DSF2016においてNISTの認証を説明

富士通のDSF2016(グランドヒル市ヶ谷にて)において、弊社は「これからの国際標準セキュリティ~NIST SP800-63に準拠した組織間セキュア情報共有基盤(Exostar)」と題する解説コーナーを担当しました。多くの来場者があり、これからの対応の必要性を知るとともに、認識をあらたにしてゆかれました。特に、米国政府の防衛関連調達に課せられるCUI(Controlled Unclassified Information )の扱いについて、NIST SP800-171への対応が義務付けられる(2017.12.31期限)点について、それぞれ危機感を共有することが出来ました。

防衛装備移転三原則により、我が国の高度な防衛技術を用いた製品を、海外の政府機関や企業に提供したり、国際共同開発を行う機会が増えています。そういった場で必要なコミュニケーションとして、「メールやSNS、Webサイト」といった文章やデータをやりとりする仕組みや、「ビデオ会議」などの通信インフラの活用が想定されます。

そういったケースでは、関係組織・国の間で情報をどのようにセキュアに扱うか、当事者同士が合意できる国際標準を適用することが重要になります。

現状においても、「米国の防衛装備品を適用する際には、DoDI 8510 RMF(リスクマネジメントフレームワーク)などの米国の情報取扱規程に従うことが要求されています。また、最新装備品でも、民間企業が扱うUnclassify情報については、NIST SP 800-63という認証レベル規格が適用されています。

これらの要求規格には、我が国ではまだ一般的でない特徴が、2点あります。

一つは、情報の取扱いレベルを4段階に定義し、情報とそれにアクセスする人を対応づけるという具体的な規約です。レベル4を最上位クラスとして、各クラス毎に、ID・パスワードの他に、ワンタイムパスワードによる方法や、電子証明書による個人認証のしかたを規定しています。

また、システム利用者としての個人の身元確認と、システム機能へのアクセス権限の付与を切り離し、業界全体で同じ基準で運用しています。

この方法により、セキュアな情報へのアクセスを体系的にコントロールし、情報を共有する必要のあるグループ、組織・業界全体で無駄や重複のないシステム環境が運用できるようになります。

二つめは、個人認証のための電子証明書ICカードです。アメリカ連邦政府の職員身分証明書であるPIV(ピブ)カードを基に、PIV-I(ピブアイ)規格として民間や諸外国向けに仕様がオープンにされています。

民間航空業界では、その仕様をPIV-AV(ピブアビエーション)として全世界の航空会社や空港関係者、航空機製造やメンテナンス関係者が持つように着々と準備が進められています。

わが国でもマイナンバー制度が始まり、個人のICカードも普及しはじめていますが、このICカードはビジネスとして個人が属する組織のメンバーであることを証明するものであり、わが国には、まだ普及していない特有なポリシーとなります。

富士通は、これらの方式が今後の国際標準になるものと考え、防衛省や経済産業省など関係省庁に情報提供や提案を行い、我が国への適用を推進しています。航空宇宙・防衛業界を皮切りに、欧米の仕組みに対応できるセキュアな民間クラウドインフラ構築を目指します。