日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~

 2020.09.16  EDR実践ポータル

日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~

セキュリティのルールはグローバル

いまの社会では、1社や1企業グループだけでビジネスが完結することはありません。メーカーが出荷した生産品の多くは、複数の企業の手を経て最終的な製品・サービスに組み込まれ、流通網を介して消費者の元に届きます。送り出したプロダクトが国境を超えること、国境を超えてきた生産物がないと成り立たない事業も少なくないでしょう。

このようなビジネス環境では、一つの地域や特定の分野・業種が制定したルールであっても、その効力は広範囲に及びます。記憶に新しいところでは、2018年5月にEU(欧州連合)が発効した個人情報保護に関する規約「GDPR(一般データ保護規則)」が挙げられます。

GDPRは遠いヨーロッパの話ですが、日本企業も無縁ではありません。当初は自社と関係のある話として受け止めるところは少なかったのですが、対象となる事業者の範囲とペナルティの厳しさに対する認識が浸透するに伴い、多くの企業が対応を急ぐことになりました。そして近年、新しいルールとして日本企業の視界に入ってきたのが、NIST(米国 国立標準技術研究所:ニスト)が定めるセキュリティ基準です。

多くの一般企業と接点が生ずる「NIST SP800-171」

各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA(情報処理推進機構)が翻訳版を公開しています。

図1

出典:IPA(情報処理推進機構)

https://www.ipa.go.jp/files/000057365.pdf

※NIST(National Institute of Standards and Technology)

※NIST SP800-171(NIST Special Publication 800-171)

直訳のため難解な表現も混じっていますが、米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。

NIST SP800シリーズは、体系化されたNISTのセキュリティアプローチの一環ですが、以下の項では、多くの民間企業にも接点が生ずるSP800-171にフォーカスし、制定された経緯とセキュリティ要件のポイント、後半では日本企業に求められる対応を見ていくことにしましょう。

発端は末端からの情報漏えい

SP800-171が重視されるようになった背景を象徴する出来事として、ステルス戦闘機「F35」に関する機密情報の漏えいがよく取り上げられます。情報が流出した原因は、サプライチェーンを構成する1企業のシステム管理の脆弱さにありました。戦闘機に限らず、工業製品の設計~製造ラインでは、多くの企業がネットワークでつながれ情報を共有しているため、1社でも隙があると機密が流れてしまうのです。

当該企業から流失したデータは、一部を除いて単体では機密扱いされるものではありませんでしたが、断片的なデータであっても、知見を持った専門家が組み合わせたり、時系列で並べ替えたりすると、防衛上の機密が見えるものだったとされています。

2010年代には、中国メーカーの通信機器からの情報傍受が疑われた事案、ウクライナのインフラがサイバー攻撃を受けるといった深刻な事件の多発もあって、米国国防総省が2016年、取引に関わるすべての企業に対して、“NIST SP800-171に準拠したシステムを構築し情報を管理すること”という主旨の通達を出し、サプライチェーンにおける情報管理の徹底を計ったというわけです。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

NISTのレギュレーションは拡散する

国防総省が準拠を要求したSP800-171は、米国では2018年以降、他の政府機関にも拡がっており、早晩、すべての産業において必須になると見られています。NISTが策定する仕様は、世界各国の政府組織、研究機関、セキュリティ企業などが参照し、公共機関の入札参加条件や業界のセキュリティ基準にも取り入れられています。

国をターゲットにしたサイバー攻撃が止まず、標的型攻撃など金銭目的に情報を搾取する犯罪も先鋭化している現状では、より厳しいセキュリティ対策を求めるNISTの基準は、米国から世界各国、軍需から公共インフラ、そしてすべての産業分野に拡がっていく可能性は高いと見ていいでしょう。

ヨーロッパでは、エネルギーや交通、金融など社会インフラの分野で活動する企業に対し、国際的に許容されているセキュリティ基準の導入と、インシデント発生時の報告について規定した「NIS Directive法」が、2018年から施行されています。

日本でも防衛省、防衛装備庁が2018年、調達基準をSP800-171に沿うレベルに引き上げるとの方針を示し、2019年4月から試行運用が始まりました。この方針の対象となるのは、直接間接を問わず防衛省・防衛装備庁と取引がある企業ですが、米国とヨーロッパと同様、社会インフラ系から他の産業にも拡がっていくことが予想されます。

守るべき“機密情報”とは?

ここまでは、SP800-171が制定された経緯と目的を見てきました。駆け足でしたが、外堀はひとまず埋めたものとして、この先は核心部分、ドキュメントの題名にある“非格付け情報の保護”の中身を整理していきましょう。

NISTがSP800シリーズで定義している情報には、以下の2種類があります。

・CI (Classified Information):格付け情報  ← NIST SP800-53

・CUI(Controlled Unclassified Information):非格付け情報  ← NIST SP800-171

“格付け情報”とは、政府機関が扱う機密情報のことで、機密と定義された情報を扱う事業者は、NIST SP800-53の内容に沿って情報システムを構築・運用することが義務づけられます。一方、“非格付け情報”は格付けされていない情報、つまり機密情報以外の重要な情報のことです。

機密情報以外もSP800-171によって厳しい統制が敷かれる理由は、背景のところで触れたサプライチェーンからの情報漏えいです。それ自体は格付け情報に該当しないとしても、データを再構成すると機密にたどり着くといった類の情報を管理するためです。

例えば、軍用機の製造に関わるサプライチェーンでは、筐体の素材を提供した企業には仕様書があり、制御系を担った電子機器メーカーには、回路図や実験データは残っているでしょう。このケースでは、筐体の材質に関する情報や、回路図と実験データがCUI(非各付け情報)に該当することになります。

「F35戦闘機」の情報漏えいは、オーストラリアの政府組織と契約を結んだ航空宇宙分野の企業、いわゆる“孫請け・曾孫受け”の中小企業からでした。サプライチェーンに参画する事業者は、受注の階層や企業規模に関わらず、CUIに該当する情報を厳格に扱うことが要求されます。

ビス1本、仕様書1枚も機密に?

