NIST CSFやSP800-171を活用する理由
2023年9月5日、Trellixは北海道北部風力送電における「NIST CSF」に基づいたサイバーセキュリティ体制構築プロジェクトを成功裏に完了したと発表[1]。重要インフラにおけるサイバーセキュリティには高い関心が寄せられている現在、同社ではCSIRTやSOCの構築支援、規定改定などのセキュリティコンサルティングサービスを提供している。今回は、北海道北部風力送電のサイバーセキュリティ体制構築プロジェクトに関わった2名の専門家に詳細を訊いた。
[1] 『Trellix、北海道北部風力送電のNIST CSFに基づいたサイバーセキュリティ体制構築プロジェクトを成功裏に完了』(2023年9月5日、Trellixプレスリリース)
* * *
──北海道北部風力送電におけるサイバーセキュリティ体制構築プロジェクトは、NIST CSFに基づいています。『政府機関等のサイバーセキュリティ対策のための統一基準群』(以下、統一基準)でも、「SP800-171」などのセキュリティガイドラインに言及されていますね。あらためて、これらが注目されている理由は何でしょう。
其山氏:たしかにNIST CSFやSP800-171は、我が国のガイドラインやセキュリティ関連文書でも言及されることが多くなっています。たとえば、経済産業省『サイバーセキュリティ経営ガイドライン』では、NIST CSFとの対応関係が記述されていますね。また、SP800-171は、“サプライチェーンリスク”に関わるため、近年リスクが高まっていることから関心が寄せられています。
麓氏:NIST CSFは、サイバーセキュリティを「識別」「防御」「検知」「対応」「復旧」の5つのフェーズで捉えており、サイバー攻撃の現況に当てはめた理解がしやすいのです。いわゆる“総合的な”サイバーセキュリティ体制の構築に役立つものですが、あくまでフレームワークのため強制力はなく、採用すべきソリューションが指定されているわけでもありません。
一方、SP800-171は“機密レベル”ではない重要情報(CUI:Controlled Unclassified Information)の保護にフォーカスを当てています。つまり、同基準を満たしていないと機密情報も守れないということですね。また、「SP800-82」というOT向けのセキュリティガイドラインもあり、これらはNIST CSFとあわせて活用できます。
プリンシパルコンサルタント 麓広大氏
そして、NIST CSFは現在の1.1版から2.0版に向けて更改が進んでいます。世界中から意見を集約した最初のドラフト版が公開されており、2.0では対象範囲が拡大するとともに、ガバナンスに関する記述が大幅に増える見通しです。NIST CSFの5つのフェーズに触れましたが、それらをつなぎあわせるような形になることでしょう。
──なぜ、NIST CSFに準拠した対策を講じるべきなのでしょうか。
麓氏:第一に日本政府が公開しているセキュリティ関連のガイドラインの多くがNIST CSFを参照し、整合性をとっていることに加えて、地政学的リスクを鑑みたサイバーセキュリティ政策を強めている点が挙げられます。特に防衛に係る分野では日米関係も重要視されるため、米国のNISTが公開するサイバーセキュリティ標準を利用する方が効率的などの理由があるでしょう。
また、グローバルで広く定着してきており、海外のサイバーセキュリティカンファレンスでは、講演内容に対して必ず「NIST CSFのどこに該当するのか」という質問が投げかけられるなど、浸透してきた印象を受けます。それ故に、デファクトスタンダードとしてのNIST CSFを使うことで、議論そのものが前進するとも感じていますね。
其山氏:NIST CSFは米国の大統領令に端を発したものですが、その策定においては世界中の関連団体が参画しています。SP800-171と比較すると、はじめから広い土俵で議論が交わされているため裾野がどんどん広がっていき、今ではグローバル規模で浸透していると言えるでしょう。
麓氏:世界中で公表されているガイドラインを精査している専門家が作成しており、サイバー攻撃への対処という観点では、国によって基本的な部分に大きな差は出にくいとも考えています。
あくまでも“サイバーセキュリティの考え方”として理にかなっており、意識向上や具体的な対策につなげやすいといったメリットが大きい。だからこそ、NIST CSFやSP800-171をベースとすることに対して懸念はほとんどなく、重要インフラで採用する場合においても同様のことが言えます。
