米国のセキュリティ基準を学ぼう!
NIST SP800-171って、そもそも何? 🤔
NIST SP800-171は、アメリカの政府機関であるNIST(ニスト:米国国立標準技術研究所)が発行したセキュリティガイドライン(ルールブックのようなもの)です。
正式名称は「連邦政府外のシステムと組織における管理された非格付け情報の保護」といいますが、ちょっと難しいですね 😅 簡単に言うと、「政府の機密情報ではないけれど、保護が必要な重要情報(CUI)を、政府機関以外の会社(民間企業など)が扱うときに守るべきセキュリティルール」のことです。
特に、アメリカの政府機関(特に国防総省など)と取引をする企業や、そのサプライチェーン(部品供給などの取引関係)に含まれる企業にとって、このルールを守ることが求められています 🏢🇺🇸。
なんでNIST SP800-171が重要になったの?
インターネットが普及し、サイバー攻撃の手口もどんどん巧妙になっています。政府機関だけでなく、取引先の企業から情報が漏れてしまう事件も発生しました(例えば、2016年頃に発覚したF35戦闘機の情報流出事例など)。
そこでアメリカ政府は、政府から委託された業務を行う企業(サプライヤー)にも、政府と同じレベルでしっかり情報を守ってもらう必要があると考えました。 そのために作られたのが、このNIST SP800-171です。
特に米国防総省 (DoD) は、DFARS(ディーファース:国防連邦調達規則補遺)という規則で、取引企業に対してNIST SP800-171への準拠を明確に要求しています。これが、多くの企業が対応を迫られる大きな理由の一つです。
CUIってどんな情報? 📄
NIST SP800-171が守ろうとしているのは、CUI(Controlled Unclassified Information:管理された非格付け情報)と呼ばれる情報です。
これは、政府が扱う「機密情報(Classified Information: CI)」とは区別されますが、それでも一般に公開すべきではなく、適切に管理・保護する必要がある情報のことです。
具体的には、以下のような情報が含まれる可能性があります(例):
- 技術データ(設計図、仕様書など)
- 輸出管理情報
- プライバシーに関わる情報
- 法執行に関する情報
- 重要インフラに関する情報(電力制御システムのデータなど)
- 調達や取得に関する情報
どんな情報がCUIにあたるかは、契約内容や政府機関の指示によって決まります。
どんなルール(要件)があるの? 💻🛡️
NIST SP800-171には、CUIを守るための具体的なセキュリティ対策(要件)が定められています。 最新版のRevision 3(Rev.3、2024年5月発行)では、これらの要件が17のカテゴリ(ファミリーと呼ばれます)に分類され、合計97個の具体的な要件があります。
以前のRev.2では14ファミリー、110要件でしたが、見直しや統合が行われました。
17のファミリーは以下の通りです(Rev.3)。Rev.2から「計画」「システムとサービスの調達」「サプライチェーンリスクマネジメント」が追加されました。
| ファミリー番号 | ファミリー名(日本語参考訳) | 簡単な説明 |
|---|---|---|
| 3.1 | アクセス制御 (Access Control) | 誰が情報にアクセスできるかを管理する |
| 3.2 | 意識向上と訓練 (Awareness and Training) | 従業員にセキュリティ教育を行う |
| 3.3 | 監査と説明責任 (Audit and Accountability) | 誰が何をしたかの記録を残し、追跡できるようにする |
| 3.4 | 構成管理 (Configuration Management) | システムの構成を管理し、安全な状態を保つ |
| 3.5 | 識別と認証 (Identification and Authentication) | アクセスする人やシステムを正しく識別・認証する |
| 3.6 | インシデント対応 (Incident Response) | セキュリティ事故が起きたときの対応計画を立て、実行する |
| 3.7 | メンテナンス (Maintenance) | システムを定期的に保守し、安全な状態を維持する |
| 3.8 | メディア保護 (Media Protection) | USBメモリや書類など、情報を記録した媒体を保護する |
| 3.9 | 人的セキュリティ (Personnel Security) | 従業員を採用する際や退職時のセキュリティ管理を行う |
| 3.10 | 物理的保護 (Physical Protection) | コンピュータやサーバールームなどを物理的に保護する |
| 3.11 | 計画 (Planning) Rev.3 新設 | セキュリティ対策を計画し、文書化する |
| 3.12 | リスク評価 (Risk Assessment) | システムや情報に対するリスクを評価し、対策を検討する |
| 3.13 | セキュリティ評価 (Security Assessment) | セキュリティ対策が有効か定期的にチェックする |
| 3.14 | システムと通信の保護 (System and Communications Protection) | ネットワークや通信経路を保護する |
| 3.15 | システムと情報の完全性 (System and Information Integrity) | 情報やシステムが改ざんされていないか監視し、保護する |
| 3.16 | システムとサービスの調達 (System and Services Acquisition) Rev.3 新設 | 外部のシステムやサービスを導入する際のセキュリティを確保する |
| 3.17 | サプライチェーンリスク管理 (Supply Chain Risk Management) Rev.3 新設 | 製品やサービスの供給網(サプライチェーン)に関わるリスクを管理する |
これらの要件をすべて満たすには、技術的な対策だけでなく、社内ルールの整備や従業員教育など、組織全体での取り組みが必要です。
日本企業への影響は? 🇯🇵
NIST SP800-171はアメリカの基準ですが、日本企業にも無関係ではありません。
- 米国企業(特に防衛産業)と取引がある企業や、そのサプライチェーンに含まれる企業は、取引先からNIST SP800-171への準拠を求められることがあります。
- 日本の防衛省も、2023年度からNIST SP800-171と同等のセキュリティ基準(防衛産業サイバーセキュリティ基準)を導入しています。防衛省と取引のある企業は対応が必要です。
- 政府機関や重要インフラ企業なども、調達の際にNIST SP800-171を参考にしたり、準拠を求めたりする動きが広がっています。
つまり、グローバルにビジネスを展開する企業や、防衛・重要インフラに関わる企業にとっては、NIST SP800-171への対応がますます重要になっています。
CMMCとの関係は? 🤔
NIST SP800-171と関連して、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)という言葉もよく聞かれます。
CMMCは、米国防総省が導入した認証制度で、国防総省と契約する企業がNIST SP800-171などのセキュリティ要件をどの程度満たしているかを評価し、認証する仕組みです。
NIST SP800-171が「守るべきルール」だとすると、CMMCはそのルールをちゃんと守れているかを第三者がチェックして「お墨付き」を与える制度、とイメージすると分かりやすいかもしれません。将来的には、国防総省との契約にはCMMC認証が必要になる見込みです。
まとめ ✨
NIST SP800-171は、アメリカ発のセキュリティガイドラインですが、グローバルなサプライチェーンや日本の政府調達にも影響を与える重要な基準です。
特にCUI(管理された非格付け情報)を扱う企業にとっては、その内容を理解し、必要な対策を講じることが、ビジネス継続や信頼確保のために不可欠になっています。
セキュリティ対策は複雑に見えるかもしれませんが、一つ一つの要件を理解し、計画的に取り組むことが大切です 💪。