NIST 800-171に準拠
管理対象の非機密情報(CUI)を安全に保つ

UserLockは、NIST 800-171の3つの優先度の高いセキュリティ要件、
3.1アクセス制御、3.3監査と説明責任、3.5識別と認証
に直接対応しています。

NIST SP 800-171は米国連邦政府と協力し、ITネットワーク上で管理対象の非機密情報(CUI)を管理する非連邦組織の強力なデータ保護とアクセスセキュリティを保証しています。

NIST 800-171とは?

米国立標準技術研究所(NIST)は、米国のサイバーセキュリティと情報技術の基準を監督している機関です。NIST 800シリーズはIT セキュリティに重点を置き、設立当初は米国連邦政府のシステムに焦点を当てていましたが、後に連邦政府「以外」の組織のサイバーセキュリティ態勢を強化するために拡張されました。
NIST 800-171はNIST 800-53と密接に関係があり、後者が米国連邦政府の情報システムに対するサイバーセキュリティのコンプライアンス基準に重点を置いているのに対し、前者は米国連邦政府「以外」の情報システムや組織が管理する非機密情報(CUI)について規定しており、どちらも本質的に「機密にあたるが分類されていない」データの保護と配布方法を定義する基準となっています。

NIST SP 800-171準拠が求められる組織とは?

米国政府との契約の一環として、CUIを取り扱う組織はNIST SP 800-171に準拠する必要があります。
これら対象には連邦政府の請負業者、下請業者、CUIを処理・保管・送信するあらゆる企業や機関が含まれ、政府機関はNIST 800-171に準拠していない組織に契約を発注することはできません。

NIST 800-171準拠の評価にかかる費用は?

費用は組織の規模や設定によって異なりますが、比較的簡単なIT環境を持つ中小企業の場合、5千ドルから 1万5千ドルかかると言われています。より複雑なネットワークを持つ大規模な組織の場合は、さらなるコストが見込まれるため5万ドルを超えることも珍しくありません。特定の問題解決に向けて外部のコンサルタントを導入する場合は、さらに費用がかかることがあります。

NIST 800-171準拠にMFA(多要素認証)は必要か?

NIST SP 800-171は、特定のシナリオにおいてCUIへのアクセスにMFA(多要素認証)を必要とします。MFAは管理者ほかすべての特権ユーザーと、CUIを取り扱うシステムに対するすべてのリモートアクセスの際に必要となり、CUIへのアクセスを許可する前に、組織はユーザーの身元を確認するため少なくとも2つの要素を要求する必要があります。MFA(多要素認証)は、機密データへの不正アクセスのリスクを低減し、NIST 800-171の要件を満たすために必要な鍵と言っても過言ではないでしょう。

UserLockはNIST 800-171に準拠しています!

