米RSAのアジア太平洋・日本担当Chief Cyber Security AdvisorであるLeonard Kleinman氏は2018年4月12日、NIST(米国立標準技術研究所)のサイバーセキュリティー基準「NIST SP 800-171」の記者向け説明会に登壇した。同説明会はRSAの親会社にあたる米デルテクノロジーズ(Dell Technologies)の日本法人であるEMCジャパンが東京都内で開催した。
SP 800-171はオバマ米大統領(当時)が2010年に出したEO(大統領令)13556を受けて、2015年に策定された。EO13556は国家安全保障上の必要性から厳密に保護すべき情報「CI」(Classified Information)とは別に、政府内部の機密情報ではないが一定の保護を必要とする情報を「CUI」(Controlled Unclassified Information)として定義している(CUIカテゴリー一覧)。SP 800-171は、このCUIの保護に求められる一定レベル以上のセキュリティー機能を実現する基準となる。
SP 800-171は、CIを保護するためのセキュリティー基準「NIST SP800-53」のサブセットであり、SP800-53に比べてより広い範囲の情報を対象とする。このため、政府機関と取り引きのある民間企業も準拠を求められる可能性が高い。すでに米国防総省、NIH(米国立衛生研究所)など複数の組織が、SP 800-171を踏まえてそれぞれのセキュリティルールを改訂しており、国防総省は2017年12月から取り引きのある民間企業に対して情報システムをSP 800-171に準拠させるよう義務付けている。
さらに、米国以外の国々も「まったく同じではないにしても、(SP 800-171と)かなり似たアプローチで問題に対処しようとしている」(Kleinman氏)。このため、米国政府と直接の取り引きのない日本企業も、自らのセキュリティーレベルを底上げするために、SP 800-171相当のセキュリティー基準に対応する必要性が高まっているという。