CUIに該当する情報は多岐に渡ります。“単体では機密に該当しなくとも、集めたり並べ替えたりすると機密が見えてくるもの”。極端な話、電子回路に組み込んだトランジスタ1個、機体を固定したビス1本にまで適用されるケースもゼロではありません。

何がCUIに含まれるかを決めるのは、企業ではなく調達する側の政府組織です。米国では関連省庁がCUIに該当する情報を定義し、エネルギー、交通などの重要インフラ、建築、地理情報などの分野ごとに「CUIレジストリー」を整備しています。

レジストリーが整備された分野のサプライチェーンに組み込まれた日本企業も、当然SP800-171の適用を受けますが、多くの企業は部品の仕様書や実験データなど、複数のCUIを持つものと思われます。SP800-171への対応が疎かになると、サプライチェーンから退場を迫られる事態もあり得ることは留意しておくべきでしょう。

コアは14項目のセキュリティ要件

SP800-171のベースになっているのは、「CSF(Cyber Security Framework)」というNISTのセキュリティに対するアプローチです。フレームワーク(CSF)が上位の階層にあって、セキュリティ管理の考え方を定義し、それを実践する方法と技術的な仕様を定めたのが、SP800-171を含むSP800シリーズです。

CSFの具体的なアプローチですが、サイバー攻撃への対応を以下の5段階に体系化した点が特徴です。

 「特定」→「防御」→「検知」→「対策」→「復旧」

特定と防御は侵入の防止、検知以下の3段階は侵入後の対処です。これまでのセキュリティ対策は、侵入防止を強化してきましたが、サイバー攻撃の先鋭化に伴い100%防ぐことは困難という認識の下、侵入の発生を前提に被害を最小化するための対策に力点が置かれるようになってきました。

SP800シリーズは、この考え方を具体的な手法に落としたもので、NIST SP800-171は14種類のセキュリティ要件で構成されています。

図2

出典:「連邦政府外のシステムと組織における管理された非格付け情報の保護」(IPA)

14項目の内容は「技術要件」と「非技術要件」に大別でき、要件の数はそれぞれ77項目と33項目、計110項目。

 

技術要件(77項目)

1.アクセス制御

4.構成管理

5.識別と認証

7.メンテナンス

10.物理的保護

13.システムと通信の保護

14.システムと情報の完全性

非技術要件(33項目)

2.意識向上と訓練

3.監査と責任追跡性(説明責任)

6.インシデント対応

8.メディア保護

9.要員のセキュリティ

11.リスクアセスメント

12.セキュリティアセスメント

例えば、技術要件の「1.アクセス制御」では、システムにアクセスできる利用者とデバイスの制限、ログイン失敗時の制御方法、リモートアクセスの監視など、「5.識別と認識」は認証コードやパスワードの形式、運用方法などを規定しています(各項目の詳細はIPAの翻訳版などを参照してください)。

図3

 「連邦政府外のシステムと組織における管理された非格付け情報の保護」の一部 出典:IPA

“完全準拠”への難易度は?

SP800-171は具体的、実践的な基準です。ISMS(情報セキュリティマネジメントシステム)や日本のプライバシーマークなどは、安全対策を行なう上での“心構え”に寄った内容も多いのですが、SP800シリーズはハードウエアの構成やシステムの運用方法、インシデント発生時の対応まで踏み込んだ、技術的なフレームワーク、実践的なレギュレーションと言えます。

ISMSやプライバシーマークとの違いとして、認証制度ではない点も挙げられます。第三者機関による認証は不要で、自己申告で“完全準拠”を明示しても構いません。ただし、インシデントや何らかの問題が発生した際は、自社の責任範囲を調達側が納得できるように説明する責任が生じます。

77の技術要件、33の非技術要件を個々に見ていく限り、SP800-171は特殊な内容とは言えません。米国政府機関が採用したレギュレーションということで構えてしまいますが、企業のセキュリティ対策として、一般的な内容が多いことに気付かれると思います。対応の難しさは、個々の要件を漏れなく実践し、安全を維持していくことにあります。リスクの度合いに応じて企業側が対応方法を判断できる“リスクベース”の考え方はないため、すべての要件に対する準拠が前提です。

防衛や公共インフラ系のサプライチェーンの一角をなす企業は、そのポジションを堅持していくため、いまのところ直接の接点は生じていない事業者のみなさまも、世界に広がりつつあるセキュリティスタンダードの概要を、この機会に把握しておくことをお勧めします。

テレワークのエンドポイント保護

RECENT POST「セキュリティ全般」の最新記事


日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング