2016年10月、米国国防総省は、同省と契約する業者に対して、サイバーセキュリティの標準であるNIST SP800-171に準拠した情報システムを利用して機密情報以外の重要情報を指すCUI(Controlled Unclassified Information)を扱わなければならないとの通達を出しました。その期限は2017年12月31日と目前に迫っています。さらに、この動きは他の産業にも拡大することが予想されています。多摩大学ルール形成戦略研究所が主催し、富士通協賛のセミナー「米国防衛装備品調達におけるNIST対応の重要性とその対策」では、NIST SP800-171をめぐる最新動向と、いちはやくNIST SP800-171対応のソリューションを提供した富士通の取り組みが紹介されました。
防衛装備庁長官官房審議官
藤井 敏彦 氏
防衛装備庁は、平成27年10月に我が国の防衛装備・技術行政を一元的に担う組織として設置されました。その防衛装備庁において、現在、重要な課題となっているのが、情報セキュリティ強化の取り組みです。特にNIST(米国標準技術研究所)が作成したサイバーセキュリティの標準であるSP800-171(注1)への対応は、喫緊の課題です。
防衛装備品は、海外との共同研究・開発が大きい柱です。したがって、パートナーである米国と共同研究・開発を行う際に、米国が日本政府、日本企業に同等のセキュリティ基準を求めてくることは容易に想像できます。また、NISTが作成した標準はグローバル標準化への動きも活発で、今後、ISO化される可能性も高いと思われます。
このため、国内防衛産業が防衛関連業務を履行する際の現行セキュリティ基準を、SP800-171と同レベルまで強化することが求められているのです。
また、FedRAMP(フェドランプ)(注2)への対応も懸念事項です。FedRAMPは米国政府のクラウド調達の基準であり、今後、国際標準になると想定されます。
この動きを受けて、自民党IT戦略特命委員会は、2017年5月23日に「日本版FedRAMP」の創設を明言しました。そして、まずは早急な対応が見込まれる防衛産業分野を優先し、防衛装備庁が主導して着手することが提言された経緯があります。
もちろん、この動きは防衛産業分野にとどまりません。防衛産業での成果は重要インフラ分野、さらにその他の産業分野にも活用されます。そして、日本版FedRAMPに準拠すれば、国際標準にも準拠しているといえる環境の実現を目指さなければなりません。
その実現に向けて、防衛装備庁では、防衛産業との意見交換、保護の対象となる情報の範囲の明確化、新しいセキュリティ基準が必要となるサプライチェーンの明確化、調査研究を行っていく予定です。
(注1)NIST SP800-171:SP800は米国国立標準技術研究所(NIST)のComputer Security Division(CSD)が提供するセキュリティ対策のガイドライン。SP800-53では政府の機密情報(CI)の管理、SP800-171ではそれ以外の重要情報(CUI)の管理について定められている。なお、米国の国防総省は、国防総省と取引のあるサプライヤーに、2017年12月31日までにSP800-171の技術体系で構築されたシステムでCUIを管理することを義務化している。
(注2)FedRAMP(Federal Risk and Authorization Management Program):NIST SP800-53の技術仕様で策定されている米国政府のクラウド調達の基準。
多摩大学ルール形成戦略研究所所長
國分 俊史 氏
米国のSP800は、サイバーセキュリティ対策に求められる技術標準であり、現在も新たな技術や考え方をもとにアップデートが行われています。
このSP800で保護する情報は、大きくCI(Classified Information)とCUI(Controlled Unclassified Information)の2種類があります。CIは政府の機密情報で、最も厳格な管理を求められます。一方のCUIは、2010年11月の大統領令(Executive Order 13556)により定義された重要情報であり、その範囲は広く、さまざまな産業に広がっています。そして、CIを扱う企業はSP800-53、CUIを扱う企業はSP800-171で定められた技術で構築されたシステムで情報を管理することが求められています。
