NIST SP800-171遵守の要求背景 ~DOD調達契約条項 DFARS 252.204-7012~

まずDoD調達案件から実施

米国では、Unclassifiedの取扱いについてはNISTが規定し(SP800-37 RMF)、軍事秘密などの情報を加えたClassifiedを含む体系はDoDが規定しています(DoDI  8510.01 RMF)。CUIの扱いについては、UnclassifiedであるところからNIST(SP800-171)が規定し、DoDが調達特約条項のDFARS(252.204-7012)によって遵守を要求するという形になっています。

 

DFARS 252.204-7012

DFARS 252.204-7012 (CDI:Covered Defense Information及びサイバー・インシデント報告の保護対策)には、以下のように記載されています。(弊社訳)

「取引要請時に効力を有するNIST SP800-171『連邦政府機関以外の情報システム及び組織におけるCUIの保護』にあるセキュリティー要件は、可及的速やかに、2017年12月31日を期限として、契約担当官によって発行され、又は認可される。契約締結時に対応できていない場合には、NIST SP 800-171に指定された全てのセキュリティー要件を、契約締結の30日以内にDoD CIO宛ての電子メールにて通知するものとする。」

また、「如何なるサイバー・インシデントも、その発見から72時間以内にDoDに報告すること。」といった指示も書かれています。

対象とする情報には、例えば以下のような技術情報も含まれています。

「技術情報は、研究・エンジニアリング・データ、エンジニアリング図面、及び関連するリスト、仕様、標準、工程表、マニュアル、技術報告、技術指令書、カタログ品目識別名、データセット、研究・分析・関連情報、そしてコンピュータ・ソフトウェアの実行コード及びソースコードなどである。」

 

NIST SP800-171への対応要領

具体的にSP800-171に対応する、とはどのようなことをすれば良いかという点においては、以下の2点を行うことと考えられます。

  • SP800-171の要件リストに対する対応状況を整理し、未対応事項については今後の対応方針を明記し、そのフォローアップを行うこと
  • 適切な第三者によりその内容の確認を得ること

Fig005

NIST SP800-171の要件は、以下に示す14項目(ファミリー)に分類されており、さらにセキュリティ侵害を受けやすいユーザ、プロセス、インフラストラクチャを対象とした109のセキュリティ管理項目が示されています。

  • アクセス制御
  • 意識付け・研修
  • 監査・説明責任
  • 構成管理
  • 識別・認証
  • インシデントレスポンス
  • メンテナンス
  • 記録メディア保護
  • 人的セキュリティ
  • 物理的保護
  • リスク評価
  • セキュリティ評価
  • システム・通信の保護
  • システム・情報の完全性

これらは、使用するシステム要件に関するものと、組織運用規則で対応するものに分けることができます。従って、このセキュリティ管理項目に対応するには、NISTの要件を満たすコンピュータシステム(サーバー、ネットワーク、PC、認証など)を構築し、その運用にあたる適切な規則を決めることとなります。なお、要件を満たせない場合は、満たすための方策と期日を示すことが必要です。

 

※参考情報サイト

CUI – Protect It or Lose the Business   JUL 27, 2016  [THE STATE OF SECURITY News]

  • NIST SP 800-171
  • FIPS 199
  • IT Security Plan Template from NIH
  • FIPS Publication 200
  • NIST SP 800-53

 

Cybersecurity March 1: The NARA Rule / SP 800-171

Summary

  • Executive Order 13556
  • NARA Controlled Unclassified Information Rules
  • Applicability
  • NARA CUI Requirements
  • NIST SP 800-171 Requirements
  • Relationship between DFARS UCTI and NARA requirements
  • Proposed FAR rule