EMCジャパンのRSAセキュリティ事業部は2018年4月12日、説明会を開き、米国のセキュリティガイドラインの1つで、米国国立標準技術研究所(NIST)が作成した「NIST SP 800-171」について説明した。
拡大画像表示
NIST SP 800-171は、企業への直接的な影響として、米国の国防総省(DoD)の調達基準として使われている。このため、国防総省と取引する会社は、NIST SP 800-171が求めるセキュリティ要件をクリアしなければならない。
NIST SP 800-171の特徴は、「他の規格と比べてセキュリティの要件が厳しいこと」(RSAのアジア太平洋地域で最高サイバーセキュリティアドバイザーを務めるLeonard Kleinman氏)。企業は、同規格に準拠することによって、政府並みの厳しい基準をクリアできるようになるという。
NIST SP 800-171への対応は、レジリエンス(攻撃を受けても回復してビジネスを継続する力)のために有効だという。レジリエンスは重要な指針であり、日本を含む諸外国が国家レベルで取り組んでいる。日本はセキュリティの基本政策を2015年に打ち出し、13分野を重要インフラとして定めている。
企業がNIST SP 800-171に準拠するためには、まずはギャップの分析から始める必要がある。続いて、ギャップを埋めてセキュリティ要件を満たすための計画を立てる。1度対応して終わりではなく、継続的に活動を続ける必要がある。
重要なインシデントは72時間以内に報告
NIST SP 800-171の要件事項は、大きく14個の大分類に分かれる。例えば、アクセス制御、認証、システムの保護、監査と説明責任、問題意識とトレーニング、インシデントへの対応、などである。
説明会では、要求事項のうちインシデント対応について詳しく説明した。インシデント対応の準備に関しては、大きく4つの要求がある。(1)ポリシーを整備する(無いなら作る、あるなら見直す)、(2)人材を雇ったり育成したりする、(3)組織を整備する、(4)ツールや技術を用意する、―である。
インシデント対応の準備においては、大前提としてインシデントの状況を可視化できていることが重要になる。NIST SP 800-171では、重要なインシデントについては、72時間以内に報告する義務を課している。多くの情報を72時間以内に取得して整理してレポート化するためには、ツールや技術が重要になるという。
インシデントの対応時には、あらかじめ決めておいた手順に基付いて、インシデントの状況を正確に把握し、報告書にまとめる。ここではログが重要になる。報告書はログを元に作成する。ログは証拠にもなる。社内の報告ルートなども決めておく。義務があれば外部にも報告する。マスコミに対して情報をどう提出するかも決めておく。
インシデントに対応する組織の能力を定期的に調べることも重要である。机上シミュレーションや、レッドチームとブルーチームに分かれての対戦、民間のサイバー攻撃大会への参加なども有効である。