Blog

Blog

View
防衛省がセキュリティ基準を刷新 ~ 一般企業も無縁ではないNISTとは? ~
作成日時 22/12/27 (10:05) View 4724

 

 

各国で拡がる 「NIST SP800-171

 

2022年は国内でも安全保障に関する議論が活発化した年でしたが、防衛省は2023年度から適用する防衛装備品に関する重要な情報を保護するための指針「防衛産業サイバーセキュリティ基準」を整備しました。基準の作成時に参照したのが「NIST SP800-171」です。

 

新しい指針は、防衛と関わりを持つ産業や大企業だけでなく、一般企業にとっても決して無縁ではないのですが、理由に進む前にバックグラウンドを簡単に整理しておきましょう。

 

米国の政府機関 NIST(米国立標準技術研究所:ニスト)は、情報セキュリティの分野でも推奨する技術を発表しており、NISTの公式文書は米国だけでなく、各国の省庁や業界団体などが参照している事実上のスタンダードと言える存在です。

NISTNational Institute of Standards and Technology

SPSpecial Publications

 

NIST SP800-171(以下、800-171)は、政府機関の装備品の調達先企業に対し、情報保護を求めたガイドラインです。文書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」。文書の主旨を一般的なビジネス用語で表すと、製造から配送に至るサプライチェーンを構成するすべての企業が、一定のセキュリティレベルを確保するための指針と言えます。



NIST SP800-171」  出典:NIST

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf

 

 

発端はサプライチェーンの綻び

 

この指針が制定された背景は、サプライチェーンの綻びです。発端の一つとなったのは、オーストラリアにある従業員数10名ほどの企業が不正アクセスを受け、「F35」戦闘機の設計情報などの一部が流出したインシデントでした。

 

最初からガードが硬い大手メーカーは狙わず、サプライチェーンを構成する中小企業を糸口に、攻撃対象をチェーン全体に拡げていくサプライチェーン攻撃は、各国で深刻な脅威になっています。そこで米国の政府機関や関連組織では、サプライチェーンの末端に至るまで、情報が漏れない仕組みを整備することになったのです。

 

800-171の制定は2015年ですが、米国ではその後の数年で、防衛産業だけではなく、エネルギー、自動車などの分野にも拡がり、欧州とアジアでもNISTの仕様を参照する動きが出てきました。その一例が防衛省の「防衛産業サイバーセキュリティ基準」というわけです。

 

「非格付け情報」の扱いに注意を払う

 

800-171の内容は、文書タイトルにある「CUI(非格付け情報)」の扱いです。これを文書の意図を踏まえて意訳すると、機密情報ではないが重要な情報。一方、機密として格付けされた情報は、「CI(格付け情報)」と定義されます。

 

CI Classified Information):格付け情報   ← NIST SP800-53

CUIControlled Unclassified Information):非格付け情報  ← NIST SP800-171

 

NIST SP800-53は、政府機関が定義した機密情報を扱うための指針で、情報の処理や保存、転送を行うすべて企業は、800-53に準拠したシステムの構築と運用が要求されます。そして機密情報以外の重要な情報の種別と、その扱い方に関するルールは、800-171に記されています。つまり、サプライチェーンを構成する企業がCUIを保護するためのガイドラインが800-171です。

 

一般企業にとっては、何がCUIに該当するかの判断は難しく、業種・業態とサプライチェーンの特性から判断されますが、米国防総省では、重要インフラ、防衛、金融、原子力、プライバシー、特許など、20のカテゴリーと分類ごとの例を示しています。例えば、インフラ分野では、テロへの悪用につながる可能性があるエネルギーに関する情報、金融は財務監督情報、プライバシーでは死亡の記録などを含むとしています。

 

ガラス1枚が機密情報に?

 

機密と格付けされない情報も、800-171によって扱いに規制がかかる理由は、それ自体は機密ではないとしても、データを集合したり、再構成したり、分析することで、機密につながる可能性があるからです。前述したオーストラリア企業からの情報流出もその一例で、部品の仕様や設計図だけでは、機密とは言えない類の情報でも、データを集めて分析すると「F35」戦闘機の性能が見えてしまうリスクがあるのです。

 

戦闘機には、筐体に使う金属、計器類、組み込み型コンピュータ、トランジスタなどの電子デバイスまで、多様な部品が使われます。自社の担当が操縦席に使うガラス素材だけだったとしても、それがCUIに指定される可能性はゼロではありません。電子回路やその仕様図なども同様です。単体ではどこにでもある素材・情報でも、機密につながる可能性があると認定されたら、800-171に準じた扱いが求められるのです。

 

800-171の効力が及ぶ範囲は、国防総省やその関連組織と取引がある事業者だけではありません。2次や3次の請負、いわゆる下請けと孫請け、さらにその配下に入る会社にも適用され、レギュレーションを守らないところは、入札に参加できないなどサプライチェーンからの退場を迫られることになってしまいます。

 

 

日本企業への影響は?

