セキュリティ対策基準「NIST SP800-171」2

前回のブログでは、サイバーセキュリティ対策基準「NIST SP800-171」についてご説明しました。今回は「NIST SP800-171」にどのように準拠すればいいのか、日本の対応の動きなどを見ていきたいと思います。

「NIST SP800-171」拡大の動き

アメリカ国防総省(United States Department of Defense、以下DoD)は、DoDと取引のある全世界の企業・サプライヤーに対して、このNIST SP800-171が定めるサイバーセキュリティ対策基準を遵守するよう求めています。その他の業界に対してはまだ実施を検討していますが、今後は電気、ガス、金融といった重要インフラや、自動車、農業などのその他産業にまで拡大することが予想されています。

現在は防衛産業に限られていますが、今後「NIST SP800-171」の適応分野が拡大されれば、アメリカ企業とビジネスを行う多くの日本企業が「NIST SP800-171」への遵守を求められます。もはや他人事ではなく、いち早く対策を始めていくのが得策と言えるでしょう。

日本での対応は?

このようなアメリカの動きを受けて、日本でも対応が始まっています。
2017年12月には、経済産業省が「産業サイバーセキュリティ研究会」を発足させました。

産業サイバーセキュリティ研究会の設置について
サイバー攻撃は、国境を越えて行われるものであり、国内だけの取組では十分ではなく、米欧各国等との連携を強化し、我が国の取組を積極的に国際標準に提案するなど、国際ハーモナイゼーションを確保していくことを常に視野に入れた取組を進めていく必要がある。

2018年2月には、防衛省が取引企業に「NIST SP800-171」に準じたサイバー対策を義務付けるよう、調整に入ったことが報じられました。

防衛省、取引企業に米基準のサイバー対策を要求
防衛産業でまず米国に足並みをそろえるのは、装備品の共同開発や生産に日本企業が加わりやすい環境を整備する狙いがある。防衛省は米国に日本企業の生産への参画拡大を求めているが、米国側は日本企業の情報保全体制を不安視するなどサイバー対策が交渉のネックになっていた。

他にも「NIST SP800-171」に対応する為のコンサルティングサービスを開始する企業も出てきています。日本での対応はまだ始まったばかりと言えますが、これから先、サイバーセキュリティ対策の強化は必須になってくるでしょう。

「NIST SP800-171」に対応するには

「NIST SP800-171」の義務を遵守するためには、企業はCUIに関連する重要なシステムのレビューやアセスメントを実施する必要があります。標準的なシステムには、エンドユーザーのワークステーションとラップトップ、サーバー、ストレージデバイス、およびルータ、ファイアウォール、スイッチ、ワイヤレスアクセスポイント(WAP)、プリンタなどのネットワークデバイスが含まれます。物理的なセキュリティにも対処する必要があります。

「NIST SP800-171」に対応する要件を、4つの主要なグループにまとめると以下のようになります。

(1)コントロール – データ管理のコントロールとプロセス
CUIへのアクセスに特化したシステムログやネットワークデバイスログなどの監査レコードがある場合は、すでにコントロール要件を満たしている場合もあります。
・適切なセキュリティ管理の評価と開発
・CUIへのアクセスに関する監査レコードの作成と維持
・暗号化を含むデータの安全な送信
・データの暗号化 など

(2)監視と管理 – 定義されたITシステムのリアルタイム監視/管理
・情報システムへのユーザーアクセスを監視、管理する
・ユーザーを認証し、マルチファクタ認証を利用する
・重要なシステムにパッチを当て、脆弱性をスキャンする
・ウイルス対策/マルウェアソリューションを導入し、活動を監視する
・悪質な活動のネットワークトラフィックを監視する など

(3)エンドユーザーの教育 – 文書化された明確なエンドユーザーの教育と手順
・エンドユーザおよびシステム管理者に、CUIを処理するための適切な手順についてトレーニングを行う
・管理者が最小限のパスワードの複雑さを遵守し、定義して実行する
・会社内の各部門がCUIをどのように管理しているかを説明する包括的な文書を準備する など

(4)セキュリティ対策 – 定義されたセキュリティ対策の実装
(ファイアウォールソリューションを導入している場合は、すでに多くの領域がカバーされている可能性があります。)
・適切なセキュリティ管理の評価と開発
・CUIを安全にバックアップする
・承認されていないソフトウェアを防止するためのポリシーを作成し、実施する
・ネットワーク/アプリケーションポート(ファイアウォール/システム)へのアクセスを識別、追跡、制限する など

「NIST SP800-171」は一度準拠すれば終わるのではなく、継続的なプロセスです。検証を定期的に計画し、継続して行っていくことが重要となります。