NIST SP800-171に関する情報サイト
NISTが指定するCUIの分野と種類
セキュリティ対策基準としてNISTが指定しているSP800-171では、CUIを保護する重要性が説かれています。
アメリカ政府は機密情報をCI、それ以外の情報をCUIと分けて扱っています。
機密情報ではないから適当に扱って良いというわけではなく、情報に応じて慎重な取り扱いが必要です。
ではCUIにはどのような分野と種類が存在するのでしょうか。
NISTはSP800-171で保護すべきCUIとして、14分野109種類の項目を指定しています。
人的セキュリティ、構成管理、監査と責任追跡性といった項目に加えて、リスクアセスメントやセキュリティアセスメントなどもNISTが指定する分野と項目に該当します。
これらの項目は幅広く、デバイスやアクセス、人と組織など多岐にわたるのが特徴です。
ベースポリシーは保護指針なども中分類に含まれるため、企業は基準を守るために自社のセキュリティシステムやポリシーの見直しなどが必須となります。
NIST SP800-171によって変わるサイバーセキュリティの今後
NISTのSP800-171により、今後は契約に基づく業務を行うすべての関連企業にサイバーセキュリティ対策強化が求められます。
対象となるのは政府機関と契約した主要企業に加えて、それらから業務委託を請け負うすべてを対象にしており、下請けや孫受け、曾孫受けなど他がセキュリティ対策を構築しなければなりません。
NISTのSP800-171が対象とする重要情報とは、主にデータ類です。
具体的には仕様書や実験データ、それらに必要な素材など、製品や機能やシステムの構造を推測できたり、脆弱性を探ることのできる情報です。
また関連情報を保存するサーバー攻撃への防御対策などまで幅広くなっており、構成管理や認証、情報の暗号化やシステム監視なども含まれます。
今後、日本国内においてもNSITが定めた基準が適用されると考えられます。
基本的には政府機関の契約、特に防衛関連を中心に拡大していくと思われるため、関連した業務を担う法人は早期の対処が求められることになります。
純粋な民間業務においても、情報漏えい防止の観点から導入が加速しそうです。