CIに関しては、すでに米政府と連携した米国企業によって、ISO化の動きが始まっています。また、CUIに関しては、米国の国防総省と取引のある防衛産業に対して、2017年12月31日までに対応が求められています。
そして、この動きは電力・ガス、金融などの重要インフラ産業、自動車や機械、農業などの他の産業にも、順次拡大される予定です。2010年11月の大統領令(Executive Order 13556)によりCUIの定義と保護が義務付けられ、各省庁は国立公文書記録管理局(NARA)にCUIに該当する情報を登録しました。2015年6月にSP800-171がCUI保護の為のフレームワークとして誕生し、同年には連邦調達規制(FAR)や32 連邦規則(CFR)2002.14にもCUI保護をSP800-171に基づいて行うことが明記されています。多くの日本企業が、北米事業でCUIを扱っている現実を考えると、これらの日本企業にとってCUIを扱うに当たって必須となるSP800-171への対応は喫緊の課題といえます。
【図1】大統領令(Executive Order 13556)を発端とするCUI保護のタイムライン。
【図2】NIST SP800-171への対応は、防衛産業から重要インフラ産業、
その他の産業に順次適用されることが予想される。
同様の動きはEUでも起きています。すでに2016年7月6日にはNIS Directiveという法律が制定され、1.エネルギー、2.交通、3.銀行、4.金融、5.ヘルスケア、6.水道、7.デジタルの7分野に該当する企業は、「欧州又は国際的に受け入れられている標準・仕様の導入を推奨しなければならない」とされています。
そして、このNIS Directiveの適用が始まるのが2018年5月10日であり、それと連動する形で、2018年5月25日から「EU一般データ保護規則(GDPR)」の適用が始まります。つまり、ヨーロッパにおいて前述の7分野でビジネスをする企業は、来年の5月10日までに、何らかの国際標準のシステムを導入し、GDPRに備えなければならないということです。
したがって、日本も国際標準を念頭に置いた技術規格を整備し、米国やEUなどと相互認証できる枠組みを作っていくことが求められます。そのためにも、まずは、ISO化等が検討されており国際的に受け入れられる可能性の高いSP800-171への対応が急がれます。
デロイトトーマツコンサルティング合同会社マネジャー
西尾 素己 氏
NISTは、情報システムや組織そのもののサイバーセキュリティを向上させるフレームワークとして「CSF(Cybersecurity Framework)」を公開しています。これは、サイバーセキュリティを「特定(Identify)」「防御(Protect)」「検知(Detect))「対応(Respond)」「復旧(Recover)」の5段階で考える枠組みです。
たとえば、「特定」は攻撃される可能性のあるアセットや攻撃された事自体を特定することであり、「防御」は特定したアセットを攻撃から守るために防衛手段を講じることです。ISO27000シリーズとの違いはこの後の「検知」「対応」「復旧」の概念と、それぞれの要求項目に対して技術的な推奨事項が存在する点にあります。「検知」とは内部ネットワークへの侵入を何らかの方法で許した事を検知することであり、「対応」とは検知した事象に対して如何に被害を最小限に抑えるか、「復旧」とは実際に被害が出てしまった場合に如何に早急にシステムを復旧させるかが定義されています。このように、5段階のそれぞれで詳細な対策が定義されており、SP800-171やSP800-53では、5段階それぞれについて、「アクセスコントロール」や「インシデントレスポンス」など、技術的な項目のみならず非技術的な要件も含む多くの対策が定められています。
多くの企業が対応を迫られるSP800-171は、CUIを守ることを目的に作成されています。具体的には、CUIを「格納」「処理」「通信」するシステムは、すべてSP800-171に準拠しなければなりません。
デロイトでは、CUIを扱うシステムをSP800-171に準拠したクラウドに移行し、会計システムなどの従来の業務システムはVDI等を用いることでビューオンリーとし、SP800-171に効率的に対応することを提案しています。また、そのためのアセスメントサービスも準備し、企業のSP800-171への対応を支援します。
