NIST 800-171とは、アメリカ政府以外の情報システム、または組織におけるCUI(Controlled Unclassified Information、機密情報ではない重要情報の意味)を規定するものです。つまり、機密情報にはカテゴライズされないながら、重要性が高い情報の保護と配布を行う方法を定義するためのセキュリティ基準です。
これはCUIを扱う民間の企業とサプライチェーンなどに代表される、取引先、業務委託先などといった関連企業におけるセキュリティ基準を目的としたものとなります。
IS Decisions社の「UserLock」は、NIST 800-171の3つの優先度の高いセキュリティ要件である、
・3.1 アクセス制御
・3.3 監査と説明責任
・3.5 識別と認証
これらに直接対応しています。
3.1 アクセス制御
- 3.1.1:システムのアクセスは、許可されたユーザー、または許可されたユーザーの代理として行動するプロセス、またはデバイス(他のシステムを含む)に制限する。
- 3.1.2:システムアクセスを許可されたユーザーが実行できる種類のトランザクション及び機能を制限する。
- 3.1.7:非特権ユーザーによる特権機能の実行防止と、そのような機能の実行を監査ログに記録する。
UserLockにより、管理者が従業員別のきめ細かいアクセス権を設定することが可能で、業務に必要な情報のみにアクセスできるようにすることができます。そして、すべてのユーザーのアクセスイベントの記録とレポートを行うことができ、ネットワーク全体にわたる中央監査を実現します。
- 3.1.8:ログイン失敗の試行を制限する。
- 3.1.10:パターン非表示のセッションロックを使用して、一定期間操作がない場合のデータへのアクセスや閲覧を防止する。
- 3.1.11:定義された条件の後にユーザーセッションを(自動的に)終了させる。
UserLockは、ユーザー、グループ、組織単位(OU)ごとにカスタマイズしたログイン制限を適用できます。これらの条件を満たさないログイン試行は、自動的にブロックされます。管理者は、疑わしいユーザーアカウントを確認し、ワンクリックで即座にブロックすることができます。これにより、以降のログイン試行はすべて拒否され、既存のセッションもすべてシャットダウンします。また、ロックされた端末や、開いている端末でも、一定のアイドル時間が経過すると自動的に強制ログオフするように設定することも可能です。これには、ドメインユーザーが開いたリモートデスクトップセッションも含まれます。
- 3.1.12:リモートアクセスセッションを監視・制御する。
UserLockは、管理者がすべてのユーザー(リモート、オンプレミス)のアクセスの管理と保護を行う際に、従業員の作業の障害となったり、IT部門への影響がないように支援します。
3.3 監査と説明責任
- 3.3.1:違法または不正なシステム活動の監視、分析、調査、報告を可能にするために必要な範囲で、システム監査ログおよび記録を作成し、保持する。
- 3.3.2:システム利用者個人の行動を一意に追跡できるようにし、利用者がその行動に対して責任を負うことができるようにする。
UserLockは、Windowsドメインネットワークへのすべてのユーザーの接続イベントとログイン試行を監視、記録、報告します。またフォレンジック調査をサポートする、パーソナライズされた詳細なレポート機能があります。
そして、管理者はいつでもすべてのユーザーのIDを確認することができ、悪意のあり、なしに関わらず、あらゆるアクティビティに対してのユーザーの責任の所在を明確にすることができます。
- 3.3.8:監査情報、または監査ログツールを不正なアクセス、変更や削除から保護する。
- 3.3.9:監査ログ機能の管理を一部の特権ユーザーに限定する。
UserLockは、特権ユーザーの柔軟な権限設定機能を提供します。個別の機能へのアクセスは、セクション情報を表示する「Read」と、変更を許可する「Write」の2つの権限に分かれています。
3.5 識別と認証
- 3.5.2:組織のシステムへのアクセスを許可する前提条件として、ユーザ、プロセス、またはデバイスのIDを認証(または検証)すること。
- 3.5.3:特権アカウントへのローカルまたはネットワークアクセス、非特権アカウントへのネットワークアクセスには、多要素認証を使用する。
