2002年の連邦情報セキュリティ管理法(FISMA)は、政府の情報、運用、および資産を保護するために連邦機関(法的機関または警察を含む)に適用される米国連邦法です。
FISMAに従って、米国国立標準技術研究所(NIST)は、情報セキュリティの標準とガイドラインの開発を担当し、FISMAへの準拠に向けた手順の概要を示しています。
具体的には、NIST Special Publication 800-53「連邦情報システムおよび組織のセキュリティおよびプライバシー管理」は、FISMAコンプライアンスを満たすための重要かつ明示的な手順であるセキュリティ管理のカタログを提供します。
IS DecisionsのソフトウェアUserLockは、NIST 800-53、IA-2識別および認証(組織ユーザー)、AC-9以前のログイン(アクセス)通知、およびAC-10同時セッション制御の3つの優先度の高いセキュリティ制御の基準に直接対応します。
IA-2の識別と認証(組織のユーザー)
情報システムは、組織のユーザー(または組織のユーザーに代わって行動するプロセス)を一意に識別および認証します。
- IA-2(1)情報システムは、特権アカウントへのネットワークアクセスのための多要素認証を実装します。
- IA-2(2)情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。
- IA-2(3)情報システムは、特権アカウントへのローカルアクセスのための多要素認証を実装しています。
- IA-2(4)情報システムは、非特権アカウントへのローカルアクセスのための多要素認証を実装しています。
UserLockを使用すると、特権ユーザーと非特権ユーザーのWindowsログイン、RDP、およびVPN接続でMFAを簡単に有効にできます。UserLockは、オーセンティケーターアプリケーションまたはプログラム可能なハードウェアトークンを使用してMFAをサポートします。これにより、すべてのActive DirectoryアカウントのIDを確認し、ネットワークへの安全なアクセスを確保できます。
AC-9前回のログイン(アクセス)通知
情報システムは、システムへのログイン(アクセス)が成功すると、最後のログイン(アクセス)の日時、最後のログイン(アクセス)が成功してからのログイン(アクセス)の試行回数、および最後のログインの場所。
UserLockは、ログインするたびにユーザーにウェルカムメッセージを表示します。これには、ユーザーの資格情報に関連する以前の接続イベントに関する情報が含まれます。ITチームはこのメッセージをパーソナライズできます。
- 最後に成功したログインの日時
- 最後に正常にログインしてから、UserLockおよびWindowsによって拒否されたログインの数
- 日付、時刻、場所、理由など、最後に正常にログインしてからUserLockとWindowsによって拒否されたすべてのログインの履歴
さらに、UserLockは、資格情報に関連するすべての接続イベント(成功または失敗)をユーザーにリアルタイムで警告することにより、セキュリティをさらに拡張します。自分の資格情報がネットワーク上の別の場所で使用されると、ユーザーはポップアップ通知を受け取ります。このアラートにより、ユーザー自身が状況を評価し、侵害された資格情報の不正使用に即座に対応できるIT部門に通知することができます。
AC-10同時セッション制御
情報システムは、各アカウントの同時セッションの数を制限および実施する必要があります。
Windowsのネイティブ機能には、特定のユーザーアカウントが一度に1台のコンピューターまたはデバイスにログインすることを制限する方法はありません。これは重大なセキュリティ上の欠陥であり、ネットワークの脆弱性を大幅に増大させます。
UserLockを使用すると、組織は、Microsoft Windows Serverベースのネットワークへの同時ログインを、ユーザーまたはユーザーグループごと、およびセッションタイプ(ワークステーション、ターミナル、インタラクティブ、Wi-Fi / VPN、またはIIS)ごとに防止または制限できます。IT管理者は、きめ細かい制限を設定でき、ユーザーごと、またはグループごとに異なる場合があります。
多くの連邦政府機関や組織は、セキュリティ違反のリスクを軽減し、NIST800-53などの主要な規制へのコンプライアンスを確保するためにすでにUserLockに頼っています。