【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?
- 2018/11/2
- ナレッジ, 情シス知恵袋
- NIST SP800-171, セキュリティガイドライン, 対策, 調達
- 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは? はコメントを受け付けていません
下請け企業を踏み台に攻撃を仕掛ける。そんなサイバー攻撃が増えています。現代のサイバーセキュリティ対策はサプライチェーン全体の対策が欠かせなくなっており、その脅威を防ぐため、アメリカで発効されたのが「NIST SP800-171」です。日本にも影響を与えるというこのセキュリティガイドラインはどのようなものなのでしょうか?
この記事の目次
【潮流】IoT時代に求められるサプライチェーンのサイバーセキュリティ
あらゆるモノ・コトがネットに接続されるIoT時代。そこから生み出されるビジネスのインパクトは日本でも広く知られるところです。しかし、その波に乗ることは、既存の事業環境を変化させる必要があるということでもあり、今その変化への対応が明らかに求められようとしています。そのひとつがサイバーセキュリティです。
IoT時代のサイバーセキュリティは、一社で完結する話ではありません。本社、子会社、パートナー、下請け工場などがひとつのネットワークとしてつながることから、個々の対策ではなく、川上から川下までサプライチェーン全体のセキュリティが求められます。
世界動向を見れば2017年、欧州は「単一サイバーセキュリティ市場を目指し、ネットワークに繋がる機器の認証フレームの導入検討」を発表。加えて、2018年5月10日、エネルギー等の重要インフラ事業者に、セキュリティ対策を義務化させる「NIS Directive」を、同月25日にはデータ処理制限などのあらたな義務である「GDRP」を施行しました。GDRPは以前の記事で紹介しましたが、これら欧州の一連の動向の背景には「これまでバラバラだった国ごとの規則やルールの統一」があります。
要件を満たさないものには−−
欧州ではすでに、セキュリティ要件を満たさない事業者や製品/サービスであれば、グローバルサプライチェーンからはじき出されるといいます。また今後、EU各国がIT機器やサービスに対するルールを設けるためには、ENISA(EUサイバーセキュリティ庁)による認証制度のもと作成を進める必要があるそうです。
さて、次にアメリカの話題。同国で2017年末に義務化されたサイバーセキュリティガイドラインが「NIST SP800-171」です。今回のテーマとなりますが、NIST SP800-171は、日本にも大きなインパクトを与えるものだといいます。果たして、その内容はいかに?
【NIST SP800-171】「CUI」保護に関するセキュリティガイドライン
NIST SP800-171は、2015年6月にNIST(アメリカ国立標準技術研究所)により発効されました。2010年11月の「大統領令(E.O.13556)」により定義された重要情報「CUI(Controlled Unclassified Information)」の保護を目的に、政府機関が調達する製品/技術などの開発・製造を行う企業に対し、一定のセキュリティ基準への準拠を求めるものです。
簡単にいえば、導入製品/技術や取引企業により政府機関がハッキングされたり、サイバー攻撃を受けづらい環境をめざすためのものといったところ。過去にアメリカ政府は、オーストラリアなどと開発した最新鋭のステルス戦闘機「F35」の設計にかかわる機密情報を、オーストラリアの防衛請負企業の脆弱性をつかれ盗まれる事件に遭遇。また、政府の話ではないものの、企業が導入したスマホのチップにバックドアが仕掛けられていて、定期的にデータを中国のサーバーに送信し続けていた事件もあったそうです。そういったリスクをもとから断つための施策だといえます。
【CUI】機密情報じゃないのに、重要な情報?
では、そもそもNIST SP800-171が守るべきCUIとはどんな重要な情報なのか? それを理解するために、まずは「SP800」という名称に注目しましょう。SP800とは、NIST内のサイバーセキュリティ担当部門CSDのレポートであり、171などは総じて「SPシリーズ」とよばれています。そしてシリーズのなかには「SP800-53」というガイドラインも存在します。これは、「CI(Classified Information)」とよぶ厳格な取り扱いが求められる機密情報の保護を目的としていて、SP800-171とは対をなすもの。つまり、SP800-171のCUIは機密情報ではないのです。では、なぜそのような情報を保護する必要があるのでしょうか?
