SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

サイバーセキュリティの新標準 NIST SP800-171

【NIST SP800-171 解説】サプライチェーンセキュリティに有効な「171」 

【第2回】第2章(基礎編2) 

 本連載ではセキュリティコンサルタントの内海良氏がサプライチェーンの新標準である「NIST SP800-171」を詳しく解説していきます。第2回目は、NIST SP800-171が立案された背景、経緯、目的などを解説するとともに、「171」がなぜサプライチェーンを守るのに有効なフレームワークなのか、その仕組みを解説します。

この記事は、『サイバーセキュリティの新標準 NIST SP800-171』(内海良 著,翔泳社,2024年6月刊行予定)の内容の一部となります。前回までの連載はこちら。なお今後「NIST SP800-171」に変更・修正があった場合は加筆・修正を行う可能性があります。

2.1. NIST SP800-171とは

 「171」とは米国国立標準研究所(NIST)が発行するフレームワークです。NISTが発行するフレームワークでは「Cyber Security Framework(通称CSF)」が有名ですが、NISTはさまざまなフレームワークを提供してきています。

 なかでも「171」が属する「SP800シリーズ」は、米国連邦政府の情報および情報システムのセキュリティおよびプライバシーのニーズに対処し、サポートするために開発されており、国家機密等を取り扱う政府のセキュリティやプライバシーを司るガイドライン群といえます。「NIST CSF」の概念は方針等を表した上位に位置づけられ、さらに細かい対策を提示するものが「NIST SP800シリーズ」であり、「171」なのです。

図2-1 NISTが提供するフレームワークと「171」 出典:ニュートン・コンサルティング [画像クリックで拡大]

2.2. NIST SP800-171が登場した背景

 米国で「171」が制定されたきっかけは大統領令(Executive Order:略称EO)です。大統領令は、米国議会の承認を得ることなく大統領が行政権を直接行使できる指令のことを指します。さまざまな大統領令がありますが、セキュリティに関するものも数多く存在します。

 「171」が立案される元となったのは2010年に発行された大統領令「EO13556」です。

 この「EO13556」において、政府内部の機密情報ではないが一定の保護を必要とする情報を定義しました。そしてこの一定の保護が必要とする情報を取り扱う事業者に対し、一定レベル以上のセキュリティ機能を実現するための基準として2015年に「171」が定められました。

 「171」の最新バージョンは2020年に公表されたVer2.0です。Ver2.0はマイナーチェンジにとどまり、その内容はVer1.0と大きくは変わっていません。

図2-2 NIST SP800‐171が立案された背景 出典:ニュートン・コンサルティング [画像クリックで拡大]

2.3. 「171」はサプライチェーン全体でデータを守る

 「171」が注目されている理由の一つには、サプライチェーン全体でセキュリティを確保するコンセプトを持っているということがあります。

 守る対象とするデータを決め、サプライチェーンを形成する組織がバラバラではなく、「171」という統一されたセキュリティ基準に則ることが求められます。つまりサプライチェーン全体でデータを守ることを目的としたガイドラインなのです。

図2-3 サプライチェーンでセキュリティレベルを維持 出典:ニュートン・コンサルティング [画像クリックで拡大]

次のページ
2.4 「171」が守るデータ = CUIとは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
サイバーセキュリティの新標準 NIST SP800-171連載記事一覧

もっと読む

この記事の著者

内海 良(ニュートン・コンサルティング)(ウチミ リョウ)

ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。   
日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサル...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19422 2024/04/05 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング