NIST SP800-171セキュリティ構築支援コンサルティングサービス
NIST SP800-171とは、NIST(米国国立標準技術研究所)によって発行された、機密情報以外の重要情報(CUI)(※)を取り扱う者が実施すべきセキュリティ要件をまとめたガイドラインです。米国連邦政府は取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードとなっています。近年では、日本国内においても防衛省がNIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっています。NIST SP800-171について詳細はこちらをご覧ください。
本サービスでは、NIST SP800-171への準拠に向けたセキュリティ構築を支援いたします。NIST SP800-171 セキュリティ監査支援サービスについてはこちらをご覧ください。
※CUI:より厳格な管理が必要な機密情報であるCI(Classified Information、格付け情報)に対し、機密情報以外の重要情報をCUI(Controlled Unclassified Information)と呼びます。米国立公文書記録管理局(NARA)が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目を示しており、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。
NIST SP800-171とは
NIST SP800-171は、米国連邦政府が調達する製品や技術などを製造/開発する企業に対して、守るべきサイバーセキュリティ基準を示しています。NIST SP800-171初版は2015年6月に発行され、最新バージョン(Revision 2)が2020年2月に公開されました。NIST SP800-171が制定された経緯は図1の通りです。
【図1:NIST SP800-171が制定された経緯】※EO : Executive Order
近年では、日本国内でもNIST SP800-171の重要性が高まっています。防衛省は2022年4月、NIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表しました(2023年度の契約から適用)。防衛装備品を防衛省に納入する企業は対応が必要です。加えて下請け、孫請け企業であってもCUIに該当する情報を取り扱うのであれば準拠を求められます。新基準の狙いは防衛産業におけるサプライチェーン全体のサイバーセキュリティ強化にあります。防衛産業のすそ野は広くサイバーセキュリティ対策が不十分な中堅・中小企業に当事者意識を持たせるきっかけにもなりました。
また、2022年5月には「経済安全保障推進法」が可決され、サプライチェーンや基幹インフラのセキュリティ強化、特定技術の保護などが定められています。こうした流れの中、NIST SP800-171が今後さらに重要視される可能性は高いと想定されます。
NIST SP800-171の特徴
NIST SP800-171の特徴としては、大きく以下の2点が挙げられます。
特徴①サプライチェーン全体でCUIを保護
サプライチェーンに関わる一連の組織全体でCUIを保護するために取り組むべきセキュリティを示しています。例えば、軍事利用の可能性もある宇宙技術などは、官民など複数の組織が連携して研究/開発に取り組む場合、関係組織はすべからく、一定のセキュリティ要件を満たす形で、重要な技術データを保護する必要があります。そのセキュリティ要件を示したものがNIST SP800-171です。
【図2:サプライチェーンでのセキュリティ確保の仕組み】
特徴②体制やルール面から技術的対策まで総合的にセキュリティレベルを向上
NIST SP800-171は、体制やルールおよびプロセスから技術的な対策までを、バランスよく14の分類/110のセキュリティ要件として整理しています。従って、NIST SP800-171に準拠することで、総合的なセキュリティレベルの向上につながります。セキュリティの3大原則(機密性、完全性、可用性)の中では機密性に主眼を置いており、CUIを暗号化して保管することなど、通信経路と保管場所の暗号化などについてはとりわけ厳格な対応が求められます。
| # | ファミリー(分類) | 要件種別 | ||||
|---|---|---|---|---|---|---|
| 体制・スキル | ルール・プロセス | 技術的対策 | 物理的対策 | 項目数 | ||
| 1 | アクセス制限 | ● | 22 | |||
| 2 | 意識向上と訓練 | ● | 3 | |||
| 3 | 監査と責任追跡性(説明責任) | ● | 9 | |||
| 4 | 構成管理 | ● | 9 | |||
| 5 | 識別と認証 | ● | 11 | |||
| 6 | インシデント対応 | ● | 3 | |||
| 7 | メンテナンス | ● | 6 | |||
| 8 | メディア処理 | ● | 9 | |||
| 9 | 人的セキュリティ | ● | 2 | |||
| 10 | 物理的保護 | ● | 6 | |||
| 11 | リスクアセスメント | ● | 3 | |||
| 12 | セキュリティアセスメント | ● | 4 | |||
| 13 | システムと通信の保護 | ● | 16 | |||
