NIST 800-171に準拠して機密コンテンツを安全に共有する方法
管理されていない分類情報(CUI)を処理、共有、または保存する組織は、この情報のセキュリティと整合性を確保するために特定の基準と規制に従う必要があります。そのような基準の一つが、非連邦システムでのCUI保護に関するガイドラインを提供する米国国立標準技術研究所特別出版物(NIST SP 800-171)です。このブログ記事では、CUIに関連するNIST 800-171について掘り下げ、NIST 800-171に準拠したセキュアなファイル共有と転送のベストプラクティスを提供します。
NIST 800-171 特別出版物の起源と範囲
NIST 800-171は、米国国防総省(DoD)からの指令に応じて、機密性の高い政府情報を保護するために作成されました。このガイドラインは、管理されていない分類情報(CUI)を扱う組織に対する特定のセキュリティ要件を示しています。NIST 800-171への準拠は、この機密性の高いコンテンツを不正アクセスから保護し、政府情報のセキュリティを確保するために重要です。
NIST 800-171の範囲は連邦機関を超えて、政府のためにCUIを処理、保存、または送信する請負業者、下請け業者、およびサプライヤーに適用されます。NIST 800-171への準拠は、CUIの機密性、整合性、および可用性を保護するために必要です。
NIST 800-171は、組織がその情報システム(これらのシステムが保持するCUIを含む)を効果的に保護するために実施しなければならない一連のセキュリティコントロールと保護策を含んでいます。これらのコントロールは、リスク評価、インシデント対応、アクセス制御、人的セキュリティなど、さまざまな側面をカバーしています。これらのコントロールに従うことで、組織は潜在的な脅威や脆弱性に対する防御を強化することができます。
管理されていない分類情報の保護の重要性
CUIの文脈における機密コンテンツ通信とは、その機密性のために保護または保護が必要な非分類情報の交換を指します。CUIは、米国連邦政府によってその機密性、整合性、および可用性を確保するために管理および規制されている情報のカテゴリです。機密コンテンツは、文書、電子メール、画像、音声ファイル、ビデオ録画など、さまざまな形式で存在することがあります。
CUIには、次のような幅広い情報タイプが含まれることがあります:
- 個人識別情報(PII): 社会保障番号、生年月日、住所、または財務記録など、個人を特定するために使用できる情報。
- 法執行機関機密(LES)情報: 継続中の法執行活動、調査、または情報活動に関連する情報で、開示されるとこれらの活動を危険にさらす可能性があるもの。
- 輸出管理情報: 国家安全保障、外交政策、または経済的利益に影響を与える可能性があるため、輸出管理法および規制の対象となる技術、製品、またはサービスに関連する情報。
- 企業機密情報: 企業にとって機密性があり、独自の情報である、営業秘密、財務データ、または顧客リストなどの情報。
- 保護された健康情報(PHI): 米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)で保護されている、個人の医療または健康記録に関連する情報。
この情報のセキュリティとプライバシーを送信、共有、受信、または保存する際に確保することは、個人および組織のプライバシーを保護するために重要です。このようなコンテンツを保護しないと、データ侵害、訴訟、コンプライアンス違反、財務損失、評判の損害など、深刻な結果を招く可能性があります。NIST 800-171のような堅牢なフレームワークに従うことで、組織はCUIを転送中および保存中の不正アクセスのリスクから保護することができます。
Kiteworksは、コンプライアンスと認証の実績を誇ります。
NIST 800-171のコンプライアンス要件
NIST 800-171には、14のセキュリティコントロールファミリーに分類された110のセキュリティ要件が含まれています。これらのコントロールは、アクセス制御、インシデント対応、メディア保護、システムおよび通信保護など、情報セキュリティのさまざまな側面をカバーしています。これらのコントロールを実施することで、CUIを転送中および保存中に保護することができます。
これらのコントロールのいくつかを詳しく見てみましょう:
NIST 800-171 セキュリティ評価コントロールファミリー
