者は、プラットフォーム、ユーザー、モバイルデバイスのセキュリティ設定を構成でき、システムはデフォルトで最小特権の設定を使用し、潜在的にリスクのある構成を警告します。Kiteworksは、管理者がシステムに対する変更をレビュー、承認、管理することを可能にし、セキュリティを低下させる変更に対してコンプライアンス警告を提供します。強化された仮想アプライアンスは、必要最小限のポートとサービスのみを公開し、不正なソフトウェアのインストールを防ぎ、システム内で処理されるCUIを保護します。これらの機能は、組織が安全でコンプライアンスに準拠したシステム構成を維持し、脆弱性やデータ侵害のリスクを軽減するのに役立ちます。
識別と認証で機密データアクセスを制限
Kiteworksのプラットフォームは、ユーザーごとに固有のIDを割り当て、すべてのユーザーアクティビティを追跡し、機密データにアクセスする前にユーザーを適切に識別・認証します。Kiteworksは、ワンタイムパスコード、SMSベースの認証、サードパーティ認証ソリューションとの統合を含む多要素認証をサポートします。プラットフォームは、リプレイ耐性のある認証メカニズムを実装し、認証情報を不正な開示や改ざんから保護しながら安全に管理します。Kiteworksは、強固なパスワードポリシーの適用、転送中および保存中のパスワードの暗号化、認証フィードバックの隠蔽などを行い、これらの特徴により組織は堅牢な識別・認証プロセスを確立し、不正アクセスやデータ侵害のリスクを減少させます。
システムと通信を保護
Kiteworksは、システム境界での通信を監視および制御し、組織の境界を越えて共有されるCUIのセキュリティを確保します。プラットフォームは、ユーザー機能をシステム管理から分離し、機密データや機能への不正アクセスを防ぎます。また、TLS 1.3を使用して転送中のCUIを暗号化し、AES-256を使用して保存中のCUIを暗号化し、暗号鍵を安全に管理します。Kiteworksは、ネットワークセグメンテーション、IPホワイトリストとブラックリスト、およびプロキシサーバーの使用をサポートし、セキュリティと制御を強化します。プラットフォームはまた、セッションの真正性を保護し、外部ネットワーク接続を制限し、安全なモバイルコード管理を提供します。これらの機能により、組織は強力なセキュリティ態勢を確立し、システムと通信を不正アクセス、データ漏洩、その他のセキュリティ脅威から保護することができます。
