公開目前のSP800-171 Rev 3.0の動向を分析
ここまでの説明にあったSP800-171は、すべてRev 2.0の内容を前提としている。最後に内海氏は、まもなく公開となるSP800-171 Rev 3.0(2024年初頭予定)の動向について触れた。まだ正式版は公開されていないものの、2023年11月に出たFPD(Final Public Draft)版によれば、従来の14ファミリーに、「計画」「システムとサービスの調達」「サプライチェーンリスクマネジメント」の3つのファミリーが追加されることがわかっている。追加ファミリーがこれから強化するべき領域を指しているとすれば、これまで以上にサプライチェーンリスクへの対策に力を入れる必要が出てきそうだ。
また、Rev 2.0からRev 3.0で要件項目数がどうなるかも気になるところだ。これは110項目から95項目に減るとわかっているという。ただし、よく読むと、以前は1つの要件項目に1つの管理項目だったものが、1つの要件項目に複数の管理項目が対応する改訂になっている。管理項目数は全部で266個にもなり、以前と比べて必要な対策は142%増しになってしまう。正式版が出てきた時に確認しなくてはならないが、新しい対策を講じるための負担は増加すると内海氏はみている。
一方、負担が軽減する可能性が見えてきたのが暗号化である。該当する要件の記述からFIPS暗号化の指定がなくなっており、内海氏は「クライアントをサポートするプロジェクトでは、FIPS準拠かどうかを確認する作業の負荷が大きい。たとえば、組織内のセキュリティポリシーで暗号化のガイドラインを定め、それに準拠すればいいのであれば助かる」と見解を述べた。取引先を含めたサプライチェーン全体のセキュリティ対策が必要になるほど、SP800-171の重要性は高まる。正式版の公開が待たれる。
NIST SP800-171に基づくセキュリティ構築を支援します
ニュートン・コンサルティングでは、NIST SP800-171への準拠に向けたセキュリティ構築に向け、ギャップ分析から対策の導入までを支援しています。CUIの定義/可視化から現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装まで対応します。詳細はニュートン・コンサルティングHPをご覧ください。
