一般的な基準と認定を受ける方法
ほぼ2年前、私は幸運にも連邦プロダクトマネージャーとしてイルミオチームに加わりました。まずやるべきことは、連邦政府が必要とする次のような製品認証を取得することでした。 チップ 140-2 およびGSAセクション508コンプライアンス。最近、イルミオコアはコモンクライテリアと呼ばれるもう一つの重要な政府セキュリティ認証を取得しました。この認証により、Illumioはエンタープライズセキュリティベンダーとして初めて、国家情報保証パートナーシップ(NIAP)の標準保護プロファイルへの適合認定を受けました。 エンタープライズセキュリティ管理、ポリシー管理 v2.1、アクセス制御ポリシーの定義と管理に焦点を当てています。
政府機関(および非連邦機関)が高度かつ持続的な脅威から高価値資産を保護しようと努める中、必要な対策は セキュリティを切り離す ネットワークアーキテクチャからホストベースのセグメンテーションを効果的に展開することが最優先事項となっています。 イルミオコア ホスト側でセキュリティをネットワークやセグメントから切り離します。これにより、お客様は、実行場所を問わず重要なアプリケーションを保護するセグメンテーションポリシーを作成して適用できます。
では、コモン・クライテリアとは正確には何ですか?NIAP 保護プロファイルとは何ですか?そして、なぜこれが連邦政府にとって重要なのでしょうか?少し掘り下げてみましょう...
コモン・クライテリアとは
共通基準リスト 商業ベンダーが政府に提供するIT製品の情報保証(IA)の評価に使用される、国際的に認められた一連のセキュリティ基準。共通基準承認協定 (CCRA) は、米国、オーストラリア、フランス、英国、ドイツ、オランダ、韓国などを含む30の加盟国で構成されています。CCRAに基づいて評価されたIT製品は、すべての加盟国によって相互に承認されるため、企業は製品を一度評価するだけで、多くの国に販売することができます。これは、保証要件を満たすための IT セキュリティ製品の機能や特徴の評価の一環です。
セキュリティ評価は厳格かつ包括的であり、承認された第三者機関によって実施されます。IA テストは、評価対象の製品に出入りする情報またはデータの使用、処理、保管、および送信に関連するリスクを評価することを目的としています。保護プロファイルには、製品が PP の要件をすべて満たさなければならないという点があります。
コモン・クライテリアにはいくつかの重要な概念があります。
- セキュリティ目標:評価中のプロジェクトの能力を明記する必要があります
- 保護プロファイル:特定のクラスの関連製品の標準要件セットに使用されるテンプレート
- 評価保証レベル:製品とそのテスト方法を定義します。EALの範囲は1~7で、最大値は7、最小値は1です。
- 評価対象:コモンクライテリア認証の審査対象となるシステムまたはデバイス
- セキュリティ機能要件:独自のセキュリティ機能に関する要件
Illumio Coreにとって、評価の重要な部分は、機能豊富な監査およびセキュリティ機能のセットに焦点を当てたものでした。Common Criteria では、ベンダーはセキュリティターゲットを起草して評価すべきセキュリティ機能の主張を定義しています。セキュリティターゲット内では、評価対象範囲は評価対象 (TOE) によって特定されます。イルミオコアの場合、TOE (または評価範囲) には以下が含まれます。 ポリシーコンピュートエンジン (PCE) と 仮想執行ノード (VEN)。
NIAP保護プロファイルとは何ですか?
2009年、米国のコモンクライテリア評価スキームである全国情報保証パートナーシップ(NIAP)は、承認されたNIAP保護プロファイルから直接すべてのコモンクライテリア認証にセキュリティ要件への準拠を要求する方針を更新しました。以前は、コモンクライテリアの機能要件は、評価保証レベル (EAL) フレームワークを通じて個々のベンダーによって定義されていました。NIAP保護プロファイルの変更に伴い、コモンクライテリアの機能要件は、特定のテクノロジークラス (ポリシー管理、ファイアウォール、VPNなど) のセキュリティ要件とテスト要件に対応するように調整されました。
保護プロファイルに照らして評価される製品は、保護プロファイルに規定されている機能要件を 100% 満たしている必要があります。保護プロファイルの 99% にしか適合しないのは容認できません。 認証に合格するには、完全かつ完全なコンプライアンスが必要です。保護を強化する1つの方法は、コンプリートすることです エンドポイントセキュリティ。厳しいセキュリティ要件は、前述のコモンクライテリア認証の厳格かつ包括的な性質を物語っています。これで最後のポイントになります...
なぜ政府はコモン・クライテリアとプロテクション・プロファイルに注目しているのか?
最初、米国国防機関の場合、コモンクライテリア認証は、米国政府による情報保証および人工知能対応IT製品の買収を規定する米国の国家安全保障政策 NSTISP #11 によって義務付けられています。つまり、IT ベンダーまたはセキュリティベンダーが、国家安全保障システム (NSS) を保護する目的で国防総省に製品を販売することを希望する場合、コモンクライテリアを取得する必要があります。
[次へ]、管理予算局のITによると ダッシュボード、米国国防総省(DoD)は支出に向けて順調に進んでいます 380億ドル 2019会計年度の未分類情報技術契約について商業ベンダーが国防総省に IT 製品を販売するために克服しなければならない最大のハードルの1つは、必要な政府コンプライアンスおよびCommon Criteriaなどの製品セキュリティ認証を取得することです。が指摘したようにニップ:「米国政府の保護プロファイルに準拠していると主張するNIAP製品準拠リスト(PCL)に掲載されている製品は、NISTとNSAが適切と見なす最低限のセキュリティレベルを満たしているため、一般的にそのような主張のない製品よりも優先されるはずです。」
さらに、ニップ 「特定の技術分野で承認された米国政府の保護プロファイルが存在しても、その保護プロファイルに準拠する検証済み製品が使用できない場合、買収組織は、購入前に、ベンダーが承認された保護プロファイルに照らして評価と検証のために製品を提出することをベンダーに要求する必要があります。」
ご覧のように、NIAP Protection Profilesに基づくCommon Critera認証は、商用製品やソリューションの購入に関して、米国政府にとって重要なITコンプライアンスチェックの役割を果たします。
最後に、参加しているすべての人に感謝とおめでとうございます イルミオ製品 この重要な成果を達成した開発チームとエンジニアリングチーム、そしてイルミオのNVLAPラボとして素晴らしい仕事をしてくれたCygnacom Solutionsの才能あるチーム。
イルミオのコモンクライテリアやその他の政府セキュリティ認証の詳細については、以下をご覧ください。