Part1で解説したように、防衛省が新基準の策定の際に参考にしたセキュリティー基準のNIST SP800-171は、防衛産業だけでなく、あらゆる日本企業にとって今後重要性が増していくとみられる。
だが一般企業にとってまだ縁遠い存在だ。NIST SP800-171に関する5つの質問から理解を深めよう。
Q1 「CUI」とは何?
NIST SP800-171とはNISTがまとめた、米政府機関がセキュリティー対策を講じるためのリポート群「SP800」シリーズの1つで、「CUI」の取り扱いを定めている。そもそもCUIとは何だろうか。
CUIとはControlled Unclassified Informationの頭文字を取った略語で、直訳すると「管理された非格付け情報」である。言い換えると「機密情報ではないが重要な情報」だ。
米国防総省はCUIをインフラや金融、特許など20のカテゴリーに分けて定義している。例えば犯罪歴の記録や特許の出願情報、国勢調査の情報、鉄道の分析記録などがCUIに当たるとしている(表1)。
CUIと対になる概念がCI(Classified Information)である。直訳すると「格付け情報」。分かりやすく言うと「機密情報」だ。該当するのは兵器の設計図など、安全情報に直接影響を及ぼす情報などである。
NISTはCUIに先んじてCIの管理規定を「NIST SP800-53」としてまとめている。NIST SP800-171はNIST SP800-53のサブセットという位置付けとなる。
Q2 従来の基準との違いは?
これまで防衛省はISO/IEC 27000シリーズの1つ、ISO/IEC 27001をベースとしたセキュリティー基準に沿って調達を進めてきた。ISO/IEC 27000シリーズとは情報セキュリティーの管理やガバナンスの方法をまとめた規格群である。国際標準化機構(ISO▼)と国際電気標準会議(IEC▼)が策定している。
ISO/IEC 27001はサイバー攻撃対策における5つの段階、すなわち「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」のうち、特定と防御をカバーする。特定と防御は主にサイバー攻撃を防ぐための施策だが、攻撃の高度化などを背景に特定と防御だけでは攻撃を防ぎきれなくなってきている。
これに対し、NIST SP800-171は上記5段階すべてをカバーする。攻撃を受けた後の施策である検知・対応・復旧も規定することで、サイバー攻撃の早期発見や、事後の対処のための措置を充実させる狙いがある(図3)。
