NIST SP800-171を読み解いてわかったポイント
NIST(National Institute of Standards and Technology:米国立標準技術研究所)が提示するガイドライン「NIST SP800-171(以下、171ガイドライン)」が求める対策とはどのようなものか。
171ガイドラインは、企業単体ではなく、サプライチェーン全体で実施すべきセキュリティ要件を、14分類、110のセキュリティ要件でまとめたものである。内海氏は14分類を「組織・スキル」「ルール・プロセス」「テクノロジー」「物理セキュリティ」の4つに分類。分類に即してシステム共通に考えるべきことと個別に考えるべきことに分けて整理することを勧めた。
171ガイドラインへの対応は「CUI(Controlled Unclassified Information)の定義・可視化」「現状分析・評価(As-IsとTo-Beの明確化)」「対応推進計画の策定」「実装」「運用」「モニタリング・改善」の順で進める。このプロセスは継続的なものであり、モニタリング中に問題が見つかった場合は、最初の「CUIの定義・可視化」に戻り、対応推進計画を見直し、実装へと進めていく。「これから取り組む企業にとって最初のチャレンジは、CUIの定義と現状分析になる」と内海氏はみている。
CUIの保護が重視されるようになったのは、極秘情報や機密情報とは異なり、広範囲に集めると機密を特定しうる可能性があるためだ。米国の場合、その特定方法は調達形態に応じて大きく2つに分かれる。まず、連邦政府と直接的に取引を行う事業者の場合は、連邦政府の方針を基にNARA(National Archives and Records Administration:国立公文書記録管理局)のCUIレジストリーを参照しつつ、契約元の政府機関と協議しながらCUIを定義する。これには該当しないが、連邦政府と間接的に取引を行うことになる事業者の場合は、政府あるいは国防省と直接契約する事業者が、発注者として、開発や生産を委託する請負事業者に対しCUIを指示、伝達しなくてはならない。
米国政府調達サプライチェーンの構成企業であれば、日本企業もこの171ガイドラインに即した対応が必要だ。CUIレジストリーは、組織インデックスグループごとに安全保障や経済に影響を及ぼす情報を分類するために「CUIカテゴリー」を提示している。たとえば、「重要インフラ」に該当する組織インデックスグループであれば、CUIカテゴリーとして、テロ攻撃に使われる硫酸アンモニウムなどに混じり、サイバー攻撃の対象になる情報システムの脆弱性情報が指定されている。このCUIレジストリーを参照しながら、サービスごとにCUI、ビジネスプロセス、システム拠点、CUI保管場所、接続ネットワーク、認証形式などを整理する作業を進めることが必要になる。
