CUIを見極めるためのポイントを伝授
SP800-171の110項目とはどのような内容か。Rev 2.0では、戦略レベルと技術的な対策をバランスよく14の分類、110の項目として整理している。内海氏は独自で「組織・スキル」「ルール・プロセス」「テクノロジー」「物理セキュリティ」の4つに分類している例を紹介した。
SP800-171の詳細を読み込むと、細かい要件の記述が多く、全部に対応しなければならないのかと考えるかもしれない。実際、米国政府と取引をしている日本企業はさほど多くないはずだ。しかし、取引している場合は、SP800-171が指定するCUI、もしくは防衛産業における保護すべき情報が指定されているかの確認は必須となる。そうでなくても、SP800-171は、CUIを扱う日本の一般企業にとって、実は参考にできる点が多い。今は米国政府との取引がなくても、今後のビジネスで海外進出を視野に入れている場合もあるだろう。将来に備えた対応を検討するときに役立つはずだ。ニュートン・コンサルティングではSP800-171への準拠に向けたセキュリティ構築支援や監査支援を行っているほか、2024年1月には自社においても「NIST SP800-171」に準拠したことを公表した。
対応すると決めた場合にやるべきことは、CUIの見極めだ。内海氏が勧めたのは「CUI Registry」を参照すること。CUI Registryとは、米NARA(国立公文書記録管理局)が「重要インフラ」「防衛」「輸出管理」を始めとする20のグループごとにCUIカテゴリーを整理したもので、保護すべきCUIの例も提示されている。代表的なものには、「情報システムの脆弱性情報」「個人識別情報(PII)」「研究・技術データ」「技術図面」などがある。今後に備えた準備を進める場合は、自社で勝手にCUIを定義するのではなく、CUI Registryを参考に自社の情報資産を精査することが望ましい。
その後の対策の勘所として内海氏が挙げたのが、「システム境界と認証・認可」「暗号化」の2点になる。まず、システム境界の設置では、外部公開システム用にDMZ(DeMilitarized Zone)環境を作ること、および社内システム用には、オフィス環境、サーバー環境、セキュア環境の用に、セグメントを分けての監視、管理をSP800-171では要求している。また、SP800-171準拠対象システムへのアクセスでは、ID/パスワード方式ではなく、多要素認証方式が必須となる。もう1つの暗号化では、インターネット空間を使う通信では暗号化が必須となるが、データセンター内の通信やデータセンター間の通信での暗号化は任意となる。暗号化通信では、FIPS(連邦情報処理規格)に準拠した暗号モジュールあるいは暗号アルゴリズムの利用が必須となる点も注意しておきたいところだ。利用中の技術がFIPS準拠か否かは、CMVP(Cryptographic Module Validation Program)あるいはCAVP(Cryptographic Algorithm Validation Program)のサイトから確認できると、内海氏は紹介した。
執行役員 兼 CISO プリンシパルコンサルタント 内海良氏
