連邦政府外のシステムと組織における管理された非格付け情報の保護
発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)
発行年月日:2016年12月
原文:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r1.pdf
和訳(IPA):https://www.ipa.go.jp/files/000057365.pdf
概要
このガイドラインを読むうえで理解する必要がある事として、アメリカにおける重要情報の区分考え方があります。
- CI(Classified Information):政府が規定した機密情報
- CUI(Controlled Unclassified Information):管理された非格付け情報
このガイドラインでは、連邦政府のシステムが外部のシステムと連携することにより、管理外のシステム上に政府の重要情報(CUI)が格納されることに対して、CUIは連邦政府のシステム上にあっても、外部組織のシステム上にあっても同党の価値を持つ、という前提のもと、CUIに対して同じセキュリティ対策を適応することを目的に公開されました。
日本国内においても、IPAが毎年公開しているセキュリティの10大脅威にも取り上げられている様に、サプライチェーン攻撃という言葉が話題に上がってきています。これまでは、組織で管理しているシステムが主な管理対象でしたが、これからはシステムに関わるものすべてを対象として、適切な管理をする必要があるといわれています。
2019年の企業におけるセキュリティ10大脅威
このガイドラインの章構成は以下の通りです。
第1章:目的と適用可能性
第2章:基本的な前提条件
第3章:求められるセキュリティ要件
第1章、第2章ではそれぞれガイドラインの目的と適用に関する内容が記載されています。第3章では、組織外のCUIの機密性を保護するための14個のセキュリティ要件が記載されています。
CUI の機密性を保護するためのセキュリティ要件
- アクセス制御・・・CUIにアクセス制限(人/物)について記載されています。
- 意識向上と訓練・・・セキュリティポリシーの遵守に関して記載されています。
- 監査と責任追跡性(説明責任)・・・監査に関する内容が記載されています。
- 構成管理
- 識別と認証
- インシデント対応
- メンテナンス・・・利用するツールや運用ルールの要件が記載されています。
- メディア保護
- 人的セキュリティ
- 物理的保護
- リスクアセスメント
- セキュリティアセスメント
- システム通信の保護
- システムと情報の完全性