<画像出典:防衛取得研究「情報セキュリティの現状と趨勢について」>
潜在リスクをはらむ情報−−
CUIは「安全保証」「個人情報」「企業が占有する情報や操作情報を含むような情報」と定義されていて、一例を挙げれば、重要インフラの建設にかかる情報や地理的データほか、製品開発における試験データ、身近なところでは従業員名簿やスケジュール表、または製品やサービスの仕様書や設計図なども該当します。これらに共通するのが、「漏えいした場合、甚大なリスクにつながる恐れ」があることです。たとえば、システムの仕様書。機密性の低い情報であるものの、サイバー攻撃者の手に渡れば、システムを停止させる“ネタ”となり得るかもしれない。NIST SP800-171はこのようなリスクを摘み取る、備えなのです。
【日本との関係】波及するNIST SP800-171の影響
アメリカ政府機関との取引企業に向けたCUI保護ガイドラインがNIST SP800-171。であれば、サプライヤの日本企業以外、私たちにはさほど関係のないような印象も受けます。しかし、実際はそうでないようです。
NIST SP800-171はアメリカ国防総省からのスタートを経て、現在、一部の省庁にも波及。準拠を求められる取引企業は増加しています。また、ゆくゆくは重要インフラ産業や自動車業界や農業などあらゆる産業に拡大される予定だそうです。これを考えれば、日本のグローバル企業への影響度も日増しに大きくなっていくことは明らかです。
また、NIST SP800-171は、サプライチェーン全体で準拠されるべきものであることも見逃せません。サプライヤ企業やグローバル企業に加え、それら企業の“孫請け”や“孫孫請け”にも対応が求められる可能性もあり得る。つまり、アメリカだけ、一部の企業だけの話ではないのです。まだ日本ではNIST SP800-171の注目度は薄いですが、そこへの対応がなければ先述したEUの件と同様、サプライチェーンからはじき出されるおそれも考えられます。
【知っておく】情シスが気にするべきポイントとは?
NIST SP800-171における日本の対応は、防衛省が2019年度から「NIST SP800-171相当」のセキュリティ対策を求める新防衛省調達基準の施行導入を予定。防衛産業にかかわる約9000社が対象になると見られています。このようにまだ影響は限定的ですが、今後さまざまな産業に波及することは明らかであり、早めに内容を把握しておくにこしたことはありません。そこで、最後に情シスにも関わる対策ポイントを見ていきましょう。
<画像出典:経産省 サプライチェーンサイバーセキュリティ等に関する海外の動き>
NIST SP800-171は「14項目のカテゴリ」で構成。そのなかに「110項目」が用意されており、内訳は技術要件が77項目、非技術要件が33項目です。そして、技術/非技術含め、情シスに関わり合いの深いものをピックアップしてみると、おおよそ以下となるようです。
ISO27001との違いは—
これまで主流だったセキュリティ基準が「ISO27001」ですが、これとの大きな違いは「カバーするセキュリティ領域」。ISO27001はサイバー攻撃を「未然に防ぐ」ことに重きを置く一方、NIST SP800-171は「侵入後の検知・対応・復旧」を重点にしています。つまり、求められるのはシステムの多層防御など「攻撃を前提としたセキュリティ対策」であり、現在多くの企業が取得しているISMSよりも、一歩踏み込んだ対策が求められるといえます。
また、サービスやデバイスの調達についても再考する必要がありそうです。昨今、AWSやAzureなどがアメリカ政府のクラウド調達基準である「FedRAMP」への対応を公表、マイクロソフトや日本HPなどもNIST SP800-171への準拠を明言するようになったといいます。この主要ベンダーの動向を考えれば、今後、NIST SP800-171未対応のサービス/デバイスの導入は注意が必要となっていくかもしれません。事実、NIST SP800-171のブラックリストには日本製のアプリや製品が複数登録されているという話も聞きます。
NIST SP800-171が本格上陸を果たしたら、その対応にかかる労力、影響は小さいものではありません。それゆえ、諸手を挙げて歓迎はできないものの、しかし、昨今のサイバー攻撃は未然に防げないものが増大しているのは明らか。私たちにとって、NIST SP800-171がセキュリティのよりよいインパクトになることを祈ります。
【執筆:編集Gp 坂本 嶺】