皆さんこんにちは。技術統括部のTTです。かなり時間が空きましたが今回は私がOTセキュリティに携わる中でしばしば耳にするフレームワークやガイドラインのうち、NIST SP 800-171について解説していきたいと思います。こちらの記事ではNIST SP 800-171を含む3種類のOTに関係するフレームワークの概要を説明していますので、ご参照下さい。
参考記事「OTセキュリティにおけるフレームワークとは」
NIST SP-800 171とは、正式名称を「連邦政府外のシステムと組織における管理されるべき非機密情報の保護」といい、民間企業やそのサプライチェーンに対してCUIの保護を求めるNIST SP 800シリーズのうちの1つです。
NIST SP 800シリーズとは、NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)により作成されたSP(Special Publications:特別刊行物)のうち、米国連邦政府の情報および情報システムのセキュリティおよび プライバシーに関するレポートの主要シリーズとなります。
NIST SP 800-171以外の800シリーズとしては、米国政府内の情報システムに存在するCI (Classified Information:機密情報) を保護するためのセキュリティ基準などを示したNIST SP 800-53が有名です。
NIST SP-800 171は全3章からなるガイドラインであり、各章の詳細は以下となります。
この章では本ガイドラインの根幹である、CUIについて説明されています。また、本ガイドラインの対象読者、すなわち誰がガイドラインを遵守すべきなのかについても記載されています。
CUIとはControlled Unclassified Information(管理されるべき非機密情報)を指し、機密情報ではない、一般情報に分類されるものの連邦政府に関係するため重要である情報を指します。具体的には、連邦政府に関連するシステムの設計書やデータセット、ソースコードなどが該当します。
NIST SP 800-53では対象が防衛産業となっていましたが、NIST SP-800 171では「連邦政府に関連するシステム設計書」などが該当するため、防衛産業以外の業界についてもセキュリティ管理を求めている点が本ガイドラインの重要な点となります。
本ガイドラインが制定された背景としては、実際にCUIが狙われた事例が存在するため、というのが挙げられます。2016年、オーストラリア軍から戦闘機F35に搭載される製品の仕様書が流出しました。その際、オーストラリアの防衛関連業者のネットワークは単純なログイン名とパスワードでアクセスすることが出来、ハッカーが4カ月もの間潜入したままとなっていました。戦闘機に搭載される製品の仕様書は確かに戦闘機そのものの仕様書ではないため機密情報ではありませんが、それを起点に戦闘機自体の情報を推測される可能性があり、CUIを軽視したために機密情報も漏洩する危険性のある事例と言えるでしょう。
本ガイドラインの対象読者は以下となっています。「調達」という単語がある通り、連邦政府と直接やり取りする事業者だけでなく、サプライチェーンも考慮されたガイドラインとなっています。
この章ではCUI保護のための全部で14分野のセキュリティ要件を策定しており、各分野については個別の要件が存在しています。個別要件は全部で110あります。本ブログでは14分野のセキュリティ要件のうち、いくつかをピックアップします。
本カテゴリでは、以下の3つの要件が定められています。
本カテゴリでは、以下の3つの要件が定められています。
本カテゴリでは、以下の4つの要件が定められています。
NIST SP-800 171は、民間企業やそのサプライチェーンに対してCUIの保護を求めるNIST SP 800シリーズのうちの1つです。CUIとは機密情報ではない、一般情報に分類されるものの連邦政府に関係するため重要である情報を指し、防衛産業以外の業界についてもセキュリティ管理を求めています。具体的な防衛産業や政府と取引のある企業に対して取引をしている企業は一度参考にしてみてはいかがでしょうか。
参考サイト:https://www.eva.aviation.jp/wp-content/uploads/2021/06/NIST-SP800-171Rev.22020FebJpV6.pdf