NIST 800-171準拠のファイル共有—知っておくべきこと

国家、ハクティビスト、その他の悪意ある団体からのセキュリティ脅威が激化する中、米国国防総省（DoD）はサイバーセキュリティ基準を引き上げています。

「対象防衛情報の保護とサイバーインシデント報告」に関する規制であるDFARS 252.204-7012の改正により、DoDの請負業者および下請業者は、国家標準技術研究所（NIST）の特別出版物（SP）800-171に記載されたすべてのセキュリティ要件を実施することが求められています。「非連邦情報システムおよび組織における制御されていない分類情報の保護」に関するものです。

NIST SP 800-171は、非連邦システムおよび組織における制御されていない分類情報（CUI）の機密性を保護するために、国家標準技術研究所（NIST）が作成したガイドラインのセットです。この基準は、文書に記載されたほとんどの脅威からCUIを保護する必要性を強調しており、不正アクセス、開示、または改ざんを含みます。

NIST 800-171は、サイバーセキュリティの14の異なる分野をカバーする100以上の異なるセキュリティ要件をリストしています。請負業者および下請業者は、2017年12月31日までに「対象システム」にこれらすべての要件を実施することが求められていました。不遵守は、DoDが契約を終了する原因となる可能性があります。

NIST 800シリーズのコンプライアンス

NIST 800シリーズは、米国における情報システムの保護基準を設定するNISTの出版物のセットです。これらの基準は、特に連邦政府と協力する組織にとって重要であり、情報が適切に管理され保護されていることを保証するために使用されます。

800シリーズは、リスク管理、暗号化、アクセス制御、監視などの分野をカバーしています。800シリーズは、すべての基準が関連性を保ち、最新であることを保証するために定期的に更新されます。さらに、800シリーズは、各システムに適したセキュリティコントロールを選択するためのガイダンスを提供します。これにより、組織はシステムを安全に保つために必要な手順を理解することができます。

NIST 800に準拠したい組織は、いくつかのステップを踏む必要があります。まず、基準を確認し、システムがすべての要件を満たしていることを確認します。次に、独立した第三者による監査を受け、セキュリティコントロールがNIST 800基準を満たしていることを確認します。最後に、コンプライアンスを確保するために必要な変更を実施します。

NIST 800のコンプライアンスは、機密データを扱う、または連邦政府の代理で取引を処理する組織にとって不可欠です。800シリーズの基準に準拠することは、組織が情報を保護し、安全に保つために必要な手順を踏んでいることを示します。これにより、組織は顧客やパートナーの信頼を得ることができ、機密データを扱う際により大きな自信を持つことができます。

NIST 800-171の14の要件ファミリー

NIST特別出版物800-171は、非連邦情報システム内でCUIの機密性を保護するための包括的なガイドラインを示しています。これらのガイドラインは、組織がCUIのセキュリティを強化するために対処すべき14の要件ファミリーで構成されています。

これらの要件を効果的に実施することで、組織は防御を強化し、機密情報を不正アクセスや開示から保護し、重要なデータの保護を確保することができます。

NIST SP 800-171の実施方法

NIST SP 800-171を実施するために、組織が最初に行うべきステップは、エコシステム内のCUI、その感度レベル、および既存の保護措置を特定することです。CUIが特定されたら、現在のセキュリティコントロールを評価し、SP 800-171に記載されたセキュリティ対策がすでに実施されているかどうかを確認します。

次に、組織はCUIのための必要なセキュリティプロトコルを開発する必要があります。これには、物理的アクセスの制限、アクセス制御措置の作成、暗号化の実施などが含まれます。さらに、組織は潜在的な脅威のリスクを評価し、発生する可能性のあるセキュリティインシデントに対処するためのインシデント対応計画を策定する必要があります。

組織はまた、システムやネットワークのすべてのユーザーがCUIを保護するための役割と責任を理解していることを確認する必要があります。これには、適切なセキュリティプロトコルに関するトレーニングの提供と、措置が適切に実施されていることを確認するための定期的なセキュリティ監査の実施が含まれます。

組織はまた、システムを定期的に監視し、不正アクセスや疑わしい活動がないかを確認する必要があります。スタッフに追加のサイバーセキュリティトレーニングを提供し、必要に応じてセキュリティプロトコルを更新することも重要です。

最後に、組織はCUIを保護するための推奨方法を文書化し、その文書をNISTに提出してレビューを受ける必要があります。これにより、NIST SP 800-171の要件が満たされ、組織が基準に準拠していることが保証されます。

KiteworksはNIST 800-171のコンプライアンスを支援します

Kiteworksは、NIST 800-171に準拠することでCUIの保護を確保し、組織がこの厳格なセキュリティ基準に準拠できるようにします。堅牢なセキュリティとガバナンス機能を備えたKiteworksは、NIST 800-171に記載された特定の要件に対応し、組織がこの厳格なセキュリティ基準に準拠できるようにします。

Kiteworksのプライベートコンテンツネットワークは、組織が信頼できる第三者と共有する機密コンテンツに対して、セキュリティ、ガバナンス、およびコンプライアンスを提供します。これには、メール、ファイル共有、ファイル転送、およびその他のチャネルが含まれます。

Kiteworksは、脆弱な第三者通信チャネルの攻撃面を最小限に抑える強化された仮想アプライアンスを備えています。自動エンドツーエンド暗号化、多要素認証（MFA）、詳細なアクセス制御、データ損失防止（DLP）、高度な脅威対策（ATP）、コンテンツ無害化と再構築（CDR）、セキュリティ情報イベント管理（SIEM）などのデータ保護技術との統合により、組織の最も機密性の高いコンテンツをサイバー攻撃や不正アクセスから保護します。Kiteworksは、NIST 800-171で設定された暗号化要件を満たし、機密情報が安全に保たれることを保証します。

詳細なアクセス制御: Kiteworksは、詳細なアクセス制御を提供し、組織がユーザーの権限を定義および管理できるようにし、機密CUIにアクセスできるのは認可された個人のみであることを保証します。詳細に調整されたアクセス制御メカニズムにより、組織はNIST 800-171のガイドラインに沿った安全な環境を実施できます。

監査とアカウンタビリティ: Kiteworksは、ユーザーの活動やシステムイベントを記録する包括的な監査ログを生成します。これらのログは、組織がシステムの活動を監視およびレビューするために必要な情報を提供し、NIST 800-171の監査とアカウンタビリティの要件を満たします。

識別と認証: Kiteworksは、CUIにアクセスするユーザーの身元を確認するために、多要素認証（MFA）などの強力なユーザー識別および認証メカニズムを実施します。NIST 800-171の識別と認証の要件に従うことで、Kiteworksは不正アクセスを防ぐための追加のセキュリティ層を提供します。

KiteworksのFedRAMP認定のセキュアファイル共有プラットフォームと、それがFedRAMPの厳格な要件をどのように満たし、組織がNIST 800-171のコンプライアンスを達成するのを支援するかについて詳しく知りたい方は、カスタムデモを今すぐスケジュールしてください。