NIST SP800-171とは何か?国際基準に準拠するため必要な基盤や体制の整え方について
- INDEX
-
情報システム部やセキュリティ担当であればNIST SP800-171について周知ではないでしょうか。しかし、セキュリティと縁遠い場合ですと、NIST SP800-171を知らず、ゆくゆくは準拠しなくてはならないのに対応が遅れることがあります。
今回は、NIST SP800-171に関する基礎知識、国際基準に準拠するために必要な基盤や体制、そして国際基準に準拠し、対応できる基盤や体制の整え方についてお話します。
NIST SP800-171に関する基礎知識
はじめにNIST SP800-171に関する基礎知識について簡単に説明します。NIST SP800-171とは
NISTとはNational Institute of Standards and Technologyの略称であり、アメリカにある米国国立標準技術研究所という政府機関です。SP800のSPとは Special Publicationsの略称であり、特別刊行物を意味します。SP800はCSD(Computer Security Division)と呼ばれる部門が発行したセキュリティに関するレポートのシリーズです。そして、SP800-171とはSP800シリーズの171とナンバリングされた文書レポートであり、「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」という文書です。参考元:IPA 独立行政法人 情報処理推進機構 - セキュリティ関連NIST文書
NIST SP800-171が含まれるSP800シリーズはアメリカ政府がセキュリティ対策を実施する際に利用される根拠や情報が集められたものであり、セキュリティに関する幅広い内容がまとめられていてアメリカ国内の政府関係機関だけでなく、民間企業にも重要視されている文書です。
NIST SP800-171が注目される背景や理由
NIST SP800-171が注目される背景にはアメリカ政府が政府関係機関との取引先を対象に、NIST SP800-171に対応したセキュリティ対策を求め始めたことが大きな理由と言えます。アメリカが国家的に民間企業や組織などの取引の際にNIST SP800-171に準拠することを条件にしているのと同義であり、言い換えればNIST SP800-171に準拠していなければ政府機関とは取引や契約ができないということでもあります。
実際問題としてアメリカのセキュリティに関する政府機関のレポートをアメリカ政府がセキュリティの基準として利用するのは何もおかしいことはありません。日本における各種セキュリティガイドラインと同じようなものであり、最低限守るべき、守ることを推奨すべきセキュリティの基準として、民間企業や組織が対応しなければならないのは当然と言えます。
また、ガイドラインが示されたことで、準拠すれば政府機関と取引や契約が可能となるなら、企業や組織においても準拠すべくセキュリティ体制を強化することにつながるため、結果としてアメリカ全体のセキュリティ性が向上するという恩恵があるのも事実です。
グローバルに展開している場合は準拠が必須になる可能性が高い
NIST SP800-171自体はアメリカ国内における準拠すべきセキュリティガイドラインと言えます。そのため、日本国内の企業や組織がアメリカ政府や関係する民間企業・民間組織と取引する場合、将来的には間接的な取引・契約だとしてもNIST SP800-171への準拠を求められる可能性が高いです。実際にISOやJISのような基準や規格において、世界各国が守ることで国際的に商品が流通したり、サービスが展開できたりしていることを考えると、セキュリティの観点においても世界各国が最低限守るべきセキュリティの基準としてNIST SP800-171がさらに重視されることも考えられます。
国際基準に準拠するために必要な基盤や体制
次に国際基準に準拠するために必要な基盤や体制について解説します。NIST SP800-171を理解し実践できる人材の雇用や配置
前提としてNIST SP800-171を理解し、実践できるセキュリティ人材の雇用や配置が必要となります。もしくは、既に雇用したセキュリティ人材に対して、NIST SP800-171について習熟するための時間的なコストや金銭的なコストへの投資を行うべきと言えます。NIST SP800-171に準拠できる業務プロセスや作業手順
NIST SP800-171を理解し、実践できる人材が確保できたら、次の段階としてNIST SP800-171に準拠できる業務プロセスや作業手順を構築する段階に入ります。現時点においてモデルとなるケースがあるか、既に日本国内において実践している企業や組織があれば参考にすると良いでしょう。NIST SP800-171に準拠していることを第三者機関より確認してもらう
必要に応じて、NIST SP800-171に準拠していることを第三者機関により確認してもらうこと、もしくは認定してもらうことも将来的には必要になるでしょう。ISOなどのように定期的な監査・検査のような仕組みがなければ、何らかのタイミングでセキュリティ性が損なわれてしまう可能性があるためです。また、自社のチェックや判断のみの自己申告では社会的にも国際的にも信用されない可能性もあります。外部および第三者機関によって評価してもらうことで、信頼性とともに安全性を確保できる根拠になるということです。
国際基準に準拠し、対応できる基盤や体制の整え方
次に国際基準に準拠し、対応できる基盤や体制の整え方をご紹介します。NIST SP800-171に準拠する基盤となるセキュリティシステムを導入
まずは国際基準に準拠するといっても、難しく考えすぎないようにしましょう。NIST SP800-171に記載されている内容に準拠するということは、内容を理解して実践するだけのことです。そのためにもセキュリティに関して一元管理が可能となるセキュリティシステムを導入すること、そしてセキュリティシステムに基づいて社内規則やルール、セキュリティに関する意識の向上や具体的な施策について細かく定めていくのがベストです。
社内だけでなく、外部のセキュリティに強いベンダーとつながる
セキュリティについては、社内だけで完結してしまうよりも、セキュリティを専門とするベンダーとつながっていた方が確実にセキュリティを強化できます。そもそも、セキュリティは企業や組織において重要ではありますが、企業や組織としての本業やコアとなる仕事ではありません。企業や組織としての本業やコアな仕事に集中するためにも、セキュリティの専門家であるセキュリティに強いベンダーとつながることで、セキュリティ対策の一部を任せることができます。言い換えれば、生産性のある仕事に集中するため、企業や組織としての本業での利益や売上を確保するためにも、セキュリティの部分を外部に任せるべきということです。まずは統合的なセキュリティ対策が可能なソフトの導入がおすすめ
国際基準やNIST SP800-171に関しては、今すぐに対処しなければならないという段階ではありません。ただし、DXの推進や働き方改革と同様に少しずつでも対応のために時間やコストをかけておかなければ、いざ必要となった時に対応できなくなる可能性が高いです。まずは統合的なセキュリティ対策が可能なソフトを導入し、現時点における最新のセキュリティ基盤を手に入れましょう。そして、統合的なセキュリティ対策が可能なソフトに基づいて、セキュリティ体制の構築、業務プロセスの改善を行うことをおすすめします。
まとめ:NIST SP800-171自体もセキュリティの指標の一つと考えよう!
今回はNIST SP800-171に関する基礎知識、国際基準に準拠するために必要な基盤や体制、そして国際基準に準拠し、対応できる基盤や体制の整え方についてお話しました。国際基準に準拠できるセキュリティ体制を構築しておかなければ、将来的にグローバルなサービス展開をしない場合でも、間接的に取引やサービス展開に支障が出ることも考えられます。また、NIST SP800-171だけでなく、他の指標や基準についても対応できる基盤・体制を整えておかなくては、結局の所、既知・未知問わず、サイバー攻撃の脅威・リスク・被害から逃れることはできません。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、国際基準に準拠し、対応できる基盤や体制が整えやすくなります。日々、進化する未知のサイバー攻撃による対策に不安を感じているのであれば、ぜひともこの機会にご相談、お問い合わせください。
