JP

研究報告/スペシャル・レポート
ウインマジックの暗号化ソフトウェアSecureDocは、セキュリティ関連のさまざまな基準に対する認証を受けています。 その1つが、NIST(米国標準技術研究所)の第1号認証です。 このような機関は、新しいテクノロジー標準や評価基準の策定と適用を行っています。

本ぺージでは、下記のNIST発行の研究報告/スペシャルレポートをご紹介します。

研究報告:
公開鍵暗号方式によるエンティティ認証
この標準では、128ビットのデータブロックを処理することの可能な、128、192、256ビットの長さの暗号キーを使用した対称ブロック暗号であるRijndael暗号化アルゴリズム([3] と [4])を規定しています。
>> 詳細
暗号化モジュールのセキュリティ要件: 改訂通知(2002年12月3日) - FIPS PUB 140-2
この標準では、暗号化モジュールが満たす必要のあるセキュリティ要件を規定しています。 この改訂では、将来的に幅広いアプリケーションや環境をカバーする目的で、より高度な4つのセキュリティの質的レベルについて説明しています。
>> 詳細
付録 A: 承認済セキュリティ関数 - FIPS PUB 140-2(2009年6月)
本書は、FIPS PUB 140-2準拠の承認済セキュリティ関数のリストです。
>> 詳細
セキュアハッシュ関数標準(SHS) - FIPS PUB 180-3(2008年10月)
この標準では、メッセージのダイジェスト化に使用可能な5つのハッシュアルゴリズムについて規定しています。 ダイジェストの生成後にメッセージが変更されているかを検知するために、ダイジェストは使用されます。
>> 詳細
付録 D: 承認済暗号キー確立手法 - FIPS PUB 140-2(2008年1月)
本書は、FIPS PUB 140-2準拠の承認済暗号キー確立手法のリストです。
>> 詳細
付録 C: 承認済乱数生成器 - FIPS PUB 140-2(2007年10月)
本書は、FIPS PUB 140-2準拠の承認済乱数生成器のリストです。
>> 詳細
ドラフト: 暗号化モジュールのセキュリティ要件 - FIPS 140-3(2007年7月)
この標準は、コンピュータや電気通信システムで機微な情報を保護しているセキュリティシステムにおいて使用される、暗号化モジュールのセキュリティ要件を規定しています。
>> 詳細
付録 B: 承認済保護プロファイル - FIPS PUB 140-2(2007年6月)
本書は、FIPS PUB 140-2準拠の承認済保護プロファイルのリストです。
>> 詳細
連邦政府職員および委託業者を識別するための個人識別情報検証(PIV: Personal Identity Verification)(2006年3月)
この標準では、連邦政府職員および委託業者の一般的な識別のための、アーキテクチャと技術要件を規定しています。
>> 詳細
連邦政府職員および委託業者を識別するための個人識別情報検証(PIV: Personal Identity Verification): 改訂通知 1 - FIPS PUB 201-1(2006年3月)
この標準では、連邦政府の管理する設備や情報システムへのアクセスなどのアプリケーションで使用する、連邦政府全体に渡る信頼性の高い個人情報検証システムについて規定しています。
>> 詳細
Advacned Encryption Standard(AES)の発表 - FIPS PUB 197(2001年11月)
この標準では、128ビットのデータブロックを処理することの可能な、128、192、256ビットの長さの暗号キーを使用した対称ブロック暗号であるRijndael暗号化アルゴリズム([3] と [4])を規定しています。
>> 詳細
暗号化モジュールのセキュリティ要件 - FIPS PUB 140-1(1994年6月)
この文書では、暗号化によるセキュリティシステムを使用して機微なデータや重要なデータを保護することを連邦政府機関が規定する際に、その機関によって使用される標準について説明しています。
>> 詳細

