SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 春の陣レポート(AD)

防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点

2024年春公開の最新バージョン「Rev 3.0」の追加要件も解説

CUIを見極めるためのポイントを伝授

 SP800-171の110項目とはどのような内容か。Rev 2.0では、戦略レベルと技術的な対策をバランスよく14の分類、110の項目として整理している。内海氏は独自で「組織・スキル」「ルール・プロセス」「テクノロジー」「物理セキュリティ」の4つに分類している例を紹介した。

クリックすると拡大します

 SP800-171の詳細を読み込むと、細かい要件の記述が多く、全部に対応しなければならないのかと考えるかもしれない。実際、米国政府と取引をしている日本企業はさほど多くないはずだ。しかし、取引している場合は、SP800-171が指定するCUI、もしくは防衛産業における保護すべき情報が指定されているかの確認は必須となる。そうでなくても、SP800-171は、CUIを扱う日本の一般企業にとって、実は参考にできる点が多い。今は米国政府との取引がなくても、今後のビジネスで海外進出を視野に入れている場合もあるだろう。将来に備えた対応を検討するときに役立つはずだ。ニュートン・コンサルティングではSP800-171への準拠に向けたセキュリティ構築支援監査支援を行っているほか、2024年1月には自社においても「NIST SP800-171」に準拠したことを公表した。

 対応すると決めた場合にやるべきことは、CUIの見極めだ。内海氏が勧めたのは「CUI Registry」を参照すること。CUI Registryとは、米NARA(国立公文書記録管理局)が「重要インフラ」「防衛」「輸出管理」を始めとする20のグループごとにCUIカテゴリーを整理したもので、保護すべきCUIの例も提示されている。代表的なものには、「情報システムの脆弱性情報」「個人識別情報(PII)」「研究・技術データ」「技術図面」などがある。今後に備えた準備を進める場合は、自社で勝手にCUIを定義するのではなく、CUI Registryを参考に自社の情報資産を精査することが望ましい。

 その後の対策の勘所として内海氏が挙げたのが、「システム境界と認証・認可」「暗号化」の2点になる。まず、システム境界の設置では、外部公開システム用にDMZ(DeMilitarized Zone)環境を作ること、および社内システム用には、オフィス環境、サーバー環境、セキュア環境の用に、セグメントを分けての監視、管理をSP800-171では要求している。また、SP800-171準拠対象システムへのアクセスでは、ID/パスワード方式ではなく、多要素認証方式が必須となる。もう1つの暗号化では、インターネット空間を使う通信では暗号化が必須となるが、データセンター内の通信やデータセンター間の通信での暗号化は任意となる。暗号化通信では、FIPS(連邦情報処理規格)に準拠した暗号モジュールあるいは暗号アルゴリズムの利用が必須となる点も注意しておきたいところだ。利用中の技術がFIPS準拠か否かは、CMVP(Cryptographic Module Validation Program)あるいはCAVP(Cryptographic Algorithm Validation Program)のサイトから確認できると、内海氏は紹介した。

ニュートン・コンサルティング
執行役員 兼 CISO プリンシパルコンサルタント 内海良氏 

次のページ
公開目前のSP800-171 Rev 3.0の動向を分析

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

冨永 裕子(トミナガ ユウコ)

 IT調査会社(ITR、IDC Japan)で、エンタープライズIT分野におけるソフトウエアの調査プロジェクトを担当する。その傍らITコンサルタントとして、ユーザー企業を対象としたITマネジメント領域を中心としたコンサルティングプロジェクトを経験。現在はフリーランスのITアナリスト兼ITコンサルタン...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:ニュートン・コンサルティング株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19452 2024/04/17 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング