ベースラインコントロールを設定し、コントロールを生成して要件を実装する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:7分

    • ベースラインコントロールを使用すると、コントロールを継承したり、コントロールを共通としてマークしたり、ハイブリッドコントロールを作成したりできます。ハイブリッドコントロールを作成して、共通コントロールから要件を部分的に継承し、残りの要件はベースラインコントロールから生成されたコントロール用に作成します。

    始める前に

    必要なロール:sn_irm_cont_auth.system_owner、sn_irm_cont_auth.info_system_sec_officer、sn_irm_cont_auth.info_system_sec_manager

    このタスクについて

    ハイブリッドコントロールは、共通コントロールから要件を部分的に継承できるだけでなく、共通コントロールの要件を最大限に活用しながら、そのコントロールの残りの要件を自己実装する柔軟性も備えています。

    CAM には、NIST 800-53-r5 に基づいてコントロール目標からコントロールを継承する 2 つの方法があります。
    プロバイダーから継承
    コントロールは直接かつ完全に継承されます。たとえば、共通のプロバイダーである建物 A が提供するコントロール目標が火災防止であり、このコントロール目標には火災警報、煙検知、散水の 3 つの異なる要件がある場合、このコントロールは共通コントロールとして識別することで直接継承されます。
    注:
    1 つの認証パッケージに関連付けられたコントロールが、その認証パッケージ内で共通のコントロールプロバイダーとしてマークされており、かつその特定のパッケージが [監視] ステータスである場合、別の認証パッケージの共通のプロバイダーになることができます。その場合に限り、共通コントロールと呼ばれます。
    ハイブリッド継承
    コントロールは部分的に継承されます。この場合、コントロールの要件の 1 つまたはいくつかだけが継承されます。前述の例を考慮すると、ハイブリッド継承は以下の組み合わせで有効になります。
    • 火災警報器などの要件の内の 1 つは建物 A から継承でき、他の 2 つの要件は自己実装できます。
    • 火災警報器などの要件の内の 1 つは建物 A から継承でき、煙探知などの別の要件は建物 B から継承できます。残りの要件は自己実装できます。
    • すべての要件は継承されます。少なくとも 1 つの要件は継承され、1 つは自己実装されなければならないため、この継承は部分継承ではありません。したがって、この継承はハイブリッド継承とは言えません。
    注:
    認証パッケージの役割と責任は、認証パッケージがあるステータスから別のステータスに移行する際に、認証パッケージをレビューして承認する必要がある承認担当者 (AO) にアサインされなければなりません。情報システムセキュリティ責任者 (ISSO) は、共通コントロールにマークを付けたり、ハイブリッドコントロールを作成したり、またはこれらのコントロール目標が NIST に基づいているため、該当しないコントロールを特定したりする必要があります。承認担当者 (AO) が承認した後、認証パッケージは [実装 (Implement)] ステータスに移行します。

    手順

    1. 移動先 すべて > 継続的な承認とモニタリング > すべての認証パッケージ.
    2. [選択 (Select)] ステータスにあり、ベースラインコントロールが追加されている認証パッケージレコードを選択します。
      [選択 (Select)] ステータスでは、すべてのベースラインコントロールが追加されており、各ベースラインコントロールの役割を識別できます。コントロールを継承したり、コントロールを共通としてマークしたり、ハイブリッドコントロールを作成したりできます。
    3. 共通コントロールプロバイダーからのベースラインコントロールを共通コントロールとしてアサインするには、[ベースラインコントロール] タブで共通コントロールとしてアサインするコントロール目標を選択します。
      1. [ 共通としてマーク ] を選択し、[確認] ポップアップで [ OK ] を選択します。
      2. [ 承認を要求 ] を選択して承認を要求します。
        承認後、認証パッケージは [実装 (Implement)] ステータスに移行します。[実装 (Implement)] ステータスに移行する前に、コントロール目標フォームの [コントロールを自動的に作成 (Creates controls automatically)] オプションが、すべてのベースラインコントロールとハイブリッドコントロールに対して true である必要があります。そうでない場合は、コントロール目標のリストでエラーメッセージがポップアップ表示され、[コントロールを自動的に作成 (Creates controls automatically)] オプションを true にするよう促されます。
      3. メッセージ内でコントロール目標リンクを選択し、それぞれのコントロール目標フォーム内のすべてのコントロール目標に対して、[コントロールを自動的に作成 (Creates controls automatically)] オプションを有効にします。
      認証パッケージが承認されると、[コントロール] タブにコントロールが作成されます。その後、認証パッケージを [評価 (Assess)] ステータスに移行できます。このステータスでは、セキュリティコントロール査定人 (SCA) は、コントロールをテストするためにエンゲージメントを作成するエンゲージメントリーの役割を求められます。このステータスの後、認証パッケージは [承認 (Authorize)] ステータスに移行します。

