皆さんこんにちは。技術統括部のTTです。かなり時間が空きましたが今回は私がOTセキュリティに携わる中でしばしば耳にするフレームワークやガイドラインのうち、NIST SP 800-171について解説していきたいと思います。こちらの記事ではNIST SP 800-171を含む3種類のOTに関係するフレームワークの概要を説明していますので、ご参照下さい。
参考記事「OTセキュリティにおけるフレームワークとは」
NIST SP-800 171とは
NIST SP-800 171とは、正式名称を「連邦政府外のシステムと組織における管理されるべき非機密情報の保護」といい、民間企業やそのサプライチェーンに対してCUIの保護を求めるNIST SP 800シリーズのうちの1つです。
NIST SP 800シリーズとは、NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)により作成されたSP(Special Publications:特別刊行物)のうち、米国連邦政府の情報および情報システムのセキュリティおよび プライバシーに関するレポートの主要シリーズとなります。
NIST SP 800-171以外の800シリーズとしては、米国政府内の情報システムに存在するCI (Classified Information:機密情報) を保護するためのセキュリティ基準などを示したNIST SP 800-53が有名です。
NIST SP-800 171の構成
NIST SP-800 171は全3章からなるガイドラインであり、各章の詳細は以下となります。
- 第1章(目的と適用可能性および対象読者):
CUIが何であるかを定義した上で、CUI保護の重要性及び連邦情報処理規格(FIPS)やNIST SP 800の他シリーズとの関係について解説しています。 - 第2章(基本的な前提条件とセキュリティ要件の開発):
セキュリティ要件を開発するための前提条件、セキュリティ要件のフォーマットと構造、および要件を規定するためのNISTの標準と基準について解説しています。 - 第3章(14種類のセキュリティ要件):
CUI保護のためのセキュリティ要件として14のセキュリティ管理策群を設定し、各項目について解説しています。
第1章(目的と適用可能性および対象読者)
この章では本ガイドラインの根幹である、CUIについて説明されています。また、本ガイドラインの対象読者、すなわち誰がガイドラインを遵守すべきなのかについても記載されています。
CUIとは
CUIとはControlled Unclassified Information(管理されるべき非機密情報)を指し、機密情報ではない、一般情報に分類されるものの連邦政府に関係するため重要である情報を指します。具体的には、連邦政府に関連するシステムの設計書やデータセット、ソースコードなどが該当します。
NIST SP 800-53では対象が防衛産業となっていましたが、NIST SP-800 171では「連邦政府に関連するシステム設計書」などが該当するため、防衛産業以外の業界についてもセキュリティ管理を求めている点が本ガイドラインの重要な点となります。
CUI保護の重要性について
本ガイドラインが制定された背景としては、実際にCUIが狙われた事例が存在するため、というのが挙げられます。2016年、オーストラリア軍から戦闘機F35に搭載される製品の仕様書が流出しました。その際、オーストラリアの防衛関連業者のネットワークは単純なログイン名とパスワードでアクセスすることが出来、ハッカーが4カ月もの間潜入したままとなっていました。戦闘機に搭載される製品の仕様書は確かに戦闘機そのものの仕様書ではないため機密情報ではありませんが、それを起点に戦闘機自体の情報を推測される可能性があり、CUIを軽視したために機密情報も漏洩する危険性のある事例と言えるでしょう。
対象読者
本ガイドラインの対象読者は以下となっています。「調達」という単語がある通り、連邦政府と直接やり取りする事業者だけでなく、サプライチェーンも考慮されたガイドラインとなっています。
- プログラム管理者やシステムインテグレーターを始めとするシステムの開発ライフサイクルに責任を有する者
- 契約責任者などの購買または調達責任を有する者
- CIO (最高情報責任者)やCSO(最高情報セキュリティ責任者)といったシステム、セキュリティ、またはリスク管理および監督に責任を有する者
- セキュリティアセスメントおよび監視責任を有す者
第3章(14種類のセキュリティ要件)
この章ではCUI保護のための全部で14分野のセキュリティ要件を策定しており、各分野については個別の要件が存在しています。個別要件は全部で110あります。本ブログでは14分野のセキュリティ要件のうち、いくつかをピックアップします。
3-6:インシデント対応
本カテゴリでは、以下の3つの要件が定められています。
- 準備、検知、分析、抑制、復旧およびユーザー対応活動を含め、組織のシステムに運用状態のインシデント対応ケイパビリティを確立する。
- インシデントを追跡、文書化し、組織内外の指定された担当者や機関に報告する。
- 組織のインシデント対応ケイパビリティをテストする。
3-11:リスクアセスメント
本カテゴリでは、以下の3つの要件が定められています。
- 組織のシステム運用、および CUI に関連する処理、保存、または伝送から生ずる、組織運営
(ミッション、機能、イメージ、評判を含む)、組織資産、および個人に対するリスクを定期
的にアセスメントする。 - システムおよびアプリケーションの脆弱性スキャンを定期的に、かつ、それらのシステムお
よびアプリケーションに影響する新たな脆弱性が特定された場合に実施する。 - リスクアセスメントに従って、脆弱性を取り除く。
3-12:セキュリティアセスメント
本カテゴリでは、以下の4つの要件が定められています。
- 組織のシステムのセキュリティ管理策を定期的にアセスメントし、その管理策の適用が有効
かどうかを判断する。 - 組織のシステムの欠陥を修正し、脆弱性を軽減または排除することを意図した実施計画書を
作成し、実施する。 - システムのセキュリティ管理策が継続的に有効であることを確実にするため、その管理策を
継続的に監視する。 - システムの境界、運用環境、セキュリティ要件の実装方法、および他のシステムとの関係ま
たは他のシステムへの接続について記述したシステムセキュリティ計画書を作成し、文書化
し、定期的に更新する。
まとめ
NIST SP-800 171は、民間企業やそのサプライチェーンに対してCUIの保護を求めるNIST SP 800シリーズのうちの1つです。CUIとは機密情報ではない、一般情報に分類されるものの連邦政府に関係するため重要である情報を指し、防衛産業以外の業界についてもセキュリティ管理を求めています。具体的な防衛産業や政府と取引のある企業に対して取引をしている企業は一度参考にしてみてはいかがでしょうか。
参考サイト:https://www.eva.aviation.jp/wp-content/uploads/2021/06/NIST-SP800-171Rev.22020FebJpV6.pdf
