NIST SP800って、すごい!?

@Essence

はじめに

NISTは、アメリカの国立標準技術研究所です。
英語では、National Institute of Standards and Technology 略して、 NIST です。
この名前だけでも、アメリカ連保政府関連の研究所であることを察することが出来ると考えています。

National Institute of Standards and Technology (nist.gov)

NIST Site

NISTの詳細は、Wikipedia 等に紹介されていますので、割愛しますが、NISTの中に幾つかの研究所があります。
その中で、情報技術研究所が存在し、その活動の一つとして、サイバーセキュリティに関する出版物:SP800 シリーズや Cyber Security Framework などがあります。
私もSP800シリーズ の出版物に日々勉強させて頂いています。
読み進めていくと、「よくもまぁ、こんなに上手くまとめているなぁ~!」と感心しきりです。一言でいえば、「すごい!」です。
とは言え、原文に使われている言語は当然、英語です。
中には翻訳されている出版物もありますが、日本語と英語の意味の違いにぶつかることも多々あります。
また、情報セキュリティ関連と言う事情もあり、取っ付き難いのは、周囲の反応を見ていて理解できます。
そこで、可能な限り、分かりやすく書ければと考えていますし、それが、日々セキュリティに取り組んでいる皆さんの一助になればと、書いてみることにしました。

SP800 シリーズ 出版物は、アメリカ連邦政府の情報セキュリティに関する指針であるFederal Information Security Modernization Act(FISMA)に基づいて、策定された情報セキュリティに関する一連のガイドラインであり、情報セキュリティの専門家や情報システム管理者、セキュリティ担当者に向けた重要なリソースです。
ISO27001:ISMSやCISなど、主要な規格やガイドラインを参照していたりします。

基本軸として、日本で情報セキュリティに携わる皆さんも、ご存じである SP800-171 を柱として、それに関わる他のSP800 シリーズについても書ければと考えています。

SP800-171

SP800-171 のタイトルは、「Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」です。

SP 800-171 Rev. 2, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | CSRC (nist.gov)

NIST SP 800-171 Rev. 2 Page

日本語で直訳すると、「非連邦政府のシステム及び組織内の管理された機密扱いされない情報の保護」です。
なんのこっちゃ!です。
私個人、英語が得意ではなく、スラスラ原文を読めるわけではありませんが、最初に、このタイトルを見て、ここから躓きました。
苦労の末、私の主観的な解釈の結果、「民間企業のシステム及び組織内の管理された重要情報の保護」と読み解きました。
「 Unclassified 」は、「機密扱いされていない」と訳すことができますが、民間企業の機密扱いされていない情報とすると、訳が変になります。

  • 民間企業にも企業としての機密扱いは存在する

  • 直訳タイトルでは、SP180-171の中身と不釣り合いになる

  • そもそもアメリカ連邦政府視点の「国家機密扱いではない」

こうした観点から、民間企業で国家機密を扱うケースは、少ない事と、民間企業にとって経営、事業に影響を及ぼす情報と言う意味で重要情報としました。
企業機密としても良かったですが、「Unclassified」としている事もあり、独断で「重要情報」です。ご理解ください。

また、SP800-171 単独でのガイドラインではなく、SP800-53: 「Security and Privacy Control for Information Systems and Organizations」と関係性を持っています。SP800-53は、アメリカ連邦政府向け、要は国家機密情報取り扱い「Classified」のガイドラインです。

そもそも「重要情報」って何?

所属する企業のメンバーから、「重要情報とは何ですか?」と、質問されます。
インターネット上の国内外サイトで、重要情報の定義を探すと、なかなか、そうした定義は見つかりませんでした。そうないのです。業種業態毎に重要情報の種類は違うため、明確な定義はないのです。
しかし、民間企業に限定した上で解釈するならば、「企業利益または個人、組織の合法的権益が脅かされる情報」となるでしょうか。
それを定義する事自体が大変であるとも言われています。
例えば、経済産業省の「秘密情報の保護ハンドブック~企業価値向上に向けて」によると重要情報と言う言葉ではありませんが、企業の事業活動において、その企業の競争力を維持・向上させるために必要な情報であり、漏えいすることによって、企業の経営に重大な影響を与える可能性がある情報のことされています。

営業秘密~営業秘密を守り活用する~ (METI/経済産業省)

経済産業省

重要情報の種類などは、別にして、企業にとって、どういう位置づけの情報であるか理解はできたと考えています。

この出版物を取り巻く背景

この出版物の目的は、「重要情報の機密性を保護するための推奨セキュリティ要件を連邦機関に提供することである 」です。
「それならば、日本は関係ないよね。」と言われそうですが、そうでもありません。
日本国においても経済産業省、総務省、防衛装備庁などの政府機関が、NIST のSP800 などを参考に、ガイドラインの発行や取り組みをしています。
具体的な例として、NIST SP 800-171は、防衛省防衛装備庁のサイバーセキュリティ調達基準の元となったと言われており、2023年度からの適用となっています。
やはり、民間企業に関係ないと思われそうですが、先述の「調達基準」とあるように、防衛装備庁の調達先は、民間企業であり、基準を満たす情報セキュリティ対策、活動が求められます。

防衛装備庁 : 防衛産業サイバーセキュリティ基準の整備について (mod.go.jp)

防衛装備庁

サイバー脅威が、企業経営のリスクの一つと認識される世の中になってきている中で、世界動向としても、情報セキュリティ対策、活動がされていない企業は、今後、調達先としないなどの動きが出てきているそうです。

なぜ、NIST SP800-171が必要なのか?

個人的な見解ですが、NIST SP800 シリーズ全般に、各種業界標準、団体などの知見や規程などを含め、研究し、まとめられた出版物であると判断しています。
そうした事を含め、次のことが企業に価値を与えると考えています。

  • 業界標準への適合: NIST SP800-171は、情報セキュリティのための各種業界標準や団体の知見等を参考に研究され、まとめられたガイドラインの一つであり、これに適合していくことでセキュリティベストプラクティスに準拠しやすくなる

  • 市場競争力の向上: NIST SP800-171の情報セキュリティ要件に対応、適合することで、将来的に、企業間取引において情報セキュリティ対策、活動の証明が必要となった場合、お客様や取引先企業、パートナーからの信頼を築き、市場競争力を向上させる要因となる

  • データ保護と法的リスク緩和: NIST SP800-171は、重要情報の適切な保護に焦点を当てており、企業は個人情報や知的財産、顧客情報、技術情報などの重要な情報を保護し、情報漏洩による法的リスクの軽減を可能となる。情報の適切な管理は、企業の信頼性を高め、法的トラブルを回避するのに役立つ

  • サイバー脅威への対応: 近年、サイバー脅威がますます拡大、増加している中で、NIST SP800-171は、企業がこれらの新たな脅威に対応し、データやシステムを保護するための方向性を示唆、推奨している。これにより、企業は情報セキュリティ対策、活動を進化させ、攻撃に対する備えを整えられる

どれも、直接的な利益に直結するものではありませんが、日本が、世界から賞賛されている品質などと同様に、安心安全といった見えない価値を作り上げることになると考えています。

今回は、導入部の事もあり、文字ばかりになりましたが、次回以降は必要な部分で適宜、図表等入れられればと考えています。
次回は、NIST SP800-171の構造について書ければと考えています。

この記事が気に入ったらサポートをしてみませんか?