GTM-MML4VXJ
Skip to main content

English

Japan

新規事業創造の第一歩―ユーザーが本当に欲しがるものを見つけるために現場で問いかけ解を探る―

データ保護に係る標準化と制度化の動向

デジタルトランスフォーメーションの進展によりサイバー空間とフィジカル空間が高度に融合したSociety5.0の社会において、価値あるデータを保護しようとする動きが出ています。米国によるセキュリティガイドラインNIST SP800-171を中心に、データ保護に係る標準化と制度化の動向について説明します。
(コンサルタント 小泉 早優佳)


2019年11月11日

IoTやAI等のデジタル技術が浸透し、社会が変革していくデジタルトランスフォーメーション(DX)の動きが加速しています。このデジタルトランスフォーメーションの進展によって、サイバー空間とフィジカル空間が高度に融合したSociety5.0(注1)が、現実のものとなりつつあります。Society5.0のような社会では、データが動力となり、価値を持ちます。そのような価値あるデータを保護しようとする動きが世界的に出てきています。本稿では、米国によるセキュリティガイドラインNIST SP800-171を中心に、データ保護に係る標準化と制度化の動向についてご説明します。

1. データ利活用の動き

2019年1月、ダボス会議で、「Data Free Flow with Trust」という概念が日本政府によって提言されました。公平かつ安全で信頼性のあるデータの国境を越えた自由な流通を意味するこの概念は、日本政府が目指す新たなIT政策の1つで、データ利活用の促進に向けた取り組みでもあります。データを収集、蓄積、加工、分析し、それを活用することで新たな価値を生み出そうとするデータ利活用の動きは、今あらゆるところで加速しています。デジタル時代において、新しい価値を生み出すデータは、今や「21世紀の石油」と言われるほど価値のあるものと考えられています。一方、価値あるデータを取り扱うことにはリスクが伴います。個人情報にはプライバシーの問題、機密情報には企業経営や安全保障の問題がつきまといます。

2. データ保護の流れ

米国が英国等と共同開発した最新鋭ステルス戦闘機「F35」。この設計に関する機密情報が中国のサイバー攻撃によって漏洩していたことが発覚しました。攻撃を受けたのは請負業者であるオーストラリアの防衛企業であり、近年リスクの懸念が高まっているサプライチェーンからの情報漏洩でした。戦闘機の設計に関する情報のような機密情報の漏洩は国家の安全保障を揺るがす問題です。このようなサプライチェーンからの情報漏洩が引き起こす安全保障への影響を懸念し、米国は法規制をかけました。2018年に国防権限法(NDAA:National Defense Authorization Act)を成立させ、ファーウェイ等、一部の中国企業による製品の調達を禁じたのです。

このように、今、データを保護しようとする動きが世界的に出てきています。米国では、2010年11月の大統領令(Executive Order 13556)を皮切りに、データ保護の取り組みが強化されています。2015年には、管理すべき重要情報(CUI:Controlled Unclassified Information)の保護を目的として、米国国立標準技術研究所(NIST:National Institute of Standards and Technology 以下NIST)によるセキュリティガイドラインNIST SP800-171が施行され、グローバルスタンダードになりつつあります。EUでは、NIST SP800-171で求められている内容と整合をとる形で、一般データ保護規則(GDPR:General Data Protection Regulation)が施行されました。

データ保護の動きは他産業に先駆け、とりわけ防衛産業で進んでいます。米国国防総省(DoD: Department of Defense)は国防総省調達規則(DFARS:Defense Federal Acquisition Regulation Supplement)によって、管理すべき重要情報(CUI)を開示する取引企業に対し、NIST SP800-171への適合を義務化しています。元請企業だけでなく、下請け等のサプライチェーン上のすべての企業が対象で、適合できていない場合は取引先から除外される可能性もあり、米国国防総省(DoD)のサプライチェーン上にある日本企業も対応を求められている状況です。

NIST SP800-171への適合状況の確認は、米国国防総省(DoD)との契約時に請負企業が自己申告する形で行われてきましたが、2020年度からは米国国防総省(DoD)による認証制度(CMMC:Cybersecurity Maturity Model Certification)が開始されることが公表されました。この認証制度は、企業のサイバーセキュリティレベルを5段階で評価するもので、レベル3までは、NIST SP800-171の要件をすべて満たす必要があると思われます。この評価制度は現在検討段階にあり、正式な公開は2020年1月を予定しています。認証は第三者機関によって行われ、2020年6月からは情報提供依頼書(RFI)、2020年秋からは提案依頼書(RFP)への応札の際に、認証書の提示が求められるようになる見込みです。

日本でも、NIST SP800-171と同レベルまで強化された防衛装備庁による新セキュリティ基準が2021年度から導入される予定です。また、適合状況を監査する仕組みも検討されています。

3. NIST SP800-171で求められていること

NIST SP800-171には、先述の管理すべき重要情報(CUI)という概念が定義されており、例えば、製品の設計図や、インフラ施設のセキュリティ情報、個人の健康情報等がこれに当たります。定義は分野ごとに各省庁が定め、米国国立公文書記録管理局(NARA:National Archives and Records Administration)が管理、公開していますが、記載が曖昧であるため、管理すべき具体的な重要情報(CUI)を定義する際は、契約元の政府機関と協議する必要があります。

NIST SP800-171は、14のファミリーと呼ばれる項目と、技術要件と非技術要件の全110要件から成っています。中でも特徴的なのは、暗号化、環境分離、多要素認証、ログの統合監視を求めている点であり、具体的には、情報を輸送する際には暗号化を実施すること、ネットワークの物理的または論理的環境分離を行うこと、認証には2つ以上の異なる要素を組み合わせる多要素認証を用いること、ログの横断的分析を可能にするための統合監視を行うことが要件として記載されています。本稿では、認証とログの統合監視について、以下に解説いたします。

認証においてポイントとなるのは、アイデンティティ認証です。アイデンティティ認証とは、本人確認(プルーフィング)と資格証明(クレデンシャル)によって認証を行うことです。例えば、ユーザー登録を行う際は、ある人物が本当にその人物であるということ、すなわち本人確認を、パスポートや運転免許証等によって行います。本人であることが確認された後、その人物の職務や与えられている権限等に応じて、資格証明(クレデンシャル)を発行します。データにアクセスする際は、この資格証明(クレデンシャル)を用いて認証を行うことで、アクセスしている人物が本人であること、また資格を持ったふさわしい人物であることを担保することができます。NIST SP800-171では、誰がどの情報にアクセスできるかを厳格に管理することが求められていますが、アイデンティティ認証を行うことで、これを実現することができます。またアイデンティティ認証は、機密情報を取り扱う人物に対し、その適格性を判断するために行う、セキュリティ・クリアランス(注2)のような役割を果たしていると言えます。なお、具体的な管理策については、NIST SP800-63という電子認証に関するガイドラインを参照する必要があります。

ログの統合監視におけるポイントは、SIEM(Security information and event management)と呼ばれるネットワークの監視・検知システムの導入です。これは、ログの統合監視を人間の手で行うには限界があるためです。また、国防総省調達規則(DFARS)では、セキュリティインシデントを検知してから72時間以内に決められた方法でインシデント報告を行うことが求められており、インシデント発生時に限られた時間の中で状況を把握するため、また迅速に対応するためにも、SIEMの導入は不可欠です。ログの統合監視がNIST SP800-171において求められている理由には、セキュリティ対策の変化が背景にあると考えます。これまでのセキュリティ対策は防御を中心に考えられてきました。しかし、防御だけでは完全に防ぎきれないほど日々複雑化・巧妙化しているサイバー攻撃に対して、攻撃を受けた後の検知、対応、復旧における対策、いわゆるレジリエンスを高めることも求められるようになってきているのです。この考え方は、NISTによるサイバーセキュリティフレームワーク(CSF:Cybersecurity Framework)で提唱されている5 functions(特定、防御、検知、対応、復旧)に則ったものであり、攻撃を受けることを前提として対策を行う考え方はグローバルスタンダードになりつつあります。

【図1】NIST SP800-171適合のイメージ
【図1】NIST SP800-171適合のイメージ

4. これからのデジタル時代に向けて

データ保護の強化の流れは防衛産業に限ったことではありません。2016年の米連邦調達規則(FAR:Federal Acquisition Regulations)では、管理すべき重要情報(CUI)を保有するすべての業界においてNIST SP800-171を調達基準とする旨が明記されており、防衛産業に続き他産業もこの流れに追随していくと考えられます。実際にニューヨーク州金融サービス局によるサイバーセキュリティ規則(23 NYCRR Part 500)では、金融機関を対象に保護すべき非公開情報(NPI: Non Public Information)として、事業者のビジネスに重大な悪影響を及ぼす情報や個人の特定が可能な情報を保護することを求めています。

さらに電力業界でも、北米電力信頼度評議会(NERC:North American Electric Reliability Corporation)によるセキュリティガイドライン NERC CIP Standardが大規模電力システムに関する情報を保護するように求めています。これは、大規模電力システムに関する情報が漏洩し、サイバー攻撃を受けた場合、電力の安定供給に支障をきたす可能性があるためです。このガイドラインは、北米の電力会社が大規模発電および送電設備に対して行わなければならないセキュリティ対策について記載しており、対策が不十分な企業には罰金が科せられるという強制力のあるガイドラインです。

データ保護の流れは日本においても、北米同様、防衛産業から始まり、他産業が追随していくと考えられます。防衛装備庁による新セキュリティ基準のように、NIST SP800-171と同程度のセキュリティ強度を求めるガイドラインが他産業でも今後作られていく可能性があります。しかし、データ保護の強化というのは、単にレギュレーション対応という意味合いだけではありません。データが価値を持つ時代、それをセキュアな環境で保護することは企業にとって重要な経営課題です。NIST SP800-171で求められていることは特別なことではなく、これからのデジタル時代において、データを保護するために妥当なレベルです。NIST SP800-171への適合は、一層のセキュリティレベルの強化へ向けて有効な手段と考えます。

適合までのステップとしては、初めにスコーピング作業として、自社事業における管理すべき重要情報(CUI)を定義し、保有範囲を明確化します。次に、NISTのサイバーセキュリティフレームワーク(CSF)に基づいて、管理すべき重要情報(CUI)について保有システムに関連する業務の全般的なセキュリティ評価を行います。そして、NIST SP800-171に基づき、データの保護に重点を置いた評価を実施し、その結果を踏まえ、具体的な基本方針を策定していきます。富士通総研では、お客様のレジリエンス向上をご支援するため、NIST SP800-171適合に向けたコンサルティングサービスを今後提供していきます。

【図2】NIST SP800-171適合の流れ
【図2】NIST SP800-171適合の流れ

注釈

  • (注1)
    Society5.0 : 日本政府が提唱する科学技術政策の基本指針の1つ。狩猟社会、農耕社会、工業社会、情報社会に続き、新たな社会として提唱されているSociety5.0は、サイバー空間とフィジカル空間を高度に融合させ、経済発展と社会的課題の解決を両立することを目指している。
  • (注2)
    セキュリティ・クリアランス:職務上、機密情報を取り扱う必要のある人物に対し、職歴や家賃等の滞納歴、犯罪歴等を確認し、ふさわしい人物であることを証明するプロセスのこと。欧米では、政府機関だけでなく民間企業でも導入されている。日本でも、機密情報にアクセスできる人物に対し、セキュリティ・クリアランスを実施し、認定する制度の創設が検討されている。
小泉 早優佳

執筆者プロフィール

コンサルティング本部 ビジネスレジリエンスグループ
コンサルタント

小泉 早優佳(こいずみ さやか)

 

2018年株式会社富士通総研入社。国や民間企業のサイバーセキュリティやリスクアセスメント、リスクマネジメントに関わるコンサルティング業務に従事。NISTをはじめとするセキュリティガイドラインや法規制、また関連する社会動向に関する調査にも取り組む。

お客様総合窓口

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。