| 14 | システムと情報の完全性 | ● | 7 | |||
サービスの特長
・ NIST SP 800-171への準拠に向けたセキュリティ構築のため、ギャップ分析から対策の導入まで支援します
NIST SP 800-171への準拠に向けてまず取り組むべきはCUIの定義/可視化と現状分析/評価を行い、AsIs(現状)とToBe(あるべき姿)のギャップを明確にすることです。具体的には最初に規程類や設計書等にて全体を評価するとともに、定期的に確認会を開きながら、110のセキュリティ要件の一つ一つを詳細にレビューしていきます。その結果に基づき、SSP(System Security Plan)とPOAM(Plan of Action and Milestone)を作成し、具体的なセキュリティ対策の実装へと進む、息の長いプロジェクトとなります。この一連の流れをアドバイザリーとPMOという形で支援します。
・米国の認証制度「CMMC 2.0」に基づく支援をいたします
米国では、NIST SP800-171をベースとしたサイバーセキュリティの成熟度モデル認定(Cybersecurity Maturity Model Certification)の認証制度「CMMC 2.0」の運用が始まっています。CMMC 2.0では取り組むべきセキュリティレベルが3段階で明確に示されており、NIST SP800-171への準拠にも活用できます。この3段階のレベルに基づき、NIST SP800-171への準拠に向けたセキュリティ構築を支援します。
【図3:CMMC2.0が定める取り組みレベル】
・NIST SP800-171のポイントを押さえたプロが支援します
NIST SP800-171への準拠にはいくつかのポイントがありますが、中でもCUIの定義、CUIを保管するシステムの境界設計、FIPS準拠した暗号モジュールの実装、多要素認証の強化は確実に押さえておくべきです。しかしながら、こうした内容は、NIST SP800-171はもちろん、NIST SP800-171が参照している他のガイドラインや最新の技術レベルを知らないと対応が困難です。ニュートン・コンサルティングではNIST SP800-171準拠に向けたセキュリティ構築支援を数多く手掛けてきた経験豊富なコンサルタントが、その経験やノウハウを活かして効果的な支援を行います。
支援ステップ(例)
トップインタビューで投資や育成等のセキュリティ戦略をお聞きし、その後、CUIの定義/可視化、現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装と進みます。CUIの定義/可視化や、現状分析/評価などでフェーズを区切って支援することも可能です。
【図4:SP800-171 セキュリティ構築支援ステップ(例)】
成果物(例)
主な成果物は以下の通りです。その他、プロジェクトの推進状況やご要望、必要性に合わせ、各種資料を提供します。
| # | 名称 | 内容 |
|---|---|---|
| 1 | NIST SP800-171セキュリティ構築支援キックオフ資料 | プロジェクトの推進に向けて、キックオフを行うための資料 |
| 2 | トップインタビューシート | 事業責任者(社長等)とセキュリティ責任者(CISO等)を対象としたインタビューアジェンダを示したシート |
| 3 | トップインタビュー議事録 | トップインタビューの結果をとりまとめた議事録 |
| 4 | CUI検討シート | CUIを検討するにあたり、CUIと想定されるデータを一覧化し、業務オペレーション等を考慮してCUIと定義すべきデータを検討するためのシート |
| 5 | CUI一覧 | CUIの定義に基づき、CUIの保管システムや経路、セキュリティ施策などを記載した一覧 |
| 6 | 現状分析/評価シート | NIST SP800-171の110項目を詳細化し、システムの共通部分や個別に確認すべき項目などを示したシート |
| 7 | IT・セキュリティ部門インタビューシート | インタビューのアジェンダを示したシート |
| 8 | IT・セキュリティ部門インタビュー議事録 | 各種インタビューの議事録 |
| 9 | 受領資料整理分類表 | 受領資料を整理/分類したリスト |
| 10 | SSP (System Security Plan) |
NIST SP800-171準拠に向けて、対象となるシステム等においてセキュリティ要件を満たすために実施されているコントロールを説明した計画書 |
| 11 | POAM (Plan of Action and Milestone) |
NIST SP800-171のセキュリティ要件を満たせない場合、いつ、どのような方法で満たすのかを示した計画書 |
| 12 | 実装ロードマップ | SSPとロードマップに基づき、誰(部門やプロジェクトチーム)がどの対策を実装していくかを具体的なWBS形式で示したもの |
| 13 | プロジェクト管理資料一式 | WBS、課題管理表、各種打ち合わせ資料等、プロジェクト管理に用いた資料一式 |
| 14 | セキュリティレビュー資料一式 | 機密性の観点でCUIの経路及び保管場所となるシステムのセキュリティ設計/設定のレビューを数多く実施するための各種資料 |
| 15 | プロジェクト報告書 | プロジェクト完了時に支援内容を取りまとめた報告書 |
