あなたの組織が、機密性の高い法執行データを扱う契約を獲得したと想像してください。クラウドプロバイダー、ソフトウェアベンダー、または分析会社かもしれません。すぐにCJISが最重要課題になることでしょう。
FBIの犯罪司法情報サービス(CJIS)セキュリティポリシーが、犯罪歴、指紋、捜査ファイルの保護方法を規定していることは知っていても、それ以外は少し分かりにくいと感じるかもしれません。
あなたがベテランのセキュリティ専門家であれ、犯罪司法データの世界に初めて触れる方であれ、CJISコンプライアンスの理解は不可欠です。まずは、CJISの起源と目的について見ていきましょう。なぜ存在し、なぜ犯罪司法情報に関わる全ての組織にとって重要なのかを解説します。
次に、アイデンティティの柱(パスワード、多要素認証、厳格なアクセス制御)に特に注目し、それらのコントロールをどのようにシームレスに環境へ組み込むかを説明します。
CJISとは?
CJISは1990年代後半にそのルーツがあります。FBIが州や地方の様々な犯罪データベースを統合し、全国規模のシステムを構築しました。現在では、連邦、州、地方、部族の各機関間で生体認証データ、犯罪歴、戦術情報を共有する中枢となっています。
CJISセキュリティポリシーの本質は、このデータに触れる全ての関係者(政府機関も民間請負業者も)が統一されたセキュリティ基準を守ることにあります。「CJIS」と聞いたら、「切れ目のない証拠保全の連鎖」を思い浮かべてください。データがパトカーのモバイル端末を離れた瞬間から、法医学ラボにアーカイブされるまで守られるのです。
誰が遵守する必要があるのか?
CJISはFBIのポリシーであるため、警察署だけが関係すると思うかもしれません。しかし、実際にはもっと広範囲に及びます:
- 法執行機関(SLTF):犯罪司法情報を保存または照会する全ての州、地方、部族、連邦の機関。
- サードパーティベンダーおよびインテグレーター:あなたのソフトウェアがCJISデータを取り込み、処理、保存する場合(記録管理システム、バックグラウンドチェックサービス、クラウドホスティングプロバイダーなど)、このポリシーの対象となります。
- 複数管轄によるタスクフォース:一時的な連携であっても、異なる機関間でアクセスを共有する場合は、協力期間中CJISに準拠する必要があります。
要するに、あなたのシステムが指紋、犯罪歴、出動記録などに触れるなら、CJISが適用されます。
主な要件
CJISは多くの領域(物理的セキュリティ、従業員の身元調査、インシデント対応など)に関わりますが、最も重要なのはアイデンティティとアクセス管理です。FBIがあなたの環境を監査する際、知りたいことは3つです。「誰が何にアクセスしたか?」「どのように本人確認したか?」「そのアクセス権限があったか?」。その流れを見ていきましょう:
- 一意のIDと確実な責任追跡:全ての個人が自分専用のユーザーIDを持つ必要があります。汎用または共有アカウントは禁止です。これにより、行動を特定の人物に追跡できます。
- 強力なパスワード:CJISは12文字以上のパスワードを要求し、大文字・小文字・数字・記号を組み合わせる必要があります。しかし、Specopsではさらに進んで16文字以上のパスフレーズの強制を推奨しています。また、CJISは過去24個のパスワードの再利用禁止、5回以上の認証失敗でアカウントロックも義務付けています。
- MFAによる追加防御:パスワードだけでは不十分です。CJISは、コンソール以外のアクセスには2要素認証(知識要素:パスワード+所有要素:ハードウェアトークンや認証アプリなど)を要求します。要素を分離することで、認証情報漏洩リスクを大幅に低減できます。
- 最小権限と四半期ごとの再認証:各ユーザーに必要最小限の権限のみを付与し、それ以上は与えません。そして90日ごとにシステム管理者が集まり、誰がどのアクセス権を必要としているかを再確認します。ユーザーの役割変更やプロジェクト終了、非アクティブアカウントの蓄積はリスクとなります。
- 監査証跡と改ざん不可のログ:全ての認証イベント、権限変更、データ照会のログ取得は必須です。CJISは最低90日間のオンサイトログ保存、さらに1年間のオフサイト保存を義務付けています。インシデントの再現や監査対応時に、ログが完全な証拠となります。
- 暗号化とネットワーク分離:データはFIPS認定の暗号で保護されなければなりません。通信時はTLS 1.2以上、保存時はAES-256が必須です。さらに、CJIS環境を社内ネットワークから分離しましょう。ファイアウォール、VLAN、エアギャップ環境などで、最も機密性の高いシステムを日常業務から隔離します。
非遵守の結果
想像してください:認証情報が漏洩し、CJISデータベースがインターネットにさらされてしまう。ハッカーが悪用し、数千人分の指紋や犯罪歴が一夜にして流出します。
その影響は即座に現れます:
- CJISアクセスの停止:FBIは貴機関の接続を遮断し、捜査が中断されます。
- 規制当局の調査と罰金:州や連邦当局から制裁を受け、民事訴訟も起こされる可能性があります。
- 評判の失墜:情報漏洩のニュースは、貴社の信頼を大きく損ないます。
サードパーティツールでCJIS対応を強化
コンプライアンスは単なるチェックリストではありません。日常業務にセキュリティを深く組み込み、監査時に証明でき、日々の攻撃にも耐えられる体制を作ることが重要です。
SpecopsがCJIS対応を簡単にする方法をご紹介します:
- Specops Password Policyは、強力なパスワードポリシーの運用を簡単にします。CJIS承認の複雑性、変更履歴、再利用禁止ルールをActive Directoryに直接組み込みます。また、40億件以上の漏洩パスワードデータベースと照合し、漏洩パスワード利用者には即時変更を通知します。
- Specops Secure Accessは、ソーシャルエンジニアリングやフィッシングに強い認証要素でMFAを強化します。
- Specops uResetは、ユーザー自身がMFAで保護されたセルフサービスポータルから安全にADアカウントをロック解除できます。全てのリセットはログ記録・タイムスタンプ・レポート化され、監査証跡要件も簡単に満たせます。
これらのソリューションは、既存のActive Directory環境と統合し、管理負担を最小化し、CJIS準拠のコントロールを明確かつ監査可能な形で提供します。
Specops製品が貴社にどのように適合するか知りたいですか?ぜひお問い合わせください。デモを手配いたします。
スポンサー:Specops Softwareによる執筆。