米RSAのアジア太平洋・日本担当Chief Cyber Security AdvisorであるLeonard Kleinman氏は2018年4月12日、NIST(米国立標準技術研究所)のサイバーセキュリティー基準「NIST SP 800-171」の記者向け説明会に登壇した。同説明会はRSAの親会社にあたる米デルテクノロジーズ(Dell Technologies)の日本法人であるEMCジャパンが東京都内で開催した。

RSAアジア太平洋・日本担当Chief Cyber Security AdvisorのLeonard Kleinman氏

 SP 800-171はオバマ米大統領(当時)が2010年に出したEO(大統領令)13556を受けて、2015年に策定された。EO13556は国家安全保障上の必要性から厳密に保護すべき情報「CI」(Classified Information)とは別に、政府内部の機密情報ではないが一定の保護を必要とする情報を「CUI」(Controlled Unclassified Information)として定義している(CUIカテゴリー一覧)。SP 800-171は、このCUIの保護に求められる一定レベル以上のセキュリティー機能を実現する基準となる。

 SP 800-171は、CIを保護するためのセキュリティー基準「NIST SP800-53」のサブセットであり、SP800-53に比べてより広い範囲の情報を対象とする。このため、政府機関と取り引きのある民間企業も準拠を求められる可能性が高い。すでに米国防総省、NIH(米国立衛生研究所)など複数の組織が、SP 800-171を踏まえてそれぞれのセキュリティルールを改訂しており、国防総省は2017年12月から取り引きのある民間企業に対して情報システムをSP 800-171に準拠させるよう義務付けている。

 さらに、米国以外の国々も「まったく同じではないにしても、(SP 800-171と)かなり似たアプローチで問題に対処しようとしている」(Kleinman氏)。このため、米国政府と直接の取り引きのない日本企業も、自らのセキュリティーレベルを底上げするために、SP 800-171相当のセキュリティー基準に対応する必要性が高まっているという。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら