NIST SP 800-171でCUIを保護する:コンプライアンスを維持する方法
2017年に、米国国立標準技術研究所(NIST)は、情報システムを保護するためのガイダンスとして特別出版物(SP)800-171を発表しました。この用語集ページは、企業がNIST SP 800-171に準拠するために必要なことを理解するのを助けることを目的としています。コンプライアンスの基本と、企業が始めるためにできることをカバーします。
NIST SP 800-171とは何ですか?
米国国立標準技術研究所特別出版物800-171(NIST SP 800-171)は、機密情報を不正アクセスから保護するために企業が実施しなければならないセキュリティ基準のセットです。NIST SP 800-171は、制御されていない分類情報(CUI)を扱うすべての組織に適用されます。CUIには、侵害されたり不正にアクセスされたりすると国家安全保障に害を及ぼす可能性のあるデータが含まれます。NIST SP 800-171はすべての企業に必須ではありませんが、多くの業界がデータセキュリティのベストプラクティスとしてこれらの基準を採用し始めています。
NIST SP 800-171の保護要件
NIST SP 800-171、「非連邦システムおよび組織における制御されていない分類情報の保護」は、連邦機関が非連邦エンティティと共有する制御されていない分類情報(CUI)のセキュリティと機密性を確保するために、米国国立標準技術研究所(NIST)が確立したガイドラインのセットです。これには、学術機関、州および地方政府、連邦政府の代理としてCUIを扱う民間部門の組織が含まれます。
この文書は、アクセス制御、意識と訓練、インシデント対応、リスク評価など、14のセキュリティ要件のファミリーを概説しています。これらの要件は、CUIの機密性、整合性、可用性を保護し、不正アクセスや開示のリスクを最小限に抑えます。
CUIを扱う組織は、NIST SP 800-171に記載されたセキュリティ対策を実施し、連邦要件への準拠を示すことが期待されています。これらのガイドラインに従うことで、非連邦エンティティは機密情報の一貫した保護を確保し、連邦政府とそのパートナー間の信頼を維持することができます。
制御されていない分類情報(CUI)とは何ですか?
制御されていない分類情報(CUI)は、法律、大統領令、または指令に基づいて保護または配布制御が必要な非分類情報です。CUIには、政府が作成または保有し、契約者、助成金受領者、その他の政府外の者と共有する情報が含まれます。CUIの目的は、不正な開示から情報を保護し、正当な必要性を持つ者にその情報を提供することです。
NIST SP 800-171の目標は何ですか?
NIST SP 800-171の目標は、連邦機関内で情報セキュリティプログラムの実施を促進するために、標準的な言語と要件を提供することです。組織がリスクをより適切に管理できるようにするために、NIST SP 800-171は、セキュリティリスクに対する意識を高め、優先事項に焦点を当てるように設計されています。これらの基準は、特に機密情報を保護するために組織を支援することを目的としています。NIST SP 800-171には、アクセス制御、管理特権、物理的セキュリティなどの適切な管理に関するガイダンスが含まれています。この標準の推奨事項に従うことで、組織はデータ侵害や盗難のリスクを大幅に減少させることができます。
NIST SP 800-171は誰に適用されますか?
NIST SP 800-171は、すべての連邦機関、契約者、および連邦政府と協力する他の組織に適用されます。あなたの組織がCUIを扱う場合、NIST SP 800-171に準拠する必要があります。
対象となるエンティティ、すなわち連邦政府とビジネスを行う契約者や下請け業者などの組織は、NIST SP 800-171に記載されたセキュリティ要件に対応するためのセキュリティプログラムを開発、文書化、および実施する必要があります。すべての対象エンティティは、この標準に準拠するためにセキュリティプログラムの開発と実施を支援するために、資格のある第三者コンサルタントを雇うことを検討する必要があります。
NIST SP 800-171の実施責任者は誰ですか?
NIST SP 800-171の対象となるエンティティにおいて、各機関の最高情報セキュリティ責任者(CISO)がNIST SP 800-171の実施責任者です。CISOは、要件が機関内で効果的に実施および管理されていることを確認するための監督を提供する責任を負っています。
NIST SP 800-171の基本的なコンプライアンス要件は何ですか?
