弊社では、以下の分野に特に注目した情報収集・共有を行っています。

[N] 米国におけるNISTの情報セキュリティ

 米国の、情報セキュリティに関する最新の動向を、現在までの規格類の制定の流れ、規格の概要、最近の規格制定の状況の観点からまとめました。規格の改定の内容からも興味深い方向性も見えてきます。FISMA2014、FIPS-199から、NIST SP800シリーズの関連規格等について全般を整理します。

[C] 米国連邦政府調達のサイバーセキュリティ要件=CUI

 米国では、2010年の大統領令EO 13556 : Executive Order 13556 Controlled Unclassified Information)に基づき、NISTSP 800-171を制定しました。DoDは、いち早くその適用を業界に求めるDFARS252.204-7012)を発行し、2017.12.31までにサプライチェーンに関わる全ての組織に対して遵守することを求めています。
 NIST SP 800-171は、SP 800-53,SP 800-63をベースに構成されており、ISMS (ISO/IEC 27001)とも対比される内容/構成となっており、情報システム自体への制約と、情報を扱う上での組織態勢やルールを適切に制定することが必要です。弊社は、すでに米国でNIST準拠のクラウドサービスとして認定されているExostar社のForumPass Defenseを紹介いたします。

【ビデオ】「米国の情報セキュリティに関する動向」(2020.9.30 NIS-Beセミナー 録画)

【参考】 米国 NIST SP 800-171 による連邦政府調達基準への対応について

【参考】米国国防総省のCMMC(サイバーセキュリティ成熟度モデル認証)について

[M] サイバーセキュリティ成熟度モデル認証"CMMC"の枠組み

 米国防総省はNIST SP 800-171管理策を展開して5レベル評価を加えた新しい認定制度の仕組みとしてCMMCCybersecurity Maturity Model Certification)を適用することを宣言しました。

 2020年1月にはVer. 1.0が公表されました。2020年11月には一部適用が開始される見通しです。CMMCAIANAS 9933にならって、各要求項目を5段階のレベルおよびプロセスに分けて評価するしくみとしました。また、第三者評価認定機関(C3PAO)を認定し、客観的なレベル評価が行えるようにしています。

 CMMCはあくまで米国防総省としての取り組みであり、その他の連邦政府各機関が取り組んでいるものではありません。また、米国防総省においても、これが正式に発効するのは、調達規則であるDFARS 252.204-7012の改訂が行われた後となります。

[63] 米国 NIST SP 800-63 による認証規格を紹介し、我が国にも対応する認証基盤構築を推進

 欧米の航空宇宙・防衛業界における機密度の高い情報の扱いについては、ISOなどの国際規格より、米国政府が策定するNISTが制定するNIST SP 800-63に従うことが合理的かつ即効性のあるソリューションであると考えています。
 「認証」は、昨今のサイバーセキュリティの課題であり、その入口となるものです。情報を取扱う入口を的確に押さえて初めてシステムによる対策が有効になってきます。
 技術的にはPKI電子認証を核として、NIST SP 800-63規格をベースとする体系をわが国に自律的に構築し、諸外国と対等な認証信頼関係を確立することです。

【参考】アイデンティティ認証について

[L] LSAP航空機ソフトウェア部品のセキュリティ基盤構築の支援

 航空機の部品はIT技術の進化に伴い、ソフトウェアを持つシステム部品に変わりつつあります。米国FAAでは、ハードウェアの認証をRTCA DO-254により規定していますが、ソフトウェア(システム)部品についてはDO-178が適用されます。
 DO-178は製造時における規約ですが、運航会社やMRO整備会社ではそのソフトウェアをアップデートする作業を、現場で行う必要があります。欧米航空業界では、ソフトウェアメンテナンスを行う整備士や運航会社技術者には、PIV-AVというICカードによる認証が義務付けられることになります。この認証についてはATA Spec42により規定されています。なお、弊社はSpec42を検討するA4Aの会員になっております。