現在地

NIST(米国標準技術研究所)とセキュリティ(その1)~概要編~

本コラムは、米国標準技術研究所の活動の中で、特にセキュリティに関する活動について着目して解説していく。

1. NISTの概要と情報技術研究所の位置づけ

NISTの正式名称は、National Institute of Standards and Technologyで、日本では米国標準技術研究所と呼ばれている。NISTは、1901年に設立された最古の物理科学研究所である。現在は、米国商務省(Department of Commerce:DoC)の傘下の研究機関である。 NISTの成果は、スマート電力網や電子健康記録から原子時計、先進のナノ材料、そしてコンピュータチップまで幅広く、IT業界でもNISTが提供する最新技術、測定技術、技術標準に依存することが多くなってきている。
NISTのミッションとしては、経済的安全保障を高め、生活の質を向上させるような方法で測定科学、標準、および技術を進歩させることによって、米国の技術革新および産業競争力を促進することを掲げている
NISTのビジョンとしては、NISTが、重要な測定ソリューションを作成し、公平な基準を推進することで世界のリーダーになり、NISTの努力がイノベーションを刺激し、産業の競争力を促進し、そして生活の質を改善することを掲げている。
NISTの組織構成は、5つの研究所と2つのユーザー用施設で構成されている。

図1 NISTの研究所の構成

図1 NISTの研究所の構成

本コラムでは、セキュリティに着目して解説する。セキュリティに関しては情報技術研究所(ITL)が担当している。この研究所には7つの部門があり、コンピュータセキュリティ部と応用サイバーセキュリティ部がセキュリティ関係の研究、開発を行っている。図2に組織の関係を示す。

図2 NISTの情報技術研究所の構成

https://www.nist.gov/org/information-technology-laboratory/divisionsをもとに作成

図2 NISTの情報技術研究所の構成

2. 情報技術研究所(ITL)の活動

(1)ITLの概要

ITLは、連邦政府機関および米国業界向けのサイバーセキュリティ標準およびガイドラインを含む、標準、測定、相互運用性のテスト、セキュリティ、有用性、および情報システムの信頼性に関する技術を開発し、普及させるミッションを持っている。
ITLの戦略は、バランスの取れたIT測定科学と3つの主要な活動の標準ポートフォリオを通じて、情報技術(IT)が社会にもたらす利益を最大化することである。3つの主要分野とは、①数学、統計、およびITに関する基礎研究、②ITの応用研究と開発、③標準規格の開発と技術移転である。ITLは、5つの優先分野を特定した。5つの分野は、①サイバーセキュリティ、②IoT、③人工知能、④高信頼コンピューティング、⑤将来のコンピューティング技術である。

(2)NISTの出版物

NISTの主要分野の活動として、情報および情報システムのセキュリティとプライバシーに関する標準、ガイドライン、推奨事項、および研究の広範なコレクションを開発および維持がある。 これには、さまざまなNIST技術出版物シリーズが含まれる。出版物によって、次のような分類となっている。

図3 NISTの出版物の分類と概要
ドキュメントのタイトル内容
FIPS(連邦情報処理標準)NISTは、法令で要求されている場合、および/またはサイバーセキュリティに対する説得力のある連邦政府の要件がある場合に、FIPS出版物を作成する。
SP(特別刊行物)SP 800NIST SP 800シリーズの出版物は、米国連邦政府の情報および情報システムのセキュリティおよびプライバシーのニーズに対処しサポートするために開発されている。
SP 1800NIST SP 1800シリーズの出版物は、サイバーセキュリティコミュニティに実用的で使用可能なサイバーセキュリティソリューションを提供する。
SP 500NIST SP 500シリーズの出版物は、情報技術に関連する文書を発行する。
NISTIR(NIST社内または機関間報告)FIPSとSPの背景情報を含む研究結果を報告する。
ITL Bulletin(ITL通報)NISTのセキュリティおよびプライバシーに関する出版物、プログラム、およびプロジェクトの月次概要を報告する。
FIPS: Federal Information Processing Standard
SP: NIST Special Publications
NISTIR: NIST Internal or Interagency Report
ITL Bulletin: NIST Information Technology Laboratory (ITL) Bulletins

