NIST SP 800-171 Revision 3 - 小規模事業者向けガイド
2025年8月27日 | CUI保護の必須知識
1. 全体の概要と背景
NIST SP 800-171は、米国政府と取引する民間企業が「Controlled Unclassified Information(CUI)」を保護するためのセキュリティ要件を定めた文書です。特に防衛関連企業やサプライチェーン全体が対象となります。Revision 3(R3)は、従来の要件を見直し、ゼロトラスト原則やリスクベースアプローチを反映した最新版です。
- 正式名称: NIST Special Publication 800-171
- 目的: CUIを保護するためのセキュリティ要件を提供
- 対象: 連邦政府と契約する企業、特に防衛関連およびサプライチェーン
2. Revision 3の特徴と小規模事業者向けPrimer
Revision 3の特徴
- 最新版: 従来の要件を現実的かつ実装可能な形に再構成
- ゼロトラスト原則: ユーザー・デバイス・データの継続的な検証を重視
- リスクベースアプローチ: 組織のリスクに応じた柔軟な対応を許容
小規模事業者向けPrimerの意義
- 目的: リソースが限られた中小企業でもCUI保護の第一歩を踏み出せる
- 内容:
- SP 800-171の基本的な考え方を平易に解説
- 優先的に取り組むべきセキュリティ対策を提示
- 実装のためのチェックリストやテンプレートの提供
3. 主要なセキュリティ管理策ファミリー
NIST SP 800-171 Revision 3では、17のカテゴリにわたるセキュリティ管理策が定義されています。以下は主要な管理策と小規模事業者向けの実践ポイントです。
| 管理策ファミリー | 小規模事業者向けの実践ポイント例 |
|---|---|
| Access Control(アクセス制御) | ユーザーごとにアクセス権を制限。管理者権限の乱用防止。 |
| Awareness and Training(教育訓練) | 社員にCUIの重要性と取り扱い方法を定期的に教育。 |
| Audit and Accountability(監査) | ログの取得と保存。誰が何をしたかを記録。 |
| Configuration Management(構成管理) | システム変更の記録と承認プロセスの整備。 |
| Identification and Authentication(認証) | 強力なパスワードと多要素認証の導入。 |
| Incident Response(インシデント対応) | インシデント発生時の対応手順と連絡体制の整備。 |
| Maintenance(保守) | システムの定期点検と更新。外部ベンダーの管理。 |
| Media Protection(媒体保護) | USBや外部ストレージの使用制限。暗号化の徹底。 |
| Physical Protection(物理的保護) | サーバールームの施錠、入退室管理。 |
| Personnel Security(人事セキュリティ) | 離職者のアカウント削除、信頼性確認。 |
| Risk Assessment(リスク評価) | 定期的なリスク分析と対策の見直し。 |
| Security Assessment(セキュリティ評価) | セルフチェックや外部監査の活用。 |
| System and Communications Protection(通信保護) | VPNや暗号化通信の導入。 |
| System and Information Integrity(情報の完全性) | ウイルス対策、改ざん検知、パッチ適用。 |
| Contingency Planning(事業継続計画) | バックアップと災害時の復旧手順。 |
| System and Services Acquisition(調達管理) | セキュリティ要件を満たすベンダー選定。 |
| Program Management(プログラム管理) | セキュリティ方針の策定と責任者の明確化。 |
4. 実施ステップの全体像
CUI保護のための実施は、以下の5つのフェーズで進められます。
| フェーズ | 内容 | 実施例 |
|---|---|---|
| ① 準備 | CUIの識別と関係者の理解 | CUIの種類を確認し、関係者に教育 |
| ② 評価 | 現状のセキュリティ対策を確認 | 自社の対策をSP 800-171と照合し、ギャップ分析 |
| ③ 計画 | SSPとPoAMの作成 | 対策計画(PoAM)とセキュリティ方針(SSP)を文書化 |
| ④ 実装 | 対策の導入 | MFA導入、アクセス制御、ログ取得などを実施 |
| ⑤ 継続 | 定期的な見直しと改善 | 年次レビュー、インシデント対応訓練の実施 |
5. 具体的な対策例
アクセス制御
- ユーザーごとにファイルアクセス権を設定(例:Windows ACL)
- 管理者権限の使用を制限し、監査ログを取得
認証と識別
- パスワードポリシーの強化(12文字以上、複雑性)