定期的なセキュリティ評価を実施することで、組織はシステムの脆弱性や弱点を特定することができます。包括的な監査や脆弱性スキャンを実施することで、潜在的な脅威に積極的に対処し、CUIへの不正アクセスのリスクを軽減できます。
NIST 800-171 システムおよび情報の整合性コントロールファミリー
システムと情報の整合性を確保することは重要です。組織は、情報への不正な変更を検出し防止するためのメカニズムを確立し、ファイル整合性監視システムを実装し、最新のアンチウイルスソフトウェアを維持する必要があります。
NIST 800-171 インシデント対応コントロールファミリー
効果的なインシデント対応計画を策定することで、組織はセキュリティインシデントに迅速に対処し、その影響を軽減することができます。これには、役割と責任の定義、緊急通信チャネルの確立、インシデント対応計画の定期的なテストが含まれます。
NIST 800-171 アクセス制御ファミリー
アクセス制御はCUIを保護する上で重要な役割を果たします。強力な認証メカニズム、役割ベースのアクセス制御、定期的なユーザーアクセスレビューを実施することは、不正アクセスやデータ侵害を防ぐために不可欠です。
NIST 800-171 リスク評価コントロールファミリー
定期的なリスク評価は、組織がCUIに関連する潜在的なリスクを特定し、優先順位を付けるのに役立ちます。脅威、脆弱性、および潜在的な影響を評価することで、組織は適切なセキュリティコントロールと対策を実施できます。
NIST 800-171 人的セキュリティコントロールファミリー
組織は、CUIにアクセスする個人が信頼でき、適切に訓練されていることを確保するために、人的セキュリティポリシーと手順を確立する必要があります。バックグラウンドチェックの実施、ユーザー意識トレーニングの提供、懲戒措置の実施は、人的セキュリティの重要な側面です。
NIST 800-171 構成管理コントロールファミリー
情報システムの安全な構成を維持することは、CUIを保護するために重要です。組織は、システムが適切に構成され、パッチが適用され、更新されていることを確認するために、構成管理プロセスを確立する必要があります。
NIST 800-171 メディア保護コントロールファミリー
CUIやその他の機密コンテンツを含む物理的およびデジタルメディアを保護することは重要です。これには、メディアの適切な取り扱い、保管、輸送、破壊のためのコントロールを実施し、不正アクセスや開示を防ぐことが含まれます。
NIST 800-171 物理的保護コントロールファミリー
物理的なセキュリティ対策もCUIを保護する上で同様に重要です。組織は、機密エリアへの物理的アクセスを制限(ただし監視は継続)し、監視システムを導入し、ハードウェアや機器を盗難や損傷から保護するためのコントロールを確立する必要があります。
NIST 800-171に準拠したCUI共有のベストプラクティス
チェックリストはNIST 800-171の要件の概要に過ぎませんが、これまでに組織がこの包括的なセキュリティ基準に準拠するために何をすべきかの良い指針を得たはずです。次に、特にCUIを送信、受信、共有、または保存する際に、NIST 800-171への準拠を加速するためのベストプラクティスに注目しましょう。
すべての通信チャネルでセキュアなプロトコルを使用する
電子メール、ウェブフォーム、ファイル転送など、すべての通信チャネルがHTTPS、SFTP、またはSSHなどのセキュアなプロトコルを利用していることを確認してください。これらのプロトコルはデータ伝送を暗号化し、CUIやその他の機密コンテンツを傍受や改ざんから保護します。
データを転送中および保存中に暗号化する
CUIを送信者から受信者の受信トレイに到達するまで保護するために、エンドツーエンドの暗号化を実施します。これにより、ネットワークファイアウォールを越えて傍受された場合でも、コンテンツは読み取れないままになります。ネットワーク接続を保護するために、トランスポート層セキュリティ(TLS)またはセキュアソケットレイヤー(SSL)プロトコルを使用する必要があります。
機密コンテンツを保護するためにセキュアな電子メール通信を実施する
セキュアな電子メール通信は、電子メールメッセージとその添付ファイルの機密性、整合性、および可用性を保護するための措置を実施することを含みます。電子メールは広く使用されている通信方法ですが、傍受、不正アクセス、データ侵害などのセキュリティリスクにさらされています。
強力な認証メカニズムを実施する