      認証パッケージが他の認証パッケージの共通コントロールプロバイダーとして使用できるようになるには、その認証パッケージが [監視] ステータスである必要があります。認証パッケージが [監視] ステータスに移行し、ベースラインコントロールのいくつかで共通コントロールプロバイダーフラグが true に設定されると、それらのベースラインコントロール用に生成されたコントロールが他の認証パッケージの共通コントロールプロバイダーになります。

    4. 特定の共通コントロールプロバイダーの共通コントロールから要件を継承するか、ハイブリッドコントロールを作成するには、[ベースラインコントロール] タブでコントロール目標を 1 つだけ選択します。
      1. [ ハイブリッドを作成] を選択します。
        [ハイブリッドコントロールを作成 (Create hybrid control)] ポップアップには、グループ内のエンティティが一覧表示されます。エンティティ別にグループ化すると、コントロール目標の参照番号に追加される要件番号が多くなる場合に便利です。共通コントロールプロバイダーの一部から要件を部分的に継承し、残りの要件を自己実装することができます。自己実装された要件が 1 つもない状態で、すべてのカテゴリのプロバイダーからすべてのコントロール要件を選択して継承すると、要件は部分的に継承されるのではなく、すべての要件が完全に継承されることになり、これは許可されません。ハイブリッドコントロールを作成するには、少なくとも 1 つの自己実装要件が必要です。
      2. エンティティのグループから、そのコントロールの自己実装のための要件を 1 つ以上残して、要件を選択します。
      3. [追加] を選択します。
        [ハイブリッドコントロール] 関連リストに、選択したベースラインコントロールが表示されます。ベースラインコントロールは、コントロール目標と認証パッケージの M2M です。
        図 : 1. ベースラインコントロールの UI アクション
        ベースラインコントロールを設定してコントロールと要件を継承します。
      4. 階層リストの表示/非表示 (階層リストの表示/非表示) アイコンを選択して、継承された要件を表示します。
        ここにリストされていないその他の要件は、すべて自己実装されるものです。
        注:
        ハイブリッドコントロールの作成には、コントロール要件を持つ共通コントロールプロバイダーのみを使用できます。
    5. 共通プロバイダーからコントロールを継承するには、[ベースラインコントロール] 関連リストからコントロール目標を選択します。
      1. [ プロバイダーから継承 ] を選択し、[共通コントロールから継承] ポップアップで共通コントロールリストを選択します。
      2. 継承元のコントロールを選択し、 [ 確認] を選択します。
        選択したコントロールのエンティティが共通プロバイダーになります。これらの認証パッケージごとに、継承コントロールの関連リストがあります。この関連リストの [継承元] フィールドには、どのコントロールが共通コントロールプロバイダーであるかに関する情報が表示されます。
        注:
        直接継承であるプロバイダーから継承する場合、コントロールの要件がない場合があります。
    6. 特定のベースラインコントロールを適用外としてマークし、ワークフローから除外してコントロールが生成されないようにするには、ベースラインコントロールを選択します
      1. [ 該当なし] を選択します。
      2. アクションを正当化するメモを [ 正 当性 ] フィールドに入力し、[ 確認] を選択します。
        このアクションにより、選択したベースラインコントロールのステータスが [未実装 (Not implemented)] に変更されます。
      [選択 (Select)] ステータスでは、生成するコントロールタイプのセットアップを行いました。セットアップが完了したら、認証パッケージを承認できます。
    7. [Request approval (承認を要求)] を選択します。
      その後、認証パッケージは [実装 (Implement)] ステータスに移行します。このステータスで、セットアップに基づいてコントロールが作成されます。