NIST SP 800-171とは？　解説と対策

NIST SP 800-171とは

NIST SP 800-171とは米国政府機関が定めたセキュリティ基準を示すガイドラインです。
政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。

ダウンロードはこちら NIST SP800-171の実践におけるヒント

■ NIST SP 800-171の目的

NIST SP 800-171の第1章でNIST SP800-171発行の目的が明示されています。

すなわち、調達から販売・供給までの一連のサプライチェーンに存在する、業務委託先や関連企業のすべてで、一貫したセキュリティ基準を持つことが必要だと述べられています。
業務委託先や関連企業におけるセキュリティ対策がNIST SP 800-171の目的です。

■ NIST SP 800-171の特徴は機密情報以外の重要情報の保護

米国政府は機密情報を（Classified Information, CI）、機密情報以外の重要情報を（Controlled Unclassified Information, CUI）として管理しています。

NIST SP 800-171は、機密情報以外の重要情報（CUI）を扱う民間企業が実施すべきセキュリティ対策をまとめたガイドラインです。
NIST SP 800-171の中でも、次のようにCUI保護の重要性が明記されています。

連邦政府外のシステムと組織に存在する管理された非格付け情報（CUI）の保護は、連邦政府機関にとって最も重要なものであり、連邦政府の指定されたミッションとビジネス運用をうまく行うための能力に直接影響を及ぼす可能性があります。

NIST SP 800-171の正式名称は「連邦政府外のシステムと組織における管理された非格付け情報の保護（Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations）」ですが、「業務委託先における重要情報（CUI）の保護」と言い換えると分かりやすいでしょう。

 

■ NIST SP 800-171とNIST SP 800-53の違い

機密情報以外の重要情報（CUI）に対し、機密情報（CI）を扱う組織に対応が求められているのがNIST SP 800-53です。

米国において、連邦政府機関自体に対してCIを保護するためにはじめに制定されたのがNIST SP 800-53で、CUIを保護するためにCUIを扱う民間企業へ遵守を求める事項として新しく制定されたのがSP 800-171です。

■ NIST SP 800-171の対象読者

NIST SP 800-171の対象読者として次のような個人が想定されています。

• システム開発ライフサイクル管理の責任者
  (例：プログラム管理者、ミッション・ビジネスオーナー、情報オーナー・担当者、システム設計者と開発者、システム・セキュリティ技術者、システムインテグレーターなど)
• 取得または調達の責任者
  (例：契約担当者など)
• システム・セキュリティ・リスク管理および監督の責任者
  (例：許可責任者、最高情報責任者、最高情報セキュリティ責任者、システムオーナー、情報セキュリティ管理者など)
• セキュリティ評定・監視責任者
  (例：監査者、システム評価者、アセッサ、独立検証者・認証者、分析者など)

対象読者は主に責任者としながらも職種が幅広く、組織に属しながらこれらに当てはまらない職種の社員・職員の方が少ないのではないでしょうか。

■ NIST SP 800-171発行の経緯

2017年にオーストラリア軍からF35戦闘機に関する情報を含むデータが流出しました。

しかも、サイバー犯罪者に侵入されたことに4ヶ月間も気が付かなかったといいます。不正アクセスを受けたのは従業員50人規模の航空宇宙関連契約企業でした。

流出したデータには、豪州が調達予定であったロッキードマチン社製の最新鋭ステルス戦闘機「F35」に関する30GB分のデータに加え、ボーイング社製の対潜哨戒機「P-8」、C130輸送機と米軍・オーストラリア軍が使用する誘導爆弾の詳細情報も含まれていました。

情報を流出させたこの契約企業は、プライムベンダーから２～3階層下の中小企業であり、孫請け・曾孫請けなどと呼ばれる企業です。情報システム管理者も一人しかいないという状況でした。

この契約企業が使用していたログイン名やパスワードは、「admin」や「guest」といったものでした。

プライムベンダーと直接のコミュニケーションを取れる契約事業者であれば、このような脆弱なパスワードにはすぐさま指摘をすることも可能でしょう。

このように、漏洩した情報は機密情報（CI）ではなかったものの、F35戦闘機に関連する重要情報（CUI）を含んでいました。

製品の仕様書や製品開発における実験データなどがCUIに該当しますが、たとえ、CIにあたる戦闘機の図面そのものが入手できなかったとしても、CUIから戦闘機の図面を作り出し、性能を推測できてもなんら不思議ではありません。

このF35戦闘機の情報流出事例は、孫請け・曾孫請けの管理も含む、サプライチェーン全体でのセキュリティ対策がこれまで手薄であったことを裏付ける結果となりました。

末端の業務委託先から米軍の兵器システムの詳細情報が漏洩というこの事例もきっかけとなり、米国は2016年に「DFARS Clause252.204-7012」を発行、米国防衛省と取引をするすべての企業に対して、NIST SP 800-171に準拠したITシステムの整備を要求しています。
 

NIST SP 800-171の構成

NIST SP 800-171の全体構成とその中で核となる「14種類のセキュリティ要件」について紹介します。

■ 4つの章から構成されるNIST SP 800-171

NIST SP 800-171は、次の4つの章で構成されています。

• 第1章「目的と適用可能性および対象読者」
  重要情報（CUI）保護の重要性と、連邦情報処理規格（FIPS）およびNIST SP 800の他シリーズとの関係について解説
• 第2章「基本的な前提条件とセキュリティ要件の開発」
  セキュリティ要件を開発するための前提条件、セキュリティ要件のフォーマットと構造、および要件を規定するためのNIST標準と基準について解説
• 第3章「14種類のセキュリティ要件」
  CUIとして要求する14の基本となるセキュリティ要件を解説
• 補足の附属書
  参照文書付属書や用語集など補足資料のまとめ

■ 14種類のセキュリティ要件

NIST SP 800-171の中心部と言えるのが「14種類のセキュリティ要件」です。正式には「連邦政府外のシステム及び組織におけるCUIの機密性保護のセキュリティ要件」と言い、参照しやすさに配慮し、守るべきセキュリティ要件を次の14種類に分類しています。

機密情報以外の重要情報（CUI）を扱う民間企業はこの14種類の要件を満たすように、セキュリティ対策を講じる必要があります。

NIST SP 800-171 Revision 1への改定

NIST SP 800-171は2018年12月にRevision 1へ改定されました。Revision 1での改定のポイントは次の2点です。

• セキュリティ要件に対する編集上の変更・追加
• 各要件に関する詳細な説明を含む付録を追加

NIST SP 800-171で説明されている各要件は、NIST SP 800-53のセキュリティ管理策ベースラインから抽出されたものであるため、NIST SP800-171はNIST SP 800-53の内容と連動しています。
NIST SP 800-53のRevision 4が発行されたのは2013年4月ですが、今後もNIST SP 800-53の改定のたびにNIST SP800-171も追いかけるように改定される可能性があります。

NIST SP 800-171の影響

NIST SP 800-171が米国内および世界各国に与える影響について紹介します。

■ NIST SP 800-171が実質上の国際標準化

米国防省と取引をしている全世界の企業に対してNIST SP 800-171への準拠が要求されており、米国防省と取引をする企業はNIST SP 800-171への対策は避けられません。
また、米国政府だけの取り組みにとどまらず主要国でも米国に追随する動きがはじまっています。
すなわち、NIST SP 800-171に準拠しない企業とその製品やサービスは、グローバルサプライチェーンからはじき出されてしまうおそれがあるということです。
次に、NIST SP 800-171が各国の企業や組織に及ぼしている影響を見てみましょう。

米国

政府の機密情報であるCIは最も厳格な管理が求められる一方、CUIの範囲は非常に広いため様々な産業に関係します。米国政府は、CUIを扱う国防総省と取引のある防衛産業に対し、NIST SP 800-171で定められた技術で構築されたシステムで情報を管理することを求めました。
この動きは電力やガスなどの重要インフラ産業や、機械、農業など他の産業へも拡大する予定です。

---

ヨーロッパ

ヨーロッパでも「1.エネルギー、2.交通、3.銀行、4.金融、5.ヘルスケア、6.水道、7.デジタルの7分野に該当する企業は、欧州または国際的に受け入れられている標準・仕様の導入を推奨しなければならない」というNIS Directive法が制定、2018年5月から適用が開始されています。

---

NIST SP 800-171の
日本への影響

日本国内の組織や企業はNIST SP 800-171によりどのような影響をうけるのでしょうか。

日本では、2019年4月から防衛省および防衛装備庁においてNIST SP 800-171と同程度の新防衛調達基準の試行導入がスタート。

今後は、防衛産業だけでなく重要インフラやその他産業への浸透が予想されています。CUI を扱うために必須となるNIST SP 800-171へ各組織でどのように対応するかが課題となっています。

NIST SP 800-171へ対応するときのステップは、「1.自組織が扱うCUIを定義」、次に「2.各要求項目と自組織の現状とのギャップを把握」し、最後に「3.必要な施策を立案して実装する」という順番です。

実装まで逆算して最低でも1年以上の時間がかかることから、経営層にはNIST SP 800-171への対応をビジネス戦略や経営リスクの枠組みの中に組み込むという役割が求められます。
 

NIST SP 800-171準拠のポイント

NIST SP 800-171への準拠を検討する各組織は、どのようなポイントを押さえて対応をすすめるべきでしょうか。
前述のとおり、NIST SP 800-171では、機密情報以外の重要情報（CUI）を扱う民間企業は「14種類のセキュリティ要件」を満たすように、セキュリティ対策を講じることが示されています。
また、「14種類のセキュリティ要件」へ対応できているのかの評価は、NIST SP 800-53の管理策に従うとされています。
付属書Dに掲載されているNIST SP 800-171のセキュリティ要件とNIST SP 800-53の管理策をマッピングした表を見て評価を下すことになります。

よって、NIST SP 800-171への準拠のポイントは「14種類のセキュリティ要件」を中心に、まずNIST SP 800-171の内容をしっかりと理解することが第一です。
その後、関連規定のNIST SP 800-53も参照しておく必要があります。

（一部抜粋）

NIST SP 800-171の実践におけるヒントを公開

ゾーホージャパン株式会社には、「NIST SP 800-171の重要性は理解したが、原文が分かりにくい。」という声が多く寄せられました。
そこでゾーホージャパン株式会社は、NIST SP 800-171の理解を助ける「NIST SP 800-171の実践におけるヒント」を作成し、無償提供する運びとなりました。

「NIST SP 800-171の実践におけるヒント」の詳細は次のとおりです。

ダウンロードはこちら NIST SP800-171の実践におけるヒント

■「NIST SP 800-171の実践におけるヒント」の構成

NIST SP 800-171の実践におけるヒント」は、米国でのCUI漏洩事例やNIST SP 800-171の位置付けなどの関連情報を補足で加え、はじめてNIST SP 800-171に触れる方でもポイントが無理なく理解できます。

また、「NIST SP 800-171の実践におけるヒント」は、日本国内の組織や企業におけるNIST SP 800-171の実践に主眼をおいているのが特徴です。

「14種類のセキュリティ要件」は、アクセス制御、意識向上と訓練、監査と責任追跡性、構成管理などのカテゴリーに分けて詳しく解説されており、飛ばし読みでも重要なポイントは逃さないように工夫されています。

■ 社員に対するNIST SP 800-171教育のテキストとしても有効

NIST SP 800-171の原文は全部で80ページにも及ぶ法的なドキュメントで、一般企業で使うガイドラインの形にはなっていません。

また、文字中心で解説されているため、原文のみでNIST SP 800-171を理解しようとすると、複数回はじっくりと読み込まないと難しいでしょう。

「NIST SP 800-171の実践におけるヒント」は、企業や組織における“実践”に役立つ情報だけを抽出し、オリジナルの図解の解説も添えています。NIST SP 800-171についての教育を所属する全社員に対して行う際、テキストとして使うのも効果的です。
世界各国のセキュリティ対策の流れに後れを取ることのないよう、「NIST SP 800-171の実践におけるヒント」を企業や組織全体で是非ご活用ください。

ダウンロードはこちら NIST SP 800-171の実践におけるヒント