特に従業員がリモートでシステムにアクセスする必要がある場合、通信システムへのアクセスには強力な認証メカニズム、例えば多要素認証(MFA)を強制します。MFAは、ユーザー名とパスワードだけでなく、追加の身元確認を要求することで、セキュリティの層を追加します。ユーザーにパスワードと一意の確認コードなど、複数の資格情報を提供させることで、不正アクセスのリスクを大幅に減少させます。
セキュアなファイル共有およびセキュアなファイル転送システムをデータ損失防止(DLP)ソリューションと統合する
DLPソリューションを実施して、送信される通信を監視し、機密情報の不正な送信を防止します。DLPソリューションは、CUIやその他の機密コンテンツを検出し、組織からの流出を防ぎ、知的財産の盗難や誤送信などの悪意のあるデータ漏洩を防ぎます。
ソフトウェアを定期的に更新およびパッチを適用する
オペレーティングシステム、ウェブブラウザ、電子メールクライアント、ソフトウェア、ファイアウォールを含むすべてのシステムとアプリケーションを最新バージョンに保ちます。セキュリティパッチをタイムリーに適用します。定期的な更新は、脆弱性に対処し、悪用のリスクを軽減します。
サイバー攻撃の影響を制限するために通信ネットワークを分離する
ネットワークセグメンテーションを実施して、機密通信システムとデータをネットワークの他の部分から分離します。これにより、セキュリティ侵害の潜在的な影響を最小限に抑え、通信ネットワーク外の重要なリソースへの不正アクセスを防ぎます。
定期的なセキュリティ意識トレーニングを実施する
データ保護、フィッシング防止、強力なパスワードの重要性、フィッシングやその他のソーシャルエンジニアリング攻撃の認識を強調しながら、従業員にセキュアな通信の実践と良好なサイバー衛生について教育します。定期的なトレーニングセッションは、組織内にセキュリティ意識のある文化を育むのに役立ちます。
異常を検出するためにシステムとアプリケーションを監視および監査する
セキュリティインシデントを早期かつ効果的に検出し調査するために、堅牢な監視および監査メカニズムを実施します。システムログを分析し、定期的な監査を実施し、侵入検知システムを実装することで、組織は潜在的な脅威を迅速に特定し対応し、サイバーセキュリティ脅威がもたらす損害を軽減できます。
この表は、NIST 800-171に準拠したCUI共有のベストプラクティスをまとめたものです:
| ベストプラクティス | 実行可能なステップ |
|---|---|
| すべての通信チャネルでセキュアなプロトコルを使用する | 電子メール、ウェブフォーム、ファイル転送にHTTPS、SFTP、またはSSHプロトコルを使用することを確認します。 |
| データを転送中および保存中に暗号化する | TLSまたはSSLプロトコルを使用して、伝送中のコンテンツを保護するためにエンドツーエンドの暗号化を実施します。 |
| 機密コンテンツを保護するためにセキュアな電子メール通信を実施する | 電子メールの機密性、整合性、および可用性を保護するための措置を実施します。 |
| 強力な認証メカニズムを実施する | リモートアクセスに対して多要素認証(MFA)を強制し、強力な認証方法を使用します。 |
| セキュアなファイル共有および転送システムをDLPと統合する | 機密情報の不正な送信を監視し防止するためにDLPソリューションを展開します。 |
| ソフトウェアを定期的に更新およびパッチを適用する | システムとアプリケーションを最新の状態に保ち、セキュリティパッチを適用し、ソフトウェアの最新性を維持します。 |
| サイバー攻撃の影響を制限するために通信ネットワークを分離する | ネットワークセグメンテーションを実施して、機密通信システムをネットワークの他の部分から分離します。 |
| 定期的なセキュリティ意識トレーニングを実施する | セキュアな通信の実践、データ保護、ソーシャルエンジニアリング攻撃の認識について従業員を教育します。 |
| 異常を検出するためにシステムとアプリケーションを監視および監査する | 脅威を特定し対応するために、堅牢な監視、監査、および侵入検知システムを使用します。 |
これらのベストプラクティスに従うことで、組織はNIST 800-171への準拠を強化し、CUIのセキュリティを向上させることができます。
NIST 800-171を使用して他の業界規制および基準への準拠を加速する
