米国がDFARS 252.204-7012と
NIST SP800-171により目指す世界
~管理対象非機密情報(CUI)の保護対策の
ユニークな省エネアプローチ~
昨今、NIST SP800-171というセキュリティ要件が一躍脚光を浴びるようになり、他のNIST SP800シリーズの名前とともに比較的目にするようにもなりました。
私たちも刻々と変化する情報セキュリティを取り巻く環境に対し、日々情報収集に努めていますが、調べれば調べるほど、NIST SP800-171はユニークであるという印象が深まってゆきます。
今回はNIST SP800-171の特徴からどのあたりがユニークなのかということ、そして標題の要件の提供によって米国はどのような世界を目指しているのか?ということを、少々考察してみたいと思います。
【NIST SP800-171の特徴】
弊社では、DoDやNISTの発行する解説情報および米国防衛産業企業からのヒアリングなどにより、次のような理解に至っています。今回はいくつかをピックアップしました。
- ① NIST SP800-171は管理策ではなく「要件」
- ② 情報セキュリティ3要素の内「秘匿性」にフォーカス
- ③ 遵守状況は「自己申告」、インシデント発覚時には申告通りかが問われる
それではひとつずつ見ていきましょう。
① NIST SP800-171は管理策ではなく「要件」
実はDFARS 252.204-7012とNIST SP800-171は、それぞれ単独ではなくセットになって初めて目指すものが見えてきます。ひとことで言えば、「米国政府(この場合はDoD)が、契約履行上必要に応じて提供される重要な管理すべき情報(CUI : Controlled Unclassified Information)が関係者以外に漏れることのないよう、対策を受託事業者に課す」ことです。
すなわち、受託事業者側の情報セキュリティに関する全般的な対策の取り方を示すものではなく「政府の指定したCUIを如何にしたら漏らさないようにできるか、守るべきミニマムルールを要件書として示したもの」であると言えます。
NIST SP800-53やISO/IEC 27001など「情報セキュリティに全般に対する管理策の規格書」とは目的からして異なっているのです。
② 情報セキュリティ3要素の内「秘匿性」にフォーカス
①とも関係がありますが、NIST SP800-171は情報セキュリティの3要素であるC・I・A(秘匿性(Confidentiality)・完全性(Integrity)・可用性(Availability))の内、Cの秘匿性(Confidentiality)にフォーカスしています。なぜなら、NIST SP800-171(とDFARS252.204-7012)の目的は「CUIを漏らさない」だからです。CUIを恒常業務で使用する際の利便性など、その他の目的は二の次で「政府のCUIを預かる事業者側が遵守すべき最低限の要件(ベースライン)」を示しています。
「情報セキュリティに全般に対する管理策の規格書」であるNIST SP800-53やISO/IEC 27001などにおいて3要素がバランスを持って記述されているのに対し、NIST SP800-171ではC以外の項目を要件から除外しているのは、NIST SP800-171の「CUIを漏らさない」という主旨からは外れているからなのです。
③ 遵守状況は「自己申告」、インシデント発覚時には申告通りかが問われる
NIST SP800-171が自己申告制という点に戸惑う方もいらっしゃることでしょう。
そこで、より具体的に対応要件の遵守方法を理解あるいは評価するために、NISTからはSP800-171A(Assessment)やNIST Handbook 162(NIST MEP Cybersecurity Self-Assessment Handbook)が出版されています。また、NIST SP800-171には特定の機関が認定や合否を出すきまりも、そもそもありません。
仮にインシデントが発生してしまったとしても、その時に初めて「宣言した状態(SSP/PoAM:System Security Plan/Plan of Action and Milestones)」と実際の状況を比較し、もし申告と違っていたら訴訟によって責任を問うという仕組みです。また、米国政府から直接CUIを受領した事業者だけを要件遵守の対象としてもCUI漏えいのリスクは撲滅できないため、CUIを下請けとして受領する全ての事業者にも要件をフローダウンしているわけです。
【米国がDFARS 252.204-7012とNIST SP800-171により目指す世界、そして我が国として】
ここまでNIST SP800-171の特徴をいくつかピックアップして紹介してまいりましたが、弊社ではNIST SP800-171の要件が満たされた状態を「全てのCUIを電子化し、適切な利用者認証とアクセス権限管理のもとで、十分な強度の保護(暗号化を含む)が常時なされる状態」と考えています。DFARS 252.204-7012とNIST SP800-171の根底には、このような世界を思い描き、時間をかけてその実現に誘導してゆこうとする流れを感じます。
NIST SP800-53やISO/IEC 27001ではPDCAをゆっくり回して、より高い改善措置を取れるように求めています。ですが、割けるリソースも事業者ごとにまちまちなサプライチェーン全体に対して、これらの全方位的なセキュリティ対策を画一的に対応させようとすると、コスト面などで過分な負担がかかり現実的でないだけでなく、対策が散漫になり、コアなCUIの保全措置がぼやけてしまう可能性も生じます。
私たちは、こうした「認証と暗号化」といったCUI保護技術の適用を促進するとともに、中小企業を含む産業界全体の情報セキュリティに対する意識を更に活発化し、我が国が情報管理の面で安全な国であるという定評を得られるよう活動することを目指しています。
その観点で、DFARS 252.204-7012とNIST SP800-171は、NIST SP800-53やISO/IEC 27001とは異なる次元の新しい情報セキュリティのアプローチであると言えるでしょう。
この波を、単なる米国政府案件契約時の付帯ルールと考えず、我が国一丸となって自身の問題解決策のヒントととらえ、時代の変化と技術の革新を根底に置き、しかし過剰な対応はせず、それでも管理すべきCUIのConfidentialityは高いレベルで確保できる世の中を作るお手伝いができればこの上ありません。
2018年11月24日の「認証の日」を前に
エヴァアビエーション