NIST SP800-171とは、米国立標準技術研究所(National Institute of Standards and Technology。以下、NIST)が発行するセキュリティガイドラインの一つである。
これはCUI(Controlled Unclassified Information:以下、CUI)[i]と呼ばれる「保護対象となる非秘密情報」を扱う情報システムに対するセキュリティ管理策(以下、管理策)をまとめたガイドラインであり、主に防衛関連案件の調達要件としてその準拠が要求されていることから、北米や日本などの防衛産業を中心に利用されている。
NIST SP800-171は、2016年5月に初版が発行され、2020年2月にRev2に更新、そして2024年5月14日にRev3が発行された。[ii]Rev3では管理策が追加され、既存の管理策に対しては表現の変更や管理策の統廃合などが施されている。
本ブログでは、主にNIST SP800-171 Rev3の変更点の解説を行い、加えてNIST SP800-171の関連文書の改訂状況を併せて解説する。
続く2章ではNIST SP800-171の基本的な事項を解説しているため、既にNIST SP800-171 Rev1やRev2の内容を把握されている方は「3章NIST SP800-171Rev2からRev3への変更点」以降を参照いただきたい。
NIST SP800-171とは?
NIST SP800-171はCUIと指定された情報を取り扱う情報システムに対するセキュリティ管理策をまとめたガイドラインである。NIST SP800-53から一部の管理策を抜粋し作成されている。
アメリカ合衆国国防総省(Department of Defense:以下、DoD)の調達要件(DFARS 252.204-7012)[iii]にNIST SP800-171準拠が明記されたため、2017年12月以降は、DoDの請負企業(下請企業含む)がCUIを取り扱う場合において、NIST SP800-171に準拠する必要がある。
NIST SP800-171と関連する規則/ガイドラインのタイムライン
NIST SP800-171が注目される理由
NIST SP800-171は、先に述べた通りCUIを取り扱うサプライチェーン上の請負企業及び下請企業がこれに準拠する必要がある。この調達要件は米国から見た海外企業、つまり日本国内の企業であっても適用されるものであり、高い水準のセキュリティ対策を要求されることから、日本においても注目されることとなった。
さらに近年では、防衛装備庁が2023年5月にNIST SP800-171を参考に「防衛産業サイバーセキュリティ基準」[iv]を策定したことや、「政府機関等のサイバーセキュリティ対策のための統一基準群」の令和5年度改定でもNIST SP800-171を参考とした管理策が追加されるなど、防衛産業に限らず他の領域に影響を与えていることも注目度を高めている要因といえる。
【解説】政府機関等のサイバーセキュリティ対策のための統一基準群|令和5年度版の改定ポイント
また、その注目度や要求水準の高さから、防衛産業に関係のない企業においても、自社のセキュリティ水準の到達目標として自主的に準拠し、対応を公表している企業も出てきている。
NIST SP800-171の適用範囲イメージ
NIST SP800-171が保護対象とする「CUI」とは?