NIST 800-171はCUI保護に特化していますが、サイバーセキュリティとデータ保護の観点から他の業界基準にも影響を与えます。NIST 800-171の準拠が他の基準とどのように整合するかのいくつかの例を以下に示します:
NIST 800-171とNISTサイバーセキュリティフレームワーク(CSF)
NIST 800-171をNIST CSFと整合させることで、組織はサイバーセキュリティの姿勢を強化するための包括的なアプローチを得ることができます。NIST CSFは、サイバーセキュリティを管理し改善するためのリスクベースのアプローチを提供する任意のフレームワークです。NIST 800-171をNIST CSFと整合させることで、組織はサイバーセキュリティに対する包括的なアプローチの恩恵を受けることができます。NIST 800-171は機密情報の保護に関する具体的なガイダンスを提供し、NIST CSFはサイバーセキュリティリスクを管理するためのより広範なフレームワークを提供します。この整合により、組織は両方のフレームワークの強みを活用し、サイバーセキュリティ管理に対する包括的でリスクベースのアプローチを実現できます。
NIST 800-171とサイバーセキュリティ成熟度モデル認証(CMMC)
NIST 800-171とサイバーセキュリティ成熟度モデル認証(CMMC)は、特に米国国防総省(DoD)と協力する組織のサイバーセキュリティ姿勢を強化するために開発された2つのフレームワークです。NIST 800-171は非連邦システムでの機密連邦情報の保護に関するガイドラインを提供し、CMMCは防衛請負業者と下請け業者のための統一されたサイバーセキュリティ基準を確立します。CMMCはNIST 800-171を取り入れ、拡張しています。CMMCへの準拠は、DoDと協力する組織にとって、CUIやその他の機密情報のセキュリティを確保するために重要です。
NIST 800-171と国防省調達規則(DFARS)
NIST 800-171は、非連邦システムでCUIを保護するために特別に設計された一連のセキュリティコントロールを提供しますが、DFARSは、連邦調達規則(FAR)を補完する国防総省(DoD)によって施行される規制です。DFARSは、CUIを扱うまたは処理する請負業者と下請け業者に対して、NIST 800-171に示された特定のセキュリティ対策を実施することを要求します。
本質的に、DFARSはNIST 800-171のセキュリティ要件をDoDと協力する組織の契約義務に組み込んでいます。これは、DoDとビジネスを行うための条件として、組織がNIST 800-171のコントロールに準拠しなければならないことを意味します。
NIST 800-171の実施とDFARSへの準拠は、防衛契約または下請けの機会に参加しようとする組織にとって重要です。これらのフレームワークに従うことで、CUIの保護が確保され、防衛サプライチェーン全体のサイバーセキュリティ姿勢が強化されます。
NIST 800-171と国際標準化機構(ISO)規格
ISOは、情報セキュリティのさまざまな側面に対応する一連の規格を開発しています。これには、ISO 27001(情報セキュリティ管理システム)およびISO 27002(情報セキュリティコントロールの実践規範)が含まれます。
ISO規格は、情報セキュリティ管理のための世界的に認識されたフレームワークを提供します。ISO認証には、信頼性の向上、国際的なコンプライアンス、調和されたセキュリティ実践など、多くの利点があります。
NIST 800-171とISO規格は、セキュリティコントロールとリスク管理へのアプローチにおいていくつかの類似点を共有していることに注意する価値があります。両方のフレームワークは、適切な保護策の実施、リスク評価の実施、およびセキュリティ実践の継続的な監視と改善の重要性を強調しています。
NIST 800-171に準拠することで、ISO 27001認証やその他の関連認証を加速することができ、情報セキュリティのための国際的に認識されたベストプラクティスに基づく堅固な基盤と整合性を提供します。以下は、ISO 27001および類似の認証に関連するNIST 800-171準拠の利点のいくつかです:
- 共通のセキュリティコントロール: NIST 800-171には、管理されていない分類情報(CUI)を保護するために特別に調整された包括的なセキュリティコントロールが含まれています。これらのコントロールの多くは、ISO 27001やその他のフレームワークの要件と整合しています。NIST 800-171のコントロールを実施することで、組織はISO 27001のコアセキュリティ要件と整合する強固な基盤を確立できます。