3. SP800シリーズ

SP 800 シリーズの文書は、情報セキュリティマネジメント、リスクマネジメント、情報セキュリティ技術、情報セキュリティの要件を満たす管理策、情報セキュリティのソリューション、情報セキュリティの対策状況を評価する指標、情報セキュリティ教育、インシデント対応など、情報セキュリティ全般を幅広く網羅している。現在、SP800シリーズとして、最終承認されて公開されている文書数は150ある。
それぞれのセキュリティを達成するための管理策を設定しているガイドラインがある。本号では、SP800シリーズの管理策にかかわる文書についての概要を示す。基本は、NIST SP800-53(連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策)で連邦政府の情報システム及び連邦組織のセキュリティ管理策を示したガイドラインがある。それを引用しているガイドラインとして、制御系システムを対象としたガイドラインNIST SP800-82(産業用制御システム(ICS)セキュリティガイド)、流通におけるリスクマネジメントのガイドラインNIST SP800-161(連邦政府のための情報システム及び組織のサプライチェーン・リスク・マネージメント・プラクティス)、連邦政府以外の組織が扱う情報の保護のガイドラインNIST SP800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)がある。
これらのガイドラインの概要を表1に示す。次号以降で、ガイドラインの詳細を解説していく。

表1 NIST SP800シリーズの管理策を規定したガイドラインの概要
発行番号SP800-53 rev4SP800-82 rev2SP800-161SP800-171 rev1
規格名(原本)Security and Privacy Controls for Federal Information Systems and OrganizationsGuide to Industrial Control Systems (ICS) SecuritySupply Chain Risk Management Practices for Federal Information Systems and OrganizationsProtecting Controlled Unclassified Information in Nonfederal Systems and Organizations
規格名(和訳)連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策産業用制御システム(ICS)セキュリティガイド連邦政府のための情報システム及び組織のサプライチェーン・リスク・マネージメント・プラクティス連邦政府外のシステムと組織における管理された非格付け情報の保護
最新発行日2013年4月2015年5月2015年4月2016年12月
概要 P800-53は、セキュリティおよび個人情報保護をはじめ、自然災害、人的ミス、サイバー攻撃、構造上の欠陥等からの脅威から対応、機能、イメージ、評判を含む組織運営、資産、個人、他組織、国家を保護するための多岐にわたる管理策を選択するガイドラインである。 NIST SP800-82は、ICSの現状のリスク分析及び評価、その対応方法の解説、リスク対策のためのセキュリティのアーキテクチャ設計、ソリューションの導入などのガイドラインを提示している。セキュリティのガイドラインとして、NIST SP800-53をもとにNIST SP800-82の管理策を提示している。 NIST 800-161は、ICTサプライチェーンのリスクには、模倣品の挿入、不正な生産、改ざん、盗難、悪意のあるソフトウェアとハードウェアの挿入などのリスクを緩和するための管理策として、NIST SP 800-53の18の管理策群を採用し、新たにProvenance(出所)という管理群を追加した19の管理策群から構成されて、さらにサプライチェーン特有の補足ガイドラインを作成している。 NIST SP800-171は、連邦政府が管理する情報ではないが、連邦政府が指定したミッションとビジネス運用を遂行するための能力に直接影響を及ぼす可能性のある情報を、管理された非格付けされた情報(CUI)と呼び、企業等に対してその情報の保護を求めるガイドラインである。CUIの保護のセキュリティ要件として14のセキュリティ管理策群を設定し、具体的なセキュリティ要件は、NIST SP800-53の17の管理策から中程度のレベルの管理策から導出している。
ベースラインの管理策の対応
アクセス制御
監査およびその説明
セキュリティアセスメントおよび認可
構成管理
緊急時対応計画
識別および認証
インシデント対応
メンテナンス
メディアの保護
物理的保護および環境保護
計画作成
職員によるセキュリティ
リスク評価
システムおよびサービスの調達
システムおよび通信の保護
システムの完全性および情報の整合性
プログラムマネジメント管理策
その他--Provenance(出所)を追加-

注釈

Writer Profile

セキュリティ事業本部
セキュリティコンサルティング事業部 コンサルティングサービス担当
エグゼクティブコンサルタント
サイバーセキュリティ戦略本部重要インフラ専門調査会 委員
松田 栄之