さらに、デロイトでは、セキュリティ評価のサービスとして「レッドチームサービス」も提供しています。これは、セキュリティの専門チームが顧客のシステムにベンダーフリーな、中立的な立場で、かつ実践的な方法でセキュリティを評価するサービスです。SP800-171のアセスメントと組み合わせて活用いただくことで、より効果的なセキュリティ対策に役立てていただくことが可能です。
富士通株式会社 サイバーセキュリティ事業戦略本部 エバンジェリスト
太田 大州
現在、多くの日本企業は、米国のSP800-171、EUのGDPRへの対応を迫られています。これはルールですから従わなければなりません。最終的に、ルールについていけない企業は、脱落することになります。しかも、1つ1つの企業ではなく、サプライチェーン全体がそうなりかねないのです。
そうならないために、ルールへの対応は進めつつ、日本版FedRAMPをはじめとする日本独自のサイバーセキュリティの施策を実行することが求められます。富士通としても、研究開発や人材育成をすすめ、国際的なルール形成にも積極的に協力することで、日本企業を支援していきます。
SP800-171への対応を検討するうえでは、ISO27000シリーズと比較して、ISO27000シリーズを補完すべき領域があります。それは、NISTのCSFにおける「検知」「対応」「復旧」です。
富士通では、この領域を補完する新しい技術を開発しました。1つは未知の脅威を検知する技術です。従来の技術は、攻撃者が使う手段に着目します。しかし、手段が無数に存在する以上、対策には終わりがありまぜん。これに対して、我々は攻撃者の行動の連続性に着目し、手段が変わっても攻撃を検知する技術を開発しました。
2つめは内部感染の拡大を防ぎ、遮断する技術です。我々の研究では、感染が横に広がるとき、攻撃サーバ、攻撃対象、感染PCのあいだにある種の特別な関係が生じることがわかっています。それを監視することで、感染の拡大を防ぐことができます。
3つめは高速フォレンジック分析です。この技術を使えば、約5000台のPCのドメインに対して約3年分のログデータを蓄積して分析できます。これにより、長期間にわたるサイバー攻撃も証跡として残し、分析することが可能となります。
SP800-171への対応を求められるのは、当面は防衛産業に関わる企業です。しかし、それほど間を置かず、他産業の企業にも同じ対応が求められることになります。富士通では、その際に、お客様を十分に支援できるサービスを準備しています。
まずは、アセスメントサービスでSP800-171への対応に何が必要かを明確にします。たとえば、ISMSを取得していても、企業によって導入されているツールや運用方法は異なるため、しっかりと調査して何が必要かを明確にします。
また、「セキュリティレジリエンスコンサルティングサービス」も提供します。これは、サイバーセキュリティマネジメントの構築支援、サイバーセキュリティ成熟度評価、サイバーインシデント対応力向上プログラム、ICT-BCPコンサルティングなどを通じて、組織としての危機対応能力を強化するサービスです。
もちろん、構築のご支援も行います。ただし、構築に特効薬はありません。FedRAMPに対応したクラウドに預けたら終わりというものではありませんので、構築後の運用も含めて、お客様とご相談しながらすすめていきます。
【図3】富士通のNIST SP800-171対応の進め方
また、富士通は、防衛産業のお客様に対しては、目の前に迫ったSP800-171への対応をご支援します。米国の国防省は、2017年12月31日までに、契約業者に対してSP800-171の遵守を義務化しました。その義務は下請け企業にも適用されるため、日本国内の関連する防衛産業各社にも、SP800-171の遵守が求められるからです。
まず、あるべき姿としては、米国の国防総省と日本の防衛省が対等の関係を持ち、両国の企業が自国の標準に準拠すれば、他国の標準にも適合できる仕組みを構築することが理想です。
ただし、それには時間がかかります。そこで富士通では、直近の対策としてCUIを米国で保管する方法と認証だけ米国のサービスを用い、CUIは日本国内で保管する方法の2つを提供します。SP800-171への対応を急がれている企業は、今すぐにでもお問い合わせください。
一方で、あるべき姿への取り組みは継続していきます。ただし、それは富士通だけでは困難です。いま、「共創」という言葉が注目されています。現在は、国際ルールを形成し、世界各国の共創の土台、プラットフォームを作るときです。富士通は、お客様とともに、そのプラットフォーム作りに貢献していきます。