NIS-Be通信＋(No.5)

～ NIS-Be通信（第５号）～

発行日：2021年3月１日

NIS-Beメルマガ編集局

《TOPIC》

• ★トップニュース★　：CMMCの日本への展開時期についての情報
• セキュリティのさじ  ：直近の情勢および我が国のサイバーセキュリティ戦略
• NIS-Be最新情報　   ：NIST SP 800-172について
• コラム            　：NIST SP 800-53 Rev.5について
• One TERM(用語解説)：暗号その4（番外編）

【★トップニュース：CMMCの日本への展開時期について★】

CMMCを普及させる組織として2020年に米国で設立されたCMMC-ABと、Eva社は当初から情報交換をしてまいりました。

先般「日本でのCMMCの展開時期」について質問をしたところ、CMMC-ABより「来年から計画」という情報がもたらされました。公式には「米国以外での展開は未定」としか表明していない中での貴重な情報であり、引き続きこのチャネルを生かして連携していきたいと思います。

【セキュリティのさじ：情報セキュリティに関する最近の話題をピックアップし掘り下げます】

●2月になっても、前号のこの欄で特集したソーラーウィンズ事件についての続報が出ており、北朝鮮ハッカーの起訴など、サイバー攻撃に関して多く報じられていることを鑑みても、攻撃の「高度化」や「国際的広がり」によるリスクの増大が危惧されるとともに、世間の注目も集まっていると感じます。

参考：「SolarWindsハッキング、1000人超のエンジニアが関与の可能性」：ZDNet　2/16

　　：「米、北朝鮮3人のハッカーを起訴　世界で1400億円被害」　　　 ：日経新聞　2/18

●そういった状況下で、政府として新しい「サイバーセキュリティ戦略」をまとめるという報道があり、2日後の2月9日には新しい戦略を検討する会合が開かれ、NISC（内閣サイバーセキュリティセンター）のサイトにその内容が公表されました。

そもそも我が国のサイバーセキュリティ戦略は、2014年11月に成立した「サイバーセキュリティ基本法」に基づきNISCが定期的に計画作成することが義務づけられており、1回目は2015年7月に策定および閣議決定され、次に3年後の2018年7月に閣議決定され、今に至っています。

今回の内容を見ると、デジタル庁との緊密な連携を図りつつ「国際情勢変化（攻撃の高度化、多国間連携）」「政府の役割」「発信力」を踏まえて戦略策定を進め、2021年夏のオリンピック・パラリンピック終了後には戦略を決定するとされており、今後3年間の我が国のサイバーセキュリティ戦略の方向性を決めるという点においても、引き続き注視したいと考えます。

参考：「サイバー新戦略、政府が夏にも　教育や医療の対策強化」       ：日経新聞　2/7

　　：「サイバーセキュリティ戦略本部第26回会合について」　　　　：NISCサイト　2/9

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

【NIS-Be最新情報：更新情報、活動報告】

更新情報

• NIST SP 800-172について

⇒NIST SP 800-172が2021年２月2日に新規公開されました。表題にはA Supplement to NIST Special Publication 800-171 と記載されており、その位置付けが明確化されています。また、172の一部は、CMMC L4、L5の要件としても使用されています。

当該情報は「171関連情報」配下の172フォルダに登録されていますが、和訳した内容についても今後登録していく予定です。

• NIS-Be通信の登録

⇒「NIS-Be通信（第4号）」をNIS-Beサイトブログのアーカイブ（2月）に登録しました（今後も発刊後、順次登録します）。

活動報告

• IPAとの連携について

⇒2月からIPAのサイトにおいて、NIST SP 800-171(和訳版)のダウンロードリンク先がEva社サイトに変更され、IPAの翻訳情報としてEva社版が提供されております。

【One TERM(用語解説）】

●暗号その4（番外編）

NIS-Be通信では、今まで「暗号の歴史」「共通鍵暗号」「公開鍵暗号」と、暗号技術に焦点を絞り解説してきました。しかし、高度な秘匿性を確保するには技術的な方式だけでは十分でなく、仕組み《方式を実装した基盤（公開鍵基盤：PKI）や組織(認証局：CA)》も合わせて整備する必要があるという観点から、今回は「暗号その４(番外編)」として二つの用語について解説します。

【公開鍵基盤（PKI）と認証局（CA）】

これまで述べてきた｢共通鍵暗号｣「公開鍵暗号」に｢電子署名｣の仕組みを付加しただけでは、本当に「なりすまし｣が防止出来ているとは言えません。信頼できる第三者によって、公開鍵の正当性が証明されていることが必要です。

そのためには、多くの規定で構築された公開鍵基盤(PKI【Public-Key Infrastructure】)が必要であり、その基盤の中で中核をなすのが「認証局（CA：Certificate Authority）」と呼ばれる、公開鍵証明書を発行・失効できる組織です。

米国においては、ビジネス面でニーズが高まってきた｢電子取引｣の信頼性を担保するために、民間企業（1995年にRSA社から独立したベリサイン社など）が1990年代後半にサービスを開始し、その後全国レベルで整合性のある発展を目指して、2000年にESIGN法が施行されました。

日本においても、2001年4月には電子署名に法律的裏付けを与えた「電子署名法（平成12年102条）」が施行されました。その法律に基づき認定された認証業務が、民間では2001年７月から日本認証サービス（株）により開始され、2020年10月現在では8社、9認証業務が認定されています。

行政面では、2015年から施行されたマイナンバーの認証に関して「地方公共団体情報システム機構（J-LIS）」がCAの役割を担っており、「脱ハンコ」で「電子商取引」が推進される今後は、官・民ともに歩調を揃えて、各々のサービスの利用推進や連携が拡大されることが想定されます。

------------------------------------------------------------------------------------------------------

【編集後記】

先日久しぶりに入院する事になり、病院システムの進化に驚きました。以前は色々な検査をする毎に、カルテを受付に出して名前を呼ばれた後に入室し、検査や診断を受けていました。

今回は最初の登録番号（入院時に腕にタグを装着し、退院時にタグ切断）でデータは一元かつ生涯管理されており、番号で呼ばれて入室し、検査や診察の直前にタグの読み取りと並行して本人が「名前と生年月日」を述べる事で、本人認証していました。

一元管理することにより効率だけで無くケアレスミスも防止した上で、無闇に名前を呼ばないことでセキュリティ（個人情報保護）にも配慮し、タグの読み取りと並行して直接本人確認する事で「多要素認証」にもなっているなと、感心してしまいました。

　　　　　　　（佃）