NIST SP800-171に関する情報サイト
このサイトでは、これからIT化を推し進める企業のためにNISTおよびSP800-171について紹介します。
働き方改革をするためには、企業内のIT化を進めて業務を効率化する必要があるのです。
しかしIT化を進めるうえで、企業が注意しなければならないのが悪意ある第3者からの介入になります。
悪意ある第3者は企業の情報を盗むことで、自身の利益にすることを目的としてハッキングすることです。
一度でもハッキングを許せば大損害を被ることになるので、それを未然に防ぐために用いるのがセキュリティーサービスになります。
NISTとSP800-171って?知っておきたいサイバーセキュリティの基礎知識
NISTとSP800-171は、世界の経済の中心となっているアメリカ政府機関が企業に対して求めるガイドラインになります。
経済の中心地となっているアメリカは最先端の技術がそろう場所でもありますが、その場所ゆえに他国からのハッキング被害が年に10万件以上の頻度で起きています。
一度でもハッキングを許せば信頼性が著しく落ちてしまうため、経済への影響を考えて考案されたのがNISTとSP800-171という仕組みです。
このNISTとSP800-171では契約した企業だけでなく、その契約した企業の関連企業も含めてセキュリティを構築するのが特徴になります。
提携した企業と関係するすべての企業のサイバーセキュリティを万全にすることで、ハッキングに恐れることなく円滑な運営が可能になるのです。
SP800-171はNISTが策定したガイドライン
SP800-171は、アメリカ国防総省が各国の企業に対して準拠を求めるガイドラインです。
NISTこと米国標準技術研究所が策定したもので、アメリカのサイバー対策の一環として定められています。
重要な情報が日夜を問わずに飛び交う現代社会においてNISTによるガイドラインの策定は当然のものであり、アメリカにとっては自国の重要な情報を守る大切な手段となっています。
アメリカがガイドラインとしてSP800-171の策定に乗り出したきっかけのひとつは、重要な情報が漏洩したスノーデン事件でしょう。
アメリカの安全保障を揺るがした事件によって作られたSP800-171は、アメリカだけではなくヨーロッパやアジア、アフリカなどの各国にも向けられています。
システムへのセキュリティ対策や情報システムの構築など企業がやるべき案件は多数あり、多くの企業はシステムセキュリティを引き上げる必要があります。
ガバナンス体制の確立、システム通信の保護など、企業にとってはシステム面を強化するための基準ともなるでしょう。
求められた準拠に達しない場合は取引の対象外となってしまうため、アメリカと取引をしている企業にとっては必須ともいえる対策です。
NISTのSP800-171とは業務委託先に関するガイドライン
米国標準技術研究所NISTのSP800-171は、セキュリティに関わる人であれば一度は目にしたことがあるのではないでしょうか。
これはNISTが定めるセキュリティ基準のガイドラインのことで、日本では連邦政府外のシステムと組織における管理された非格付け情報の保護と訳されます。連邦政府が扱う一般情報の一部を保護すべき情報として、ガイドラインの制定が行われ発行さされています。
このガイドラインのは、米国内のみならず全世界の取引先を対象に、米国防総省が準拠を求めています。日本も2019年に防衛省がガイドラインの内容に相当する、セキュリティ要求事項の調達基準に盛り込んでいるほどです。NISTのSP800-171は業務委託先や、関連する企業が守るべきものです。
軽視したり準拠しないと、今後米政府に関係する取引ができなくなったり、取引先の候補から外されてしまう恐れがあるので、米国市場からの締め出しを食らわないない為にも内容を確認して速やかに対応する必要があるのではないでしょうか。
NIST SP800-171におけるサプライチェーン
2017年に防衛産業の機密情報などが約四カ月にわたって他者に流出させられていたことを受けて、NIST SP800-171という新しいガイドラインが設置されました。
このガイドラインによって防衛産業はあらゆるサイバーセキュリティ対策を講じることとなり、政府が推奨したセキュリティ基準を満たしていなければ調達から販売・供給にいたるまでの一切のサプライチェーンを行えないようになりました。
NIST SP800-171の目的は明白で、産業の重要情報が政府以外の情報システムや組織にあるときに、重要情報の機密性を保護するためにセキュリティ基準を要請します。重要情報が処理され、保存されたり送信されるときには、同レベルのセキュリティ保護が前提となりました。
こうすることによって防衛産業の販売や開発に至るまでのサプライチェーンを一貫して守ることになり、個人あるいは組織などへの情報流出を食い止めるというのが最大の特徴でしょう。
NISTのSP800-171とオーストラリア軍
NISTのSP800-171は、防衛産業において非常に重要なセキュリティ基準を設けているガイドラインとなっており、米国およびその同盟国の関連企業すべてに同レベルのセキュリティ水準を要請するものです。
このNISTのSP800-171が施行される前には、オーストラリア軍から防衛産業の情報を含むデータが流出しました。その内容は次期主力戦闘機の内容を含むもので、国家安全保障において非常に重大な事件として記録されています。
しかも、サイバー犯罪者に侵入されたことに約四カ月も気が付かなかったとされており、その間に流出した重要な情報量は多大なものとして認識されました。このことから、末端の業務委託から防衛産業システムにNISTを施行し、サイバーセキュリティ対策をより一層高めているのが現状です。
すべての関連企業にガイドラインが提示され、同じセキュリティ対策を施行しなければ一連のサプライチェーンを実施できないようになっています。
アメリカ政府機関や防衛産業との取引で必須!NISTのSP800-171
国際情勢の不安定化と緊張の高まりにより、防衛産業への関心が高まりつつあります。特に世界で最も厳格な基準を持つアメリカの政府機関NIST(米国国立標準技術研究所)が発行するセキュリティレポートSP800-171は、米政府調達CUI情報の取り扱いの基準を示していますが、実際は防衛産関連産業を中心に民間企業にも重視されています。
NISTが定める基準はあくまで最低限守るべき事柄や推奨しているセキュリティ基準であり、民間企業にも幅広く採用されていることからアメリカ国内での経済活動を展開するさいには必須の条件となっていると考えてよいでしょう。
導入する際にはSP800-171を理解した人材の採用や部署の設置に加えて、業務プロセス全体に適用させます。また第三者機関準拠認定により、実効性を角煮にしましょう。
アメリカの政府機関や防衛産業との取引を検討している場合は、NISTが定める基準を理解しておくとスムーズな事業展開を目指せます。
NIST SP800-171の国際標準化について
重要な防衛産業の情報が流出した過去の出来事から、NIST SP800-171という新しいセキュリティガイドラインが施行されました。
NIST SP800-171はアメリカと取引をしている全世界の企業に対して要求しており、アメリカ国防省と取引をする企業はセキュリティガイドラインに記載された基準を合格していなければなりません。当初はアメリカとその関連企業のみでしたが、主要国でも追随する動きが始まっています。
国際標準化することによって、同盟国や友好国と共同開発を行ったり、その国家への供給や販売を行ううえでの一連のサプライチェーンにおける情報を強度に守ることができるでしょう。国際標準化にともなって、ヨーロッパでは2018年に同基準に沿う法案が制定されました。
日本でも2019年から防衛省において、同セキュリティガイドラインの同程度の調達基準の試行導入がスタートしています。国家安全保障に関わる案件であるため、早期の浸透が求められています。
NISTのSP800-171は日本政府においても大変注目している
NISTのSP800-171は政府調達における調達基準として求められているセキュリティ要件の参考基準になり始めていることもあり、これらの動向をよく観察することを含め日本国内にある企業は様々な対応を迫られています。
もちろん企業だけではなく日本政府においてもNISTの重要性はよく認識していて今後の在り方において検討されていますし、セキュリティの面からも高い信頼性があるので注目している点が多々あります。
セキュリティ関連文章は年々増えていてそれを扱う部署は苦労していることが沢山ありますが、特に情報を外部に漏れないように細心の注意をしています。
ただ注意をしているだけでは未然に防ぐのが難しい面もあるので、今後NISTのSP800-171の果たす役割は益々大きくなると見ている人も多いです。
このようにセキュリティの面から日本政府も対応を迫られていて、その観点からもこれは非常に重要な役割を担っていると言えます。
NIST SP800-171に基づくマイナカードの情報セキュリティ要件
NIST SP800-171は、米国の連邦情報処理標準(FIPS)の1つであり、非連邦システムの情報セキュリティ要件を定義しています。
