N1 背景
米国の、情報セキュリティに関する最新の動向を、現在までの規格類の制定の流れ、規格の概要、最近の規格制定の状況の観点からまとめました。規格の改定の内容からも興味深い方向性も見えてきます。
N1 (1) 連邦政府の情報と情報システムの保護に関する重要な要求(FISMA)
2002年に連邦情報セキュリティマネジメント法(FISMA)(2014年には改定されFederal Information Security Modernization Act of 2014(FISMA2014))が施行されました。連邦政府に対し、その情報と情報システムの保護に関する重要な要求事項を定め、米国国立標準技術研究所(NIST:National Institute of Standards and Technology、以下、NIST)に対して、連邦政府のFISMA準拠をサポートするための重要な要求事項を定めました。
NISTは、FISMA導入プロジェクトの一環として、情報システムセキュリティに関する重要な規格およびガイドラインの策定を行いました。この最重要プロジェクトは、セキュリティ分類規格の策定、情報システムのセキュリティ管理策の仕様、選択、テストに関する規格およびガイドライン、認証のためのレビューおよび情報システムの運用認可についてのガイドライン、そして、意図した通りの運用を確実に行うための継続的な監視についてのガイドラインが含まれています。
N1 (2) 連邦政府各機関が取るべき基本的な情報セキュリティ要件(FIPS-199)
NISTによって策定されたこれら文書の中で最も重要な規格がFIPS-199「連邦政府の情報および情報システムに対するセキュリティ分類規格(Standards for Security Categorization of Federal Information and Information Systems)」です。
(注)FIPS(Federal Information Processing Standards) 連邦情報処理規格
この規格は、FISMAの規定する国家セキュリティシステム以外のシステムに対して強制力があり、米国政府が、その国家セキュリティシステム以外のセキュリティ情報および情報システムを防衛するための重要な変更を提起しています。なお、「国家セキュリティシステム以外のセキュリティシステム」には、国の重要インフラに匹敵する政府システムを含んでいます。
FIPS 199は、連邦政府の業務や情報資産をサポートする膨大な数の情報システムを保護するに際し、ある種の秩序や規律を導入するための初期段階の手続きを定めています。FIPS 199では、重要性と損なわれやすさを、秘匿性、完全性または可用性を損なうセキュリティ違反の発生により、政府機関の業務(ミッション、機能、印象および、評価)、政府機関の情報資産または人員が受ける潜在的影響に基づき分類しています。
この分類に基づきリスクマネージメントフレームワークを活用してそれぞれの情報システムに対し適切なセキュリティ管理策を適用し、その管理策が、どの程度まで正しく導入されているか、目的に沿って運用されているか、セキュリティ要件を満たすという点で必要な結果を出しているかを評価し判断する手助けとなるものです。
同様に、連邦政府機関の情報および情報システムの最低セキュリティ要件であるFIPS 200も政府機関に対して法的強制力を持ちリスクマネージメントフレームワークの一部として利用されています。政府機関がこの規格を遵守するために最初に行うべきことは、FIPS 199に従って自身の情報システムのセキュリティ分類を特定することです。
次の段階で、NIST Special Publication(以下NIST SPと記述)SP 800-53に掲載のセキュリティ管理策のベースラインの中から、適切なものを選んで適用することが求められています。政府機関においては、自身が選択したセキュリティ管理策のベースラインを、NIST SP 800-53に記載の調整ガイダンスに従って調整できるといった、柔軟な対応が可能です。これによって政府機関は、自身のミッション要件や運用環境において、より適切なセキュリティ管理策を適用することができます。FIPS 200とNIST SP 800-53の組み合わせは、連邦政府機関が、政府機関のあらゆる情報および情報システム(国家安全保障に関わる情報および情報システムを除く)に対して基本的なレベルのセキュリティを確保することを求めています。
N1 (3) NIST SP 800シリーズ
同シリーズは、国家安全保障関連以外の連邦政府機関およびその請負業者を対象としたコンピューター・システムの情報セキュリティや相互運用性に関する準拠すべき標準(連邦情報処理規格 FIPS)や、規格に準拠するためのガイドラインの発行をミッションとするNISTの隷下である Computer Security Division(CSD)が発行するコンピュータセキュリティ関連のガイドラインです。
NIST SP 800シリーズは米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、内容的には①セキュリティの対策状況を評価するための指標(メトリクス)、②セキュリティンシデントへの対応手順をまとめたIncident Handling Guide、③情報セキュリティ対策を実施する際の出発点となるRisk Management Guideなど、政府機関、民間企業を問わず有用な資料と言えるでしょう。2017年2月現在で150件を超える規格がホームページに公開されており、そのカバーする範囲は非常に広くなっています。
NISTが作成する規格、ガイドラインの適用範囲は、本来国家安全保障を除く領域ですが、国防総省(Department of Defense;以下DoD)が実際に作成する様々な規程でNIST SP 800シリーズのガイドライン等を引用し、実質的にNISTが制定したガイドライン等をその情報管理に組み込み採用している場合が多くあります。
N1 (4) NIST SP 800シリーズの概要
ここでは、数あるNIST SP 800シリーズの中から、前述のFISMAリスクマネージメントフレームワークにおいて重要な役割を果たし、FIPSを遵守するための基礎となるガイドラインの中から、セキュリティ管理策を記述している『NIST SP 800-53』および、新しい情報カテゴリーであるCUI(Controlled Unclassified Information)の管理策である『NIST SP 800-171』の2種類の管理策、ならびにNIST SP 800-53にも引用されている人的セキュリティを担保するのに必要とされる認証に係る『NIST SP 800-63』と、メディアの廃棄等に係る『NIST SP 800-88』について述べる。
各規格の説明は、以下のリンク先(用語の説明)を参照してください。
- NIST SP 800-53(Security and Privacy Controls for Federal Information Systems and Organizations)
- SP 800-53 (Security and Privacy Controls) NISTのサイバーセキュリティ管理策の中核的規程。網羅的にあらゆる管理策を整理したもの。
- NIST SP 800-37(RMF:Guide for Applying the Risk Management Framework to Federal Information Systems: a Security Life Cycle Approach)
- NIST SP 800-171(Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations)
- SP 800-171は、連邦政府以外の組織に対して、CUIを流出させないための「秘匿性」に重点を置いて開発されました。網羅的に管理策を整理したSP 800-53をベースに、SP 800-171は具体的な要件として中位レベル(Moderate)の規程となっています。
- NIST SP 800-172 (Enhanced Security Requirements for Protecting Controlled Unclassified Information)
- SP 800-172(強化されたセキュリティ要件)は、高度な永続的な脅威 (APT) に対応し、SP 800-171の基本的なセキュリティ要件と派生セキュリティ要件を補完するように設計されています。2021.2に正式版がリリースされました。
- NIST SP 800-63(Electronic Authentication Guideline)
- 連邦政府機関において電子認証を実装する際の技術的な指針を提供するものです。また、非政府組織においても自由に使えるもので、FBCA(Federal Bridge Certificate Authority)との連接を行う場合には必須の基準となっています。
- NIST SP 800-88(Guidelines for Media Sanitization)
- Guidelines for Media Sanitization。情報システムは、各種の媒体を使って情報を捕捉し、処理し、保存する。これらの情報は、保存することを意図された記憶媒体だけでなく、情報の作成、処理、または送信に使われる機器にも格納されます