常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。ジョーシスでは数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け「NIST SP800-171」の意味

NIST（アメリカ国立標準技術研究会）により、2015年6月に発効されたサイバーセキュリティガイドラインである。

その最たる特徴は、保護の目的を「CUI（Controlled Unclassified Information）」としている点だ。CUIとは、2010年11月の「大統領令（E.O.13556）」より定義された重要情報であり、機密情報とは異なる。

アメリカの情報の扱いを機密性の観点から整理すると、「Top Secret（機密）」「Secret（極秘）」「Confidential（秘密）」といった秘密情報と、「Unclassified Information（一般情報）」に分類される。CUIは「Unclassified Information」に内包され、“重要ではあるが秘密情報に該当しない情報”だ。一例を挙げれば、政府の調達情報、重要インフラの建設にかかる建材、地理情報、製品の試験データ、身近では企業の従業員名簿などだが、なぜこのような情報を、NIST SP800-171として政府の号令により守る必要があるのか？

それは「第三者に渡ればリスクとなり得る情報」だからである。
身近な例として、クラウドサービスはその利用データセンターを明かさなかったり、データセンターはその詳細な所在地までは公にしないなどがあるが、サイバー攻撃者によりインフラの建材から施設の構造や耐久性が暴かれ、従業員名簿は“スパイの候補”になるかもしれない。NIST SP800-171はこのようなCUIを保護する。

現在、アメリカ国防省は、同省が導入するあらゆる製品/技術および全世界サプライヤに対して、NIST SP800-171の準拠を義務化している。この動向をうけて日本でも、防衛省が日本版NIST SP800-171「新防衛調達基準」の施行導入を2019年より始めると発表した。

このように、日本への影響はまだ限定的だが、アメリカでは防衛産業のみでなく、さまざまな分野にNIST SP800-171への準拠が拡大しようとしている。つまり、翻れば、日本の各産業にもいずれ影響が及ぶと見られる。また、NIST SP800-171は、直接のサプライヤはもとより、その下請け、孫請けなど、サプライチェーン全体で準拠すべき可能性があるガイドラインであり、その影響の大きさは計測不可だ。一説によれば、ISO化の話もあり、ISO27001に変わる国際規格となっていく可能性もあるという。

こう書くと、アメリカのガイドラインに準拠せざるを得ない日本という印象が拭えないが、他方、NIST SP800-171には日本が享受し得るメリットへの期待も存在する。それがクラウド化の促進だ。

NIST SP800-171には、安全なセキュリティ環境を構築し、CUIを含む民間企業の知的財産の保護を求めるとともに、その手段として、アメリカ政府のクラウド調達基準「FedRAMP（フェドランプ）」を推奨していくという側面もある。実際、NIST SP800-171の完全な準拠はクラウドサービスを活用しないと難しいと考えられ、アメリカでは情報システムのクラウド化がより加速しているという。同様に、NIST SP800-171は日本のクラウド普及の一翼を担っていくかもしれない。

 

二段目 ITが苦手な経営者向け

情シスの佐藤さんと武田さんの談笑—

佐藤：武田くん、「NIST SP800-171」って、知ってる？

武田：また、サバゲーの話ですか。本当好きですよね（笑）。どうせ、冬のボーナスで買った電動ガンの品番かなんかでしょ？

佐藤：違う、違う。情報セキュリティの話だよ。

武田：うちは、この間ISMS取ったばかりじゃないですか。さらになにか対応が必要になるんですか？

佐藤： かもね、っていう話。これ見てみなよ。ちょっと前の日経の記事。

（『サイバー対策、米基準要求 防衛省、調達先9000社に』−−）

武田：へぇ〜、アメリカのサイバーセキュリティガイドラインを防衛省が取り入れて、あたらしい基準を防衛産業の企業に義務化させるんですね。ひょっとして、そのアメリカのガイドラインがNIST SP800-171？

佐藤：そうそう。日本の防衛産業って、よくアメリカと共同開発とかしてるじゃん。んで、NIST SP800-171って、アメリカの肝いりのセキュリティガイドラインだから、守らないと取引できなくなるかもってことみたいだね。

