全3266文字
PR

 防衛省は2023年度から適用する新たなサイバーセキュリティーの基準「防衛産業サイバーセキュリティ基準」の策定に際し、米国政府が採用するセキュリティーのガイドライン「NIST SP800-171」を参考にした。このSP800-171は防衛産業だけでなく、あらゆる日本企業にとって今後重要性が増していくとみられるが、一般企業にとってまだ縁遠い存在だ。SP800-171に関する5つの質問から理解を深めよう。

Q1:SP800-171が規定する「CUI」とは何?

 SP800-171とは米国標準技術研究所(NIST)がまとめた、米政府機関がセキュリティー対策を講じるためのリポート群「SP800」シリーズの1つで、「CUI」の取り扱いを定めた規定である。そもそもCUIとは何だろうか。

 CUIとはControlled Unclassified Informationの頭文字を取った略語で、直訳すると「管理された非格付け情報」である。かみ砕いて言うと、「機密情報ではないが重要な情報」という意味だ。

 米国防総省はCUIをインフラや金融、特許など20のカテゴリーに分けて定義している。例えば犯罪歴の記録や特許の出願情報、国勢調査の情報などがCUIに当たるとしている。

米国防総省が定義するCUIの分類と具体例
米国防総省が定義するCUIの分類と具体例
(出所:米国防総省の資料を基に日経クロステック作成)
[画像のクリックで拡大表示]

 CUIと対になる概念がCI(Classified Information)である。直訳すると「格付け情報」、かみ砕いて言うと「機密情報」である。該当するのは兵器の設計図など、安全情報に直接影響を及ぼす情報などである。

 NISTはCUIに先んじてCIの管理規定を「NIST SP800-53」としてまとめている。SP800-171はSP800-53のサブセットという位置付けとなる。

Q2:SP800-171は従来のセキュリティー基準とは何が違うのか?

 これまで防衛省はISO/IEC 27000シリーズの1つ、ISO/IEC 27001をベースとしたセキュリティー基準に沿って調達を進めてきた。ISO/IEC 27000シリーズとは情報セキュリティーの管理やガバナンスの方法をまとめた規格群である。国際標準化機構(ISO)と国際電気標準会議(IEC)が策定している。

 ISO/IEC 27001はサイバー攻撃対策における5つの段階、すなわち「特定」「防御」「検知」「対応」「復旧」のうち、特定と防御をカバーする。特定と防御は主にサイバー攻撃を防ぐための施策だが、攻撃の高度化などを背景に特定と防御だけでは攻撃を防ぎ切れなくなってきている。

 これに対し、SP800-171は上記5段階全てをカバーする。攻撃を受けた後の施策である検知・対応・復旧も規定することで、サイバー攻撃の早期発見や、事後の対処のための措置を充実させる狙いがある。

防衛省は調達で使うセキュリティー基準をISO/IEC 27001ベースのものからSP800-171ベースのものに切り替える
防衛省は調達で使うセキュリティー基準をISO/IEC 27001ベースのものからSP800-171ベースのものに切り替える
(出所:防衛装備庁)
[画像のクリックで拡大表示]

Q3:SP800-171に準拠するにはどうすればいいの?

 企業がSP800-171に準拠してシステムを構成したり運用したりしようとする際には、SP800-171が定める「要件」を満たす必要がある。

 SP800-171はセキュリティーに関する要件を14項目に分け、さらに基礎的なセキュリティー要件を定める「基本セキュリティー要件」とそれを補完する「派生セキュリティー要件」に整理して定義している。14項目は「アクセス管理」や「構成管理」といったITシステムに直結するものから、「職員のセキュリティー」といった人にまつわるものまで幅広い。

SP800-171が定める14の項目と要件の具体例
SP800-171が定める14の項目と要件の具体例
(出所:米国標準技術研究所の資料を基に日経クロステック作成)
[画像のクリックで拡大表示]

 アクセス管理について見てみよう。基本セキュリティー要件の1つには、「システムへのアクセスは、認可されたユーザー、認可されたユーザーに代わって動作するプロセスおよび(その他のシステムを含む)デバイスに限定する」と定めている。必要最低限の人にシステムの管理者権限を与えることで内部不正のリスクを減らす「最小特権の原則」を、明文化している。一方、派生セキュリティー要件には「ログオン試行失敗回数を限定する」といった、一段と具体的な内容を定義している。

 「SP800-171に準拠するのであれば、アクセス制御の要件1つを取ってもネットワークの論理的な制御だけでなく物理的な制御が必要になるなど、厳しい要件を満たす必要がある」と、NRIセキュアテクノロジーズの野口大輔DXセキュリティコンサルティング事業本部IoTセキュリティ事業部長は話す。「システム面の対策と同等に、どのような対策を取ったかを(監査などの際に)説明できる状態にしておくことも重要だ」(野口事業部長)。

 SP800-171は他のSP800シリーズと関連付けされている。例えばインシデント対応について定めた「SP800-61」や、脆弱性の取り扱いについて定めた「SP800-40」などだ。実際にSP800-171に準拠する形でシステムを構成したり運用したりしようとする際には、各種のSP800シリーズを参照して進める必要がある。