🛡 NIST SP800-171っお䜕初心者向けやさしい解説

甚語解説
CUIサむバヌセキュリティセキュリティ基準情報保護米囜調達

米囜のセキュリティ基準を孊がう

NIST SP800-171っお、そもそも䜕 🀔

NIST SP800-171は、アメリカの政府機関であるNISTニスト米囜囜立暙準技術研究所が発行したセキュリティガむドラむンルヌルブックのようなものです。

正匏名称は「連邊政府倖のシステムず組織における管理された非栌付け情報の保護」ずいいたすが、ちょっず難しいですね 😅 簡単に蚀うず、「政府の機密情報ではないけれど、保護が必芁な重芁情報CUIを、政府機関以倖の䌚瀟民間䌁業などが扱うずきに守るべきセキュリティルヌル」のこずです。

特に、アメリカの政府機関特に囜防総省などず取匕をする䌁業や、そのサプラむチェヌン郚品䟛絊などの取匕関係に含たれる䌁業にずっお、このルヌルを守るこずが求められおいたす 🏢🇺🇞。

なんでNIST SP800-171が重芁になったの

むンタヌネットが普及し、サむバヌ攻撃の手口もどんどん巧劙になっおいたす。政府機関だけでなく、取匕先の䌁業から情報が挏れおしたう事件も発生したした䟋えば、2016幎頃に発芚したF35戊闘機の情報流出事䟋など。

そこでアメリカ政府は、政府から委蚗された業務を行う䌁業サプラむダヌにも、政府ず同じレベルでしっかり情報を守っおもらう必芁があるず考えたした。 そのために䜜られたのが、このNIST SP800-171です。

特に米囜防総省 (DoD) は、DFARSディヌファヌス囜防連邊調達芏則補遺ずいう芏則で、取匕䌁業に察しおNIST SP800-171ぞの準拠を明確に芁求しおいたす。これが、倚くの䌁業が察応を迫られる倧きな理由の䞀぀です。

CUIっおどんな情報 📄

NIST SP800-171が守ろうずしおいるのは、CUIControlled Unclassified Information管理された非栌付け情報ず呌ばれる情報です。

これは、政府が扱う「機密情報Classified Information: CI」ずは区別されたすが、それでも䞀般に公開すべきではなく、適切に管理・保護する必芁がある情報のこずです。

具䜓的には、以䞋のような情報が含たれる可胜性がありたす䟋

  • 技術デヌタ蚭蚈図、仕様曞など
  • 茞出管理情報
  • プラむバシヌに関わる情報
  • 法執行に関する情報
  • 重芁むンフラに関する情報電力制埡システムのデヌタなど
  • 調達や取埗に関する情報

どんな情報がCUIにあたるかは、契玄内容や政府機関の指瀺によっお決たりたす。

どんなルヌル芁件があるの 💻🛡

NIST SP800-171には、CUIを守るための具䜓的なセキュリティ察策芁件が定められおいたす。 最新版のRevision 3Rev.3、2024幎5月発行では、これらの芁件が17のカテゎリファミリヌず呌ばれたすに分類され、合蚈97個の具䜓的な芁件がありたす。

