セキュリティ対策基準「NIST SP800-171」 1

個人情報の保護やデータ流出を防ぐことは、取引先や顧客はもちろんのこと、自社の信頼性を維持するうえでとても重要です。これはビジネスに限った話ではありません。政府にも当てはまります。政府が市民、国家の機密情報を保護する為、サイバーセキュリティの重要性が増しています。

今回はアメリカで発表されたサイバーセキュリティ対策基準「NIST SP800-171」について見ていきます。

このサイバーセキュリティ対策基準「NIST SP800-171」は、管理された非格付け情報(Controlled Unclassified Information、以下CUI)を保護する為、アメリカ国立標準技術研究所(National Institute of Standards and Technology、以下NIST)により2015年6月に発表されました。

管理された非格付け情報(CUI)とは

NIST SP800-171に入る前に、まずCUIとは何かを正確に知る必要があります。CUIは、管理対象となるが秘密指定されていない情報のことを言います。

例を挙げると、電子メール、電子ファイル、設計図、図面、会社や請負業者などの情報(受注や契約など)、物理的な記録(印刷物など)などがあります。また重要なのは、CUIはデジタルファイルに限定されないということです。サーバ、デスクトップ、ラップトップ、モバイルデバイスなどに送信・格納された電子ファイルを処理、保存する情報システムから印刷された紙なども含まれます。

CUIは、高度なセキュリティのクリアランスを必要とするほど敏感ではないもので構成されています。しかし、CUIが流出した場合には損害を与える可能性が出て来る、そのような類の情報がCUIです。

悪意のある人がこの情報をどのように悪用するか、想像するのは難しいことではありません。しかし、多くの人々がCUIにアクセスする正当な理由があることは明らかであり、あまりにも多くの保護手段を設けることは、多くの組織の効率を制限することになります。

NIST SP800-171とは

サイバーセキュリティ対策基準である「NIST SP800-171」は、CUIの保護を対象としています。アメリカ連邦、州の機関にサービスを提供する組織は、CUIを処理または格納するシステムが安全で厳格な管理下にあることを保証することを目的とします。アメリカ政府の請負業者、大学・研究機関、政府機関と契約を結んでいる製造企業など、機密情報を処理、保管、送信する非アメリカ連邦組織や企業が対象となっています。

「NIST SP800-171」の基準

NIST SP800-171は、CUIを保護するためのガイドライン14項目(Family)、個別の要件項目110個から構成されています。

1:アクセス制御(Access Control)
・誰がCUIを表示する権限を持ってるか
・どのようにして組織内にあるCUIへのアクセスを制御するか
2:意識と訓練(Awareness and Training)
・CUIを扱う方法を正しく指導しているか
・従業員はCUIに関するセキュリティ上のリスクを認識しているか
3:監査とアカウンタビリティ(Audit and Accountability)
・不正なアクセスから監査システムを保護しているか
4:構成管理(Configuration Management)
・ネットワークとプロトコルがどのように構築されているか
5:識別と認証(Identification and Authentication)
・どのユーザがCUIにアクセス出来るように承認されたか
・アクセスを許可する前にどのように検証するか
6:インシデント対応(Incident Response)
・セキュリティ上の脅威が発生した場合、どのように処理するか
7:メンテナンス(Maintenance)
・定期的なメンテナンスがどのように行われているか
8:メディア保護(Media Protection)
・電子コピーとハードコピーの記録とバックアップはどのように保管されているか
9:物理的な保護(Physical Protection)
・データが格納されている物理的環境はどうなっているか
・誰がシステム、機器、およびストレージ環境にアクセスできるか
10:人事セキュリティ(Personnel Security)
・CUIへのアクセスを許可する前に、どのような審査を行っているか
11:リスクアセスメント(Risk Assessment)
・攻撃に対する防御はシミュレーションでテストされているか
12:セキュリティ評価(Security Assessment)
・セキュリティのプロセスと手順はまだ有効か、改善が必要か
13:システムと通信の保護(System and Communications Protection)
・情報は定期的に監視され、内部や外部送信ポイントで管理されているか
14:システムと情報の整合性(System and Information Integrity)
・システムの欠陥を迅速に特定し修正するとともに、重要な情報を悪性コードから保護しているか

このように細部にわたりガイドラインが設定されており、これらを評価、検証する必要があります。

次回のブログでは、「NIST SP800-171」準拠するにはどうすればいいのか、などをご紹介します。