コラム

「NIST SP800-171」 CUIの厳格管理でサプライチェーンリスクに備える

2019年12月23日

コンサルタント

星野 靖

コンサルタント 星野 靖

サプライチェーンのセキュリティリスクが叫ばれている昨今、世に広まりつつある米国国立標準研究所(National Institute of Standard and Technology、以下NIST)が公表したセキュリティガイドライン、NIST SP800-171が注目を浴びています。NISTでは重要インフラのためのセキュリティフレームワーク(NIST Cyber Security Framework,以下CSF) が特に著名ですが、CSFとは別にNISTのコンピューターセキュリティ部門(Computer Security Division、CSD)が発行するコンピューターセキュリティ文書(Special Publication)がSP800シリーズやSP1800シリーズです。米国の政府機関がセキュリティ対策を実施する前提でまとめられました。

SP800-171とは

SP800-171は機密情報ではない重要情報(Controlled Unclassified Information、以下CUI)の適切な取り扱いを規定したセキュリティガイドラインです。政府関連機関だけでなく、その取引先、業務委託先においても、情報の厳格な取扱いを求める内容になっています。

米国では2018年1月以降、米国政府の調達に関わる企業、組織はSP800-171への準拠が求められるようになり、その適用範囲は米国企業だけでなく、全世界の企業が対象となります。

また、日本も米国に追随し、防衛装備庁(防衛省内の外局)が防衛調達時に取引先へSP800-171同等のセキュリティ準拠を求めることになります。

このような動きは他国でも出てきており、米国政府や日本の防衛装備庁のみならず、あらゆるところでSP800-171準拠を求められる可能性が考えられます。つまり、日本企業においても、特にグローバル展開している企業にとっては、SP800-171の準拠状況がビジネスの成否に影響を及ぼし得るということです。

ただ、SP800-171は第三者認証制度ではなく、自分たちでその適合状況を確認する形となります。合否(○×)で評価するか、CMMI(能力成熟度モデル統合)に準拠した5段階で評価するか、その辺りについても特に指定はありません。

SP800-171の難易度は?

SP800-171準拠を求められる可能性がある場合は早急な対応が望ましいのですが、対応のハードルは高くない印象で、昨今の状況を鑑みてこの程度の対応は標準的でしょう。

設問項目が110あるものの、情報セキュリティ体制が整備されている企業・組織であれば、対応が済んでいるものが多く、評価にはそれほど時間がかからないと思います。一部、リスクやセキュリティのアセスメントは企業、組織によって評価が割れそうですが、全体として難易度はそう高くありません。

むしろ、気にすべきは「どの情報がCUIに相当するのか」という点で、どの情報がそれにあたるのかの判断が難しいかもしれません。

CUIとは

では、改めてSP800-171で出てくるCUIとは何か。日本語では「管理された非格付け情報」、「機密情報ではない重要情報」などといわれます。

CUIに対して、更に厳格な管理が必要な機密情報はCI(Classified Information,格付け情報)と呼ばれ、こちらはより厳格なガイドライン(SP800-53)が存在します。

企業、組織にとっての機密情報を厳格に管理することは当然ではあるものの、「機密情報ではない重要情報」とは何を指すのかがわかりにくく、企業、組織にとって「社外秘ではない重要情報」なのか、「社外秘だが機密情報ではない」なのかが判然としない部分があるため、その位置づけを考えていきます。

米国立公文書記録管理局(NARA)が管理するCUIレジストリーに、業種ごとにCUIに該当する項目が書かれているため、その一例を見てみましょう。
 

【業種】 【CUIに該当する項目】
重要インフラ 化学テロ情報、危機管理に関わる情報、有害物質の取扱い情報など
金融機関 金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など
輸送関連 線路の安全情報、セキュリティ関連情報など

その他、各業種によって該当例が記載されています。

これをみると、CUIは「社外秘だが機密情報ではない」という解釈が正しいといえます。機密情報になりそうな内容も入っていますが、一般的に見ても取扱い注意な情報であり、これが外部に流出すると安全保障上、業務上で支障が出ることは容易に想像されます。

