ITエンジニアのための勉強会・イベントレポート情報メディア

セキュリティの国際標準となる「NIST」を理解しておこう
lifehack

セキュリティの国際標準となる「NIST」を理解しておこう

2019.09.20

 
  • このエントリーをはてなブックマークに追加

セキュリティ関連用語としては、GDPRと並んで目にする機会が増えているNIST。アメリカの基準だから日本には関係ないとはいえません。おそらく、サイバーセキュリティの国際標準となるであろうNISTの概要を理解しておきましょう。

Misa

NISTについて説明できますか?

NISTを知らない方でも、アメリカの政府機関における中国製の通信機器の調達禁止措置はご存じでしょう。国防総省、連邦調達庁(GSA)、航空宇宙局(NASA)などの国防予算が適用される政府機関において、中国のハイテク企業5社の電気通信機器、ビデオ監視機器とそれに関連するサービスの調達、取得、または契約の延長、更新を禁止する規則が発表されました。中国側の激しい反発や渦中の中国企業役員の身柄拘束など、記憶に新しいと思います。

2019年8月13日から施行された米国防権限法に基づき、政府機関の調達から中国5社製の電子機器が一斉に締め出されました。さらに2020年8月以降は、5社の機器を使用した企業はアメリカ政府との取引が認められなくなります。

NISTはアメリカの国立標準技術研究所の略称であり、そのNISTが定めた政府調達の要件「NIST SP800-171」こそ、昨今話題になっているセキュリティの基準です。アメリカの政府機関と取引する企業に対して、アメリカ政府が定めたセキュリティ基準への準拠を求めるガイドラインと考えるとわかりやすいでしょう。具体的には、CUIと呼ばれる保全が必要な情報(Controlled Unclassified Information)を取り扱う際に、調達先企業などが遵守すべき14分野109項目にわたるセキュリティ要件を示しています。



日本国内でも求められるNIST対応

NIST SP800-171はアメリカ政府の取引先を対象とするガイドラインですが、政府機関と直接取引のない部品の供給先や委託先も、サプライチェーンの一環として遵守を求められる可能性があります。たとえば、“孫孫請け”などの商流的には遠い立場の会社であっても、NIST SP800-171の基準を満たすパソコンやITシステムを導入することが求められます。

さらには、それらを納入するための物流まで対象となり、アメリカの物流大手は対応を進めているということです。日本国内でも、防衛省と取引がある約9,000社の企業は、2019年以降、NIST SP800-171と同等のセキュリティレベルを求められると見られ、そこから他分野にも広がっていくと考えられています。

後戻りできないグローバル化

CUIは、その情報自体は機密情報ではなくても、広範囲に集めれば機密を特定しうる可能性がある情報まで含まれ、“アメリカによって定義される”重要情報です。アメリカ政府が持つ情報だけでなく、民間企業が自社業務の範囲内で生成し、保持している情報も含まれます。企業側の意図とは無関係に、アメリカ政府によって「CUIである」と定義される可能性があるのです。実際にアメリカでCUIと定義された情報の中には、ヘルスケア企業が持つ個人情報、自動車メーカーの自動走行テストのデータ、通信事業における基地局の通信データなどが含まれていました。

NIST SP800-171は、グローバル展開する企業にとっては、GDPR(EU一般データ保護規則)と並ぶ重要なサイバーセキュリティ対策の指標です。グローバル展開をしている企業だけでなく、日本国内にしか拠点をもたない企業でも、グローバル企業のサプライチェーンの一環としての事業があれば、いずれは、国際的なセキュリティ標準への対応は避けられなくなります。

日本国内のセキュリティ意識は諸外国と比較すると緩やかであるといわれていますが、サイバーセキュリティをIT基盤の最も重要なファクターのひとつとして意識していく必要があります。

原稿:Misa
ITベンチャーで企画、人材開発、広報などを経て独立。現在はコンサルタント、ときどきライター。ライターとしては、IT系以外、アニメ・マンガ、車から美容・健康まで何でもチャレンジ中。

セキュリティの国際標準となる「NIST」を理解しておこう

この記事はどうでしたか?

おすすめの記事

キャリアを考える

BACK TO TOP ∧

FOLLOW