リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
NIST SP800-171とは、NIST(米国国立標準技術研究所)によって発行された、機密情報以外の重要情報(CUI)(※)を取り扱う者が実施すべきセキュリティ要件をまとめたガイドラインです。米国連邦政府は取引企業に対してNIST SP800-171への準拠を義務付けており、米国のみならずグローバルでのセキュリティ施策のスタンダードとなっています。近年では、日本国内においても防衛省と内閣サイバーセキュリティセンター(NISC)が、それぞれ調達基準である「防衛産業サイバーセキュリティ基準」、「政府機関等のサイバーセキュリティ対策のための統一基準群」をNIST SP800-171をベースに更新したほか、経済安全保障推進法が成立するなど、NIST SP800-171の重要性は高まっています。NIST SP800-171について詳細はこちらをご覧ください。
本サービスでは、NIST SP800-171への準拠に向けたセキュリティ構築を支援いたします。NIST SP800-171 セキュリティ監査支援サービスについてはこちらをご覧ください。
※CUI:より厳格な管理が必要な機密情報であるCI(Classified Information、格付け情報)に対し、機密情報以外の重要情報をCUI(Controlled Unclassified Information)と呼びます。米国立公文書記録管理局(NARA)が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目を示しており、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。
NIST SP800-171は、米国連邦政府が調達する製品や技術などを製造/開発する企業に対して、守るべきサイバーセキュリティ基準を示しています。NIST SP800-171初版は2015年6月に発行され、最新バージョン(Revision 3)が2024年5月に公開されました。NIST SP800-171が制定された経緯は図1の通りです。
近年では、日本国内でもNIST SP800-171の重要性が高まっています。防衛省は2022年4月、NIST SP800-171をベースにした調達基準「防衛産業サイバーセキュリティ基準」を公表しました(2023年度の契約から適用)。防衛装備品を防衛省に納入する企業は対応が必要です。加えて下請け、孫請け企業であってもCUIに該当する情報を取り扱うのであれば準拠を求められます。新基準の狙いは防衛産業におけるサプライチェーン全体のサイバーセキュリティ強化にあります。防衛産業のすそ野は広くサイバーセキュリティ対策が不十分な中堅・中小企業に当事者意識を持たせるきっかけにもなりました。
同様に内閣サイバーセキュリティセンター(NISC)も2023年5月に「政府機関等のサイバーセキュリティ対策のための統一基準群」を改訂し、政府期間が外部事業者への業務委託する際のサプライチェーンセキュリティの確保について、NIST SP800-171の考え方をベースとしています。
また、2022年5月には「経済安全保障推進法」が可決され、サプライチェーンや基幹インフラのセキュリティ強化、特定技術の保護などが定められています。こうした流れの中、NIST SP800-171が今後さらに重要視される可能性は高いと想定されます。
NIST SP800-171の特徴としては、大きく以下の2点が挙げられます。
# | ファミリー(分類) | 要件種別 | ||||
---|---|---|---|---|---|---|
体制・ スキル |
ルール・ プロセス |
技術的対策 | 物理的対策 | 項目数 | ||
1 | アクセス制限 | ● | 16 | |||
2 | 意識向上と訓練 | ● | 2 | |||
3 | 監査と責任追跡性(説明責任) | ● | 8 | |||
4 | 構成管理 | ● | 10 | |||
5 | 識別と認証 | ● | 8 | |||
6 | インシデント対応 | ● | 5 | |||
7 | メンテナンス | ● | 3 | |||
8 | メディア処理 | ● | 7 | |||
9 | 人的セキュリティ | ● | 2 | |||
10 | 物理的保護 | ● | 5 | |||
11 | リスクアセスメント | ● | 3 | |||
12 | セキュリティアセスメント | ● | 4 | |||
13 | システムと通信の保護 | ● | 10 | |||
14 | システムと情報の完全性 | ● | 5 | |||
15 | 計画 | ● | ● | 3 | ||
16 | システムとサービスの調達 | ● | 3 | |||
17 | サプライチェーンリスクマネジメント | ● | 3 |
トップインタビューで投資や育成等のセキュリティ戦略をお聞きし、その後、CUIの定義/可視化、現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装と進みます。CUIの定義/可視化や、現状分析/評価などでフェーズを区切って支援することも可能です。
主な成果物は以下の通りです。その他、プロジェクトの推進状況やご要望、必要性に合わせ、各種資料を提供します。
# | 名称 | 内容 |
---|---|---|
1 | NIST SP800-171セキュリティ構築支援キックオフ資料 | プロジェクトの推進に向けて、キックオフを行うための資料 |
2 | トップインタビューシート | 事業責任者(社長等)とセキュリティ責任者(CISO等)を対象としたインタビューアジェンダを示したシート |
3 | トップインタビュー議事録 | トップインタビューの結果をとりまとめた議事録 |
4 | CUI検討シート | CUIを検討するにあたり、CUIと想定されるデータを一覧化し、業務オペレーション等を考慮してCUIと定義すべきデータを検討するためのシート |
5 | CUI一覧 | CUIの定義に基づき、CUIの保管システムや経路、セキュリティ施策などを記載した一覧 |
6 | 現状分析/評価シート | NIST SP800-171の項目を詳細化し、システムの共通部分や個別に確認すべき項目などを示したシート |
7 | IT・セキュリティ部門インタビューシート | インタビューのアジェンダを示したシート |
8 | IT・セキュリティ部門インタビュー議事録 | 各種インタビューの議事録 |
9 | 受領資料整理分類表 | 受領資料を整理/分類したリスト |
10 | SSP (System Security Plan) |
NIST SP800-171準拠に向けて、対象となるシステム等においてセキュリティ要件を満たすために実施されているコントロールを説明した計画書 |
11 | POAM (Plan of Action and Milestone) |
NIST SP800-171のセキュリティ要件を満たせない場合、いつ、どのような方法で満たすのかを示した計画書 |
12 | 実装ロードマップ | SSPとロードマップに基づき、誰(部門やプロジェクトチーム)がどの対策を実装していくかを具体的なWBS形式で示したもの |
13 | プロジェクト管理資料一式 | WBS、課題管理表、各種打ち合わせ資料等、プロジェクト管理に用いた資料一式 |
14 | セキュリティレビュー資料一式 | 機密性の観点でCUIの経路及び保管場所となるシステムのセキュリティ設計/設定のレビューを数多く実施するための各種資料 |
15 | プロジェクト報告書 | プロジェクト完了時に支援内容を取りまとめた報告書 |
概要 | NIST SP800-171への準拠に向けたセキュリティ構築について、ギャップ分析から対策の導入まで支援いたします。フェーズを区切っての支援も可能です。 |
---|---|
対象企業 |
|
期間 | 応相談 |
価格 | 応相談 |
成果物 |
|
日本発の内視鏡AIを世界へ。NIST CSF適用でセキュリティ強化
CSIRT構築をきっかけに高まった、経営層のリスク意識
商船三井グループ全対応、重大ICTインシデント対応体制を構築
経営陣が一堂に会し、その場で意思決定する、実践に即したサイバー演習
標的型メール訓練で初動対応強化。全社のリアルな動きをチェック
金融庁と財務局合同、共通の意識確認を促すサイバーセキュリティ研修
ISMS起点での標的型メール訓練。今後の改善ポイントを洗い出し