バック サイバーセキュリティとプライバシー NIST、特定の政府契約業者に対する強化されたセキュリティ要件を提案 2019年6月27日 LinkedInで共有するツイッターで共有プリントメールで共有シェア トップに戻る 米国国立標準技術研究所(NIST)は、非連邦システムおよび組織における管理対象非機密情報の保護に関するNIST特別刊行物(SP)800-171への変更案を発表した。 改正案は二つの側面から構成される:(1)現行のSP 800-171に対する軽微な編集上の修正と明確化、(2) 新規刊行物SP 800-171Bにおいて、高度持続的脅威(APT)対策として重要プログラム及び高価値資産に対する強化されたセキュリティ要件を提案するものである。 これらの提案は、政府との契約を通じて直接要件の対象となる政府請負業者に影響を与えるだけでなく、民間部門にも波及する可能性があります。これらの提案は2019年8月2日まで*、一般からの意見募集を受け付けています。 2015年に初版が発行されたNIST SP 800-171の管理策は、管理対象非機密情報(CUI)を処理、保管、または伝送する政府契約業者向けの最低限のセキュリティ基準を設定することを目的としている。CUIとみなされる情報の種類はCUIレジストリに記載されており、連邦納税者情報から重要防衛情報まで幅広い情報が含まれる。 SP 800-171改訂版2への提案修正は軽微な編集上の変更であり、基本セキュリティ要件や派生セキュリティ要件への変更は提案されていない。NISTは、SP 800-171の包括的な更新が改訂版3で実施される予定であると表明している。 ただし、NISTは新たな刊行物SP 800-171Bにおいて、重要プログラムを支援する、あるいは兵器システムなどの高価値資産を構成する非連邦システム・組織向けに、新たな厳格なセキュリティ基準を提案している。NISTのSP 800-171Bは、SP 800-171で定められたセキュリティ要件を基盤としている。 民間セクターの契約では、組織のデータを処理・保管・伝送するベンダーに対する最低限の要件としてNIST SP 800-171の管理措置が頻繁に引用されるため、提案された管理措置は他の産業にも広がり、政府との契約の有無にかかわらずベンダーに影響を与える可能性が高い。 SP 800-171Bの新たな要件には何が含まれるのか? NIST 800-171Bの新たな要件は、SP 800-171を補完する(置き換えるのではなく)ものであり、適用対象組織における最低限のセキュリティ対策について、SP 800-171全体と比較して大幅に高い基準を設定するものである。 具体的には、SP 800-171BはSP 800-171に列挙された110のセキュリティ制御に32の強化されたセキュリティ要件を追加し、主に以下の3つの構成要素に焦点を当てています:(1) 侵入耐性のあるアーキテクチャ、(2) 損害制限運用、(3) サイバーレジリエンスとサバイバビリティを考慮したシステム設計。 例えば、NIST 800-171Bは、CUI(機密情報)へのアクセスに関連する既存の管理策に以下の3つの要件を追加し(アクセス権限をさらに制限)、(1) 重要または機密性の高いシステムおよび組織的運用を実行するには二重承認を採用すること、 (2) システムおよびシステム構成要素へのアクセスを、組織が所有、提供、または発行する情報リソースのみに制限すること;および (3) 接続されたシステム上のセキュリティドメイン間の情報フローを制御するため、安全な情報転送ソリューションを採用すること。 多くの企業にとって、強化された要件はNIST SP 800-171の一般的な要件よりもコストがかかる可能性が高い。 新たな要件の中でも特にコストがかかる例として、組織は常時稼働のセキュリティ運用センターと、24時間以内にあらゆる場所へ展開可能なインシデント対応チームを設置・維持しなければならない点が挙げられる。提案では、NISTが組織に対し、これらの新基準を満たす能力を自社で保有することを義務付けるのではなく、第三者との契約によって基準達成を認める方針を示している。 SP 800-171Bは組織にどのような影響を与えるか? SP 800-171Bによれば、組織は「連邦機関が契約、助成金、その他の合意において義務付けた場合」にのみSP 800-171Bへの準拠が求められる。したがって、SP 800-171Bが最終化され次第、組織は自らが準拠を要求されているかどうかを判断するため、契約内容を見直す必要がある。 前述の通り、民間組織(特に大量の機密データを扱う組織)は、自組織が高度に機密と判断するデータについて、ベンダーに対し強化された要件を満たすことをますます要求する可能性が高い。したがって、NIST SP 800-171Bの最終版発行時期にかかわらず、これらの新規要件の対象となる可能性が高いと認識している組織は、その実施方法について検討を開始すべきである。 これらの要件の一部は新たな技術、研修、従業員を必要とするため、各組織が早期に実施計画と戦略を策定すればするほど、導入はより円滑かつ費用対効果の高いものとなる。 これらの提案について、どのようにコメントできますか? コメントは、電子メールで[email protected]宛てに、またはhttps://www.regulations.govのドケット番号 NIST-2019-0002 宛てに提出してください。 提案の詳細について、またはコメント提出の支援が必要な場合は、著者のいずれかにご連絡ください。 *編集部注:2019年7月10日更新。 著者 ジェニファー・L・アーバン [email protected] ミルウォーキー 414.297.5864 ジェニファー・J・ヘネシー [email protected] マディソン 608.250.7420 関連インサイト すべての投稿を見る 2025年5月27日 革新的技術の洞察 FCAによるサイバーセキュリティに関する新たな和解により、強制捜査の傾向が強まる 米国司法省の最近の発表は、政府が偽請求法に基づいてサイバーセキュリティの執行に重点を置いている事実が減速していないことを浮き彫りにしている。 2025年4月3日 革新的技術インサイト 最新のFCAサイバーセキュリティ和解事例が示すように、トランプ政権下でも執行は優先事項であり続けている トランプ政権下でもFCA関連のサイバーセキュリティ執行は継続している。 2025年3月3日 革新的な技術インサイト 変われば変わるほど…司法省の最新サイバー和解が示す、継続する虚偽請求法リスク トランプ政権下でも、金融行動監視機構(FCA)関連のサイバーセキュリティ執行は継続しているようだ。