マイナカードがNIST SP800-171に基づく情報セキュリティ要件を満たすためには、以下のような対策が必要となります。
アクセスするためのネットワークを保護するためにファイアウォール、IDS/IPS、VPNなどのセキュリティソリューションを導入し、不正アクセスや攻撃から保護する必要があります。カードに関するデータの保護は重要でデータバックアップの実施などが含まれるのです。
アクセスするユーザーの認証を強化することで、不正アクセスを防止することができるのです。複数要素認証を導入するパスワードの有効期限を設ける、アカウントロックアウトポリシーを設定するなどの対策が必要になります。
情報セキュリティに関するポリシーや規定を策定し、社内で周知徹底することが必要です。定期的な監査や評価を行い、適切なセキュリティ対策を講じることが求められます。
NIST SP800-171における台湾有事への対処について
NISTのSP800-171は、アメリカ国立標準技術研究所(NIST)が発行したサイバーセキュリティに関する特別出版物の一つで、企業や機関が政府機関から委託された業務を行う際に必要な情報セキュリティ要件を定義したものです。
ここでは情報セキュリティの要件に関するガイドラインを提供し、政府機関から委託された企業や機関が取り扱う情報のセキュリティを確保することを目的としています。SP800-171は連邦情報処理規則(FISMA)に準拠しており、情報セキュリティのための一連の要件を提供します。
具体的には、個人情報、機密情報、および他の機密情報に対する保護措置の確立、機密情報のアクセス制御、ネットワークセキュリティの確立、情報セキュリティイベントの監視および報告などの要件を規定しています。
これらの要件は、政府機関から委託された業務を行う企業や機関にとって、極めて重要なものです。
アメリカ政府は、台湾有事に備えて、軍事関連機密情報を含む情報の保護をより強化する方針を打ち出しており、そのためには委託業務を担う企業や機関に対して、より厳格な情報セキュリティ要件を課す必要があります。
その際、情報セキュリティ要件を規定したガイドラインの一つとして、アメリカ政府によって活用される可能性があるでしょう。
NISTSP800-171はロシアによるサイバー攻撃の脅威から保護
NIST SP800-171は、アメリカ政府の機密情報を扱う非政府機関が情報セキュリティを確保するための基準として策定されました。
しかしロシアを含む外国のサイバー攻撃グループが、アメリカ政府とその契約先の非政府機関を標的としているため、この基準はますます重要性を増しています。
過去数年間にわたりアメリカ政府とその契約先の非政府機関を標的にしたサイバー攻撃を行ってきました。これらの攻撃は機密情報や知的財産を盗み出すことを目的としています。これによりアメリカの国家安全保障に深刻な脅威が生じます。
NIST SP800-171はアメリカの非政府機関が遵守すべき情報セキュリティの基準を示します。この基準は情報の機密性、完全性、可用性を確保することを目的としています。
これにより外国のサイバー攻撃グループが機密情報を盗み出すことを困難にし、アメリカの情報システムを保護することができます。
サイバー攻撃の脅威は、今後も続くことが予想されます。したがってアメリカの非政府機関は情報セキュリティを強化する必要があります。この基準に準拠することで、アメリカの情報システムを保護し、国家安全保障を確保することができます。
NISTセキュリティガイドラインのSP800-171で必要な脆弱性管理
NISTのセキュリティガイドラインのSP800-171で必要となる脆弱性管理において、まずは3つのステップが必要になることを理解しなければなりません。
情報収集と自社システムに該当するかを調査するためのスキャン、該当する部分が見つかった場合の対応方針の検討、アップデートや設定変更等の対策を実施することをセットで考えます。
この問題は、自社システムだけでなく、つながりのある関連会社のシステムにまで影響を及ぼす恐れがありますので、併せて対策を実施することが求められます。
近年ではランサムウェアによる被害が拡大しており、それによりファイルが勝手に暗号化されるという事象も世界各国で見つかりました。対応するのにも時間がかかり、その間にも身代金要求の被害にあってしまった企業がたくさんあります。
これはほんの一例であり、内部の脆弱性をつかれて被害にあう事例は今後も増加することが予想されていますので、NISTの義務化は進むと予測されています。