武田：そんなのがあるんですね。全然知らなかった。でも、うちはまったく畑違いだし、関係ないじゃないですか。

佐藤：もうちょっとよく読んでよ。 ここに「今後は防衛産業以外にも米国基準に合わせなければ取引がしにくくなる場合が〜」ってあるでしょ。アメリカではすでに、国防省だけじゃなくて、ほかの省庁もNIST SP800-171の普及を進めているらしいよ。その影響から、たとえばグローバルな自動車メーカーとか対応しなければいけない企業が増えるだろうってこと。

武田：言い換えれば、今後のスタンダードになっていくかもしれないってことですね。

佐藤：うん。まあ、だとしても、すぐじゃないだろうけどね。でも、たいへんなのが環境整備なんだよね。今までの個別に求められるセキュリティってよりも、NIST SP800-171はサプライチェーン・サイバーセキュリティ基準なんだ。つまり、自社だけじゃなくて、サプライチェーンに関わるすべての企業が遵守してねってこと。たとえば、アメリカ省庁と取引あるA社があったとするでしょ？　んで、その下請けがB社。それで、A社がNIST SP800-171に準拠していたとしても、B社が対応していなければB社はサプライチェーンから外されちゃう可能性もあるらしいよ。今の段階では、たとえば孫請けとか、孫孫請けとか、どこまでのレイヤーに準拠を求めるのかは決まってないらしいけどね。

武田：そう言われると、おおごとですね。まあ、最近は下請け企業を踏み台にして仕掛けてくるサイバー攻撃も増えているといいますし、そのリスクを考えればわからなくもないですが。

佐藤：だよね。あと、NIST SP800-171は、ISMSでスムーズに対応できるものとできないものがあるみたいだね。

武田：なるほど。動向をウォッチし続けていくにこしたことはないってことか。本当、セキュリティって際限ないですね・・・。佐藤さん、一緒に頑張りましょう！

 

三段目 小学生向け

間違って使われたら、たいへんなことになっちゃうモノって、結構ある。たとえば、火。美味しい料理をつくるのに欠かせないけど、こわい火事の原因も火だ。あとは、刃物。かっこいいプラモデルをつくったり、ダンボールを開けたり、たくさんのことに役立つけど、人を傷つけてしまう道具にも使われる。

このように、使われ方次第でぜんぜん違う結果になるモノが世の中にはたくさんあるんだ。そして、それはモノだけではなくて「情報」も一緒なんだよ。

社会では、いろんな情報が生まれて日々記録されている。みんなに身近なところだと、たとえば、「Aくんは出席、Bくんはお休み」。そう、出席簿だね。あと、もらうはイヤだけど・・・、通知表もそう。こういう情報って、みんなと学校だけが知っているものだよね。それに、みんなや学校だけに役立つもの。でも・・・、悪いことを考える人からするとどうだろう？

もし、悪い人がみんなの出席を知れば、学校にいるか家にいるかわかって悪さをしやすくなるかもしれない。通知表から、きみがどんなことを得意で苦手なのかを知って、誰かに言いふらそうとするかもしれない。こわいよね。このように、情報も使われ方でぜんぜん違うんだ。

そして、こういう情報を守るためにアメリカでつくられた約束が「NIST SP800-171」なんだ。出席簿や通知表のように、「普段は大丈夫だけど、悪用されるとこわい情報」を守るためのもの。アメリカと関係あるお仕事をしてたら、日本の会社でもこれを守らないといけない。

悪い人を遠ざける約束なら、みんな守りたいよね？　でも、こういう大きな約束って守るのにとっても手間がかかったり、お金が必要だったりしてとてもたいへん。しかも、NIST SP800-171は「誰がどこまで守るか」まだはっきり決まっていないし、日本ではまだ知らない人もたくさんいるんだ。

だから、おうちに帰ったら、パパにぜひ教えてあげてね。

 

 

さて、ご理解は深まったでしょうか？

 

【執筆：編集Gp　坂本 嶺】