CJIS Specops

クラウド・プロバイダー、ソフトウェア・ベンダー、分析会社など、あなたの組織が法執行機関の機密データを扱う契約を獲得したとしよう。クラウド・プロバイダー、ソフトウェア・ベンダー、分析会社などであろう。

FBIの刑事司法情報サービス・セキュリティ・ポリシーが、犯罪履歴、指紋、捜査ファイルをどのように保護しなければならないかを規定していることはご存知でしょう。

ベテランのセキュリティ専門家であれ、刑事司法データの世界に足を踏み入れたばかりであれ、CJISコンプライアンスを理解することは非常に重要です。まず、CJISの起源と目的、つまりCJISが存在する理由と、刑事司法情報に関わるすべての組織にとってCJISが重要である理由を探ります。

次に、IDの柱(パスワード、多要素認証、厳格なアクセス制御)と、これらの制御をお客様の環境にシームレスに組み込む方法に特に注目します。

CJISとは何か?

CJISのルーツは1990年代後半にさかのぼり、FBIがさまざまな州や地域の犯罪データベースを1つの全国規模のシステムに統合したことに始まります。今日、CJISは、連邦、州、地方、および部族の各機関間で生体認証データ、犯罪履歴、および戦術的情報を共有するための中枢として機能している。

その中核となるCJISセキュリティ・ポリシーは、このデータに触れるすべての関係者(政府機関であれ民間業者であれ)が統一されたセキュリティ基準を遵守することを保証するために存在する。CJIS」といえば、パトロールカーのモバイル端末からデータが出た瞬間からフォレンジック・ラボにアーカイブされるまでの「破られない保管の連鎖」を思い浮かべるだろう。

誰が準拠する必要があるのか?

CJISはFBIの方針であるため、警察署だけに関係すると思われるかもしれない。実際には、その網はもっと広い:

  • 法執行機関(SLTF)です:法執行機関(SLTF):刑事司法情報を保存または照会するすべての州、地方、部族、および連邦政府機関。
  • サードパーティ・ベンダーとインテグレーター:自社のソフトウェアがCJISデータを取り込み、処理し、または保存する場合(記録管理システム、身元調査サービス、クラウド・ホスティング・プロバイダー)、このポリシーの傘下に入る。
  • 複数管轄のタスクフォース:異なる機関にまたがってアクセスを共有する一時的な連合であっても、その協力期間中は遵守しなければならない。

結論:あなたのシステムが指紋、逮捕記録、または派遣記録を見ることがある場合、CJISが適用されます。

a.fl_button { background-color:#border:1px solid #3b59aa; color:color: #FFF; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Specops パスワードポリシーで Active Directory パスワードを保護

Verizonのデータ漏洩調査レポートによると、漏洩の44.7%に盗まれた認証情報が関与しています。

準拠したパスワードポリシーでActive Directoryを簡単に保護し、40億件以上の漏洩パスワードをブロックしてセキュリティを強化し、サポートの手間を削減します!

無料トライアル

主な要件

CJISは多くの領域(物理的セキュリティ、人事経歴チェック、インシデントレスポンス)に関わりますが、その心臓部はアイデンティティとアクセス管理です。FBIがあなたの環境を監査するとき、彼らは3つのことを知りたがります:誰が何にアクセスしたか?誰が何にアクセスしたのか?誰が何にアクセスしたのか?では、そのストーリーを紐解いていこう:

  • ユニークなIDと疑う余地のない説明責任: 各個人は自分自身のユーザーIDを持つべきである。一般的なアカウントや共有アカウントは禁止されている。これは、特定の人物の行動を追跡するのに役立つ。
  • 強固なパスワード:CJISでは、大文字、小文字、数字、記号を組み合わせた12文字以上のパスワードを要求しています。しかし、Specopsではさらに踏み込んで、16文字以上のパスフレーズを強制することを推奨しています。また、CJISでは、履歴(過去24回分のパスワードの再利用禁止)を強制し、5回以上の失敗でアカウントをロックアウトすることも義務付けています。
  • 防御のもう1つのレイヤーとしてのMFA:パスワードだけではもはや十分ではありません。CJISは、コンソール以外からのアクセスに2つの要素を要求しています。それは、あなたが知っているもの(パスワード)と、あなたが持っているもの(ハードウェアトークン、電話認証など)です。これらの要素を分離することで、クレデンシャルが漏洩するリスクを劇的に減らすことができます。
  • 最小権限と四半期ごとの再認証:各ユーザーの業務に必要な権限のみを与え、それ以上は与えない。そして、90日ごとにシステム所有者を集め、誰がどのアクセス権をまだ必要としているかを見直します。ユーザーは役割を変更し、プロジェクトは終了し、非アクティブなアカウントはリスクを蓄積する。
  • 監査証跡と不変のログ: すべての認証イベント、権限変更、データクエリをログに残すことは譲れない。CJISは、少なくとも90日間のオンサイト・ログ保存と、1年間のオフサイト・ログ保存を義務付けています。そうすることで、インシデントの再現や監査人の質問への回答が必要になった場合にも、ログにギャップなく全容を伝えることができます。
  • 暗号化とネットワーク・セグメンテーション: データは、FIPSで検証された暗号のマントの下で移動し、保存されなければなりません:機内データにはTLS 1.2+、保存データにはAES-256を使用します。暗号化だけでなく、CJIS環境を他の企業ネットワークから分離することも重要です。ファイアウォール、VLAN、またはエアギャップにより、最も機密性の高いシステムを日常業務から隔離します。

コンプライアンス違反の結果

例えば、認証情報の漏洩により、CJISデータベースがインターネットに公開されます。ハッカーはそれを悪用し、数千人の指紋と犯罪履歴が一夜にして漏洩する。

その影響はすぐに現れる:

  • CJISへのアクセスは停止される: CJISへのアクセス停止:FBIはあなたの機関の接続を停止し、捜査を中断させることができる。
  • 規制当局による監視と罰金:州や連邦政府から罰則を課されたり、民事訴訟を起こされたりする可能性があります。
  • 風評被害: 情報漏えいのニュースは、貴社の能力に対する社会的信用を失墜させます。

サードパーティツールでCJISを正しく理解する

コンプライアンスとは、単にチェックボックスにチェックを入れることではありません。セキュリティをプロセスに深く組み込むことで、監査時にそれを証明し、日々の攻撃をかわすことができます。

ここでは、SpecopsがCJISへの取り組みをどのように簡素化できるかをご紹介します:

  • Specops Password Policyは、強力なパスワードポリシーを簡単に実施できます。CJISが承認した複雑性、ローテーション、履歴のルールをActive Directoryに直接組み込みます。また、Active Directoryは、漏洩した40億件のパスワードデータベースに対して継続的にスキャンされ、漏洩したパスワードを持つエンドユーザーに直ちに変更するよう通知します。
  • Specops Secure Accessは、ソーシャルエンジニアリングやフィッシングに抵抗の少ない認証要素でMFAを強化します。
  • Specops uResetは、ADアカウントのロックを安全に解除するためのセルフサービスポータル(MFAで保護)をユーザーに提供します。すべてのリセットはログに記録され、タイムスタンプが付与され、レポート可能であるため、ヘルプデスクのチケットを大量に発行することなく、監査証跡を残すことができます。

これらのソリューションには共通のテーマがあります。それは、既存のActive Directory資産と連携し、管理オーバーヘッドを最小限に抑え、CJISに準拠した管理の明確で監査可能な証拠を提供することです。

Specops製品がお客様の組織に適合するかどうかをお知りになりたいですか?ご連絡いただければ、デモを手配いたします

Specops Softwareがスポンサーとなり、執筆しました。