以前のRev.2では14ファミリヌ、110芁件でしたが、芋盎しや統合が行われたした。

17のファミリヌは以䞋の通りですRev.3。Rev.2から「蚈画」「システムずサヌビスの調達」「サプラむチェヌンリスクマネゞメント」が远加されたした。

ファミリヌ番号 ファミリヌ名日本語参考蚳 簡単な説明
3.1 アクセス制埡 (Access Control) 誰が情報にアクセスできるかを管理する
3.2 意識向䞊ず蚓緎 (Awareness and Training) 埓業員にセキュリティ教育を行う
3.3 監査ず説明責任 (Audit and Accountability) 誰が䜕をしたかの蚘録を残し、远跡できるようにする
3.4 構成管理 (Configuration Management) システムの構成を管理し、安党な状態を保぀
3.5 識別ず認蚌 (Identification and Authentication) アクセスする人やシステムを正しく識別・認蚌する
3.6 むンシデント察応 (Incident Response) セキュリティ事故が起きたずきの察応蚈画を立お、実行する
3.7 メンテナンス (Maintenance) システムを定期的に保守し、安党な状態を維持する
3.8 メディア保護 (Media Protection) USBメモリや曞類など、情報を蚘録した媒䜓を保護する
3.9 人的セキュリティ (Personnel Security) 埓業員を採甚する際や退職時のセキュリティ管理を行う
3.10 物理的保護 (Physical Protection) コンピュヌタやサヌバヌルヌムなどを物理的に保護する
3.11 蚈画 (Planning) Rev.3 æ–°èš­ セキュリティ察策を蚈画し、文曞化する
3.12 リスク評䟡 (Risk Assessment) システムや情報に察するリスクを評䟡し、察策を怜蚎する
3.13 セキュリティ評䟡 (Security Assessment) セキュリティ察策が有効か定期的にチェックする
3.14 システムず通信の保護 (System and Communications Protection) ネットワヌクや通信経路を保護する
3.15 システムず情報の完党性 (System and Information Integrity) 情報やシステムが改ざんされおいないか監芖し、保護する
3.16 システムずサヌビスの調達 (System and Services Acquisition) Rev.3 æ–°èš­ 倖郚のシステムやサヌビスを導入する際のセキュリティを確保する
3.17 サプラむチェヌンリスク管理 (Supply Chain Risk Management) Rev.3 æ–°èš­ 補品やサヌビスの䟛絊網サプラむチェヌンに関わるリスクを管理する

これらの芁件をすべお満たすには、技術的な察策だけでなく、瀟内ルヌルの敎備や埓業員教育など、組織党䜓での取り組みが必芁です。

日本䌁業ぞの圱響は 🇯🇵

NIST SP800-171はアメリカの基準ですが、日本䌁業にも無関係ではありたせん。

  • 米囜䌁業特に防衛産業ず取匕がある䌁業や、そのサプラむチェヌンに含たれる䌁業は、取匕先からNIST SP800-171ぞの準拠を求められるこずがありたす。
  • 日本の防衛省も、2023幎床からNIST SP800-171ず同等のセキュリティ基準防衛産業サむバヌセキュリティ基準を導入しおいたす。防衛省ず取匕のある䌁業は察応が必芁です。
  • 政府機関や重芁むンフラ䌁業なども、調達の際にNIST SP800-171を参考にしたり、準拠を求めたりする動きが広がっおいたす。

぀たり、グロヌバルにビゞネスを展開する䌁業や、防衛・重芁むンフラに関わる䌁業にずっおは、NIST SP800-171ぞの察応がたすたす重芁になっおいたす。

CMMCずの関係は 🀔

NIST SP800-171ず関連しお、CMMCCybersecurity Maturity Model Certificationサむバヌセキュリティ成熟床モデル認蚌ずいう蚀葉もよく聞かれたす。

CMMCは、米囜防総省が導入した認蚌制床で、囜防総省ず契玄する䌁業がNIST SP800-171などのセキュリティ芁件をどの皋床満たしおいるかを評䟡し、認蚌する仕組みです。

NIST SP800-171が「守るべきルヌル」だずするず、CMMCはそのルヌルをちゃんず守れおいるかを第䞉者がチェックしお「お墚付き」を䞎える制床、ずむメヌゞするず分かりやすいかもしれたせん。将来的には、囜防総省ずの契玄にはCMMC認蚌が必芁になる芋蟌みです。

たずめ ✹

NIST SP800-171は、アメリカ発のセキュリティガむドラむンですが、グロヌバルなサプラむチェヌンや日本の政府調達にも圱響を䞎える重芁な基準です。

特にCUI管理された非栌付け情報を扱う䌁業にずっおは、その内容を理解し、必芁な察策を講じるこずが、ビゞネス継続や信頌確保のために䞍可欠になっおいたす。

セキュリティ察策は耇雑に芋えるかもしれたせんが、䞀぀䞀぀の芁件を理解し、蚈画的に取り組むこずが倧切です 💪。

コメント

タむトルずURLをコピヌしたした