クロスドメインソリューション

情報保証システム

クロスドメインソリューション（CDS）は、事前に定義されたセキュリティポリシーに基づいて、2つ以上のセキュリティドメイン間での情報のアクセスや転送を手動または自動で有効または制限するための制御されたインターフェースを提供する特殊なソフトウェアまたはハードウェアで構成された統合情報保証システムです。 ^[1]^[2] CDSはドメイン分離を強制するように設計されており、通常、セキュリティドメイン間または分類レベル間での転送が許可されていない情報を指定するために使用される何らかの形式のコンテンツフィルタリングが含まれています。^[3]たとえば、異なる軍事部門、諜報機関、または潜在的に機密性の高い情報のタイムリーな共有に依存するその他の作戦間などです。^[4]

CDSの目的は、信頼できるネットワークドメインが、セキュリティ上の脅威を生じさせることなく、一方向または双方向で他のドメインと情報を交換できるようにすることです。CDSの開発、評価、および導入は、包括的なリスク管理に基づいています。認定CDSのあらゆる側面は、潜在的な脆弱性とリスクを軽減するために、通常、ラボベースセキュリティ評価（LBSA）^{[要出典]と呼ばれる評価基準に基づいて評価されます。米国におけるCDSの評価と認定は、主に}国家安全保障局（NSA）内の国家クロスドメイン戦略管理オフィス（NCDSMO）の管轄下にあります。

CDSは、ウイルスやマルウェアをフィルタリングし、コンテンツ検査ユーティリティを備えています。また、高セキュリティから低セキュリティへの転送においては、人間による監査を経てレビューが行われます。CDSには、セキュリティ強化されたオペレーティングシステム、ロールベースの管理アクセス、冗長ハードウェアなどが組み込まれている場合もあります。

ドメイン間の情報転送またはドメイン間の相互運用性の受け入れ基準は、ソリューションに実装されているセキュリティポリシーに基づいています。このポリシーは、単純なもの（例：ピアネットワーク間の転送前にウイルス対策スキャンとホワイトリスト（「許可リスト」とも呼ばれる）チェックを行う）もあれば、複雑なもの（例：複数のコンテンツフィルタを使用し、高セキュリティドメインからリリースする前に人間のレビュー担当者が文書を検査、編集、承認する必要がある）もあります^[5]。^[6] 単方向ネットワークは、情報の漏洩を防止しながら、低セキュリティドメインから秘密の領域へ情報を移動するためによく使用されます^[7]^{[8] 。ドメイン間ソリューションには、多くの場合、}高保証ガード（High Assurance Guard）が含まれています。

2019年現在、クロスドメインソリューションは歴史的には軍事、諜報、法執行の環境で最も一般的ですが、その一例としては、航空機の飛行制御およびインフォテインメントシステムがあります。^[9]

種類

クロスドメインソリューション（CDS）には3つのタイプがあります。^[10]これらのタイプは、アクセス、転送、およびマルチレベルソリューション（MLS）に分類され、国防総省固有のサイト実装の前に、クロスドメインベースラインリストにすべて含める必要があります。^[11] アクセスソリューション「アクセスソリューションとは、異なるセキュリティレベルとキャプティブのドメインから情報を表示および操作するユーザーの能力を表します。理論上、理想的なソリューションは、ドメイン間のデータの重複を防ぐことでドメイン間の分離要件を尊重し、OSI/TCPモデルのどのホスト層においても、異なる分類のデータがネットワーク間で「漏洩」（つまり、データ流出）しないことを保証します。しかし実際には、データ流出は常に存在する懸念事項であり、システム設計者は許容可能なリスクレベル内で軽減しようと試みます。このため、データ転送は別のCDSとして扱われます。」^[12] 転送ソリューションは、異なる分類レベルのセキュリティドメイン間、または同じ分類レベルの異なるキャプティブのセキュリティドメイン間で情報を移動する機能を提供します。マルチレベルソリューション「アクセスおよびデータ転送ソリューションは、ドメインの分離を維持する複数のセキュリティレベル（MSL）アプローチに依存しており、このアーキテクチャは複数の単一レベルとみなされます。マルチレベルソリューション（MLS）は、すべてのデータを単一のドメインに保存するという点でMSLアーキテクチャとは異なります。このソリューションは、信頼できるラベル付けと統合された強制アクセス制御（MAC）スキーマを基盤として、ユーザーの資格情報とクリアランスに基づいてデータフローとアクセスを仲介し、読み取りおよび書き込み権限を認証します。このように、MLSはアクセス機能とデータ転送機能の両方を備えたオールインワンのCDSとみなされます。」^[12]

高保証ガード

高保証ガード（HAG）は、NIPRNetとSIPRNetなど、異なるセキュリティドメイン間の通信に使用される、マルチレベルセキュリティのコンピュータデバイスです。HAGは、セキュリティレベル間の制御されたインターフェースの一例です。HAGは、Common Criteriaプロセスを通じて承認されています。

HAGは複数の仮想マシンまたは物理マシンを実行します。つまり、下位の機密区分用に1つ以上のサブシステム、上位の機密区分用に1つ以上のサブシステムです。ハードウェアは、上位の機密区分サブシステムから出力されるデータを検査し、下位の機密区分よりも高い機密区分のデータを拒否する一種の知識管理ソフトウェアを実行します。一般的に、HAGは上位機密区分システムにある下位機密区分データを、別の下位機密区分システムに移動することを許可します。例えば、米国では、機密区分システムにある非機密区分情報を、別の非機密区分システムに移動することを許可します。HAGは、様々なルールとフィルターを使用して、データが下位機密区分に属していることを確認し、転送を許可します。