- リスク評価と管理: NIST 800-171とISO 27001の両方は、情報セキュリティリスクを特定し優先順位を付けるためのリスク評価の実施の重要性を強調しています。NIST 800-171に準拠することで、ISO 27001が要求するリスク管理プロセスに貢献し、組織がCUIに対するリスクを効果的に特定、評価、および軽減するのに役立ちます。
- コンプライアンスの信頼性: NIST 800-171準拠は、特に防衛サプライチェーンに関与する組織にとって、米国政府が要求する特定のセキュリティ要件を満たすことへのコミットメントを示します。これは、ISO 27001認証を追求する際に、強固な基盤とコンプライアンスの証拠を提供し、ISO 27001が世界的に認識されている堅固な情報セキュリティ管理システムであることを示します。
- 文書化とポリシー: NIST 800-171準拠には、セキュリティコントロールの実施をサポートするための文書化とポリシーの開発がしばしば含まれます。これらのアーティファクト、例えばシステムセキュリティ計画、インシデント対応計画、アクセス制御ポリシーなどは、ISO 27001認証を求める際に活用でき、ISO 27001の文書化とポリシー要件と整合しています。
- 継続的な改善: NIST 800-171とISO 27001の両方は、情報セキュリティの管理における継続的な改善の重要性を強調しています。NIST 800-171のコントロールを実施することで、組織はISO 27001の継続的な改善要件と整合する強固な基盤と継続的な監視実践を確立します。これにより、組織は時間とともにセキュリティ姿勢を維持し、強化することができます。
NIST 800-171と整合し、そのセキュリティコントロールを活用することで、組織はISO 27001認証のプロセスを合理化できます。この整合は、情報セキュリティ管理システムの全体的な成熟度と効果を向上させ、機密情報を保護するために適切な措置が講じられていることを利害関係者に示す信頼性を提供します。さらに、ISO 27001認証は、NIST 800-171準拠の範囲を超えたビジネス機会を拡大するための広範な認識と信頼性を提供します。
NIST 800-171と一般データ保護規則(GDPR)
一般データ保護規則(GDPR)は、EU市民および居住者の個人データとプライバシー権を保護するための欧州連合の規則です。NIST 800-171はCUI保護に焦点を当てていますが、GDPRとNIST 800-171の要件には重複があります。例えば、両方とも機密データを保護するための適切なセキュリティコントロール、リスク評価、インシデント対応、および継続的な監視の必要性を強調しています。
NIST 800-171とPCIデータセキュリティ基準(PCI DSS)
PCI DSSは、支払いカードデータを保護し、カード所有者情報の安全な取り扱いを確保するために設計された一連のセキュリティ基準です。NIST 800-171は、支払いカードデータを超えた情報セキュリティの側面に対処することで、PCI DSSの要件を補完することができます。NIST 800-171のコントロールを実施することで、組織の全体的なセキュリティ姿勢に貢献し、特定のPCI DSS要件を満たすのに役立ちます。
セキュリティコントロールの整合性: NIST 800-171は、管理されていない分類情報(CUI)を保護することに焦点を当てた包括的なセキュリティコントロールを含んでいます。これらのコントロールの多くは、アクセス制御、暗号化、監視、インシデント対応など、PCI DSSの要件と重複しています。NIST 800-171のコントロールを実施することで、組織は複数のPCI DSS要件と整合する強固なセキュリティ基盤を確立できます。
文書化とポリシー: NIST 800-171準拠には、セキュリティコントロールの実施をサポートするための文書化とポリシーの開発が通常含まれます。これらのアーティファクト、例えばシステムセキュリティ計画、インシデント対応計画、アクセス制御ポリシーなどは、PCI DSSが要求する文書化、例えばセキュリティポリシー、手順、ネットワーク図を作成する際に強固な基盤を提供します。既存の文書を活用することで、PCI DSSコンプライアンスプロセス中の時間と労力を節約できます。
