絶対に避けられないもの:死と税金とコンプライアンスアップデート - NIST 800-171の付属書について

avatar

 2018.11.07  Japanブログ編集部

新しいアップデートやコンプライアンス要件の追加は、日が昇り、また暮れるのと同じように定期的に行われます。最近、米国国立標準技術研究所(NIST)は、NIST 800-171の付属書を発表しました。これはSP 800-171Aとして知られる文書で、NIST 800-171内のCUI要件を組織がどのように評価できるかについてのガイダンスを提供するものです。

このリリースは、非連邦組織がSP 800-171への準拠実現に向けて、セキュリティ要件を満たすための評価計画の作成と評価の実行に関するガイダンスを提供することを目的としています。NIST SP 800-171の主な目的は、非連邦システムおよび組織におけるControlled Unclassified Information(CUI:管理対象非機密情報)を保護するためのセキュリティ要件を策定することでした。この要件は、Defense Federal Acquisition Regulation Supplement(DFARS)で参照されているため、国防総省(DoD)の直契約サプライヤーには必須となっています。

NIST SP 800-171に準拠するために、非連邦組織が管理する必要のある領域が5つあります。SP 800-171Aでは、それらの領域について次のように対応しています。

  1. 組織のセキュリティおよびリスク管理プログラムの潜在的な問題または不足部分を特定する
  2. システムとそのシステムが動作する環境におけるセキュリティの弱点と不備を特定する
  3. リスク低減のための意思決定と行動に関する優先順位付けを行う
  4. システムおよびシステムが動作する環境内の特定されたセキュリティ上の弱点と不備に対処したことを確認する
  5. 継続的なモニタリングのアクティビティをサポートし、情報セキュリティの状況認識を行う

NIST Special Publication 800-171では、セキュリティ要件の項目を14のファミリー(大分類)に分類しています。その大分類は次の通りです。

CUIセキュリティ要件の大分類

  • アクセス制御
  • 意識向上と訓練
  • 監査と責任追跡性
  • 構成管理
  • 識別と認証
  • インシデント対応
  • メンテナンス
  • メディア保護
  • 人的セキュリティ
  • 物理的保護
  • リスクアセスメント
  • セキュリティアセスメント
  • システムと通信の保護
  • システムと情報の完全性

評価担当者がこれらの要件を評価する際のメソッドを明確化することを目的として、NISTは「NIST SP 800-171A」として運用手順書を発表しました。この評価プロセスは、Examine(仕組みの整備状況の確認)、Interview(実施状況のインタビュー確認)、Test(実地テスト)のように区分されています。

  • Examineでは、仕様、メカニズム、および活動の各領域について、さまざまな評価対象のレビュー、検査、観察、調査または分析を行います。このプロセスは、評価担当者が現在のコンプライアンスレベルを明確化して理解するとともに、可能であれば証拠を収集する際の助けとなるものです。
  • Interviewでは、評価の対象の責任者とディスカッションを行います。このプロセスもまた、評価担当者が明確化、理解、および必要に応じて証拠を得る際の助けとなります。
  • Testは、評価の対象を測定し、期待される挙動やコンプライアンスと比較するプロセスとして位置付けられています。

セキュリティ要件の大分類に対するコンプライアンス準拠を支援するために、上記3つのプロセスすべてを実施することが推奨されます。

NIST SP 800-171Aのチャプター3では、CIUのセキュリティ要件実施状況の評価の手順、手法、および目的を詳細に説明しています。NISTは、評価の詳細度のレベルに関しては、組織独自の保証要件に基づくように柔軟性を持たせています。附属書Dでは、詳細度のレベルに関する分類を示しています。

Tripwireでは、これまでと変わらず、コンプライアンス要件への準拠を支援しています。Tripwireは、Examine、Interview、Testの手法を使用して企業がコンプライアンスを確認する際に、その到達度を測定する手段を提供しています。

New Call-to-action

RECOMMEND関連記事


この記事が気に入ったらいいねしよう!