情報区分(社外秘、秘、極秘)で情報の重要度を明確にし、CUIレジストリー等からどれがCUIにあたるかを定義づけすることも可能です。ただ、特別な指定がなければ、「社外秘情報は全てCUI」として考えて差し支えないでしょう。

SP800-171の構成

次にSP800-171の中身について見ていきます。その総量は80ページの分量で、14のカテゴリー、110の設問で構成されています。これを対応が求められる「人」「組織・体制」「ルール」「ツール(システム)」の4つの観点で分類すると、すべての設問において、「ルール」が関係しており、次に「ツール(システム)」や「組織・体制」が多く該当しているとわかります。
 

図表 1 SP800-171の構成
カテゴリー 設問数 対応の観点
組織・体制 ルール ツール
アクセス制御 22    
意識向上と訓練 3  
監査と責任追跡性 9    
構成管理 9    
識別と認証 11    
インシデント対応 3    
メンテナンス 6  
メディア保護 9  
要員のセキュリティ 2  
物理的保護 6  
リスクアセスメント 3    
セキュリティアセスメント 4    
システムと通信の保護 16    
システムと情報の完全性 7    

 

SP800-171の適合状況を確認する場合、規程類などの文書の精査でルールの整備状況を評価した上で、インタビューや質問票の形でそのルール通りに運用されているかの運用状況を評価する流れが考えられます。

具体的な設問を見ていくと、サプライチェーンの観点で考えた場合、委託先との情報連携で影響してきそうなのは「3.1.20 外部システムへのコネクション及び使用を検証し、制御/制限する」 と 「3.1.21 外部システム上での組織のポータブルストレージデバイスの使用を制限する」の2設問程度です。該当する設問数は少ないものの、この部分は外部委託先の対応状況をしっかり確認し、必要に応じて契約で縛る形が望ましいです。

その他の設問はどこかのフレームワーク、ガイドラインで見たことがあるようなものが多く、システム監査、評価に習熟した方にとっては見慣れた内容かもしれませんが、CUIの取扱いに特化した設問をいくつかご紹介します。
 

  • 3.1.19 モバイルデバイス及びモバイルコンピューティングプラットフォーム上のCUIを暗号化する
    これはスマートフォンやノートPCにおけるCUIの取扱いを確認する設問です。デバイス全体での暗号化でも良いかもしれませんが、CUIに該当する情報、ファイル単体の暗号化を求めていると考えられます。
     
  • 3.7.3 オフサイトのメンテナンスのために除去される装置は、あらゆるCUIについてサニタイズされることを保証する
    これはハードディスクやSDD等、記憶装置の故障、不具合を想定している設問です。システムに組み込まれた状況でアクセス不可になったとしても、交換後に特殊機器等を使ってアクセス可能となり、ファイル入手、CUI情報の入手が可能な場合があります。そのため、消磁対応や物理破壊、ソフトウェア的なデータ消去により、不正入手の機会をできるだけ低減させることが重要です。この対応を行った場合、消去作業の実施結果報告書を入手することもお忘れなく。
     
  • 3.8.4 CUIのマーク表示と配付制限が必要なメディアに対して表示を行う
  • 3.8.5 CUIを含むメディアへのアクセスを制御し、管理エリアの外部への持ち出し中のメディアの説明責任を維持する
  • 3.8.6 代替の物理的予防手段による保護がない限り、持ち出し中はディジタルメディア上に格納されCUIの機密性を保護するための暗号学的メカニズムを実装する
    これらはDVD,CDメディア、USBメモリー等を想定した設問と考えられますが、最近は外部媒体の利用制限が厳しく、該当しない企業、組織も多そうですが、利用した場合は紛失のリスクが拭い切れないため、厳格な利用管理、管理責任、アクセス制限が必要となります。


SP800-171は自己適合宣言で問題ないものの、これに違反した場合は契約違反や刑事責任を問われる可能性が考えられます。SP800-171準拠が必要な場合は何をもって適合しているのかを明確にし、着実な対応が必要です。

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる