TOUCH THE SECURITY Powered by Security Service G

コラム

2019.01.08

日本企業も直面、米政府が力を入れる「NIST SP800-171」への対策

前回、このコラムでは、欧州で2018年5月から始まった「GDPR(General Data Protection Regulation=EU一般データ保護規則)」について書いた。

GDPRは、EU(欧州連合)とEEA(欧州経済領域)での、個人データ保護を目的とした規制であり、その域内でデータを取扱う日本企業にも遵守が求められるものだ。ならばほかの地域ならこうした大々的な規制はなく自由にビジネスを行えるのか、と聞かれれば、もちろんそんなことはない。情報を取扱う際の規制の強化は、何も欧州だけで行われているわけではないからだ。

実は少し前から、欧州地域と並んで規制の強化で注目されている国がある。米国である。

米国では、NIST(米国標準技術研究所)による、「Special Publication 800-171」というガイドラインが2018年1月から広く導入されている。このガイドラインについて、もしかしたらあまり聞いたことがないという人も少なくないかも知れない。

そこで今回は米国に焦点を移し、日本にも影響を及ぼすことになりそうなこの米国のガイドラインについて、改めて見ていきたい。さらにこの問題意識こそが、最近の米政府による中国電子機器企業への排除の動きにも関わっているのだが、日本がそれについてどう対処すべきかにも言及したい。

NIST(米国標準技術研究所)は、米国における様々な産業や技術の規格標準化を推進する機関。
本サイトの読者においては、「脆弱性データベース(NVD)」の提供元としても認識があるのではないだろうか。

NIST SP800-171 (Special Publication 800-171)

まずこの「NIST Special Publication 800-171」とは一体どんなガイドラインなのか。

このガイドラインは、基本的に、「保全が必要な情報(Controlled Unclassified Information=CUI)」を扱う際に、企業が遵守すべきセキュリティ基準を設けている。ではこのCUIとはどんな情報なのかというと、米政府の定義によれば、「機密扱いではないが、適用法や規制、政府の政策に沿って、保護したり、広く知れ渡るのを抑制する必要がある情報」を指す。つまり、極秘の機密情報ではないが、取り扱いに注意が必要な情報のことを言い、社会保障番号や住所、健康情報や金融関連の情報などが含まれる。

そして連邦政府のシステムの外で、民間企業などがCUIを記録したり利用する際には、このガイドラインに従う必要があるとしている。

米国防総省は2017年末までに、同省と取引きをする企業すべてにこの「NIST Special Publication 800-171」を遵守するよう義務化した。それができなければ、契約解除をするとも警告したのである。しかも、国防総省と直に契約している企業やその下請けだけでなく、政府のデータに触れる企業すべてに適用されることになっている。

NIST SP800-171が企業に求めるもの

「NIST Special Publication 800-171」は、例えば次のような技術的要件を企業側に定めている。

  • 権限を与えられた人たちのみにアクセスを許可すること
  • 「ログイン失敗」を規制する
  • 組織内のコミュニケーションをコントロール・監視すること
  • プロジェクトが終わった後のファイルにアクセスできないようアクセス期限を設定すること
  • データの移動と保存における暗号化
  • ソフトウェアのホワイトリスト化とブラックリスト化
  • 多元的認証が必要

こうした要件は、もしかしたら、セキュリティ意識の高い企業ならすでに導入しているセキュリティ対策かもしれない。ただここで紹介した以上に、細かく多岐にわたって要件がリストアップされている。

また、このセキュリティ強化の対象は米国内の企業にとどまらない。日本企業ももちろん、対象になるのである。

サプライチェーンとして広範囲の企業が準拠を迫られる可能性

まず真っ先に対象となるのは、米国防総省とも関連が深い防衛分野だ。

米国防総省と深い取引きを行う、日本の防衛省と関わる企業にもこのガイドラインの要件が求められることになる。すでに述べた通り、NISTの基準は下請けや孫請けなどにも適応されるため、直接、米国防総省や防衛省とは直接の取引はないがサプライチェーンの中などで関わりのある企業なども、この対象になってしまうだろう。

また日本の防衛省は2018年、防衛のための装備品などの調達において、この「NIST Special Publication 800-171」と同等の基準を設けることを決定している。これにより、防衛省に関わる多くの日本企業が、この基準の対象になってしまう。かなりの数の企業が、セキュリティ強化を求められることになり、それが満たせなければ、防衛省などの関連事業には携わることが許されなくなるだろう。

この「NIST Special Publication 800-171」は、当面、防衛産業で仕事をする企業が対象になるが、今後、インフラ産業から自動車、農業分野にも拡大されていくことになるという。そうなれば、日本でもさらに様々な分野で幅広く対応が求められることになるはずだ。今後のことも考えると、早急に対策の検討に乗り出すのが賢明だと言えそうだ。

米国政府が求める強固なセキュリティとその背景

米国では最近特に、こうしたセキュリティ意識がこれまで以上に高まっている。そして米国にとって敵対するような相手には容赦ない強硬な対応に乗り出している。

例えば、中国企業の排除だ。象徴的なケースは、中国の通信機器大手・華為技術(ファーウェイ)や中興通訊(ZTE)にまつわる騒動だろう。昨年12月1日、カナダ司法省がファーウェイの副会長で最高財務責任者(CFO)である孟晩舟氏を逮捕した事件は記憶に新しい。カナダ当局は、米国が経済制裁を科すイランに製品を違法に輸出したとして、米当局の要請を受ける形で逮捕に踏み切ったのだが、その背景には、米政府機関や次世代の通信規格である5G(第5世代移動通信システム)の市場などからファーウェイを締め出す目論見がある。

事実、米連邦議会は2012年に、ファーウェイが中国のスパイ活動に手を貸しており、「安全保障への脅威」と指摘、2014年になると米政府機関で同社の製品を使うことが禁止された。また、2018年2月にも、CIA(米中央情報局)やFBI(米連邦捜査局)など6つの情報機関の幹部が連名で、中国政府はファーウェイの製品を使うことで「悪意を持って情報を操作または盗むことができ、こちらが気づかないままにスパイ活動を実行できる」と主張し、同年8月には国防権限法で米政府だけでなく取引企業にも、ファーウェイとZTEの使用禁止を決めている。

2018年12月1日、米国のイラン制裁措置に関する容疑によって、カナダで拘束されるファーウェイCFO 孟 晩舟(もう ばんしゅう)氏。
中国当局は報復ともとれるタイミングでカナダ元外交管を拘束するなど、対立ムードは増々高まる。
Office of the President of Russia [CC BY 4.0], via Wikimedia Commons

このケースはスパイ行為や政治的な思惑などが絡んでいるため大きな騒動になっているのだが、「NIST Special Publication 800-171」ではここまで派手な「排除」などのケースはないかもしれない。ただ結果的には、この基準を守れなければ、中国系企業と同じように米政府関係の仕事から日本企業が締め出されてしまう可能性はある。

米国ではこれまで、知的財産や機密情報などを大量に搾取されてきた歴史がある。米軍関係ネットワークがハッキングされたり、2016年には大統領選挙で政党の内部情報が盗まれて流出する事件もあった。特に衝撃的だったのは、2015年に米政府機関の職員や元職員、家族など約2150万人分の個人情報が米人事管理局(OPM)から盗まれた件だ。米諜報機関に就職する際に調査される、交友関係なども含む非常にプライベートな情報までも大量に抜かれていたという。こうした事案は国家の安全保障にも重大な影響を与えるため、米国内では政府による強固なセキュリティ対策が求められていた。

ちなみにファーウェイについては、オーストラリアなどもすでに政府での使用を禁止にしている。今後、5GやIoT(モノのインターネット)の機器など、安価な中国製品が世界に広がりつつあるなか、米国によるさらに強硬な措置が実施される可能性はある。それに伴って、同盟国も「NIST Special Publication 800-171」では済まないような対応を迫られることもあるだろう。サイバー空間のこうした動きは、今後さらに慌ただしくなっていくはずだ。

米シリコンバレーと並び、世界のハイテク市場を牽引する深セン市に位置するファーウェイの本社。
Brücke-Osteuropa [Public domain], from Wikimedia Commons

更なる改訂の動き

「NIST Special Publication 800-171」は2019年3月に、改訂版が発表されるという。そこでは現在の基準以上にさらに具体的な要件が含まれる可能性が指摘されている。ということは、新たなバージョンが発表されるために、日本企業などもそれに従ってセキュリティ対策などを実施していく必要性が出てくるということだ。引き続き、米国の動きは要チェックである。

GDPRへの対策だけでなく、米国のNISTへの対策にも迫られる日本。国内でうかうかしていると、知らぬ間に遠方で行われていると思っていた規制強化によって足元をすくわれることになりかねない。もちろん、ビジネスができなくなる可能性があるのだから、知らなかったでは済まされない。そうならないためにも、情報収集や適切な対応が急務だと言えよう。

記事一覧に戻る