
サイバー攻撃の対策としてアメリカで発行された“NIST SP800-171”とは?
IoT技術の普及によって、多くのものがインターネットにつながるようになってきた現代では、これまで以上にサイバーセキュリティが重要となるでしょう。
そのような中、アメリカでセキュリティガイドラインとして発行されたのがNIST SP800-171ですが、これは果たしてどのようなものなのでしょうか?
NIST SP800-171の内容は?
NIST SP800-171は、アメリカ国立標準技術研究所(NIST)から2015年6月に発効され、大統領令によって2010年11月に定義されたCUI、重要情報を保護する事を目的としたものです。
その為に、製品や技術などを企業が開発及び製造して政府機関が調達する際に、定められているセキュリティ基準に準拠している事が求められます。
その内容を簡単にまとめると、取引企業や製品・技術の導入が原因となって、政府機関が「ハッキングやサイバー攻撃などを受ける可能性が低い環境を目指す」という事です。
これまでも、アメリカは様々なハッキングを受けています。
オーストラリア等と共同で最新鋭のステルス戦闘機を開発した際は、防衛請負企業に脆弱性があった事でその情報が盗まれました。
こういったリスクを防止する為に、原因を根本から断とうという施策です。
このガイドラインで守られるCUIというのは、機密情報などではなく潜在リスクをはらんでいる情報と定義されています。
個人情報や安全保証、または企業が占有するような情報及び操作情報を含んでいる情報などが当てはまります。
具体的には、重要なインフラを建設する際に必要とされる情報や地理的なデータ、または製品開発に関する試験のデータなどが該当します。
こうしたリスク防止が目的となります。
日本にNIST SP800-171がどう影響するか
アメリカで発効されたこのセキュリティガイドは、日本ではあまり関係がないように思えるかもしれません。
しかし、そうとも言い切れないのです。
アメリカ国防総省からスタートしたNIST SP800-171は、徐々に他の省庁でも使われるようになり、取引企業にも準拠を求められるようになっています。
今後は多くの分野にその準拠が拡大される予定となっている為、日本でもグローバル企業などに大きく影響が広がっていき、いずれは日本の大多数の企業へと広がっていくと考えられます。
まだまだ日本ではそれほど注目されていませんが、今後の事を考えると、先んじて準拠する事を考えておくのは大切になるでしょう。
まとめ
アメリカで発効されたセキュリティガイドのNIST SP800-171は、徐々にアメリカで広まりつつあります。
いずれは日本のグローバル企業を介して、日本の企業もその多くが準拠する事を求められるようになるでしょう。
そうなった時に慌てて準拠するよう調節しなくてもいいように、早くから準拠する事を考えておく事が、今後大切になるかもしれません。