スペシャル・レポート:
パブリック・クラウドコンピューティングにおけるセキュリティとプライバシーのガイドライン(SP 800-144)
米国標準技術研究所(「NIST」)は、パブリックコメントを集めるために、パブリック・クラウドコンピューティングにおけるセキュリティとプライバシーのガイドライン(SP 800-144)(「ガイドライン」)のドラフトを公開しました。 このガイドラインは、パブリック・クラウドコンピューティングに関連するセキュリティとプライバシーの課題の概要を説明すると同時に、データやアプリケーション、そしてインフラストラクチャをパブリック・クラウド環境にアウトソースしている組織に対して、留意事項を特定するものです。 このガイドラインは連邦政府機関での使用を意図しており、 民間での使用は任意です。
>> 詳細
NIST SP800 – 122 個人を識別できる情報(PII)の機密性保護ガイドライン(2010年4月)
この文書は、情報セキュリティの強化を背景として、連邦政府機関の情報システムにおける個人を識別できる情報(PII)の機密性保護を支援し、またその機密性保護とプライバシーの関係を、個人情報の公正な運用原則(Fair Information Practices)を用いて説明することを目的としています。この個人情報の公正な運用原則は、ほとんどのプライバシー関連法やベストプラクティスの基本原則となっています。 また本書は、適切なPII保護レベルの理解に役立つ予防対策を提示しており、さらにはPIIが絡んだ事故の発生時の推奨対策案も解説しています。
>> 詳細
NIST SP500-267 米国政府におけるIPv6のプロファイル - 第1版(2008年7月)
この分析は、IPv6(インターネットプロトコル・バージョン6)の実装に関する短期の技術的展望において、大きなテクノロジーギャップの存在する箇所の究明を目的としたものです。 連邦政府機関がこの新しいテクノロジーを安全かつ経済的に導入するためには、どのような新しい標準、そして検証用インフラストラクチャとプロセスが必要になるか説明しています。 また、米国連邦政府機関のITシステム用に調達・実装される、標準的なIPv6デバイスに関するテクノロジーの取得プロファイル推奨例も記載しています。
>> 詳細
NIST SP 800-111 エンドユーザ用デバイス向けストレージ暗号化テクノロジーガイド(2007年11月)
この文書は、3種類のソリューション—ディスク暗号化、ボリューム/仮想ディスクの暗号化、そしてファイル/フォルダの暗号化の解説と同時に、各々の実装と使用法の推奨例を説明しています。 また使用例では、ほとんどのストレージ暗号化のニーズを満たす方法を複数解説しています。
>> 詳細
NIST SP 800-88 メディアのサニタイズ・ガイドライン(2006年9月)
この特別文書は、メディアはいつ廃棄・再利用が必要となるか、あるいは組織の制御下から離れるか、判断を下す際の支援を目的としています。 また、関連するシステムの機密性に対するセキュリティのカテゴリー化を考慮し、サニタイズと廃棄を決定するための適切な準拠テクニックとコントロールを伴った、メディアのサニタイズプログラムの実装を支援します。
>> 詳細
個人を識別できる情報(PII)の機密性保護ガイド(2010年4月)
米国標準技術研究所(NIST)の情報技術研究所(ITL)は、国内の測定・規格基盤における技術的リーダーシップを発揮し、経済と公共福祉の推進を図っています。 ITLは、試験や試験手法、 参照データ、概念実証の実装、そして技術的分析の開発や発展を通じて、情報技術の開発や生産的利用を促進します。 ITLは、連邦政府機関のコンピュータシステムで機密扱いされていない機微な情報に対する、コスト効果の高いセキュリティとプライバシー保護を目的として、技術、物理、管理に関する標準とガイドラインの開発・策定を担っています。 この800シリーズの特別文書では、コンピュータセキュリティに関するITLの研究やガイダンス、そして公共福祉実現にむけたさまざまな活動、さらに業界や政府、教育機関など幅広い組織・団体とのコラボレーションについて報告しています。
>> 詳細
企業におけるテレワークとリモートアクセスのセキュリティガイド(2009年6月)
