まずDoD調達案件から実施
米国では、Unclassifiedの取扱いについてはNISTが規定し(SP800-37 RMF)、軍事秘密などの情報を加えたClassifiedを含む体系はDoDが規定しています(DoDI 8510.01 RMF)。CUIの扱いについては、UnclassifiedであるところからNIST(SP800-171)が規定し、DoDが調達特約条項のDFARS(252.204-7012)によって遵守を要求するという形になっています。
DFARS 252.204-7012
DFARS 252.204-7012 (CDI:Covered Defense Information及びサイバー・インシデント報告の保護対策)には、以下のように記載されています。(弊社訳)
「取引要請時に効力を有するNIST SP800-171『連邦政府機関以外の情報システム及び組織におけるCUIの保護』にあるセキュリティー要件は、可及的速やかに、2017年12月31日を期限として、契約担当官によって発行され、又は認可される。契約締結時に対応できていない場合には、NIST SP 800-171に指定された全てのセキュリティー要件を、契約締結の30日以内にDoD CIO宛ての電子メールにて通知するものとする。」
また、「如何なるサイバー・インシデントも、その発見から72時間以内にDoDに報告すること。」といった指示も書かれています。
対象とする情報には、例えば以下のような技術情報も含まれています。
「技術情報は、研究・エンジニアリング・データ、エンジニアリング図面、及び関連するリスト、仕様、標準、工程表、マニュアル、技術報告、技術指令書、カタログ品目識別名、データセット、研究・分析・関連情報、そしてコンピュータ・ソフトウェアの実行コード及びソースコードなどである。」
NIST SP800-171への対応要領
具体的にSP800-171に対応する、とはどのようなことをすれば良いかという点においては、以下の2点を行うことと考えられます。
- SP800-171の要件リストに対する対応状況を整理し、未対応事項については今後の対応方針を明記し、そのフォローアップを行うこと
- 適切な第三者によりその内容の確認を得ること
NIST SP800-171の要件は、以下に示す14項目(ファミリー)に分類されており、さらにセキュリティ侵害を受けやすいユーザ、プロセス、インフラストラクチャを対象とした109のセキュリティ管理項目が示されています。
- アクセス制御
- 意識付け・研修
- 監査・説明責任
- 構成管理
- 識別・認証
- インシデントレスポンス
- メンテナンス
- 記録メディア保護
- 人的セキュリティ
- 物理的保護
- リスク評価
- セキュリティ評価
- システム・通信の保護
- システム・情報の完全性
これらは、使用するシステム要件に関するものと、組織運用規則で対応するものに分けることができます。従って、このセキュリティ管理項目に対応するには、NISTの要件を満たすコンピュータシステム(サーバー、ネットワーク、PC、認証など)を構築し、その運用にあたる適切な規則を決めることとなります。なお、要件を満たせない場合は、満たすための方策と期日を示すことが必要です。
※参考情報サイト
CUI – Protect It or Lose the Business JUL 27, 2016 [THE STATE OF SECURITY News]
- NIST SP 800-171
- FIPS 199
- IT Security Plan Template from NIH
- FIPS Publication 200
- NIST SP 800-53
Cybersecurity March 1: The NARA Rule / SP 800-171
Summary
- Executive Order 13556
- NARA Controlled Unclassified Information Rules
- Applicability
- NARA CUI Requirements
- NIST SP 800-171 Requirements
- Relationship between DFARS UCTI and NARA requirements
- Proposed FAR rule