NIST SP800-171 Rev.3の中小企業向け入門ガイドを公表 NIST
米国国立標準技術研究所(NIST)は8月18日、NIST SP800-171 Revision 3を中小企業向けに解説したSmall Business Primer(中小企業向け入門ガイド)を公表しました。米連邦政府と取引のあるサプライチェーンに属し、CUI(Controlled Unclassified Information)を取り扱う企業はNIST SP800-171への準拠が求められています。
NIST SP800-171はサプライチェーン全体のセキュリティ確保が重要との認識から、CUIと呼ばれる機密情報ではないが管理されるべき情報に焦点を当てて、CUI保護に関するセキュリティ要件を示したガイドラインです。CUIは例えば、仕様書や部品表などを指し、機密情報(classified)ではないが(Unclassified)、公開されてしまうと安全保障に支障をきたす恐れがある情報となります。
米国の連邦政府と取引があるサプライチェーンには、大企業のみならず中小企業も多く含まれています。サプライチェーン全体でCUIが保護されるよう、サプライチェーン攻撃などに備えたサイバーセキュリティ対策が求められています。
公表された文書は「Protecting Controlled Unclassified Information (CUI):NIST Special Publication 800-171, Revision3 Small Business Primer」(PDFスライド、全27ページ)です。最初にNIST SP800-171の概要を説明した上で、セキュリティ要件などを実装する管理者向けに17のファミリー(17分野)を説明しています。
具体的には、1スライドにつき1分野を取り上げています(11~27ページ)。どの情報がCUIに該当するのか、その判別方法を説明した上で、17分野(アクセス制御▽意識向上と訓練▽監査と説明責任▽構成管理▽識別と認証▽インシデント対応▽メンテナンス▽メディア処理▽人的セキュリティ▽物理的保護▽リスクアセスメント▽セキュリティアセスメントとモニタリング▽システムと通信の保護▽システムと情報の完全性▽計画▽システムとサービスの調達▽サプライチェーンリスクマネジメント)の要点を解説しています。
また、NIST SP800-171に関する「よくある質問トップ5」も掲載されています。NIST SP800-171への準拠やアセスメントの実施、米国防総省(DoD)のCMMC(サイバーセキュリティ成熟度モデル認証制度)との関連性に関する質問もあります。NISTはCMMCの認定機関や認証プロセスの設計・開発・実装には関与していないとし、請負業者(サプライチェーンを形成する事業者)は契約書に記載されている具体的な要件を確認することなどを推奨しています。
