GTM-MML4VXJ
Skip to main content
  1. ホーム >
  2. サービス >
  3. FUJITSU Knowledge Integration >
  4. Insights >
  5. 日本企業が認識すべき「NIST SP800-171」のインパクト

日本企業が認識すべき「NIST SP800-171」のインパクト

 

日本企業が認識すべき
「NIST SP800-171」のインパクト

本稿は、『Knowledge Integration for the Future 2018 Summer デジタルジャーニーで未来を切り拓く』(icon-pdf-wh 8.02 MB)(IT Leaders 特別編集版、2018年5月)「PART3-6 ソリューション&テクノロジー[サイバーセキュリティ]」の再掲です。

2018年7月2日

太田 大州 富士通 サイバーセキュリティ事業戦略本部 エバンジェリスト

まだそれほど知られていないが、今後、多くの企業に影響を及ぼす可能性が高い、それゆえ見逃してはならないセキュリティ関連のガイドラインがある。米国政府機関が調達する製品や技術を開発・製造する企業に対して求められるセキュリティを担保するためのものであり、その名を「NIST SP800-171」という(図1)。

図1:NIST SP800-171の動向と日本企業への影響

ガイドラインに照らして不備があったり、満たしていなければ調達先から除外される可能性がある。すでに米国防総省(DoD)は取引事業者に準拠を求めており、DoDのサプライヤとなっている日本の防衛企業も無縁ではいられない。これについて「米国政府機関が調達する製品や技術? 当社には関係ない」「よく分からないが、影響があるのは防衛関係だけでは」などと考えてはいけない。

今日では機械類や自動車、電気製品、さらに各種のサービスなど極めて多くの製品が、ITを内蔵または利用している。しかもIoTを持ち出すまでもなく、外部とつながることも多い。そういったITを使っている製品に関わる様々な情報について、適正な管理手法を示しているのがNIST SP800-171だからである。今のところは政府機関が調達する製品が対象だが、民間企業に広がる可能性もある。

加えて米国発のルールは日本を含めた世界各国に影響を及ぼす可能性が高く、様々な国・業界でNIST SP800-171のレベルを基準とした標準化が進む可能性がある。極論を言えば、ITを内蔵あるいはITに依拠している製品やサービスを提供する企業は、すべてこの(種の)ガイドラインに準拠することが求められるようになると考えるべきなのである。

そこで以下ではNIST SP800-171に焦点を合わせて解説し、日本企業のビジネスに与える影響を考察する。なお言うまでもないことだが、富士通はNIST SP800-171に限らず、各国のセキュリティ関連政策をウォッチし、一歩先んじた形で企業に貢献するサービスやノウハウを提供する考えである(表1)。

表1:サイバーセキュリティに関連する法律・規格・指令

NIST SP800-171のキーポイントを理解する

まずNIST SP800-171が策定された背景を見ておこう。今日、自動車や電気製品にはほぼ例外なく、IT(コンピュータ)が内蔵されている。それらはセキュリティに注意を払って開発・製造されているのは当然だが、何事にも完璧はあり得ない。例えば2013年、フィアット・クライスラーの車がハッキングによって遠隔操作できることが明らかになり、2015年に同社が140万台をリコールする羽目になった事件は有名である。

では万一、米国政府機関が使っている何らかの機器や設備がハッキングされ、悪意を持った何者かに遠隔操作されたらどうか? 結果は火を見るよりも明らかであり、そうした事態は未然に防がなくてはならない。そこで出てくるのが「NIST SP800-171」である。

覚える必要はないが、念のため説明すると、NISTとは米国の様々な技術標準を司る国立標準技術研究所、SPはSpecial Publicationの略、800はNIST内でコンピュータセキュリティを扱う部門(CSD)が発行するレポートを示す。171はそのうちの「連邦政府外のシステムと組織における管理された非格付け情報の保護(Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations)」と題されたレポートである。

ここでのキーポイントはタイトルにある「Controlled Unclassified Information=非格付け情報(CUI)」だ。ちなみに格付け情報(Classified Information:CI)とは厳重な取扱が必要な機密情報のこと。したがってCUIは機密ではない(重要)情報を指す。例えば製品の仕様書や製品開発における実験データなどが相当する。そしてNIST SP800-171ではCUIの保護を重要課題と位置付ける。意図せぬCUIの公開や漏洩は、安全保障や経済に影響を与える恐れがあるためだ。しかし「機密ではない情報を保護せよ」とはいったいどういうことだろうか?

CUIの漏えいは問題を引き起こす恐れ

何らかの重要インフラに関わるシステムを例に考えよう。このシステムを請け負った企業は機密扱いの設計書は厳重に扱うとしても、仕様書などはそこまで厳重に管理しない可能性がある。そんな管理の甘い仕様書を悪意を持つ第3者に奪取されたとすると、どうなるか?

仕様書から分かる情報を元にシステムの脆弱性が割り出され、サイバー攻撃を受けた場合に重要インフラが停止する可能性は否定できないだろう。

これがCUIの保護が重要という認識になる理由である。米国では2010年の大統領令13556により各省庁がCUIに該当する情報を定義し、NARA(国立公文書記録管理局)が管理する「CUIレジストリー」に登録した。ここに重要インフラ、プライバシー、交通、地理空間情報など様々なカテゴリー毎にCUIが定義されている。

当然、レジストリーに登録済みのCUIは多岐にわたる。原子力施設を建設する建材や空調設備などの情報、水道施設のシステムに関する情報、連邦政府の建物に関する情報などはもとより、自動運転に関する走行試験データ、機械製品の設計図や仕様書といった情報などもCUIに該当すると考えられる。米国政府機関に何かを納入するサプライチェーンに入っている日本企業は、すでに複数のCUIを保持していることは確実だし、サプライチェーンの上流に位置する部品メーカーなども、意識するか否かに関わらず同じだろう。

NIST SP800-171は、そんなCUIを保護するためのセキュリティガイドラインとして2015年6月に発行され、2016年5月に発行されたFAR(連邦調達規則)52.204-21では、すべてのCUI保有業界についてNIST SP800-171を調達基準とする旨が明記された。そして2016年9月にCFR(32連邦規則)2002.14が発行され、適用時期は各業界に委ねられた。つまり業界ごとに適用時期は異なるが、CUIを保持する業界・企業はNIST SP800-171への準拠を求められるのだ。

すでに適用されたのが防衛業界である。DoDは2016 年10月にDFARS252.204-7012を発行し、「Do Dの請負業者は2017 年12月31日までにNIST SP800-171に準拠すること」を定めた。当然、元請業者に留まらず、関連する日本企業を含むすべてのサプライチェーン企業が準拠を要請されることになる。今後、NIST SP800-171に基づく保護が義務付けられる業界が拡大した場合、防衛業界に限らず、多くの日本企業が影響を受ける可能性が高いわけである。

NIST SP800-171の要件は決して特異なものではない

それではNIST SP800-171は、企業にどんな対策を求めているのだろうか? 元になっているのはNISTが重要インフラ保護を目的に発行した「CSF(Cyber Security Framework)」である。CSFは「特定」「防御」「検知」「対応」「復旧」の5つの段階で構成され、NIST SP800-171の要件もこれに当てはめて考えることができる(表2)。

表2:NIST CSF/NIST SP800-171 セキュリティ要件

表2の右側を見ていただきたい。NIST SP800-171にはファミリー(3.1~3.14)と合計110項目にわたる要件が記されている。内訳は技術要件が77項目、非技術要件が33項目である。技術要件では、例えばアクセス制御、構成管理、認証、暗号化、システム監視、悪意のあるコードの検出・防御などに関して要求事項が定められている。

非技術要件に関しては、ポイントを大きく分けるとリスクアセスメント、組織的管理策、さらにインシデント検知時の当局への迅速な報告義務(DoD調達においては72時間以内)などがある。例えばリスクアセスメントについては、CUIを含む組織の情報資産を特定し、その資産の意図しない公開、破壊、修正などがどの程度の影響を与えるかを評価する。さらに情報システムの脆弱性を評価し、修正していくことも求められる。組織的管理策については、情報システムの管理者、システム管理者、ユーザーのセキュリティ意識向上や研修の実施はもちろんのこと、監査・説明責任などに関して要求事項が定められている。

加えて、インシデント発生時の迅速な対応を行えるように、関連組織とのタイムリーな情報共有や組織計画(BCP等)と連動したインシデントレスポンス・テストの実施なども求めている。インシデント発生時には当局への迅速な報告を行う必要があるからだが、ここまで規定しているあたり、非常に丁寧なガイドラインであるとも言えよう。

加えて、どの項目もセキュリティ体制を確立し、維持し、機能させるためには当然の要件であり、特異なことを求めるガイドラインではない。しかしながら説明責任を果たせる形でガイドラインを遵守するには相応の努力を要することも確かである。

なお、これら要件に準拠しているか否かは自己宣言で問題なく、外部の第3者機関による証明は不要である。しかし調達者や取引先から説明を求められた時に適切な説明ができなければ契約解除があり得るし、違反していた場合には契約違反による民事責任、不正による刑事責任といったリスクが伴うことに注意が必要である。

遵守に向けSOCの利用やクラウドでのCUI管理を推奨

最後に簡単に、企業がNIST SP800-171を遵守するための方向性に言及したい。CSFの概念に基づく多層防御の考え方を基本とするNIST SP800-171は、セキュリティの国際標準である「ISO27000シリーズ」と比較した時、サイバー攻撃を受けて侵入された後の対策に重点を置いているのが大きな特徴である。

言い換えれば、ISO27000シリーズでは外部接続やエンドポイントでの多層防御などの対策により、いかにサイバー攻撃を「防御」するかが重視されてきた。これに対しCSFでは攻撃を受けて侵入されることを前提にシステム内部の多層防御や内部通信の暗号化を求める、つまりいかに攻撃の影響を極小化するかという点に重点を置いているのである。

このような考え方からNIST SP800-171では、被害を最小限に抑えるための「迅速なインシデントレスポンス」と「未知の脅威についての情報収集」を企業に求めている。インシデント発生時の分析、そして適切な判断を行うためには、専門的な知識を持った人員リソースが必要となる。情報収集を行う組織も同様だ。

このような体制を企業が24時間365日、しかも中小企業を含めたサプライチェーン全体として維持し続けるのは、一朝一夕にできることではない。加えてNIST SP800-171に準拠するレベルにシステムを改修したり、再構築する場合には相当の投資が必要になるし、NIST SP800-171が改定されれば追従するための費用もかかる。だからこそできるだけ早期に取り組みに着手する必要がある(表3)。

表3:NIST SP800-171対応の進め方。早期にアセスメントに着手することを推奨する

一方、そうした負担を軽減するソリューションやクラウドサービスも登場している。第3者が提供するSOC(Security Operation Center)やクラウドサービスである。筆者は、こういったサービスの採用やCUIを扱うシステムのクラウドが現実解ではないかと考えている。当然、どんなクラウドでもいいわけではなく、米国政府のクラウド調達で必須とされる「FedRAMP(The Federal Risk and Authorization Management Program)認証」を受けている、もしくはそれ相当のものが前提だ。さらにその場合でも、適切なアクセス認証、アクセス権限の管理、通信の暗号化、アプリケーション上の対応や復旧方法などを策定する必要がある。したがってできるだけ早期に自社の状況を調査し、対応策を検討することを推奨したい。


本ページに記載された内容は、掲載日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。

トップ写真:matejmo/Getty Images

 
  • Facebook
  • twitter
  • はてなブックマーク
  • Linkedin
  • pocket
  • メールで共有
GTM-WZ8656