UserLock(ユーザーロック)は、NIST 800-171 の優先度の高い以下のセキュリティ要件に直接対応しています。

3.1 アクセス制御
3.3 監査と説明責任
3.5 識別と認証

3.1:アクセス制御

NIST 800-171 要件 UserLockの機能
3.1.1 システムへのアクセスは認可されたユーザー、認可されたユーザーに代わって動作するプロセスおよび(そのほかのシステムを含む)デバイスに限定させる 時間、接続元端末、IPアドレス、位置情報によるユーザーのアクセスを制限を行います
3.1.2 システムへのアクセスは、認可されたユーザーが実行を許可されているタイプの処理および機能に限定させる 役割ごとに制限を行い、必要なものだけにユーザーがアクセスできるように設定できます
3.1.3 承認された認可に従い、システム内および接続されたシステム間のCUIの流れを制御する システムのアクセスは特定のPCやデバイスのみに制限し、システムにアクセスできるエンドポイントを制御できます
3.1.6a システム上の特権アカウントを、割り当て(組織内で定義された要員または役割)に制限させる ユーザー、グループ、組織グループ(OU)ごとに異なるアクセスポリシーを設定できます
3.1.7 非特権ユーザーによる特権機能の実行を防止し、監査ログに記録する ユーザーアカウント制御(UAC)はじめ管理者が行う実行要求に対して多要素認証(MFA)を実装し、非特権ユーザーによる特権の昇格を防ぎます
3.1.8a 連続したログオン試行の失敗回数を限定する 30分以内に5回ログインが拒否されるとアカウントをブロックします(組織のセキュリティポリシーに従い、管理者は時間・回数を調整できます)
3.1.8.b ログイン試行失敗の最大回数を超えると、自動で(一定期間または管理者が解除するまで)アカウントまたはノードをロックする、次回のログオンプロンプトを遅延させる、システム管理者に通知する、そのほかの措置を取る カスタマイズされたログイン制限を満たさないログオン試行をブロックします。アラートを設定し、スクリプトを実行することで、疑わしいユーザーアカウントをワンクリックで自動的にログオフし、以降のログオン試行を拒否できます。
3.1.10 セッションロックとパターン非表示を併用し、一定時間操作が行われないとデータへのアクセスや閲覧ができないようにする ロックされたマシンや開いているPCで、一定の時間無操作の状態が続くと自動的に強制ログオフさせることができます
3.1.11 規定の条件が成立した場合は、ユーザーのセッションを(自動で)終了する アラートを設定してスクリプトを実行し、決められた条件を満たすユーザーを強制ログオフできます。
疑わしいユーザーのアカウントを確認し、ワンクリックで即座にブロックできます。ブロック後はログオン試行がすべて拒否され、既存のセッションがすべて閉じられます。
3.1.12 リモートアクセスセッションの監視と制御を行う RD Gateway、RDP、RDWeb、RemoteApp、VPNなど、すべて(リモートまたはオンプレミス)のユーザーに多要素認証(MFA)とコンテキストアクセスポリシーを適用できます

UserLockは、コンテキストに応じたアクセス制御とセッション管理機能により、強力なアクセス管理を実現します。

オンプレミスADとのシームレスな統合による
可視化と複雑性の軽減を実現

UserLock(ユーザーロック)はオンプレミスのAD(Active Directory)とシームレスに統合されているため、管理者は最小権限の原則に沿ってADのユーザー、グループ、組織(OU)に異なるアクセスポリシーを設定できるほか、5分ごとにADと同期してADのユーザーおよびグループポリシーの変更をリアルタイムで検知して実行します。

ユーザーのアクセスイベントログで
コンプライアンスを証明できる

UserLock(ユーザーロック)は保護されたクラウドリソースへのアクセス試行を含む、すべてのネットワークのユーザーアクセスイベントを追跡・監査します。ネットワーク全体を一元監査することで、誰が・いつ・どのような接続形態でネットワークにアクセスしたか、あるいはアクセスしようとしているかを360度可視化します。
イベントログはコンプライアンスに必要なアクセスポリシーと状況に従い、許可されたユーザーだけが機密情報にアクセスできることを証明できるため、コンプライアンスの証明に役立ちます。

許可されたユーザーがいかなる状況で
ネットワークにアクセス可能か制御

UserLockは(ユーザーロック)はIPアドレス、時間、PC、セッションの種類、位置情報などの要因に基づいて、よりきめ細かく状況に応じたアクセス制限を行うことができます。

位置情報による制御


時間および勤務時間による制御


管理者による同時セッション数の制御も可能です

怪しい挙動を検出
疑わしいアカウントをブロック/ログオフさせる


UserLock(ユーザーロック)は失敗したログイン試行回数の制限など、制限内容をカスタマイズして適用できます。条件を満たさないログオン試行は自動的にブロックされます。

リアルタイムの監視対象には、リスクの指標となるユーザーのステータスとして「ハイリスク」「リスク」「保護されている/いない」「新規ユーザー」のレベルを表示します。初期設定では30分以内に5回ログオンが拒否されたユーザーを「ハイリスク」とみなし、アカウントをブロックします。

管理者は、組織のセキュリティポリシーに従いこれらの設定を自由に変更できます。

また、管理者は疑わしいユーザーのアカウントを確認し、ワンクリックで即座にブロックできます。ブロック後はログオン試行がすべて拒否され、既存のセッションがすべて閉じられます。そのほかロックされたマシンや開いているPCで、一定の時間無操作の状態が続くと自動的に強制ログオフさせることもできます。これにはドメインユーザーが開始したリモートデスクトップセッションも含まれます。



