CSFとの大きな違いは?
SP800-171は、2015年6月に最初に公開された「Rev 1.0」から始まり、2020年2月に「Rev 2.0」の改訂を経て、2024年初頭には「Rev 3.0」の公開が予定されている。また、セキュリティ対策基準の「NIST サイバーセキュリティフレームワーク 2.0(以下、CSF 2.0)」が2024年2月に公開されたばかりでもある。同フレームワークの1.0は2014年4月、1.1が2018年4月に出たことを踏まえると、久しぶりの大きな改訂になる。内海氏が示した大きな変更点は、「1. フレームワーク対象の拡大」「2. ガバナンス機能の追加」「3. カテゴリー・サブカテゴリーの整理」「4. サプライチェーンリスクマネジメントの強化」「5. ガイダンスの強化」「6. 参考資料の追加」であった。
また、以前は「識別」「防御」「検知」「対応」「復旧」の大きく5つだった機能に、CSF 2.0ではこの5つを包括する「ガバナンス」機能が追加になった。ガバナンス機能は、組織がサイバーセキュリティ戦略を支援する内部決定をどう行うかについての指針を示すものだ。さらに、以前は識別機能にあった「サプライチェーンリスク管理」は、ガバナンス機能に移行し、多くの対策項目が追加になった。NISTの方向性として、サプライチェーンリスク管理対策の重要度が高まっていることが、CSF 2.0の変更内容からも読み取れる。
では、SP800-171とCSFは何が違うのか。内海氏は明確な違いとして「守るべき対象の定義」を挙げ、CUI(Controlled Unclassified Information:機密以外の重要情報)の扱い方を指摘。SP800-171がCUIを保護するためのセキュリティガイドラインであるのに対し、CUIよりも重要性の高いCI(Classified Information)を保護するセキュリティガイドラインにはNIST SP800-53がある。内海氏は「SP800-171を参照する場合、保護するべき情報を規定した上で、サプライチェーン全体で共通のセキュリティ対策を実施しなくてはならない」と訴えた。
たとえば、米国連邦政府から直接仕事を請け負う場合、事業者だけで仕事を完結させるとは限らない。その場合、政府からの仕事を受注した事業者(Tier1)が、SP800-171の要件を満たしたCUIの保護を講じるだけでなく、下請事業者(Tier2)、孫請事業者(Tier3)、その先の委託事業者(Tier4)を含むすべての事業者にSP800-171の要件を満たした保護対策が求められる。「サプライチェーン全体で一定のセキュリティレベルを保ち、CUIを保護するのがSP800-171の根本的な考え方になる。そのための110項目が指定されている」と内海氏は説明した。
