Evaコラム：暗号化していれば大丈夫なのか？～加速する米国のゼロトラスト～

筆者：（株）エヴァアビエーション　久野　保之

私達が最初にExostarとコンタクトしたのは、2014年のことでした。「防衛業界のセキュアなネットワークを米国はどんなふうに作っているのだろう？」という関心からでした。そして、NISTが日本の関連業界内でバズワードになったのは2016年頃でしょうか、特にSP 800-171とは何かということで、多くの問い合わせをいただきました。2018年から、米国連邦政府の仕事を受けるには171遵守が情報セキュリティの必須条件だ、と一層注目されるようになりました。

世の中に正確な日本語になった資料がないということで、NIST SP 800-171 Revision 2の翻訳をエヴァアビエーション社独自に公開し、2019年から現在までに1万件以上ダウンロードされています。171についてはIPAのサイトからもリンクされていますし、その他関連する53や172などの翻訳もお手伝いさせていただきました。

そして昨年2023年、171はRevision 3がアナウンスされ、今後大きく見直しされる予定となっています。

今回のコラムはいわば、私達の活動の原点である「重要な情報は、このインターネット社会において、どのように扱えば良いのだろうか？」という主題に立ち返った上での、現時点での観測です。ここ10年ほどNISTの171をウォッチしてきた私達が、「政府の大事なデータ（CUI）を扱うに際して、これだけは守ってくれないと困る（契約条件）」として米国が作ったこれらのルールの変遷から、現状の問題点と（希望的観測を含めた）今後の展望に思いを巡らせてみました。

1.米国連邦政府の思惑と阻害要因

まず、事の発端は、米国国防総省がCUIを扱う契約事業者にはNIST SP 800-171遵守の他、以下のような義務を課すというDFARSを出したことでした。

下の図は、2018年頃から私達がずっと使い続けている不変の説明です。

これを、単なる規則の解説として受け取ってしまうと、何を真意としているのか、何が目的か明確にはわかりません。そこで必要性に目を向けると、「大事なデータ（CUI）を扱うに際して、これだけは守ってくれないと困る」というメッセージが見えてきます。

とは言っても171に110項目も要件があると、かえって真意は分かりにくいものです。また、保護対象のCUIは物理的な媒体なのか電子媒体なのかによって解釈も変わり、実際理解しにくいものでした。そこを、私なりに表現すると、

1. CUIは電子データなら暗号化しなさい、物理媒体ならそれなりに見られないようにしておきなさい、なお平文の電子データは物理媒体と同じ考えになります。
2. 情報を盗まれにくいように管理することは大切です、管理体制はしっかり作ることとしますが、171ではCUI漏洩リスクに関係しそうな最小限の要件提示にとどめます。
3. Need to Know原則に基づき利用者管理を行い、必要の無い人には見せないようにアクセス管理は十分してください。

それでも漏洩させてしまった場合には、110項目の遵守状況に応じて、米国流に裁判でペナルティを相談しましょう、といった建付けだったのではないでしょうか。

その後、米国国防総省ではDFARSの施行を開始し、CMMCという第三者認証の仕組みも華々しく打ち出しました。しかしながら、現状、各事業者が使っているシステム（特にオンプレミスのサーバなど）は、171に対応するには大変コストがかかることが分かってきました。

それほど厳しい要件だということでしょうか。また、管理体制に対し第三者認証を取るとしても、CMMCはハイコストな仕組みだとして未だに運用開始に至っていません。恐らく、特に数では多数を占める中小企業事業者などの抵抗があるように思われます。

2.中小企業の救済策はあるのか～ゼロトラストの推進～

これについて、ここ数年の注目すべき関連トピックがあります。

1. MSSPという、セキュリティ重視のクラウドサービス事業者の出現
2. 米国国防総省から出された、ゼロトラストに対応する民間／省内クラウドの実現マイルストーン

１つめのMSSP（Managed Security Service Provider）は、対象事業者が自前で持っているオンプレミスのサーバー機能を171の要件に耐えうるサービスとして提供するというものです（必ずしも171のみを対応条件としているサービスばかりではありませんが）。

大企業以外では、自前で171に対応するには新しい機材を入れなくてはならないとか、SOCなどの常時監視環境を各社毎に持つといったことは、事実上不可能という現実があります。それらの企業にとっては、ユーザーの固有なアプリケーションをクラウド環境で動かせるMSSPサービスを利用することで自前のサーバーを無くせるなら、171の要件の半分近いシステム要件を自動的にクリアできることになり、171対応の現実解になり得ます。

現状はさまざまなMSSPが乱立している状況ですが、特に認証や暗号化など重要な171対応を実現していく中で、淘汰されていくのは時間の問題だろうと考えます。

２つめのゼロトラストですが、MSSP事業者の171対応を容易にする技術要素を多く含んでいる概念です（ゼロトラストの詳細については、過去のコラム【NIS-Be通信（第19号：2022年5月1日号） | NIS-Be 情報共有会員サイト (aviation.jp)、NIS-Be通信（第20号：2022年6月1日号） | NIS-Be 情報共有会員サイト (aviation.jp)】などで紹介しております）。国防総省が率先してゼロトラストを推進することにより、171要件に対応しうるクラウドサービスが多く登場することとなり、CUI対応契約を請け負い易くなるという好循環が予想されます。