リモートアクセスセッションの監視と制御

UserLockは(ユーザーロック)RD Gateway、RDP、RDWeb、RemoteApp、VPNなど、すべて(リモートまたはオンプレミス)のユーザーのリモート接続を管理し、セキュリティを確保します。管理者はMFA(多要素認証)を求める頻度を自由に制御できるため、リモートで働く社員のセキュリティ負荷を軽減し、チームの生産性とセキュリティの両方のバランスを確保します。

3.3:監査と説明責任

NIST 800-171 UserLockの機能
3.3.1 非合法的または認可されてないシステム活動の監視、分析、調査、報告を可能にするため、必要な範囲でシステムの監査ログおよび記録を作成して保持する イベントログをリアルタイムで記録・監査し、システムに対するすべてのアクセス監視が可能です。アラートを設定し、不正または疑わしいログインイベントにも対応できます。
3.3.2 個々のシステム利用者の行動を一意に追跡できるようにして、利用者が自らの行動に説明責任を負うことができるようにする 成功・失敗に関わらず、すべてのユーザーログイン活動の詳細な監査ログとレポートを作成します
3.3.3.a 3.3.1及び3.3.2で指定された、選択されたイベントタイプおよび監査記録の内容記録を生成する ダッシュボードを活用し、全ユーザーのセッションイベントを監査・報告します。テンプレートの利用のほか、カスタムでのレポート作成も可能です。
3.3.3.b 監査記録は、記録保存の方針と一致する期間保存する 接続イベントを運用しているデータベース(ODBCデータベース(Microsoft Access、SQL Server、MySQL))に保存し、
アーカイブしたデータベースを必要な期間保存します
3.3.5.a 非合法または疑わしい活動の兆候および潜在的な影響について、(組織が定義した頻度で)システム監査記録を見直し、分析する 運用しているデータベースとアーカイブしたデータベースを簡単に切り替えて、スムーズなレポーティングを実現します
3.3.5.b 調査結果を組織の要員または役割に報告する コンソールから直接レポートを定期的にメールで送信できます
3.3.5.c 組織全体の状況認識を得るために、異なる保管場所に渡って監査記録を分析し、関連付ける UserLock APIをインストールしてアクセス監査ログをSOCソリューションに取り込み、組織全体の監査記録の相関を取ることができます
3.3.6.a 監査記録のレビュー、分析、報告要件、およびインシデントの事後調査をサポートする監査記録の削減および報告書の作成機能を導入する 必要な情報をピンポイントで特定し、フォレンジック調査を迅速に進める強力なフィルタを使ってすべてのアクセスイベントの監査・レポートを行います
3.3.6.b 監査記録の元となる内容と、時間順序を保存する イベントに関連する「時間」を使ってイベントの表示およびフィルタリングを行います
3.3.7.a 内部システムクロックを使用して、監査記録のタイムスタンプを生成する データと時間を含む監査記録のタイムスタンプを表示し、フィルタリングを行います
3.3.8 監査情報および監査記録ツールを、不正アクセス、変更、削除から保護する 管理者にきめ細かな権限権限を設定し、どの管理者が設定を変更できるかを制御できます。また、管理者のアクションを追跡し、アクションレポートを活用することで説明責任を保証できます。
3.3.9 監査ログ取得機能の管理を、特権ユーザーの一部の者に限定する 「UserLockサーバーのプロパティ」で、管理権限のあるユーザーまたはグループのアカウント、対象のユーザーができる内容を限定できます

UserLock(ユーザーロック)はWindowsドメインネットワークに対する全ユーザーの接続イベントとログオン試行を監視・記録・報告します。管理者はフォレンジック調査※をサポートするため、カスタマイズした詳細なレポートにアクセスできます。
※企業内のインシデント発生時に実施される、法的な証拠を捜す調査のこと

ユーザーの説明責任を促進

ユーザーの説明責任を促進

UserLock(ユーザーロック)の包括的なイベントログと監査により、管理者はいつでもすべてのユーザーの身元を確認できます。

MFA(多要素認証)イベントレポート

MFAイベントレポート
ログオン時にMFA(多要素認証)を求める画面が表示される、すべてのイベントに関するログを提供します。これにはMFAが正常に完了したか否かの詳細情報が含まれます。

インターネットに接続されている/接続されていないサーバーやワークステーションからのすべてのMFAイベントを簡単に可視化できるほか、MFAの拒否、就業時間外での試行など、特定のイベントタイプに対するアラートを設定し、潜在的な脅威を迅速に検出できます。

デフォルト/カスタムテンプレートを使った
迅速なレポート作成

ダッシュボードから現在利用可能なテンプレートを選択するほか、カスタムでレポートを作成できます。
レポートはCIOやASDなどの指定された受信者に自動的に送信されるよう、事前にプログラムすることも可能です。

管理者アクションの記録とレポート

管理者アクションの記録とレポート
管理者はネットワーク全体を一元的に監査し、すべての特権アクセス、アカウント、グループ管理イベントを記録してレポートを作成できます。

組織はこれらアクションレポートを活用し、すべての管理者アカウントのアクションを迅速に把握できます。

イベントログに対する安全なアクセス

イベントログへの安全なアクセス
インターネットに接続されている/接続されていないサーバーやワークステーションのイベントログを分析します。
管理者は特権アカウントによるアクセス拒否、就業時間外や通常とは異なる場所からのログオン試行など、特定のイベントタイプにアラートを設定して潜在的な脅威を迅速に検出できます。ユーザーセッションのブロックも、ワンクリックで実行可能です。
UserLock(ユーザーロック)は特権ユーザーのきめ細かい権限設定が可能です。各機能へのアクセスは、「Read(情報を表示)」と「Write(変更を許可)」の2つの権限に分かれています。(注記:イベントログは変更または削除できません)

NIST要件 3.5:識別と認証

NIST 800-171 UserLockの機能
3.5.2 組織のシステムへのアクセスを許可する前提条件として、ユーザー、プロセス、またはデバイスの ID を認証(または検証)する システムへのアクセスを許可する前に、オンプレミスのActive Directoryでユーザーを確認する強力な多要素認証(MFA)を提供します
3.5.3 特権アカウントへのローカルおよびネットワークアクセス、ならびに非特権アカウントへのネットワークアクセスには、多要素認証を使用する 特権および非特権アカウントのネットワークアクセスにMFA(多要素認証)を要求できます

UserLock(ユーザーロック)は特権・非特権を問わず、すべてのActive Directoryアカウントの身元を簡単に確認し、Windowsログオン、RDP、VPN接続のMFA(多要素認証)を使ってネットワークへのアクセスを保護するほか、クラウドアプリケーションに保存されている組織の機密および非機密データへのActive Directoryユーザーアカウントによるアクセスを認証できます。

また、MFA(多要素認証)とSSO(シングルサインオン)を組み合わせ、Microsoft 365、Google Workspace、Salesforce、Dropbox、そのほかSAMLベースのクラウドアプリなどのオンラインサービスやアプリケーションへのActive Directoryユーザーのアクセスを認証します。

管理者は、MFAを要求する方法とタイミングを選択できます。設定の変更は以下2つのモードがあります。
・「All session types at once」:UserLockで保護されている、すべてのセッションタイプに同じポリシーを適用します
・「By session type」:セッションタイプごとに異なる MFA ポリシーを適用します

多要素認証
多要素認証

特権/非特権ユーザーの多要素認証

NIST 800-171 3.5.3では、Active Directoryなどのネットワークシステムの非特権ユーザーと特権ユーザーの両方にMFA(多要素認証)を適用することを要求しています。
UserLock(ユーザーロック)のMFAは分かりやすく効果的で、特権/非特権ユーザーを問わず、すべてのActive DirectoryアカウントでIDを検証します。これにより、セキュリティ・リスクを低減する鍵といえる、ゼロ・トラスト・アーキテクチャの基礎である最小権限の原則を適切に適用できます。

ul_img

無料ダウンロードはこちら

本ページはUserLockの海外開発元、IS Decisions社にて公開中のWebページを日本語に翻訳したものになります
出典:https://www.isdecisions.com/en/compliance/nist-800-171