知っておきたいセキュリティの話

NIST SP800-171に関する情報サイト

このサイトでは、これからIT化を推し進める企業のためにNISTおよびSP800-171について紹介します。
働き方改革をするためには、企業内のIT化を進めて業務を効率化する必要があるのです。
しかしIT化を進めるうえで、企業が注意しなければならないのが悪意ある第3者からの介入になります。
悪意ある第3者は企業の情報を盗むことで、自身の利益にすることを目的としてハッキングすることです。
一度でもハッキングを許せば大損害を被ることになるので、それを未然に防ぐために用いるのがセキュリティーサービスになります。

NISTとSP800-171って?知っておきたいサイバーセキュリティの基礎知識

NISTとSP800-171って?知っておきたいサイバーセキュリティの基礎知識 NISTとSP800-171は、世界の経済の中心となっているアメリカ政府機関が企業に対して求めるガイドラインになります。
経済の中心地となっているアメリカは最先端の技術がそろう場所でもありますが、その場所ゆえに他国からのハッキング被害が年に10万件以上の頻度で起きています。
一度でもハッキングを許せば信頼性が著しく落ちてしまうため、経済への影響を考えて考案されたのがNISTとSP800-171という仕組みです。
このNISTとSP800-171では契約した企業だけでなく、その契約した企業の関連企業も含めてセキュリティを構築するのが特徴になります。
提携した企業と関係するすべての企業のサイバーセキュリティを万全にすることで、ハッキングに恐れることなく円滑な運営が可能になるのです。

SP800-171はNISTが策定したガイドライン

SP800-171はNISTが策定したガイドライン SP800-171は、アメリカ国防総省が各国の企業に対して準拠を求めるガイドラインです。
NISTこと米国標準技術研究所が策定したもので、アメリカのサイバー対策の一環として定められています。
重要な情報が日夜を問わずに飛び交う現代社会においてNISTによるガイドラインの策定は当然のものであり、アメリカにとっては自国の重要な情報を守る大切な手段となっています。
アメリカがガイドラインとしてSP800-171の策定に乗り出したきっかけのひとつは、重要な情報が漏洩したスノーデン事件でしょう。
アメリカの安全保障を揺るがした事件によって作られたSP800-171は、アメリカだけではなくヨーロッパやアジア、アフリカなどの各国にも向けられています。
システムへのセキュリティ対策や情報システムの構築など企業がやるべき案件は多数あり、多くの企業はシステムセキュリティを引き上げる必要があります。
ガバナンス体制の確立、システム通信の保護など、企業にとってはシステム面を強化するための基準ともなるでしょう。
求められた準拠に達しない場合は取引の対象外となってしまうため、アメリカと取引をしている企業にとっては必須ともいえる対策です。

NISTのSP800-171とは業務委託先に関するガイドライン

米国標準技術研究所NISTのSP800-171は、セキュリティに関わる人であれば一度は目にしたことがあるのではないでしょうか。
これはNISTが定めるセキュリティ基準のガイドラインのことで、日本では連邦政府外のシステムと組織における管理された非格付け情報の保護と訳されます。連邦政府が扱う一般情報の一部を保護すべき情報として、ガイドラインの制定が行われ発行さされています。
このガイドラインのは、米国内のみならず全世界の取引先を対象に、米国防総省が準拠を求めています。日本も2019年に防衛省がガイドラインの内容に相当する、セキュリティ要求事項の調達基準に盛り込んでいるほどです。NISTのSP800-171は業務委託先や、関連する企業が守るべきものです。
軽視したり準拠しないと、今後米政府に関係する取引ができなくなったり、取引先の候補から外されてしまう恐れがあるので、米国市場からの締め出しを食らわないない為にも内容を確認して速やかに対応する必要があるのではないでしょうか。

NIST SP800-171におけるサプライチェーン

2017年に防衛産業の機密情報などが約四カ月にわたって他者に流出させられていたことを受けて、NIST SP800-171という新しいガイドラインが設置されました。
このガイドラインによって防衛産業はあらゆるサイバーセキュリティ対策を講じることとなり、政府が推奨したセキュリティ基準を満たしていなければ調達から販売・供給にいたるまでの一切のサプライチェーンを行えないようになりました。
NIST SP800-171の目的は明白で、産業の重要情報が政府以外の情報システムや組織にあるときに、重要情報の機密性を保護するためにセキュリティ基準を要請します。重要情報が処理され、保存されたり送信されるときには、同レベルのセキュリティ保護が前提となりました。
こうすることによって防衛産業の販売や開発に至るまでのサプライチェーンを一貫して守ることになり、個人あるいは組織などへの情報流出を食い止めるというのが最大の特徴でしょう。

NISTのSP800-171とオーストラリア軍

NISTのSP800-171は、防衛産業において非常に重要なセキュリティ基準を設けているガイドラインとなっており、米国およびその同盟国の関連企業すべてに同レベルのセキュリティ水準を要請するものです。
このNISTのSP800-171が施行される前には、オーストラリア軍から防衛産業の情報を含むデータが流出しました。その内容は次期主力戦闘機の内容を含むもので、国家安全保障において非常に重大な事件として記録されています。
しかも、サイバー犯罪者に侵入されたことに約四カ月も気が付かなかったとされており、その間に流出した重要な情報量は多大なものとして認識されました。このことから、末端の業務委託から防衛産業システムにNISTを施行し、サイバーセキュリティ対策をより一層高めているのが現状です。
すべての関連企業にガイドラインが提示され、同じセキュリティ対策を施行しなければ一連のサプライチェーンを実施できないようになっています。

アメリカ政府機関や防衛産業との取引で必須!NISTのSP800-171

国際情勢の不安定化と緊張の高まりにより、防衛産業への関心が高まりつつあります。特に世界で最も厳格な基準を持つアメリカの政府機関NIST(米国国立標準技術研究所)が発行するセキュリティレポートSP800-171は、米政府調達CUI情報の取り扱いの基準を示していますが、実際は防衛産関連産業を中心に民間企業にも重視されています。
NISTが定める基準はあくまで最低限守るべき事柄や推奨しているセキュリティ基準であり、民間企業にも幅広く採用されていることからアメリカ国内での経済活動を展開するさいには必須の条件となっていると考えてよいでしょう。
導入する際にはSP800-171を理解した人材の採用や部署の設置に加えて、業務プロセス全体に適用させます。また第三者機関準拠認定により、実効性を角煮にしましょう。
アメリカの政府機関や防衛産業との取引を検討している場合は、NISTが定める基準を理解しておくとスムーズな事業展開を目指せます。

NIST SP800-171の国際標準化について

重要な防衛産業の情報が流出した過去の出来事から、NIST SP800-171という新しいセキュリティガイドラインが施行されました。
NIST SP800-171はアメリカと取引をしている全世界の企業に対して要求しており、アメリカ国防省と取引をする企業はセキュリティガイドラインに記載された基準を合格していなければなりません。当初はアメリカとその関連企業のみでしたが、主要国でも追随する動きが始まっています。
国際標準化することによって、同盟国や友好国と共同開発を行ったり、その国家への供給や販売を行ううえでの一連のサプライチェーンにおける情報を強度に守ることができるでしょう。国際標準化にともなって、ヨーロッパでは2018年に同基準に沿う法案が制定されました。
日本でも2019年から防衛省において、同セキュリティガイドラインの同程度の調達基準の試行導入がスタートしています。国家安全保障に関わる案件であるため、早期の浸透が求められています。

NIST SP800-171の最新情報をもっと

NIST SP800-171

copyright (C) 2021 知っておきたいセキュリティの話. All Reserved.