CUI は「Controlled Unclassified Information」の頭文字を取った略語であり、「保護対象となる非秘密情報」とされている。具体的には、極秘や機密、秘密ではないが、管理すべき重要な情報(例:防衛産業の製品仕様書やテスト項目など)が該当する。
どのような情報がCUIに該当するかは、アメリカ国立公文書記録管理局[v]がカテゴリを公開しており、軍事・防衛関連の研究データ、移民データ、プライバシーデータ(健康情報などの個人情報)などが該当することが確認できる。なお、個別案件におけるCUIの詳細な定義はDoD等の調達要求元が契約ごとにCUI有無とその対象を指定するため、注意が必要である。
CUIの情報区分とアメリカ国立公文書記録管理局におけるCUI定義例
※アメリカ国立公文書記録管理局HPを基にNRIセキュアにて作成
NIST SP800-171の準拠方法
「NIST SP800-171が保護対象とする「CUI」とは?」で記載した通り、NIST SP800-171の管理策は原則として、全ての管理策に対して準拠する必要があるが、準拠の証明は「自己宣言」方式をとっている。一方、DoDからはNIST SP800-171に準拠する企業に対する監査に関するドキュメント[vi]を公開しており、取引先によっては、DoDもしくは関連組織から監査を受ける可能性がある。
「自己宣言」や「外部機関の監査」のいずれの場合においても、準拠状況を証明する方法として、セキュリティ計画書(SSP:System Security Plan)と実施計画(PoAM: Plan of Action and Milestones)の作成が要求されており、これらドキュメントに記載すべき内容は以下の通り。なお、SSPのテンプレートはNISTから公開されている。
NIST SP800-171準拠時に提示するドキュメントと内容
|
ドキュメント |
記載すべき内容 |
|
セキュリティ計画書 |
管理策の対応状況(準拠/未準拠) |
|
実施計画 |
未準拠の管理策に対する実装予定(内容や時期等) |
前述のとおり、すべての管理策の準拠を要求されているが、未準拠の管理策が存在しても実施計画を提出することで、即時の契約停止(または調達先リストからの除名)は回避可能となっている。
NIST SP800-171準拠フロー
NIST SP800-171を補完する関連文書
NIST SP800-171の管理策の内容は抽象度が高く、それ単体では実装まで落とし込むことが難しい。Rev3で記載内容の具体化が施されたが、それでも管理策の理解向上には関連文書の参照が推奨されている。
具体的には、NIST SP800-171のベースとなった「NIST SP800-53」[vii]の用語や管理策の詳解を見ることで対策内容を理解することができる。また、システムに対する実装方法の手引きとして「NIST handbook162」[viii]やアセッサー向けの「NIST SP800-171A」[ix]も存在する。
NIST SP800-171の位置づけイメージ
NIST SP800-171 Rev2からRev3への変更点
NIST SP800-171が改訂された理由として、「Rev2における管理策の記載内容が曖昧であること」、「引用元のNIST SP800-53の改訂」などの要因を受けて改訂に至ったことがFAQ[x]で公表されている。
【章構成にかかる変更】
Rev2で求められていたセキュリティ水準は維持しつつ、管理策全般が見直され、章構成は14章構成から17章構成へと変更されるなどNIST SP800-53の構成に合わせた章構成に修正が施されている。
NIST SP800-171のRev2とRev3への章項目の変更箇所
【管理策にかかる変更】
管理策は33件が撤回されているが、撤回された要件のほとんどが他の管理策へ再編されており、1つの管理策の中に複数の要求が記載されている。そのため、実態として実施すべき内容は増えている。
NIST SP800-171Rev3 変更概要
これ以降はRev2からRev3の更新点のうち、利用者に影響がある以下の4点を中心に解説していく。
- ①追加された追加された管理策
- ②管理策の重要な変更と組織定義パラメータの追加
- ③撤回された管理策
- ④NIST SP800-171Rev3公開と共に変更された他の文書
追加された管理策
今回の改訂で新たに追加された要件は19件あり、さらに分類すると「Rev2から存在する章に新規追加された要件」の11件と「新しい章項目として追加された要件」8件に分けられる。
Rev2から存在する章に新規追加された管理策
「Rev2から存在する章に追加された管理策」に該当する管理策の多くはNIST SP800-171Aにて既に言及していた内容であり、利用者に与える影響は少ないと考える。
既存の章項目に追加された要件一覧
新しい章項目として追加された管理策
「新しい章項目として追加された管理策」はRev2で言及されていなかった管理策であり、「3.15計画」「3.16システムとサービスの取得」「3.17 サプライチェーンリスクマネジメント」が追加されている。