本文書の目的は、リモートアクセスサーバ、テレワーク用クライアントデバイス、およびリモートアクセスによるコミュニケーションなど、テレワークで使用されるエンタープライズ向けテクノロジーに関連するリスクの軽減を支援することです。 本書では、テレワーク用デバイスに保存されたり、外部ネットワークを利用するリモートアクセスによって転送される機微な情報を保護することの重要性を強調しています。
>> 詳細
ドラフト: 企業におけるパスワード管理ガイド(2009年4月)
本文書では、パスワード管理方法の推奨例を挙げて、企業全体で適用するパスワードポリシーの定義、実装、そして維持プロセスを解説しています。 効果的なパスワード管理により、パスワードベースの認証システムにおける情報漏洩のリスクを低減することができます。
>> 詳細
ドラフト: 無線ネットワークでのアクセス認証に使用されるEAPメソッドの推奨例(2008年12月)
多様な無線テクノロジーが登場し、場所を問わずネットワークやサービスにアクセス可能なったことでユーザのモビリティ加速するに伴い、そのようなアクセス環境における米国連邦政府の重要な要件として、高度なセキュリティが求められるようになっています。 無線によるトラフィックを保護するアクセス認証と暗号キーの確立は、ともに無線アプリケーションにおいて中核となるセキュリティコンポーネントとなっています。
>> 詳細
物理アクセス制御システム(PACS)におけるPIV資格情報の利用(2008年11月)
本文書では、さまざまなPIVカードの機能を検証しており、リスクベースの評価と適切なPIV認証メカニズムとの連携が可能となります。 また、施設内の異なる領域でリスクベースのPIV認証メカニズムを適切に採用できるようにするため、「Controlled(制御された)、Limited(制限された)、Exclusion(除外)」の3つのセキュリティエリアというコンセプトを紹介しています。
>> 詳細
テレワークとリモートアクセスで使用する外部デバイスの保護に関するユーザガイド(2007年11月)
本書は、テレワークとリモートアクセスで使用する外部デバイスの保護の推奨例を説明しています。 多くの組織では、リモートアクセスで使用できる外部デバイスの種類やアクセスできるリソースを制限しています。例えば、在宅勤務者所有のノートPCからは限定された社内リソースのみに、また他の外部デバイスからはWebベースのEメールのみにアクセスが制限されているケースなどがあります。
>> 詳細
決定論的乱数生成器を使用した乱数生成法(改訂版)(2007年3月)
本書では、暗号を利用しているアプリケーションでランダムな値が要求される場合に直接使用する、あるいは乱数に変換する、ランダムビットの生成手法の推奨例を解説しています。
>> 詳細
暗号キー管理 - 第1部: 一般的な管理(改訂版)(2007年3月)
本文書では、暗号キーの管理の推奨例を解説しています。 本文書は3部構成になっており、 第1部では暗号キーの素材管理に関する一般的なアドバイスとベストプラクティスを説明しています。 第2部では、米国政府機関におけるポリシーとセキュリティプランニングの要件を解説します。 最後の第3部には、現在のシステムで暗号化機能を使用する際のアドバイスが記載されています。
>> 詳細
メディアのサニタイズ・ガイドライン(2006年9月)
本ガイドは、情報の機密性のレベルに基づいて実用的なサニタイズを決定できるように、組織やシステムのオーナーを支援します。
>> 詳細
FIPS 140-1とFIPS 140-2における暗号化モジュールのセキュリティ要件の比較(2001年6月)
FIPS 140-1と2は、現在そして将来のNISTの暗号化標準フレームワークとその手法を定義しています。
>> 詳細
公開鍵技術と連邦政府機関のPKIインフラストラクチャ概論(2001年2月)
本書は、政府機関の政策立案者が自分の所属機関におけるPKIの適性を判断する際の支援、そして連邦政府機関で最も効果的なPKIサービスの導入展開の解説を目的として作成されています。 PKIの機能とそのアプリケーションの概要を説明しています。
>> 詳細

 
Daniel-Gallagher-Manager-Infrastructure-Support-for-Bayshore-Home-Health