防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」　企業が倣う際に着目すべき要点

公開目前のSP800-171 Rev 3.0の動向を分析

　ここまでの説明にあったSP800-171は、すべてRev 2.0の内容を前提としている。最後に内海氏は、まもなく公開となるSP800-171 Rev 3.0（2024年初頭予定）の動向について触れた。まだ正式版は公開されていないものの、2023年11月に出たFPD（Final Public Draft）版によれば、従来の14ファミリーに、「計画」「システムとサービスの調達」「サプライチェーンリスクマネジメント」の3つのファミリーが追加されることがわかっている。追加ファミリーがこれから強化するべき領域を指しているとすれば、これまで以上にサプライチェーンリスクへの対策に力を入れる必要が出てきそうだ。

　また、Rev 2.0からRev 3.0で要件項目数がどうなるかも気になるところだ。これは110項目から95項目に減るとわかっているという。ただし、よく読むと、以前は1つの要件項目に1つの管理項目だったものが、1つの要件項目に複数の管理項目が対応する改訂になっている。管理項目数は全部で266個にもなり、以前と比べて必要な対策は142％増しになってしまう。正式版が出てきた時に確認しなくてはならないが、新しい対策を講じるための負担は増加すると内海氏はみている。

　一方、負担が軽減する可能性が見えてきたのが暗号化である。該当する要件の記述からFIPS暗号化の指定がなくなっており、内海氏は「クライアントをサポートするプロジェクトでは、FIPS準拠かどうかを確認する作業の負荷が大きい。たとえば、組織内のセキュリティポリシーで暗号化のガイドラインを定め、それに準拠すればいいのであれば助かる」と見解を述べた。取引先を含めたサプライチェーン全体のセキュリティ対策が必要になるほど、SP800-171の重要性は高まる。正式版の公開が待たれる。