サプライチェーンの情報セキュリティマネジメント 第6回 ~ NIST SP800-161を中心に解説

このコラムの第5回まではISOでのサプライチェーンの情報セキュリティマネジメント、特にISO/IEC 27036を中心に解説してきました。ここからは、NIST(National Institute of Standards and Technology:米国標準技術研究所)1で作成されたサプライチェーンの情報セキュリティマネジメント標準であるNIST SP800-161[1]について解説します。その前に、まずNISTで作成される標準の位置づけおよびSP 800-161が作成されるに至った背景を確認しておきましょう。

1. NISTによるSP800-161作成の背景

FISMA(Federal Information Security Management Act:連邦情報セキュリティマネジメント法)

米国では、2002年にFISMA[2]が制定されました。これは、連邦政府情報セキュリティ近代化法、通称E-Government ActのPart3に相当するもので、米国における電子政府を推進するにあたっての、情報セキュリティマネジメントに関する法律です。この中では、

  • ① 情報セキュリティマネジメントの実現にあたって効率的な対応を取るために、リスクベースアプローチすなわち政府機関のミッションがどの程度重要であるかに基づいてその情報システムが評価され、情報セキュリティ対策の優先度を決定することで、経済的な情報セキュリティ管理策を取ることが求められています。
  • ② これを実行するために、NISTに対して米国政府機関共通の情報セキュリティ規格、ガイダンスを作成することが決められています。ここで言う、連邦政府機関にはいわゆる軍或いは国家安全保障システム(情報機関等のシステム)2は対象とされていませんでした。つまり、NISTの標準はあくまで米国政府機関およびそのコントラクターに適用されるものとしてスタートしました。

以上を背景に、NISTによりFIPS199(連邦政府のセキュリティ分類規格(2004)[3])、FIPS 200(最低限のセキュリティ要求事項(2006)[4])およびRMF(Risk Management Framework)が規格化されました。FIPS199はリスクベースアプローチを取る場合に必要な、情報および情報システムのリスクベースでの重要度の分類の考え方、FIPS200はこの分類に基づく情報および情報システムに対する最低限の情報管理策をまとめたものであり、その後それぞれNIST SP 800-60 vol.1[5], vol.2[6]およびNIST SP 800-53 rev.4[7]3として詳細化が行われています4

一方、RMFに関しては、NIST SP 800-30「リスクアセスメントの実施の手引き」[8], NIST SP 800-37「連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド」[9], NIST SP 800-39「情報セキュリティリスク管理 -組織、ミッション、情報システムの視点」[10]といった規格が出されていましたが、リスク管理に関しては、NISTが対象としている政府機関だけでなく、軍事、国家安全保障システム等との連携が重要であるとの観点から、2009年にNISTを中心に軍事、国家安全保障システム等の関連機関を集めたJoint Task Force Transformation Initiativeが立ち上げられ、これ以降、NIST SP 800-37の大幅な改定とNIST SP800-53, 53Aを含む関連の規格の改定が行われ、現在に至っています[11]

  • 1: NISTに関しては、当社コラム「NIST(米国標準技術研究所)とセキュリティ」を参照して下さい。
  • 2: 国防総省傘下の軍事システム、インテリジェンスコミュニティ(CIA, FBI, NSA)およびその他の国家安全保障システム(DHS傘下の組織、国務省のシステム等)として認定されたものであり、それぞれの情報セキュリティ基準を有しています。
  • 3: いわゆる情報セキュリティに対する要求条件と管理策をまとめたものであり、ISO 27001, 27002に相当しますが、連邦政府の情報および情報システムの格付けに対応した管理策が示されています。当社コラムを参照してください。
  • 4: NIST SP800シリーズは逐次バージョンアップされています。このコラムでは、以降、最新のものを参照しています。また、IPAによる邦訳もいくつか行われています。
    https://www.ipa.go.jp/security/publications/nist/

CNCI (Comprehensive National Cybersecurity Initiative:包括的サイバーセキュリティ・イニシアティブ)

2000年代に入り、米国では政府機関を始めとしてさまざまな組織、企業のデジタル化の進展に呼応して、これに対する重大な情報セキュリティ侵害が発生しました。これに危機感を持った合衆国政府は2009年に合衆国における政策評価を実施した結果を当時のオバマ大統領に報告しました[12]。これを受けて、オバマ大統領の元CNCIが立ち上げられました[13]。これは、①現在直面しているサイバー脅威に対しての第1線防御の確立、②あらゆる脅威に対する防御策の検討、③将来のサイバーセキュリティ環境対応の強化、の3つの柱にそれぞれ4つのイニシアティブを対応させ米国におけるサイバーセキュリティ対策を強化させる戦略です。この中の、③の中に11番目のイニシアティブとして、“多面的なグローバルサプライチェーンリスク管理の開発”が挙げられています。具体的な目標として、以下のものがあげられており、連邦政府機関のグローバルサプライチェーンリスク管理のスキル、ポリシー、およびプロセスを強化し、システムやネットワークの重要性やリスクに見合ったレベルでサプライチェーンのリスクをより適切に管理および軽減するために必要な確立されたツールセットを提供することが求められました。

  • 製品のライフサイクル全体(設計から廃棄まで)のリスクを技術的および運用的に軽減するためのツールとリソースの開発と採用
  • 複雑なグローバル市場を反映した新しい調達方針と実施方法の開発
  • サプライチェーンとリスク管理の基準とベストプラクティスを開発、採用するための業界とのパートナーシップ

このイニシアティブを受けて、NISTを中心とした、サプライチェーンの情報セキュリティマネジメントの規格作りが本格化しました。

<参考>サプライチェーンに係る重大なセキュリティ侵害の事例

2000年代に入り、米国ではいくつかの深刻なサプライチェーンに係るセキュリティ侵害が発生しています。以下に代表的なものを挙げます。

  • ① 2008年 FBIによって米国政府機関、軍の情報システムにCisco社製ルータ、スイッチの中国製模造品が納入され、深刻な問題(情報システムの深刻な障害、バックドアなどのサプライチェーン攻撃)が発生する恐れのあることが調査により明らかにされた、との報道がなされた。FBIの資料では、早いもので2003年頃から納入されており、さまざまなサプライチェーンが利用されていることが判明。
    http://www.abovetopsecret.com/forum/thread350381/pg1
  • ② 偽造半導体部品の混入問題。2008年10月Bloomberg Businessweek誌が米軍のさまざまな軍用電子機器に中国製の偽造半導体が使用されている恐れがあることを報道(https://www.bloomberg.com/news/articles/2008-10-01/dangerous-fakes)。国防総省には2005年以降BAEシステムズ社等複数の軍需業者から報告が上がっていた。4件の偽造半導体に関するBusinessweek誌独自の追跡調査では、いずれも中国にたどり着いたとのこと。このような状況を受け、米国上院軍事委員会は詳細な調査を開始し、2011年に報告書をまとめている。(https://www.armed-services.senate.gov/press-releases/senate-armed-services-committee-releases-report-on-counterfeit-electronic-parts)。また、米議会の超党派諮問機関「米中経済安全保障調査委員会(USCC)」がノースロップ・グラマン社に調査委託した報告書「情報優位の獲得:コンピュータ・ネットワーク作戦およびサイバースパイ活動のための中国の能力」においても米国におけるサプライチェーンの脆弱性の問題が指摘されている(邦訳:https://ssl.bsk-z.or.jp/kakusyu/pdf/25-1shousassi.pdf
  • ③ 2009年当時開発中ロッキード・マーチン社を中心に開発が進められていたF35ステルス戦闘機の機密情報が漏洩したとの報道がウォールストリートジャーナル紙より行われた(https://www.wsj.com/articles/SB124027491029837401)。F35には多くの商用部品が利用され、これを供給する多くの民間企業がサプライチーンを形成している。また、国際共同開発として英国を始め多数の国が開発に協力しているとともにその導入を進めている。2012年には共同開発会社である英国BAEシステムからの情報漏洩が報告された(https://archive.is/3F1q/image)。また、2014年にはカナダ在住の中国人実業家ス・ビンがF-35、C-17、F-22の秘密情報を合衆国内の国防産業のコンピュータから盗んだとしてFBIに逮捕、起訴され、2016年懲役3年の有罪判決を受けています(https://www.justice.gov/opa/pr/chinese-national-who-conspired-hack-us-defense-contractors-systems-sentenced-46-months)。このケースでは、被告がカナダに所有する軍用航空機のハーネスを製造する会社を通じて、複数の関連軍事企業の企業情報を入手、この情報をフィッシングメール等に利用して、最終的にはボーイング社のネットワークに侵入したことが明らかにされている。さらに、2015年には、ドイツシュピーゲル誌が、エドワードスノーデンにより漏洩した機密文書から、米国は2009年頃より中国によるF35関連の機密が漏洩していたことを把握していたことを報道しています(https://www.smh.com.au/national/china-stole-plans-for-a-new-fighter-plane-spy-documents-have-revealed-20150118-12sp1o.html)。

FISMA of 2014(Federal Information Security Management Act :連邦情報セキュリティマネジメント法 2014)

2014年オバマ大統領の元、急速な技術革新とサイバー脅威の変化に対応するためFISMAの再定義が行われました。各連邦政府機関に対して、

  • ① セキュリティ対応計画の策定、
  • ② 適切なセキュリティ責任者を指定、
  • ③ 該当するシステムのセキュリティ管理策の定期的なレビュー、
  • ④ システムの運用前および定期的な承認、

