SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

サイバーセキュリティの新標準 NIST SP800-171

【NIST SP800-171 解説】NIST SP800-171の 概要とポイント

【第3回】第3章(基礎編3) 


 本連載ではセキュリティコンサルタントの内海良氏がサプライチェーンの新標準である「NIST SP800-171」を詳しく解説していきます。第3回目の本章では、「171」の具体的な構成を確認するとともに、対応のポイントとなるCUIやシステム境界、そして暗号化についてみていきます。

この記事は、『サイバーセキュリティの新標準 NIST SP800-171』(内海良 著,翔泳社)の内容の一部となります。前回までの連載はこちら

3.1.「171」の全体構成

 「NIST SP800-171(以下171)」は、次表のように17のファミリーから構成されています。技術的対策や人的対策などバランスよく配置されており、全部で97項目のセキュリティ要件があります。

 NIST-SP800-171のファミリー17分類  出典:ニュートン・コンサルティング

ファミリー(分類) 要件 要件数
3.1 アクセス制御 CUIへのアクセスを必要とする人員、アカウント、システムプロセスのみがアクセス権を持つことを明確化する 16
3.2 意識向上と訓練 CUI保護を担当するメンバーへ適切なトレーニングと指示が実施され、十分なスキルが確立されていることを確認化する 2
3.3 監査と責任追跡性(説明責任) どのCUI情報が保存され、どこに保存され、誰が、いつ、どこで処理しているかを明確化する。許可されたアクセスと許可されていないアクセスの両方の記録を適切に保持する 8
3.4 構成管理 ネットワークやプロトコル等、ITシステムの各コンポーネントとプロセスにおける構成を文書にて明確化する 10
3.5 権限と認証 身元が確認、承認された人に対してのみ、アクセス許可が保護されていることを確認する 8
3.6 インシデント対応 適応やセキュリティの障害が発生した場合、どんなプロセスを通じてビジネスを回復し、システムを復旧するのかを明確化する 5
3.7 メンテナンス ITシステムのハードウェア、ファームウェア、ソフトウェアコンポーネントの脆弱性に対処し、サブシステムが機能し続けるように最新の状態を保持していることを明確化する 3
3.8 メディア処理 ラベルを付けて分類した物理メディアの処理、保存、転送方法に関するポリシーを作成し、明確化する 7
3.9 人的セキュリティ 業務等に関わる従業員、請負業者、ベンダー等が適切に審査され、承認され、管理されていることを明確化する 2
3.10 物理的保護 CUIを含むポータブルワークステーションやラップトップ、モバイルデバイス等のシステムは、盗難や損傷を受けやすいため、適切な保護が実施されていることを明確化する 5
3.11 リスクアセスメント 人員、システム、情報に対するリスクを定期的に評価するための、適切な管理手段を明確化する 3
3.12 セキュリティアセスメント 論理的および物理的なセキュリティ管理手段を定期的に評価し、保護が適切に行われているか、どのように改善していくかを明確化する 4
3.13 システムと通信保護 主要な内部ネットワーク、外部ネットワークにおいて、定期的な監視を実施し、CUIデータが不正流出から保護されているかを確認する 10
3.14 システムと情報の完全性 システムと、システムによって処理されたデータが、悪意を持って、または誤って変更されないよう対策を実施する。脅威に関して特定、検知、防御、対応ができていることを明確化する 5
3.15 計画 自組織がどのようにCUIを保護するか、どのセキュリティ措置が適用されるか、それらの措置をどのように実装するかを明確にする 3
3.16 システムとサービスの取得 自組織が第三者からシステムやサービスを調達する際に、セキュリティ要件を考慮し、適切に管理していることを明確にする 3
3.17 サプライチェーンリスクマネジメント 自組織がサプライチェーンを通じて発生するリスクを特定し、セキュリティリスク評価、セキュリティ基準の維持が適切に実施されていることを明確にする 3

3.2.「171」の記載内容とスタイル

 「171」の実際の記載内容も確認していきましょう。たとえば「システムと通信の保護」の1項目は次表のように表記されています。

3-2  システムと通信の保護 [画像クリックで拡大]

 解説部分には「通信は境界コンポーネントで制限または保護すべき…」と表記され、境界コンポーネントとは「システムのセキュリティアーキテクチャー内で実装されるゲートウェイ、ルーター、ファイアウォール、ガード、ネットワークベースの悪意のあるコード分析システム、ネットワークベースの仮想化システム、または暗号化トンネルなど…」と記載されています。

 しかし、制限なのか禁止なのか、境界コンポーネントはネットワーク層だけを制限するルーターでよいのか、アプリケーション層まで監視できる次世代ファイアウォールなのか、については各自の組織にゆだねられ、かなり汎用的な内容となっています。

 これが「171」対応を難しくさせているポイントでもあり、このような表記スタイルの本質を理解し、自社組織に沿う対策を検討することが重要となります。

次のページ
3.3. セキュリティ要件の分類

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
サイバーセキュリティの新標準 NIST SP800-171連載記事一覧

もっと読む

この記事の著者

内海 良(ニュートン・コンサルティング)(ウチミ リョウ)

ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。   
日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサル...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19520 2024/08/16 11:13

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング