TOUCH THE SECURITY Powered by Security Service G

コラム

2022.10.24

NIST Special Publication 800-171とは?日本企業に求められる対策を解説!

突然ですが、GDPRという言葉をご存じでしょうか。GDPR(General Data Protection Regulation)とは、「一般データ保護規則」ともいい、EU(欧州連合)とEEA(欧州経済領域)での、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことです。

このGDPRは欧州地域だけに適用される法令ですが、実は米国も欧州地域と並んで規制の強化で注目されています。

米国では、NIST(米国標準技術研究所)による、「Special Publication 800-171」というガイドラインが2018年1月から広く導入されています。このガイドラインについて訊いたことがある方もいるのではないでしょうか。

本記事ではNISTによるガイドラインについて概要や、日本にどのような影響があるのかについてご紹介していきたいと思います。

NIST(米国標準技術研究所)は、米国における様々な産業や技術の規格標準化を推進する機関。
本サイトの読者においては、「脆弱性データベース(NVD)」の提供元としても認識があるのではないでしょうか。

NIST Special Publication 800-171とは?

そもそもNIST Special Publication 800-171とはどのようなガイドラインなのでしょうか。

NIST Special Publication 800-171は米国の政府機関によるセキュリティのガイドラインです。政府機関だけでなく、取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっています。

ガイドラインは基本的に、「保全が必要な情報(Controlled Unclassified Information=CUI)」を扱う際に、企業が遵守すべきセキュリティ基準を設けています。CUIとは米国政府によると、「機密扱いではないが、適用法や規制、政府の政策に沿って、保護したり、広く知れ渡るのを抑制する必要がある情報」のことです。つまり、極秘の機密情報ではないが、取り扱いに注意が必要な情報であるといえます。社会保障番号や住所、金融関連の情報などが含まれます。

連邦政府のシステムの外で、民間企業などがCUIを記録したり利用する際には、このガイドラインに従う必要があります。

米国防総省は2017年末までに、同省と取引きをする企業すべてにこの「NIST Special Publication 800-171」を遵守するよう義務化しました。遵守ができなければ、契約解除をするとも警告し、国防総省と直に契約している企業やその下請けだけでなく、政府のデータに触れる企業すべてに適用されることになっています。

NIST Special Publication 800-171が企業に求めるもの

NIST Special Publication 800-171はガイドラインの中で次のような技術的要件を企業側に定めています。

  • 権限を与えられた人たちのみにアクセスを許可すること
  • 「ログイン失敗」を規制する
  • 組織内のコミュニケーションをコントロール・監視すること
  • プロジェクトが終わった後のファイルにアクセスできないようアクセス期限を設定すること
  • データの移動と保存における暗号化
  • ソフトウェアのホワイトリスト化とブラックリスト化
  • 多元的認証が必要

これらの要件は、ガイドラインに示されている一部であり、実際には上記で紹介した以上に細かく要件がリストアップされています。また、これらのセキュリティ強化の対象は米国内の企業にとどまらず、日本企業も対象になります。

NIST Special Publication 800-171が広範囲の企業に準拠を迫る可能性

ガイドラインの対象として最初に挙げられるのは、米国防総省とも関連が深い防衛分野です。

米国防総省と深い取引を行う、日本の防衛省と関わる企業にもこのガイドラインの要件が求められることになります。先述した通り、NISTの基準は下請けや孫請けなどにも適応されるため、直接、米国防総省や防衛省とは直接の取引はないがサプライチェーンの中などで関わりのある企業なども、この対象になってしまうでしょう。

また日本の防衛省は2018年、防衛のための装備品などの調達において、この「NIST Special Publication 800-171」と同等の基準を設けることを決定しています。これにより、防衛省に関わる多くの日本企業が、この基準の対象になり、かなりの数の企業が、セキュリティ強化を求められることになると予想されます。

米国政府が求める強固なセキュリティ

米国ではこのようなセキュリティ意識が高まっています。例えば、中国企業の排除です。昨年12月1日、カナダ司法省が中国の通信機器大手・華為技術(ファーウェイ)の副会長で最高財務責任者(CFO)である孟晩舟氏を逮捕した事件をご存じでしょうか。カナダ当局は、米国が経済制裁を科すイランに製品を違法に輸出したとして、米当局の要請を受ける形で逮捕に踏み切りましたが、その背景には、米政府機関や次世代の通信規格である5G(第5世代移動通信システム)の市場などからファーウェイを締め出す目論見がありました。

事実、米連邦議会は2012年に、ファーウェイが中国のスパイ活動に手を貸しており、「安全保障への脅威」と指摘し、2014年になると米政府機関で同社の製品を使うことが禁止されました。また、2018年2月にも、CIA(米中央情報局)やFBI(米連邦捜査局)など6つの情報機関の幹部が連名で、中国政府はファーウェイの製品を使うことで「悪意を持って情報を操作または盗むことができ、こちらが気づかないままにスパイ活動を実行できる」と主張し、同年8月には国防権限法で米政府だけでなく取引企業にも、ファーウェイと中興通訊(ZTE)の使用禁止を決めています。

2018年12月1日、米国のイラン制裁措置に関する容疑によって、カナダで拘束されるファーウェイCFO 孟 晩舟(もう ばんしゅう)氏。
中国当局は報復ともとれるタイミングでカナダ元外交管を拘束するなど、対立ムードは増々高まる。
Office of the President of Russia [CC BY 4.0], via Wikimedia Commons

米国はこれまで、知的財産や機密情報などを大量に搾取されてきました。米軍関係ネットワークがハッキングされたり、2016年には大統領選挙で政党の内部情報が盗まれて流出する事件もありました。

特に衝撃的だったのは、2015年に米政府機関の職員や元職員、家族など約2150万人分の個人情報が米人事管理局(OPM)から盗まれた事件です。米諜報機関に就職する際に調査されたり、交友関係なども含む非常にプライベートな情報までも大量に抜かれていたりしたそうです。こうした事案は国家の安全保障にも重大な影響を与えるため、米国内では政府による強固なセキュリティ対策が求められてきました。

米シリコンバレーと並び、世界のハイテク市場を牽引する深セン市に位置するファーウェイの本社。
Brücke-Osteuropa [Public domain], from Wikimedia Commons

NIST Special Publication 800-171の改訂の動き

NIST Special Publication 800-171は2019年3月に改訂版が発表されました。改訂後のガイドラインでは今までの基準以上にさらに具体的な要件が含まれる可能性があります。日本企業は新しいガイドラインに沿ってセキュリティ対策をしていく必要があり、引き続き米国のセキュリティ強化の動きをチェックしなければなりません。

日本企業はGDPRだけでなく、NISTの対策も求められています。日々強化されるガイドラインに従ってビジネスを行っていくためには、日ごろから情報収集や適切な対応が重要です。

記事一覧に戻る