が要求されるとともにリスクベースによる効率的なセキュリティ対策の実施が求められ、そのガイドラインと規格を策定するためNISTにおいて統合的なリスクマネジメントフレームワーク(RMF:Risk Management Framework)の作成プロジェクトがスタートしました[2]。このプロジェクトでは、後述するようにリスクマネジメントフレームワークに必要な、さまざまなガイドラインと規格が作成され、現在でもその改版が続いています。その代表的なものが、NIST SP 800-37です。こちらは当社コラム「NISTのリスクマネジメントフレームワーク(RMF)とは」(http://www.intellilink.co.jp/article/column/RMF-01.html)に最新のRev.2の概要が紹介されていますので参照してください。

 Cybersecurity Enhancement Act of 2014(2014年サイバーセキュリティ強化法)

上記のFISMA of 2014に加えて、同じ2014年にサイバーセキュリティ対策に向けての官民連携やR&Dおよび教育の推進の具体的実施に向けて、“Cybersecurity Enhancement Act of 2014”が議会で承認されました。この中で、NISTに対して次のような役割が規定されています。

  • ① “自主的、業界主導、コンセンサスベース”のサイバーセキュリティのガイドライン、規格の作成と関連する最先端研究の推進。標準の開発には、民間部門と緊密に調整するとともに重要インフラに対するガイドライン、規格を行う。
  • ② 業界のベストプラクティスを組み込み、可能な限り国際サイバーセキュリティ標準と整合させる。
  • ③ 連邦政府、州政府、および地方政府は、民間企業が共有する情報を使用して、その企業を規制する目的で基準を策定することは禁じられる。
  • ④ 連邦政府のクラウドコンピューティング技術の利用拡大のための戦略の開発、標準化と相互運用性を強化するための民間部門の取り組みの支援。
  • ⑤ 4年ごとに更新される連邦サイバーセキュリティ研究開発戦略計画5を策定する。戦略計画は、民間部門の研究開発努力と重複しないことを保証するために、産業界および学術関係者と協力して作成される。
  • ⑥ 連邦政府のサイバーセキュリティエンジニアのための奨学金プログラム、官民連携してサイバーセキュリティ教育および意識向上プログラムを作成。

以上の動向をまとめると、NISTにおける情報セキュリティ、サイバーセキュリティ関連のガイドラインの策定は、次のような方針で行われていると見られます。この方針は、SP 800-161の策定にも反映されていると言えます。

  • ① リスクベースの情報セキュリティ対策
  • ② 連邦政府機関の間での規格の共有と官民連携の推進
  • ③ 新しいサービス(クラウドサービス等)や環境の変化(グローバルサプライチェーン等)に対応した情報セキュリティ対策の推進
  • ④ 国際標準との整合性、国際標準化への働きかけ

また、合衆国政府機関全体でITへの依存度が高まることに応じて、サプライチェーンのリスク管理は重大な問題であり、特に情報セキュリティリスク管理の観点で共通のガイドライン、規格を作成するとともに政府機関だけでなく関連する民間企業とも共有することで、サプライチェーンの信頼性を担保する必要があると認識され、SP 800-161の作成に至ったという事が言えます。

次回以降は、SP 800-161の具体的な内容についての解説をすすめることにします。

  • 5: Federal Cybersecurity Research and Development Strategic Plan

参照文献

  • [1] NIST, SP800 161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations, 2015.
  • [2] NIST, “FISMA Implementation Project,” https://csrc.nist.gov/projects/risk-management/detailed-overview.
  • [3] NIST, “FIPS199,” Standards for Security Categorization of Federal Information and Information Systems, p. https://csrc.nist.gov/publications/detail/fips/199/final, 2004.
  • [4] NIST, “FIPS200,” Minimum Security Requirements for Federal Information and Information Systems, p. https://csrc.nist.gov/publications/detail/fips/200/final, 2006.
  • [5] NIST, SP 800-60 Vol.1 Rev.1 Guide for Mapping Types of Information and Information Systems to Security Categories, 2008.
  • [6] NIST, SP 800-60 Vol.2 Rev.1 Guide for Mapping Types of Information and Information Systems to Security Categories: Appendices, 2008.
  • [7] NIST, SP 800-53 Rev.4 Security and Privacy Controls for Federal Information Systems and Organizations.
  • [8] NIST, SP 800-30 Rev.1 Guide for Conducting Risk Assessments, 2012.
  • [9] NIST, SP 800-37 Rev.2 Risk Management Framework for Information Systems and Organizations, A System Life Cycle Approach for Security and Privacy, 2018.
  • [10] NIST, SP 800-39 Managing Information Security Risk, Organization, Mission, and Information System View, 2011.
  • [11] J. Broad, Risk Management Framework 1st Edition -A Lab-Based Approach to Securing Information Systems 第4章, Elsevier, 2013.
  • [12] U.S. Government Accountability Office, “Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure,” https://www.hsdl.org/?view&did=740047, 2009.
  • [13] the WHITE HOUSE, “The Comprehensive National Cybersecurity Initiative,” https://obamawhitehouse.archives.gov/issues/foreign-policy/cybersecurity/national-initiative.

Writer Profile

NTTデータ先端技術株式会社 フェロー
工学博士、CISSP, CISA
三宅 功