米国においては、その経済的および国家安全保障上の利益(interests)に対する情報セキュリティの重要性の観点から、連邦政府機関の情報および情報システムに情報セキュリティを提供(provide)するために、これまでに以下の法制度および規格等が定められ、運用されています。
・ FISMA,2002,2014
連邦政府の情報および情報システムにおけるセキュリティの重要性を認め、リスクベースのポリシーおよび、セキュリティ目的(security objectives)「秘匿性(confidentiality:機密性とも)、完全性(integrity)、可用性(availability)」などを規定するとともにNISTの根拠を示す
・ FIPS199,2004
リスクレベルに応じたセキュリティ分類(security category)「FISMAで規定される3つの「セキュリティ目的」毎の潜在的影響レベル(potential impact level){低位(low)、中位(moderate)、高位(high)}の最大値で表す」を規定
・ FIPS200,2006
FIPS199で求められるセキュリティ分類に基づいた適切なレベルの情報セキュリティを提供するために、17のセキュリティ分野(security-related areas)にわたる最低限のセキュリティ要件(minimum security requirements)を示し、NIST SP 800-53から適切なセキュリティ管理策を選択、必要に応じて適応(tailoring)させ、システムセキュリティ計画書を作成することを規定
・ NIST SP 800-53,2005~2020
FIPS200の17のセキュリティ分野におけるセキュリティ管理策の総合カタログを提供:最新のrev.5では公的機関だけでなく民間組織の幅広い基盤にも利用できるようにするとともに、20のセキュリティ管理策ファミリー(control families)から構成されるセキュリティおよびプライバシー管理策の総合カタログとなった
しかし今日の連邦政府は、多くの外部プロバイダー等に依存して多様な連邦政府の任務および事業機能を遂行しているところから、上記の一般的な情報セキュリティに関する仕組みの運用と並行して、EO13556,2010に規定される「CUI(管理対象非機密情報)プログラム」に基づく新たな施策を開始。その一環として開発されたNIST SP 800-171,2015は、CUIを連邦政府の契約事業者等のシステム環境で処理、保存、または伝送などを行う場合に求められる「CUIの秘匿性の保護に関する推奨セキュリティ要件(recommended security requirements)」を連邦政府機関に提供すべく規定した文書であり、我が国における米国連邦政府との契約事業者(サプライチェーンを含む)にもその適用が始まっていることは、広く周知されつつある状況にあるかと思います。
NIST SP 800-171(以下「171」と略)では、あわせて110件のセキュリティ要件が開発されました。FIPS199の潜在的影響レベルが中位相当という前提条件で、FIPS200の17のセキュリティ分野にわたる最低限のセキュリティ要件を適応させて、内14のセキュリティ要件ファミリーに属する「基本セキュリティ要件」で29件。またそれらの基本セキュリティ要件を補完するもの(supplement)として、NIST SP 800-53(以下「53」と略)のセキュリティ管理策を適応させ、81件の「派生セキュリティ要件」を追加しました。
…頭がこんがらがりそうな文章が続いたかもしれませんが、いよいよここからが表題の「セキュリティ要件とセキュリティ管理策について」の話です。
最近、これら文書への関心が高まっているところから関連する話題を耳にする機会が増していますが、よく聞いてみると「セキュリティ要件」と「セキュリティ管理策」があまり明確に区別されておらず、中には「171」は「53」のセキュリティ管理策のサブセットであるというような事実とは明らかに異なる話まで出ています。これは再度立ち戻って整理が必要ではないかと感じたことから、本コラムの誕生と相成りました。
171のセキュリティ要件が開発されたくだりにおける前述4文書との関係性が明確に描けるようになれば言わずもがなの話になるかと思いますが、念のために要件と管理策についてもう少し掘り下げてみたいと思います。
セキュリティ管理策については、このように記されています。
・「171」3.12.1考察より
セキュリティ管理策とは、セキュリティ要件に対応するため、組織が実装する保全措置や対策のことである。
・「53」第1章より
セキュリティ管理策とは、システムおよびその情報の機密性(秘匿性)、完全性、可用性を保護し、情報セキュリティリスクを管理するために、システムまたは組織内で採用される保全措置または対策のことである。
これらの記述から、セキュリティ要件とセキュリティ管理策は同一物ではないこと。そしてセキュリティ要件とは「システムおよびその情報の機密性(秘匿性)、完全性、可用性を保護し、情報セキュリティリスクを管理すること」と読み取ることができます。
様々な用語の扱いが錯綜する原因については、翻訳における日英の用語の多義性に起因するなど本質的な問題もありますが、「171」の策定に際して「53」のセキュリティ管理策を適応させて派生セキュリティ要件を開発した」という表現があり、これも認識を紛らわせることに一役買っているようです。これは、「53」の幾つかの関係するセキュリティ管理策をあたかも逆変換する形でその元となる要件を推定し、派生セキュリティ要件を開発したということと認識していますが、それはあくまでもセキュリティ要件の開発であって、「53」のセキュリティ管理策のサブセットを編集したものではないことは自明です。
セキュリティ要件とセキュリティ管理策の相違あるいは関係についての話はここまでとして、実際の組織における情報システムに「171」のセキュリティ要件に対応すべく個々のセキュリティ管理策を実装する際に留意すべきことにも触れておきましょう。
たとえCUIを扱う組織の情報システムであっても、その他一般の情報も処理することになるのは必然であり、「171」以外の一般的なセキュリティ要件への対策としてのセキュリティ管理策をも導入しなくては、本来のセキュリティ目的を果たすことができません。例えば、「171」の付属書Eに示されている「53」のセキュリティ管理策への適応規準であるNCO(CUIの秘匿性保護に直接関係しない)やNFO(明確化しなくても普通の組織では日常的に満たされている管理策)などは「171」の要件外とされていますが、導入する際に参考とすべきセキュリティ管理策であるでしょう。
筆者:亀田 繁