全体的なセキュリティ成熟度: NIST 800-171のコントロールを実施することで、組織の全体的なセキュリティ成熟度と準備が向上します。特定のPCI DSS要件をすべてカバーしているわけではありませんが、共通のセキュリティコントロールに対処するための強固な基盤を確立します。NIST 800-171に準拠することで、組織は残りのPCI DSS要件に取り組む準備が整い、堅固なセキュリティ姿勢を示すことができます。
NIST 800-171準拠を達成することが自動的にPCI DSS準拠を保証するわけではないことに注意することが重要です。PCI DSSには、カード所有者データの保存、ネットワークセグメンテーション、支払いアプリケーションのセキュリティなど、組織が対処しなければならない独自の特定の要件があります。ただし、NIST 800-171は、PCI DSSのいくつかのセキュリティコントロールとリスク管理の側面を満たすための貴重な出発点とサポートを提供できます。組織は、完全なコンプライアンスを確保するために、すべての関連するPCI DSS要件を慎重に評価し対処する必要があります。
Kiteworksは組織がNIST 800-171に準拠するのを支援します
NIST 800-171への準拠は、連邦政府と協力しようとする組織にとって不可欠です。このフレームワークへの準拠は、機密政府データを扱う際に重要なCUIの保護に対するコミットメントを示します。ただし、NIST 800-171準拠の利点は、政府契約を超えています。
NIST 800-171のコントロールを実施することで、組織は市場で競争上の優位性を得ることができます。データ保護へのコミットメントを示し、潜在的な顧客やパートナーにセキュリティ実践に対する信頼を与えます。これにより、信頼の向上、ビジネス関係の改善、協力の機会の拡大がもたらされる可能性があります。
さらに、NIST 800-171と整合することで、他の規制や基準への準拠を加速することもできます。このフレームワークは、業界のベストプラクティスと整合する幅広いセキュリティコントロールをカバーしています。
ここでは、Kiteworksが組織がNIST 800-171に準拠し、連邦政府と協力し、他の規制や基準への準拠を加速するのをどのように支援するかを示します。
- プライベートコンテンツネットワーク: Kiteworksプライベートコンテンツネットワークは、公共および民間部門の組織が内部および外部で共有するCUIやその他の機密コンテンツを統合し、保護し、制御し、追跡します。これにより、NIST 800-171への準拠だけでなく、GDPR、FedRAMP、CMMCなどの他の規制への準拠も確保されます。これは、TLS 1.2およびAES-256暗号化でそれぞれ転送中および保存中のデータを暗号化する中程度のCUIのためのFedRAMP認定ソリューションです。
- 強化された仮想アプライアンス: Kiteworksの強化された仮想アプライアンスは、政府機関や厳格なセキュリティ要件を持つ他の組織向けに設計されたセキュアな通信プラットフォームです。このアプライアンスは、機密データ、政策文書、または法的資料などの機密情報を共有するための非常に安全な環境を提供します。関連する規制への準拠を示すための堅牢なセキュリティ機能を提供します。強化された仮想アプライアンスは、オンプレミスまたはプライベートクラウドに展開でき、組織のデータストレージとセキュリティインフラストラクチャに対する柔軟性と制御を提供します。
- セキュアなファイル共有: Kiteworksは、内部および外部でファイルや文書を共有するためのセキュアなプラットフォームを提供します。暗号化とセキュアなプロトコルを使用して、転送中および保存中のデータを保護し、CUIの機密性と整合性を確保します。
- アクセス制御: Kiteworksは、管理者が詳細なアクセス制御を定義できるようにし、許可された個人のみがCUIにアクセスできるようにします。役割ベースの権限を実施して、機密情報へのアクセスを制限し、NIST 800-171のアクセス制御要件と整合します。
- データ損失防止: KiteworksのDLP統合機能は、機密データの不正な送信を防止します。CUIやその他の事前定義された機密情報を含むファイルの共有を検出しブロックすることができ、意図的または偶発的なデータ漏洩のリスクを軽減します。
Kiteworksについて、またプライベートコンテンツネットワークが組織がNIST 800-171準拠を達成するのをどのように支援するかについて詳しく知るには、カスタムデモを今日スケジュールしてください。