NIST SP 800-171は、非連邦システムおよび組織で保存および処理されるCUIを保護するためのガイドラインを提供する14の基本要件で構成されています。これらの要件は、基本的および派生的なセキュリティ要件からなる明確な構造を持っています。基本的なセキュリティ要件は、FIPS Publication 200から採用されています。対照的に、派生的なセキュリティ要件はNIST SP 800-53から採用され、基本的なセキュリティ要件を補完します。制御ファミリーには以下が含まれます:
1. アクセス制御
この要件ファミリーは、NIST SP 800-171の中で最大のものです。22の制御が含まれています。アクセス制御の下で、組織はIT環境内のすべてのアクセスイベントを監視し、システムおよびデータへのアクセスを制限する必要があります。アクセス制御の下で、NIST SP 800-171は以下を推奨しています:
- 最小特権の原則を実施する
- 組織内でのCUIの流れを制御し、モバイルデバイスで暗号化する
- リモートアクセスを監視および制御する
- モバイルデバイスの使用を制御および制限する
- 不正な活動を防ぐために個人の職務を分離する
- 暗号化と認証を使用して無線アクセスを許可および保護する
2. 意識と訓練
この制御ファミリーは、管理者、システム管理者、および他のユーザーがその活動に関連するセキュリティリスクを認識していることを保証する必要があります。彼らは、組織のセキュリティポリシーと基本的なサイバーセキュリティの実践に精通し、内部および外部の脅威を認識し対応する必要があります。
3. 監査とアカウンタビリティ
このファミリーは9つの制御で構成されています。組織は、セキュリティ調査で使用するために監査記録を保持し、ユーザーの行動に対して責任を持たせる必要があります。組織は、監査ログを収集し分析して、不正な活動を検出し、迅速に対応する必要があります。これらの制御を実施するためのいくつかのステップがあります:
- 監査されたイベントをレビューし更新する
- 監査プロセスの失敗を報告する
- 監査システムを不正アクセスから保護する
- オンデマンド分析をサポートし、コンプライアンスの証拠を提供するレポートを生成する
4. 構成管理
この要件ファミリーでは、企業はベースライン構成を確立し維持する必要があります。これには、ユーザーがインストールしたソフトウェアや組織のシステムに加えられた変更を制御および監視することが含まれます。組織は以下に焦点を当てる必要があります:
- ITシステムの変更によりアクセスが制限されたすべてのイベントを文書化する
- システムを構成して必要な機能のみを提供することで、最小機能の原則を採用する
- 必要でないプログラム、機能、プロトコル、サービスの使用を制限、無効化、または禁止する
- 不正なソフトウェアをブラックリストに登録する
5. 識別と認証
この要件ファミリーは、認証されたユーザーのみが組織のネットワークまたはシステムにアクセスできることを保証します。パスワードと認証手続きおよびポリシーをカバーする11の要件があります。また、ユーザーの信頼できる識別もカバーしています。特権アカウントと非特権アカウントの区別を保証する要件は、ネットワークアクセスに反映されています。
6. インシデント対応
ここでは、組織はデータ侵害につながる可能性のあるインシデントに迅速に対応するためのインシデント対応戦略を持つ必要があります。組織は、セキュリティインシデントを検出、分析、対応する能力を実装し、これらのインシデントを適切な担当者に報告し、定期的にインシデント対応計画をテストすることができます。
7. メンテナンス
不適切なシステムメンテナンスはCUIの開示を引き起こす可能性があり、情報の機密性に対する脅威となります。企業は、以下のルールに従って定期的なメンテナンスを実施する必要があります:
- メンテナンス活動を行う個人やチームを注意深く監視する
- オフサイトメンテナンスのために取り外された機器に機密データが含まれていないことを確認する
- 診断およびテストプログラムを含むメディアに悪意のあるコードが含まれていないことを確認する
8. メディア保護
メディア保護制御ファミリーは、紙媒体とデジタル媒体の両方を含むCUIを含むシステムメディアのセキュリティを確保する必要があります。
9. 物理的セキュリティ
物理的セキュリティには、物理的なイベントによる損傷や損失からハードウェア、ソフトウェア、ネットワーク、およびデータを保護することが含まれます。NIST SP 800-171は、物理的損傷のリスクを軽減するために組織が実施すべきいくつかの活動を要求しています:
- システムおよび機器への物理的アクセスを許可されたユーザーに制限する
- 物理的アクセスの監査ログを維持する
- 物理的アクセスデバイスを制御する
10. 個人保護
これは小規模な制御ファミリーであり、企業はユーザーの活動を監視し、従業員の解雇や転勤などの人事行動中および後にCUIを含むすべてのシステムが保護されていることを保証する必要があります。