- 多要素認証(MFA)の導入(例:Microsoft Authenticator)
インシデント対応
- インシデント対応手順書を作成
- 社内連絡体制と外部報告ルートの整備(例:DIBNet)
メディア保護
- USBポートの使用制限(グループポリシーで制御)
- 機密データは暗号化して保存(BitLockerなど)
ログと監査
- Windows Event LogやSyslogの収集
- ログ保管期間の設定(最低90日)
6. CUI台帳テンプレート
CUIの識別と管理のために、以下のテンプレートを活用してください。
| 項目名 | 説明・記入例 |
|---|---|
| CUI識別番号 | 一意のID(例:CUI-001) |
| ファイル名/文書名 | 実際のファイル名や文書タイトル(例:契約書_2025_防衛庁.pdf) |
| CUIカテゴリ | CUI Registryに基づく分類(例:Defense, Export Control, Privacy) |
| 保管場所/システム名 | 保存先(例:NAS01/secure/CUI、SharePoint/CUIフォルダ) |
| アクセス可能ユーザー | 氏名または役職(例:田中一郎、営業部長) |
| 最終更新日 | ファイルの最終更新日(例:2025/08/01) |
| 送信履歴/共有履歴 | 外部送信の有無と履歴(例:2025/07/15に防衛庁へ送信) |
| 暗号化の有無 | Yes/No(例:Yes:AES256) |
| 保管形式 | 電子/紙(例:電子) |
| 廃棄予定日 | 保管期限に基づく廃棄予定(例:2028/08/01) |
| 備考 | 特記事項(例:契約上、3年間保管義務あり) |
7. 日本におけるCUIの認知状況
- 周知されている領域:
- 防衛関連企業: 米国防総省(DoD)との契約要件としてNIST SP 800-171準拠が必須
- 政府機関・防衛装備庁: 2023年に「防衛産業サイバーセキュリティ基準」を策定
- 一部の先進的な民間企業: 自主的にCUI管理策を導入
- 周知が不十分な領域:
- 中小企業や一般的な民間企業では「CUI」という言葉自体が知られていない
- 日本国内の法制度ではCUIに相当する明確な分類が存在しない
日本政府の動向
- 内閣官房の経済安全保障会議: CUIのような「機微情報」の保全制度を検討中
- 国際共同開発やデュアルユース技術の分野でCUIレベルの情報共有が障壁
- 将来的にセキュリティ・クリアランス制度とCUI相当情報の管理枠組みが導入される可能性
8. 実務的な影響と生き残るための最低ライン
- 契約条件としてのCUI管理: 米国防総省や政府機関との契約ではSP 800-171準拠が必須。CUI管理ができない企業は入札資格を失う。
- サプライチェーン全体への波及: 下請け・協力会社にもCUI管理が求められ、知らない企業は契約打ち切りのリスク。
- 監査・証跡・実装の現実: SSPやPoAMの提出が求められ、「証拠」が判断基準。
生き残るための最低ライン
- CUI識別台帳の整備(何を守るかを明確化)
- アクセス制御とMFAの導入(誰が守るかを制限)
- SSPとPoAMの文書化(どう守るかを証明)
- インシデント対応体制の構築(漏洩時の即応力)
9. SSPとPoAMの文書化
System Security Plan(SSP)とは
SSPは、組織がどのようにセキュリティ要件を満たしているか、または満たす予定かを記述する文書です。以下の要素を含めます。
| 要素 | 内容 |
|---|---|
| システム境界 | SSPの対象となるシステムの範囲(例:CUIを扱うサーバー群) |
| 運用環境 | システムが稼働している環境(例:オンプレミス、クラウド、ハイブリッド) |
| 要件の満足状況 | 各セキュリティ要件に対して、どのように対応しているか |
| 他システムとの関係 | 外部システムとの接続や依存関係(例:外部ベンダーとのAPI連携) |
PoAMの基本構成テンプレート
| 項目名 | 内容例 |
|---|---|
| 識別番号 | POAM-001、POAM-002など一意のID |
| 関連セキュリティ要件 | NIST SP 800-171の該当項目(例:3.1.1 Access Control) |
| 未達成の内容 | MFA未導入、ログ取得未実施など |
| リスク評価 | 影響度(高/中/低)、漏洩リスクの有無 |
| 対応策(Mitigation) | MFA導入予定、ログ管理ツールの選定など |
| 責任者 | 氏名または役職(例:情報システム部長) |
| 開始日 | 対応開始予定日 |
| 完了予定日 | 対応完了目標日 |
| 進捗状況 | 未着手/進行中/完了/延期など |
| 備考 | 予算確保状況、外部ベンダーとの調整など |
10. 補足:質問や追加解説
もし特定の部分(例:CUIの詳細、セキュリティ管理策の実装方法、SSP/PoAMテンプレートなど)についてさらに詳しく知りたい場合、教えてください。
コメント