 

防衛省の「防衛産業サイバーセキュリティ基準」は、2023年度から正式に適用されます。約5年の移行期間が設けられていますが、扱う製品と情報の種類によっては、システムに改修が発生する可能性があるため、防衛省の計画が見えてきた23年から、各所で準備も進められています。

 

安全保障以外の領域に拡がる動きも伝えられるようになってきました。著名企業では、傘下にヤフーやLINEを持つZホールディングスが、グループ全体で800-171対応を進めています。メディアで伝えられたトップ層へのインタビューによると、狙いの一つは“6,000万~8,000万人の利用者を抱えるグループとして、米国の巨大IT企業に見劣りしない情報保護の体制を作るためとされています。

 

800-171の基本精神から言うと、Zホールディングスが取り組む安全基準の効力はサプライチェーン全体、LINEやヤフーのようなIT・メディア産業の場合、個人情報の処理を受け持つデータセンター、ストレージサービス、コールセンター、コンテンツ配信サービス、あるいはECやオークション関連の会社など広範に及ぶものと思われます。

 

 

省庁や大企業から要請も

 

情報セキュリティの技術と運用方法は、建設や製造、旅行・宿泊、決済などの分野で、業界ごとのレギュレーションがあり、業務の形態に合わせた指針が出ている一方、グローバルスタンダードを重視し、参照する傾向も強くなってきました。

 

こうした流れも加味すると、2023年以降、800-171は国内でも安全保障以外の分野に拡がりも、省庁や大企業が協力会社に準拠を要請する動きも出てくると思われます。

 

800-171は約110ページの法的要素も含むドキュメントですが、セキュリティとシステム運用に関心をお持ちの方にとっては、特に難しい内容ではありません。一度、通読しておくことお勧めしますが、以下のパートでエッセンスを見ておきましょう。

 

 

検知と対策、復旧も重視

 

800-171の特徴は、サイバー攻撃への対処に必要な「特定」「防御」「検知」「対応」「復旧」の工程をカバーする点です。リスクの「特定」と適切な管理、攻撃からシステムを保護する「防御」は予防ですが、後の3工程は攻撃を受けた後の行動です。侵入の記録が残るログの分析や通信経路の監視を強化する「検知」、被害を受けた個所を修復して拡散を防ぐ「対応」、そしてバックアップなどを利用してシステムを再起動する「復旧」のすべての段階で対策を行います。

 

現在のサイバー攻撃は先鋭化が進み、「特定」と「防御」だけでは、不正侵入に対する100%の阻止は難しくなっています。セキュリティ企業から提供されるシステムやサービスも、予防に加えて「検知」以後のプロセスも強化する傾向が強くなってきていますが、800-171でもこの考え方が反映されています。

 

 

経済産業省の発表資料

 

 

14の視点からセキュリティを検証

 

800-171が定める具体的な要件は14の項目があり、アクセス制御、システムと通信の保護、識別と認証、物理的保護など、技術的な内容と、意識向上とトレーニング、インシデント対応、リスクアセスメントなど、非技術的な要件が含まれます。

 

例えば、アクセス制御では、“システムへのアクセスは許可された利用者とその人が使うシステムに限定する”などの条件が記され、識別と認証の分野では、“アクセス後に非アクティブになった時間が一定を超えると、そのIDを無効化するなどの要件があります。

 

NIST SP800-171が扱うセキュリティ対策の14分野 出典:経済産業省

 

2022年末の時点では800-171は、「ISO/IEC 27001(情報セキュリティマネジメントシステム)」のような認証制度ではなく、第三者機関が準拠認定を出す形にはなっていません。準拠した企業は自己申告できることになりますが、サプライチェーン全体のセキュリティ対策への評価に関係しますから、もし違反があった場合のリスクは高いと考えるべきでしょう。

 

多くの組織にとって今の時点では800-171は喫緊の課題ではないとしても、世界各国の動きとサプライチェーン攻撃の多発などの状況を加味すると、日本の産業社会でもこの基準の比重が増していくことは確かです。サプライチェーンの一角にある企業の皆さまは、自社にとってのCUIを見直し、800-171が進展する時期に備えるようにしてください。

関連製品「DarkTracer」