アプリケーション層では、HAGは「評価済み強制整合性ポリシー」を実行し、機密ファイル、データ、およびアプリケーションを不注意による漏洩から保護します。オペレーティングシステムレベルでは、HAGはマルチレベルカーネルを備え、システム上で異なる機密レベルで保存および実行される機密情報、プロセス、およびデバイスが混在してシステムの強制セキュリティモデルに違反することがないようにする必要があります。

これらのシステムはCommon Criteria認証を受けており、分類によってはCommon Criteria Evaluated Assurance Level（EAL）3以上の認証が必要となる場合があります。例えば米国では、SecretドメインからUnclassifiedドメインへのエクスポートには、EAL 5またはEAL 5+（EAL 5 Augmented）以上の認証が必要です。

一部の製造元では、HAG と同等の用語として「Trusted Computer System」または「Trusted Applications with High Assurance」を使用する場合があります。

HAGは主に電子メールやDMS環境で使用されます。これは、一部の組織が非機密ネットワークアクセスしか持たず、機密ネットワークアクセスしか持たない組織にメッセージを送信する必要がある場合に使用されます。HAGは、このような機能を提供します。

意図しない結果

過去数十年にわたり、マルチレベルセキュリティ（MLS）技術が開発され、ほぼ確実に強制アクセス制御（MAC）が強制されました。自動化された情報システムは、敵対者との秘密情報の共有を避ける必要性に反して、情報を共有することがあります。この「バランス」がユーザーの裁量で決定されるアクセス制御は、任意アクセス制御（DAC）と呼ばれます。これは、MACがリスク回避を必要とするのに対し、リスク管理のためのアクションに対してより寛容です。

以下の文書は、リスク管理に関する標準ガイダンスを提供します。

「連邦情報システムおよび組織向けの推奨セキュリティ管理策」。コンピュータセキュリティ部門 - コンピュータセキュリティリソースセンター。米国国立標準技術研究所（NIST）。2011年11月16日。、SP 800-53 Rev3 ^{[引用が必要]}
「国家安全保障システムのセキュリティ分類と制御の選択」（PDF）。国家安全保障システム委員会（CNSS）。、指示番号1253 ^[要出典]

参考文献

^ 「クロスドメイン・エンタープライズ・サービス（CDES）」。情報保証支援環境。国防情報システム局（DISA）。2011年11月16日。2008年3月26日時点のオリジナルよりアーカイブ。 2012年1月16日閲覧。
^ 「クロスドメインソリューションについて学ぶ」Owl Cyber Defense 2020年8月25日。2020年9月21日時点のオリジナルよりアーカイブ。
^ 「クラウドコンピューティング戦略」(PDF) DTIC.MIL 2016年8月16日時点のオリジナルよりアーカイブ(PDF) 。
^ アリストテレス、ジェイコブ（2012年4月）。クロスドメインソリューション。Secut Press。ISBN 978-613-6-31800-4。
^ Slater, T.「クロスドメイン相互運用性」、Network Centric Operations Industry Consortium - NCOIC、2013年
^ 「クロスドメインソリューション - 完全なデータセキュリティの確保」。
^ 「Nexorデータダイオード」Nexor . 2013年6月3日閲覧。
^ 「デュアルデータダイオード情報転送製品」Owl Cyber Defense, LLC . 2019年8月20日閲覧。
^ 「飛行機はハッキングされるのか？（おそらく）」Interset . 2017年1月4日. 2019年3月7日閲覧。
^ 「国防総省指令（DoDI）854001p」（PDF）esd.whs.mil . 2024年1月28日閲覧。
^ "CNSSI-4009" (PDF) . RMF.org . 2020年2月28日時点のオリジナルよりアーカイブ(PDF) . 2020年2月28日閲覧。
^ ab Smith, Scott (2020年2月28日). 「クロスドメインソリューションに光を当てる」SANS Institute Information Security Reading Room . 2020年2月28日時点のオリジナルよりアーカイブ。2020年2月28日閲覧。

[1] 「クロスドメイン・エンタープライズ・サービス（CDES）」。情報保証支援環境。国防情報システム局（DISA）。2011年11月16日。2008年3月26日時点のオリジナルよりアーカイブ。 2012年1月16日閲覧。

[2] 「クロスドメインソリューションについて学ぶ」Owl Cyber Defense 2020年8月25日。2020年9月21日時点のオリジナルよりアーカイブ。

[3] 「クラウドコンピューティング戦略」(PDF) DTIC.MIL 2016年8月16日時点のオリジナルよりアーカイブ(PDF) 。

[4] アリストテレス、ジェイコブ（2012年4月）。クロスドメインソリューション。Secut Press。ISBN 978-613-6-31800-4。

[5] Slater, T.「クロスドメイン相互運用性」、Network Centric Operations Industry Consortium - NCOIC、2013年

[6] 「クロスドメインソリューション - 完全なデータセキュリティの確保」。

[7] 「Nexorデータダイオード」Nexor . 2013年6月3日閲覧。

[8] 「デュアルデータダイオード情報転送製品」Owl Cyber Defense, LLC . 2019年8月20日閲覧。

[9] 「飛行機はハッキングされるのか？（おそらく）」Interset . 2017年1月4日. 2019年3月7日閲覧。

[10] 「国防総省指令（DoDI）854001p」（PDF）esd.whs.mil . 2024年1月28日閲覧。

[11] "CNSSI-4009" (PDF) . RMF.org . 2020年2月28日時点のオリジナルよりアーカイブ(PDF) . 2020年2月28日閲覧。

[:0-12] Smith, Scott (2020年2月28日). 「クロスドメインソリューションに光を当てる」SANS Institute Information Security Reading Room . 2020年2月28日時点のオリジナルよりアーカイブ。2020年2月28日閲覧。