国防総省の資料を見るだけでも、ゼロトラストの要素技術は500種類近くあるので、すべてを満たすことはすぐには出来ないでしょうが、目標を示した点において大変重要なものだと思っています。

3.暗号化していれば大丈夫なのか？

ところでここまでの説明について、私には米国が「データ自体を一定のグレードの暗号技術により暗号化しておけば、脅威相手を含むオープンな空間に、大事なデータ（CUI）を含む情報を流通しても良い」を暗黙の前提としているように感じられます。はたして、それで本当に良いのでしょうか？

今後のCUIの扱いは、物理媒体の扱いは旧来通りですからここでは考えないこととし、電子媒体の場合を考えます。仮に漏洩した場合でも、暗号化されていて解読が難しければ、盗まれないための対策にコストをかけるより、リスク対応として合理的と言えるかもしれません。

データの暗号化が一般化してゆくと、本当に読んで良い人にはストレスなく何時でも読めることが求められます。そのためには、個人を特定した認証を厳しく行い、その個人しか知り得ない秘密のコード（秘密鍵）などに紐づく値を使った暗号方式を使います。そしてその暗号方式が、読めてはいけない人の暗号解読能力に対し十分な耐性があれば良いということになります。

個人認証も、本当に本人かという生体認証など本人確認の技術と、そのデータにアクセスして良いかというアクセス権限管理の組み合わせが重要になります。本人確認は昨今、日々進化しているように思いますが、アクセス権限管理はいざやろうとすると複雑な関係性を時間経過とともにきめ細かく管理することが必要であり、現実的に運用に耐える形を構築できるか、はなはだ疑問に思ったりしています。

しかしながら、今後は暗号化以外にも「必要な人以外は見ることが出来ず、必要な人は簡単にアクセス出来る」しくみが開発されるかもしれません。暗号化に代わる、より効率的な保護措置が新たに研究開発される可能性についても期待しています。また、MSSPのサービスによって、暗号化も意識しない安全な環境が提供されるかもしれません。ゼロトラストにはそういったテーマも含まれているのではないでしょうか。

4.私達の考える「171対応の最適解（仮説）」

さてここまで思いを巡らすと、171遵守環境実現への答えがほぼ出てきたように見えます。最初の３点に対応させてみると、

• CUIは電子データのみで管理し（物理媒体は旧来の管理）、安全性は今のところは常時暗号化により保証する（将来の技術にも期待）。
• 171に適合したMSSP事業者のサービスを活用し、自社には平文のCUIは持たないようにすれば、ほとんどの物理的管理体制は不要。
• Need to Know原則に従い、厳格な本人認証とアクセス権限管理を行う。

といった具体的な運用が見えてきます。これが、セキュリティ要件を最大限遵守し、171要件も満たす現実的な（もっともコストの少ない）解になるのではないでしょうか。 なお、この仮説には以下の課題を解決する必要があります。

• 先ほども掲げた、アクセス権限管理の煩雑さをどう克服するのか？
• 暗号化を含むデータ安全性保証のしくみの確立は？

これらの解決には時間がかかるかもしれませんが、まずは、暗号化の許容範囲を（各国とも明確にどのレベルの情報なら良いと決めているか分かりませんが）曖昧にしながらも、事例／判例などによる判断を待つ、ということになるのではないでしょうか。

最後に、セキュリティ強化に向けてIT技術を強力に誘導する、米国国防総省のゼロトラストに関する動向を紹介して、本コラムを終わります。

5.我が国は加速する米国に追随できるのか～Advanced Zero Trust～

以下は、米国連邦政府～米国国防総省のゼロトラストへの主なマイルストーンです。

• 2020年5月に大統領令が出ました、各省庁は早急に対応策を作れと指示しました。
  • 「Executive Order on Improving the Nation's Cybersecurity」（EO 14028）MAY 12, 2021 Signed by Biden
• そして、米国国防総省は2022年11月に米国国防総省ゼロトラスト戦略を発表しました。
  • Department of Defense Releases Zero Trust Strategy and Roadmap（Nov. 22, 2022）
• そのマイルストーンはこのような感じです。資料内では2027米会計年度をひとつのターゲットイヤーに据え、かなり急激に対応しようとしています。
  • DoD Zero Trust Capability Execution Roadmap (COA1)　（06 January 2023）

これらの方策は、大半がMSSPなどクラウド（サーバー側）事業者が対応する内容です。必ずしも防衛産業ではないIT企業が対象になりますが、政府の支援を集中させることで、米国は急速にゼロトラストの世界を実現しようとしているのではないでしょうか。

ここまで徹底し、ゼロトラストの時代になってようやく、171の遵守環境は現実的になってくるのではないかと思う次第です。

以上