1.はじめに
NISTは2024年5月14日にNIST SP 800-171 Rev. 3 (以下Rev. 3と記載) を発表した。同時に、評価用のNIST SP 800-171A Rev. 3も発表した。この改定版は、2年以上にわたるデータ収集、技術分析、パブリクコメント等の集⼤成となるもので、NIST SP 800-53 Rev. 5(以下、NIST SP 800-53と記載) への準拠を目指した大幅な改定となった。本速報では、NIST SP 800-171 Rev. 2 (以下Rev. 2と記載) からRev. 3への主要な変更について説明する。
NISTはRev. 3 を発行する前に、3度にわたってDraft版を発表し、パブリックコメントを求め、それらの意見を反映している。今回の改訂版は今後に続く172、172A、等の改訂のスタートとなる。第三者評価となるCMMCは、すでにRev. 2で運用の準備が進んでいるため、すぐにRev. 3が適用されることはないが、今後もDoDの動きは注視していくことが必要である。
弊社では、今回、Rev. 3 の翻訳版を公開し、今後NIST SP 800-171A Rev. 3 についても公開する予定である。
2.セキュリティ要件のファミリとセキュリティ要件の変更
セキュリティ要件のファミリは今回3つのファミリが新たに設けられ、従来の14ファミリから17ファミリに増えた。追加されたファミリは以下の3つである。
- Planning(計画)
- System and Services Acquisition(システムおよびサービスの調達)
- Supply Chain Risk Management (サプライチェーンのリスクマネジメント)
セキュリティ要件の変更状況を下表に纏めた。
変更の種類 | 変更の説明 | 項目数 | |
---|---|---|---|
新しい要件 | SP 800-171 Rev3に新しく追加された要件。 | 19 | |
撤回された要件 | 撤回された要件 | 33 | |
変 更 の 内 容 | 重大な変更 | 要件の追加の詳細。 要件の結果を達成するためのより包括的な詳細とタスクが含まれる | 46 |
軽微な変更 | 編集上の変更。要件の詳細レベルと結果の変更は限定的。 | 15 | |
大きな変更なし | 要件の編集上の変更。結果に変更はない。 | 18 | |
新規導入の組織が定めるパラメータ(OSP) | 新しいODPは、撤回された要件を除くすべての変更タイプに適用可能。 各要件、1つ以上の新しいODPが含まれる。 | 49 |
Rev. 3改定の基本的な考え方は、従来のRev. 2を拡張しNIST SP 800-53に適合するように整備することである。従来から、Rev. 2に対応してきた組織にとっては、Rev. 3に適応することは比較的容易である。またこれから新たに171に適合しようとする場合、CMMCはしばらくRev. 2ベースで運用すると宣言しているが、開発コストも考慮して、Rev. 2とRev. 3の差異を良く理解した上でRev. 3ベースで対応すると言った対応も検討する必要がある。
上記の表に依れば、撤回された要件が33件にもなっているが、多くは他の項目に吸収されており、実質的に撤回された要件は6件に留まる。これらの要件の見直しはNIST SP 800-53に基づく見直しの結果である。前述のようにCMMCにRev. 3ベースで対応を試みるケースでは十分な注意が必要である。
新規に追加された要件は、19件であるが、約半数は新規に追加されたファミリに関する要件であり、サプライチェーンに対する要件等が拡張された。また、他の項目はNIST SP 800-53のRevisionの変更に伴う見直しの結果、新たにCUIカテゴリに取り入れられた管理策の取り込みによる要件化の結果である。
重大な変更46件の内容は広範に渡る。撤回された要件の吸収や、新規要件の追加、要件の具体化、ODPの追加などが要因でカウントされており、他の項目と重複してカウントされている部分もある。
ODPの導入は、NIST SP 800-53に合わせた大きな変更である。従来のRev. 2の要件の記述が曖昧で、人により、その対応異なっていたのが実際の状況であり、パブリックコメントでもその点に関する指摘が多くあった。ODP導入による要件提示により全体的な情報セキュリティのレベルの向上が図られることになるのは大きなポイントと思われる。
3.まとめ
今回、Rev. 3 が公開された。CMMCでの適用時期等今後の動向か不明確ではあるが、CUIに対する情報セキュリティ上の対応はNISTの定める基準に従うことが大統領令で定められており、DoDの従来の対応を見ても制定から2-3年で対応していることを考えると、数年に及ぶCMMCの適用拡大期間中にRev. 3 版ベースに移行していくと思われる。
なお、NIST SP 800-171 Rev. 3の翻訳版は、エヴァアビエーションの下記のページからダウンロード可能である。
株式会社エヴァアビエーション
コンサルタント 土橋俊夫
2024.9.1