世界が注目する
米国政府のサイバーセキュリティ基準
「NIST SP800-171」

―日本でも本格的な採用が進む背景と対策―

ホワイトハウス

NIST(National Institute of Standards and Technology:米国立標準技術研究所)の策定したサイバーセキュリティ基準「NIST SP800-171」が、世界中で注目されています。
防衛調達の新情報セキュリティ基準も「NIST SP800-171」と同程度になることから、防衛関連の企業を中心にNIST対策が進んでいます。
NISTでは、サイバー攻撃の「特定」や「防御」に加え、新たに「検知」、「対応」、「復旧」の策定を求めています。
今後、日本でもNISTを採用する企業は増えていきます。
そんなNIST対応に加えて、先進国の政府が積極的に導入を進めているのが、機密情報と一般情報を区別するための「セキュリティレベルに応じたデータ分類」です。

NISTの導入を加速する各国政府やデジタル先進企業

防衛関連の企業を中心に採用が進むサイバーセキュリティ基準「NIST SP800-171」とは、どのような規格なのでしょうか。そもそもNIST(National Institute of Standards and Technology:米国立標準技術研究所)は、その名称が示すように、アメリカ合衆国商務省配下の技術部門にある計量標準研究所です。日本貿易振興機構(ジェトロ)の説明によれば、NISTのミッションは「経済保障を強化し生活の質を高めるよう科学的測定方法、標準、技術を改善し、米国の技術革新及び産業競争力を強化する
こと」です。その取り組みの一環として、現在は連邦政府のITシステムの運用に関する技術標準の策定において主導的な役割を果たしています。そのNISTが提示するサイバーセキュリティ基準「NISTSP800-171」は、非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護に関連するドキュメントです。
このドキュメントの中には、以下のような摘要が記載されています。
と記載されています。このセキュリティ基準を示すガイドラインでは、政府機関だけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求しています。日本でも、防衛調達の新情報セキュリティ基準が「NIST SP800-171」に準拠していることから、防衛関連の企業を筆頭にNIST採用が加速すると考えられています。

【摘要の抜粋】
非連邦政府のシステムおよび組織に存在する「機密指定はされてはいないが管理対象となる情報」(以降、管理対象非機密情報または単にCUI〈 CUI:Controlled Unclassified Information 〉と記述)を保護(protecting)することは連邦政府機関にとって極めて重要であり、・・・中略・・・本出版物は、CUI が非連邦政府組織およびシステムに存在する場合におけるCUIの秘匿性(confidentiality)を保護するための推奨セキュリティ要件を連邦政府機関に提供するものである。

このセキュリティ基準を示すガイドラインでは、政府機関だけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求しています。日本でも、防衛調達の新情報セキュリティ基準が「NIST SP800-171」に準拠していることから、防衛関連の企業を筆頭にNIST採用が加速すると考えられています。

NIST導入に欠かせない情報管理の徹底と棚卸

国内の防衛関係を中心にNIST導入が進む背景には、最新鋭兵器の機密情報が共有先の防衛関連企業へのサイバー攻撃によって流出するという、深刻な情報漏洩の被害が発生し、対策が急務となっている実情があります。海外のハッカー集団は、目的の情報を盗み出すために、直接対象となる機関や組織へサイバー攻撃を仕掛けるだけではなく、取引先企業やサプライチェーンを狙ってきます。
そこで「NIST SP800-171」のセキュリティ基準では、CUI の秘匿性を保護するためのセキュリティ要件として、サプライチェーン全体を守るための明確な対策が列挙されています。

【NIST SP800-171 Revision 2 非連邦政府のシステムおよび組織における
管理対象非機密情報の保護】の概要

アクセス管理 システムへのアクセスを限定
意識向上と訓練 セキュリティリスクの認識
監査と説明責任 システム監査ログの記録
構成管理 システム構成や資産目録の規定
識別と認証 ユーザー、プロセス、装置を識別
インシデント対応 インシデント対応能力を確立
メンテナンス 組織のシステムのメンテナンス
記憶媒体の保護 CUI を含む記憶媒体を保護
要員のセキュリティ アクセス権限を与える個人を審査
物理的保護 物理的アクセスを権限のある個人に限定
リスク評価 リスクを定期的に評価
セキュリティ評価 セキュリティ管理策を定期的に評価
システムと通信の保護 通信を監視・管理・保護
システムと情報の完全性 システムの欠陥を特定し報告し修正

これらの対策の多くは、最新のセキュリティ対策ソリューションによって対応できる技術的な解決策が用意されています。その一方で、これまでのセキュリティ対策では解決や管理の徹底が難しい項目があります。それは「意識向上と訓練」です。「NIST SP800-171」では「基本セキュリティ要件」として、セキュリティリスクに対するシステム管理者の確実な認識を求めています。
それに加えて「派生セキュリティ要件」として、インサイダーによる脅威の潜在的兆候を認識し、報告するためのセキュリティ意識向上の訓練が求められています。この「意識向上と訓練」を確実にするためには、組織の中で扱われる情報そのものの「機密度」をIT管理者だけではなく全社員が的確に判断する必要があります。この「機密度」を明確にするためには、セキュリティレベルに応じた「データ分類」という取り組みが求められています。

データ分類のコントロールに貢献する Janusseal

セキュリティレベルに応じた「データ分類」は、NIST対応を検討している企業に求められる「セキュリティ意識の向上と訓練」にとって、欠かすことのできない対策です。これまで、多くの企業では社外からの不正アクセスに対応するセキュリティ対策を強化してきました。ファイアウォールや侵入検知にエンドポイントセキュリティ対策などは、サイバー攻撃や不正アクセスに対する予防策として効果を発揮してきました。こうした取り組みの多くは「とりあえず全部を守る」という対策でした。しかし、これからのセキュリティ対策では、ゼロデイ攻撃に備えるだけではなく「NIST SP800-171」が指摘する「インサイダーによる脅威の潜在的兆候」など、あらゆるケースを想定したゼロトラスト対策が求められます。こうしたセキュリティ対策を強化していく上で、日本で見落とされている重要な取り組みが「データ分類」です。
「データ分類」の基本は、機密情報と一般情報の仕分けになります。社内外のネットワークを流れる各種ドキュメントの中で、どれが重要か否かを見極めなければ、守りを強化すべき対策も打てなくなります。この「データ分類」に貢献するソリューションがJanussealです。Janussealは、セキュリティレベルに基づいた「分類ラベル」でドキュメントや電子メールを分類します。

Janussealには、Officeドキュメントに対応したDocumentsと、Outlookメールに対応したfor Outlookという2つの製品が用意されています。
Janusseal Documentsでは、Officeアプリのアドオンとして、専用のメニューをリボンに表示して、「極秘」「部外秘」「社外秘」「公開」などのセキュリティレベルに応じたデータ分類ラベルを個々のドキュメントに挿入します。

  1. 分類ラベルの表示文字や可視化のための表示箇所は柔軟に選択・調整可能です。Janusseal for Outlookも同様に、メールに対してセキュリティに応じたデータ分類ラベルを指定して、送信するメールの重要度を明確にします。Janussealによる「データ分類」の導入は、全社員へのドキュメントやメールに対するセキュリティ意識を向上させると同時に、NIST対応の前提となる守るべき「機密」情報の仕分けや棚卸にとって有効な対策となります。

こちらの資料は資料請求からダウンロードしていただくことができます。

資料請求はこちら

関連情報

CUI(Controlled Unclassified Information)マーキング