情報セキュリティ規程類に対する
SP800-171の反映に関する考察

はじめに

当社では「SP800-53r4」に続いて、2017年より「SP800-171」の取扱いの検証および導入支援を提供しております。

その中で、実際に社内文書に規定する場合の考え方について、これまでの日本企業における規程類の策定方法とは異なる点があると感じる機会が多かったため、これまでの業務を通じて気になってきたポイントを纏めてみます。

【日本経済新聞】防衛調達、入札を厳格化 企業に取引関係など報告義務 2019/6/21
https://www.nikkei.com/article/DGXMZO46374990Q9A620C1MM8000/

【日本経済新聞】政府、情報保全に米基準 20年度以降に採用 2019/3/14
https://www.nikkei.com/article/DGXMZO42409210T10C19A3SHA000/

セキュリティ関連NIST文書:SP800-171 r1

連邦政府外のシステムと組織における管理された非格付け情報の保護
和訳版(IPA):https://www.ipa.go.jp/files/000057365.pdf

Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r1.pdf

NIST SP800-171 の解説

NIST SP800-171に関する解説は、多くの企業で特設サイトやセミナーを開催して説明しておりますので、そちらを参照ください。当社では、SP800-171の運用に向けた規程類の整備のみ取り扱っております。

NISTに関する説明(NTTデータ先端技術株式会社)おすすめです。

NISTと発行される文書の概要については、詳しい説明がありますので、ご参照ください。

NIST(米国標準技術研究所)とセキュリティ(その1)~概要編~ NTTデータ先端技術株式会社
http://www.intellilink.co.jp/article/column/sec-nist01.html


SP800-171に当社が関心を持った背景と課題認識

2015年10月、防衛装備庁が発足し不正防止策の運用が1つのテーマとして掲げられました。

【日本経済新聞】防衛装備庁が発足 開発や輸出を一元管理 防衛装備庁、10月にも発足
https://www.nikkei.com/article/DGXLASFS01H08_R01C15A0EAF000/

【日本経済新聞】不正防止策の運用カギに
https://www.nikkei.com/article/DGXLASFS06H80_W5A300C1PP8000/

当時、NIST SP800-171は発行前のドラフト状態です。また、情報処理推進機構(IPA)のWEBサイトでは「SP800-53r4」の日本語版の訳文が、逐語訳のまま公開されており、その日本語風の文書の理解に困惑していた頃です。

セキュリティ関連NIST文書:SP800-53 r4

連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
和訳版(IPA): https://www.ipa.go.jp/files/000056415.pdf

Recommended Security Controls for Federal Information Systems
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

一般的な社内規程類に展開できないNIST文書

SP800シリーズの文書を読むときに、いつも気になるのは、その実行主体です。

規程文書を策定する際には、前提として、組織規程・職務分掌規程・職務権限規程が存在します。
SP800シリーズを読み進める時、SP800-53では、アクセス制限の中で、組織と役割を明確にすることが求められていますが、実際には、様々な分類が存在します。

  • 組織(分掌)と役職(権限)
  • 職制(担当する情報システム)
  • 保有する権限(root権限、管理者権限、ユーザ権限)
  • 社内(社員)と社外(委託先)など。

それらの整理が出来ていない状態で、SP800文書を管理策として導入しようとすると、結果としては「ガイドライン」として規程類に手を加えず追加し、運用は「セキュリティ要求事項」を記述した「チェックシート」として扱うことになります。これは、既に多くの企業で実施されている「JIS Q 27001:2014のチェックシート」と同じことになります。

しかし、アクセス制限1つとっても、多様な機器(OSI7レイヤーでの分類のイメージ)に対する個別アクセス権をどのように定義し管理・運用していくのか詳細に検討しなければならず、チェックシート方式の人力での運用管理に委ねることは、SP800-53r4やSP800-171r1が想定しているシステム的管理が実装されにくい可能性を含んでいると考えられます。