11. リスク評価
定期的なリスク評価の実施と分析をカバーする2つの要件があります。組織は、システムを定期的にスキャンして脆弱性をチェックし、ネットワークデバイスとソフトウェアを最新かつ安全に保つ必要があります。定期的に脆弱性を強調し強化することで、システム全体のセキュリティが向上します。
12. セキュリティ評価
組織は、データを安全に保つのに十分な効果があるかどうかを判断するために、セキュリティ制御を監視および評価する必要があります。組織は、システムの境界、異なるシステム間の関係、およびセキュリティ要件を実施する手順を説明する計画を持ち、その計画を定期的に更新する必要があります。
13. システムおよび通信保護
これは、ITシステムによって送信または受信される情報を監視、制御、および保護するための16の制御を含むかなり大きなファミリーです。これには、以下のような活動が含まれます:
- 情報の不正な転送を防ぐ
- 内部ネットワークから分離された公開アクセス可能なシステムコンポーネントのためのサブネットワークを構築する
- CUIの不正な開示を防ぐために暗号化メカニズムを実装する
- デフォルトでネットワーク通信トラフィックを拒否する
14. システムおよび情報
この制御グループは、企業がシステムの欠陥を迅速に特定し修正し、重要な資産を悪意のあるコードから保護することを要求します。これには、以下のようなタスクが含まれます:
- ITシステムの不正使用を示すセキュリティアラートを監視し、迅速に対応する
- ITシステムの定期的なスキャンを実施し、外部ソースからダウンロードまたは操作されたファイルをスキャンする
- 新しいバージョンが利用可能になったらすぐに悪意のあるコード保護メカニズムを更新する
この標準を理解し準拠するために企業がどこに助けを求めることができますか?
企業が準拠すべき標準はたくさんあり、米国国立標準技術研究所SP 800-171はその一つに過ぎません。すべての異なるコンプライアンス要件に追いつくのは難しいかもしれませんが、幸いにも、企業がこの標準を理解し準拠するのを助けるためのリソースが利用可能です。米国国立標準技術研究所のウェブサイトは、800-171標準に関する情報と企業がその要件を満たす方法を提供しています。さらに、多くの民間企業がコンプライアンスコンサルティングサービスを提供し、企業がすべての適用可能な標準を満たしていることを確認するのを支援しています。
NIST SP 800-171の下でのコンプライアンスのための自己評価ステップは何ですか?
ステップ1:
連邦または州の機関からアドバイスを受ける。他の連邦政府機関にサービスを提供している場合、DoD以外にも、NIST SP 800-171への準拠を証明するよう求められる可能性があります。
ステップ2:
組織に適用されるCUIを定義する。組織のネットワーク内でどこに保存、処理、または送信されているかを特定します。
ステップ3:
ギャップ分析を実施する。現在のセキュリティ体制を評価し、どこが準拠しているか、どこに追加の作業が必要かを判断します。
ステップ4:
NIST SP 800-171の要件を優先順位付けする。これを使用して必要なアクションを計画します。
ステップ5:
ギャップ分析と優先順位付けの結果に基づいて変更を実施します。
ステップ6:
下請け業者が準拠していることを確認する。あなたの組織がNIST SP 800-171に準拠しているかもしれませんが、下請け業者が必ずしも準拠しているとは限りません。彼らがすべての要件を理解し、必要な制御を実施していることを確認する必要があります。
ステップ7:
コンプライアンスの責任者を指名する。この人物は、あなたの組織がCUIをどのように保護しているかの文書と証拠を準備する責任を負います。この人物はまた、ITチームと管理職をコンプライアンスプロセスに関与させる責任を負います。NIST SP 800-171のニーズを満たすために、アドバイザリーおよび評価サービスを提供するコンサルタントを雇うことも選択できます。
Kiteworks、FedRAMP、およびNIST SP 800-171
Kiteworksは、NIST SP 800-171コンプライアンスを促進するセキュアファイル共有プラットフォームです。これはFedRAMP Moderate認定ソリューションであり、データが転送中および保存中に暗号化されることを保証します。Kiteworksは、NIST SP 800-171で指定されたすべてのセキュリティ要件を満たし、ITAR、GDPR、SOC 2(SSAE-16)、FISMA、およびFIPS 140-2などの他の規制にも準拠しています。
Kiteworksは、CUIのような機密情報を保持および転送するユーザーとシステムに対してセキュリティとガバナンスのレイヤーを提供します。組織は、Kiteworksを使用してNIST SP 800-171コンプライアンスを満たす方法について詳しく知るためにカスタムデモをスケジュールするか、sales@kiteworks.comに連絡して詳細情報を得ることができます。