新しい章項目として追加された要件一覧
これらの追加によって、NIST SP800-171 Rev3に準拠するシステム及びシステムコンポーネントまたはサービスに対するサプライチェーンのリスクを管理するための計画策定、リスクの特定、保護、軽減する対策の実施などが要求されている。
また、システムのコンポーネントが製造元のサポートを受けることができなくなった場合(例:サポート切れOSへの対応)や外部システムサービス向けなどの管理策が記載されている。
管理策の重要な変更と組織定義パラメータの追加
前述した「撤回された管理策」や「追加された管理策」の他、既存の管理策に対しても「管理策の重要な変更」、「組織定義パラメータ(ODP: Organization-Defined Parameters)の追加」の2つ観点で「重要な変更」が施されている。この2つの変更はNIST SP800-53 Rev5の表現を引用し、管理策の内容を具体化するために実施された。
管理策の重要な変更
「重要な変更」が施された管理策は46件あり、NIST SP800-53の表現を用いて要件が具体化され実施すべき内容が増えている。そのため、今までNIST SP800-171 Rev2に準拠していた企業においても、変更内容を確認する必要がある。
以下に代表例を記載するがシステムへのアクセス制御を要求する管理策に対し、「アクセス制御する対象の定義」「アクセス許可」「アクセスの監視」「アカウントの無効化条件への対応」「アカウント管理者への通知」を要求している。
このように重要な変更がされた管理策は「セキュリティ要件の定義~実装~運用」と一連のライフサイクルへの対応を要求しているため変更内容を確認する必要がある。
管理策の重要な変更がされた要件の例
組織定義パラメータ(ODP)の追加
今回の改定でNIST SP800-53でも使われていた「組織定義パラメータ(以下、ODP)」が導入された。これは自組織にて定義してよい内容が明文化されたものである。
パスワードを例に挙げると、「3.5.7パスワード管理」では「更新頻度」「構成要素(複雑性や桁数など)」がODPであり、これらは自組織にて定義して良いと明文化された。
組織定義パラメータが追加された要件の例
撤回された管理策
前述の通り撤回された管理策数は33件であるが、純粋に撤回された管理策は表中の2件だけである。その他31件の管理策は、別の管理策への統合や、既に類似要件がある管理策であり、完全に要件が撤回された訳ではない。
撤回された2件のうち注目すべきはパスワードに関する管理策であり、「3.5.8指定した世代数の間のパスワードの再利用を禁止」が撤回された。しかし、「3.5.7パスワードの定期的な更新」の管理策は残っているため、過去のパスワードの使いまわしが可能となったものの自組織にてパスワードの更新作業はする必要がある。
また、パスワードに関する管理策を見ると「パスワードの複雑性」「よく使用されるパスワードの禁止」「予想可能なパスワードの禁止」「侵害されたパスワードの禁止」が要求されており、依然として強固なパスワードの設定を要求していることから、撤回され要件によってNIST SP800-171が求めるセキュリティ水準が下がったわけではない。
他の管理策に組み込みされず撤回された管理策一覧
NIST SP800-171Rev3公開と共に変更された他の文書
NIST SP800-171の改訂に合わせて「NIST SP800-171A Rev3」と「Rev2からの変更点」「FAQ」などが公開された。NIST SP800-171Aがアセッサー向けの文書であることは依然として変わらず、元の管理策に合わせて確認項目などの更新が実施されている。
今後公開される文書としては、FAQの文書中にて「NIST SP800-171 Rev3とNIST CSF2.0とのマッピング」や「中小企業向けのNIST SP800-171Rev3のクイックスタートガイド」が2025年度の第一四半期までの公開を予定していることが宣言されている。
変更における影響と今後の動向
NIST SP800-171を引用している基準/規格/フレームワークへの影響
NIST SP800-171を引用している代表的な基準/規格/フレームワークとしては以下の3つがあげられるが、いずれにおいても本ブログ執筆時点ではNIST SP800-171 Rev3の適用に対して具体的な発表はない状況である。特にNIST SP800-171の準拠に最も関わりの深いDoDにおいては、本ブログ執筆時点では「当面の間は、Rev2を準拠対象とする」としており、防衛関連企業へのすぐの影響はないと考えられる。[ⅻ]
また、NIST SP800-171を引用している代表的な基準/規格/フレームワークとしては以下の3つがあげられるが、いずれにおいてもNIST SP800-171 Rev3の適用に対して具体的な発表はない状況である。
- ①DoD「調達基準(204.7012)」
- ②「CMMC 2.0」
- ③防衛装備庁「防衛産業サイバーセキュリティ基準」
NIST SP800-171を引用している基準/規格/フレームワークと改訂による影響
