CUIの特定と対応
次の「現状分析・評価」を行うにも、171ガイドラインの内容を読み込まないといけない。内海氏は「171に関連する他のガイドラインもあわせて読む必要がある」と話した。場合によっては、専門家の判断を仰ぐことも必要になる。内海氏が挙げた対応に際して、特に重要になる観点が「システム境界」と「暗号化」の2つである。
システム境界
CUIを特定したら、その保管場所であるシステムに境界を設置しなくてはならない。機密情報に関しては、これまでも特定のセグメントを作って管理する対応を実施してきたことであろう。171ガイドラインでは、CUIの管理をこれまで以上に厳格に行うことを求めている。境界を分けることは、入口と出口の監視の強化と認証の強化も必要になることを意味する。対象のシステムのID管理では、多要素認証を使うことが求められる。
暗号化
CUIを保護するには、モバイルデバイスまたはモバイルプラットフォーム上のCUIの暗号化を実施しなくてはならない。さらに伝送中のCUIの傍受や改変リスクに対応するため、171ガイドラインはCUIそのものの暗号化だけでなく、通信にも暗号メカニズムの実装を要求している。具体的には、FIPS認証の暗号技術を採用することだ。データセンターの中は暗号化の必要はないが、自組織のコントロール外となるインターネット空間の通信では暗号化が必要になることは要注意である。アルゴリズムの選択でも現在の主流は128ビット以上だが、2031年以降を見据えると256ビットのアルゴリズムを採用する必要が出てくる。また、ストレージの暗号化も、対応できる脅威に合わせてどの防御範囲で暗号化を実施するのかを検討しなくてはならない。
ここまで見てきた通り、これからのサプライチェーンセキュリティには、より厳格な管理が求められることが確実だ。これまでがNDA(秘密保持契約)やセキュリティ調査票を中心にしたものだったとすると、これからはプラスアルファで契約書の中にセキュリティ施策の条項を追加し、それに合意しなくてはならなくなる。
サプライチェーンセキュリティ評価ツールによる非侵入型の検査も必要になるだろう。ツールの選択肢も増えてきた。中には「SecurityScorecard」のように日本語対応のものもある。
サプライチェーンセキュリティが重視されるようになった背景を理解し、171ガイドラインの制度化に備え、積極的に対応の備えをする姿勢がセキュリティリーダーには求められている。
NIST SP800-171に基づくセキュリティ構築をご支援します
ニュートン・コンサルティングでは、NIST SP800-171への準拠に向けたセキュリティ構築に向け、ギャップ分析から対策の導入までをご支援しています。CUIの定義/可視化から現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装まで対応します。詳細はニュートン・コンサルティングHPをご覧ください。