SP800-171r1に対応した情報セキュリティ規程類を作る

SP800-171r1に対応した「情報セキュリティ規程」を策定したいという相談を受ける際、最も気になるのは「CUI」って何ですか?ということに行きつきます。

SP800-53r4であれば、米国の「連邦政府情報システムおよび連邦政府のための」とありますので、日本国内ではほぼ対象外であり、また、情報公開法との関係が記載されていますので、一先ず、何が対象で何が対象ではないのかは整理しやすいと考えられます。

概念的には整理されている「CUI」ではあっても、個別情報の種類として定義しにくい「CUI」を管理しろという要求に、どのように応えていくのかが見えてこないと、経営層として社内文書の1つとして定義、導入することは困難であると考えます。

どのレベルで対応すべきなのか・・・

規程類の策定の前に、どの範囲を想定した規程類とするべきなのかについて検討する必要があります。
規程類として定める場合でも、ガイドラインとして導入する場合であっても、社内文書化しますと、情報システム管理および業務プロセスを縛ることになりますので、以下にあるいくつかのポイントで、事前にその必要性について検討頂くことも必要かと思います。

1.CUIを認識(識別)できるのか

機密情報ではなくとも、集約すると機密情報に相当する情報(当社意訳)である「CUI」がどこに、どのように保存・保管・使用されているのかを特定する必要があります。

実際の業務プロセスを評価し、その中で「CUI」に該当する情報と、該当しない情報を分類し続けることができるのであれば規程類として整備しなくても、「ガイドライン」を定め、定点観測することによる運用も可能かもしれません。

実際には、情報を取扱う側が「CUI」を常に意識して業務利用が出来ない場合、社内の情報セキュリティ全体を「SP800-171r1」の記述レベルに合わせて実行する必要があると想定しています(要求なので、受け入れるしかないのですが、なかなかハードルが高いと思います)。

2.現行の情報セキュリティ対策で対応できるのか

「SP800-171r1」には「SP800-53r4」と「ISO/IEC27001:2013」のぞれぞれの読み替えが記載されています。

「SP800-171r1」だけを読むと、何をどこまでやるべきなのか判断が出来ないところが多くあります。それを「ISO/IEC27001:2013」で読み替えると、ほぼ運用と設定の問題のように感じてしまうことがあるかもしれません。それを「SP800-53r4」で読むと、IT環境をセキュアに保つ詳細な手順を定義し、システム設定やセキュリティ対策製品の運用が求められていると感じるでしょう。

ポイントとしては、ログ収集・分析、インシデントに気付く体制、監視と監査といった、これまで日本企業ではあまり重要視してこなかった「システム的な運用」に着目しており、その差をどのように埋めていくのか、IT投資も含めた検討を行ってから、規程類に導入する検討が必要になります。

「SP800-171r1」をそのまま「ガイドライン」で導入してしまうと「SP800-53r4」が紐づいてしまうので、慎重な判断が必要です。

3.自社事業における重要性(売上比率等)はどの程度か

2.で示した通り「SP800-171r1」への対応は、追加のIT投資が必要になると考えています。

既に十分な情報セキュリティが実施・実装されている場合は問題になりませんが、ログ収集・分析だけを取っても、SOCやSIEMの導入・運用が必要になるのではないかと予想しています。

そういう意味では、防衛装備庁から発表される新たな調達基準に基づき対策を取るための費用が、現在の防衛関連事業の収益に見合うものなのかの判断はなされるものと思います。

会社の事業にとって重要である、または売上の多くを占める場合には、個別事業ごとにセキュリティレベルを調整するのではなく、全社での情報セキュリティ・レベルの向上が望ましいと考えられます。この意味においては、情報セキュリティ規程類は共通のものを整備し、包括的な対策が望まれます。

会社の事業にとっては重要ではあるが、イノベーションや他社との協業などを行っている場合、工場や事業所が物理的に分離されていて、個別セキュリティ対策が比較的容易である場合には、セキュリティ対策の濃淡を明確にした、社内規程類の整備が重要と考えられます。


情報セキュリティ規程類への記載(例)

準備中


推奨書籍

令和元年11月22日作成