おわりに
今回のNIST SP800-171への改訂では、管理策の全面的な見直しが実施されたが、要求するセキュリティ水準は高く維持されている。よって、依然として機密性を非常に重要視しており、何よりも情報を漏洩させないことが継続して求められているという基本の考え方は変わっていない。
また、改訂による「追加管理策」や「管理策の具体化による実施すべきセキュリティ対策の増加」が存在するため、すでにNIST SP800-171 Rev2に準拠している企業であっても自動的にRev3に準拠できるわけではないことに注意が必要だ。
本ブログ執筆時点では、NIST SP800-171を引用している基準/規格/フレームワークがNIST SP800-171 Rev3に移行するとの情報は確認できていないが、近い将来にRev3の対応が必要とされることは十分に予想される。特に、現在NIST SP800-171 Rev2の準拠が要求されている企業や、準拠が要求される契約を今後結ぶ可能性のある企業においては、要求調達元とのコミュニケーションを活発化させ、急な対応に追われないよう最新の動向を確認することを推奨する。
なお、当社ではNIST SP800-171 Rev2 , Rev3 のいずれの準拠支援も提供可能であるため、NIST SP800-171への準拠が必要な場合はぜひお声がけいただきたい。
[i] CUI (Controlled Unclassified Information):「保護対象となる非秘密情報」であり極秘や機密、秘密ではないが、管理すべき重要な情報(例:防衛産業の製品仕様書やテスト項目など)が該当する。
[ii] NIST SP800-171Rev3は以下に公開されている。https://csrc.nist.gov/pubs/sp/800/171/r3/final
[iii] DoDの調達要件(DFARS 252.204-7012):DoDと取引のある企業に対する調達時の要求事項が記載されたもの。
https://www.acquisition.gov/dfars/252.204-7012-safeguarding-covered-defense-information-and-cyber-incident-reporting.
[iv] 防衛産業サイバーセキュリティ基準:2023年5月に日本の防衛装備庁が公表したセキュリティ基準。NIST SP800-171をもとに策定されている。
https://www.mod.go.jp/atla/cybersecurity.html
[v] NARA(アメリカ国立公文書記録管理局):CUIカテゴリを公開している機関。
https://www.archives.gov/cui/registry/category-list
[vi] IST SP800-171に準拠する企業に対する監査に関するドキュメント:252.204-7020 NIST SP 800-171DoD 評価要件にて定義されている。
https://www.acquisition.gov/dfars/252.204-7020-nist-sp-800-171dod-assessment-requirements.
[vii] NIST SP800-53:NIST SP800-171の策定の際の参考ガイド。Rev4までは米国連邦政府向けのガイドラインであったが、Rev5の改訂の際に対象が制限されなくなった。
https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final
[viii] NIST handbook162:NIST SP800-171の内容を実装するときに活用できるドキュメント。Rev2までの内容は対応しているが、Rev3の内容を織り込んだ文書はまだ発行されていない。
https://nvlpubs.nist.gov/nistpubs/hb/2017/nist.hb.162.pdf
[ix] NIST SP800-171A:NIST SP800-171の準拠を確認するためのアセスメント文書。NIST SP800-171の改訂によって本文書も改訂された
https://csrc.nist.gov/pubs/sp/800/171/a/r3/final
[x] FAQ:NIST SP800-171Rev2からRev3 への変更に関するFAQ
https://csrc.nist.gov/files/projects/protecting-controlled-unclassified-information/documents/FAQ/FAQ-SP800-171R3-171AR3.pdf
[ⅻ]例外条項として、252.204-7012の適用を受ける請負業者は、SP800-171Rev2に準拠するよう記載がされている
https://www.defense.gov/News/Releases/Release/Article/3763953/department-of-defense-issues-class-deviation-on-cybersecurity-standards-for-cov/
