もう怖くない!セキュリティ

NISTの情報はこのサイトをチェック

セキュリティを担当されている方ならNISTという言葉を聞いたことがあるかもしれませんが、その意味をご存知でしょうか。
正式名称は米国国立標準技術研究所で、アメリカのIT企業と取引のある企業ならその意味を理解しておく必要があります。
このサイトでは基礎知識について理解するために国立標準技術研究所についてご説明します。
米国政府が定めるセキュリティ基準を知っておくことで、取引する際になぜそれが重要になってくるのか知識が深まるでしょう。

セキュリティに関係する業務を担当している人のためのNISTに関する基礎知識

セキュリティに関係する業務を担当している人のためのNISTに関する基礎知識 NISTに関する基礎知識について説明すると、NISTはアメリカの研究機関ですが、セキュリティに関する基準である「NIST SP 800-171」というガイドラインを策定しており、アメリカ内の企業だけではなく、取引を行おうとする企業にもそれを準拠するように求めています。
ですから日本企業がアメリカと取引を行おうとしたり、あるいは米国に拠点を建てようとしたときにNIST SP 800-171を守る必要性が出てくるのです。
ではそれがどのような基準かというと、「機密情報以外の重要情報を扱う、民間企業が実施すべきセキュリティ対策をまとめた基準」のことです。
このガイドラインは大まかにいうと「14種類のセキュリティ要件」について定めており、アクセス制御や何か問題が起きたときのインシデント対応などを取引する上で守るように設けられています。

NISTが定めたセキュリティの新基準と対応策

NISTが定めたセキュリティの新基準と対応策 サイバー空間では、国家間の激しい戦いが続いているとされます。
そのためアメリカ国立標準技術研究所NISTは、政府調達のために新たな基準を設けることになりました。
NISTが定めた新基準は、アメリカ内でのルールのため日本企業は無関係と思うかもしれません。
しかしアメリカ内では適用される新しいルールですから、国外企業であっても守ることができなければ、米を含む北米地域で影響を受ける恐れがあります。
最悪の場合はさまざまな産業のサプライチェーンからセキュリティ対策が不十分として除外され、ビジネスが立ち行かなくなる恐れがあります。
そのような事態に陥ってからの対応では遅すぎるので、早めに対策をしておかなければいけません。
まず始めにできる対策としては、現状のセキュリティ対策を診断しどこにどのような情報があるのかなどの把握をしておきましょう。
さらにCUIを扱っているのかも確認し、扱っている場合はそのシステムがNISTの基準に準拠しているのかも調べておきます。
現状と対応に必要な期間を把握し問われたときに示せるようにしておくのは、最低限必要なことです。
その上でNIST策定に関わった企業の製品を選ぶなど、IT投資計画を見直す必要もあります。

アメリカでNISTという組織が作られた理由

NISTとは、「National Institute of Standards and Technology」を省略した言葉です。日本語に翻訳すると、「国立標準技術研究所」という意味になります。
この組織があるのは日本ではなく、アメリカ合衆国です。アメリカの国家組織の一つとして運営されていて、商務省が所管しています。
この組織は非常に長い歴史を持っていて、設立されたのは1901年のことです。すでに100年以上にわたって活動を続けています。
NISTが国家組織という形で設立された理由は、当時のアメリカで多く製造されるようになった工業製品を標準化するためです。
製品の標準化のための規格を決める中心の組織として、作られました。もともとはNBSという名称でしたが、1988年に現在の名称に変更されています。
現在は工業製品の標準化に関する仕事だけでなく、アメリカの産業の競争力を向上させることも目的にして活動しています。

NISTは世界的にも広がりを見せている出生前検査

NISTとは、近年血液を採取するだけでダウン症かどうかを判断することができる、出生前検査をいいます。お値段は高めですが、その代わり母体の負担が少なく的中率も高いために、世界的に広がりを見せているのが現状です。
NISTは、その代わり障がい者連盟など、色々な道徳的な面からも批判が来ている状態です。知る権利は誰でもあるし、それを決めるのは親であるために根本的に批判するのはまた違う問題なのではないかともいわれています。
世界的にもイギリスなどは、ぎりぎりまで調べることができ、保険適応でできるそうです。そのように推奨している国も、存在します。
ただしダウン症だと分かった時点で、中絶する人が後を絶たず、命の尊厳を危ぶまれる問題も指摘されています。親が老年だったりして、子育ての自信が無い人や、心準備がしたいという人もいるので、そういった選択肢は積極的に取り入れるのも今からは大事となってくるでしょう。選択肢は広めておく方が良いといえるのです。

NISTの基準で変わる日本のセキュリティ

現代社会の一つの特徴は、インターネットが極めて発達し至る所に張り巡らされているということです。そのようなことから様々な所でインターネットの活用が行われ、今ではネットを使わない人の人数というのは大変少ないものになっています。
このようにネットが大変発達したということによって、私たちは大変大きな恩恵を受けているのですが、それと同時に様々な面で危険要素も孕んで来ています。
インターネットセキュリティに関しては、NISTが定める基準が現在ではスタンダードとなってきました。NISTとは、アメリカ国立標準技術研究所であり、様々な基準の設定を行なっています。
日本でも、この基準に沿ったような様々な対策が行われるということになります。現在では、様々なビジネスや安全保障に関わる事についてもインターネットが利用されていますので、このような基準に従った対策を行うことが大変重要です。
全ての人がこのような対策を行わないと、基準を満たしていないところからセキュリティー上の問題が生じてきます。

NIST(アメリカ国立標準技術研究所)の役割

NISTは日本語にすると、アメリカ国立標準技術研究所のことです。その役割は経済の安全保障を強化して、生活の質を高めるというやり方で、計量学や標準規格、産業技術を進歩させアメリカの技術革新と産業競争力を促すという役割を持っています。
NISTには「NIST SP800-171」というガイドラインがあります。これは政府機関だけでなく取引企業からの情報漏洩を防ぐために、業務委託先でのセキュリティ強化を要求するという内容のものです。
アメリカの保全が必要な情報を場合、守らなければいけないセキュリティ要件が14分野、109項目あります。この条件を満たしていないところとは、取引することはできませんということが書かれています。
年々サイバーセキュリティリスクは増えているので、NISTが運営するサイバーセキュリティフレームワーク(CSF)は世界中で重要視されています。日本にもセキュリティガイドラインはありますが、それの基準となるものがこれです。

NISTによるガイドラインが日本企業にもたらす問題点

日本企業が対策を迫られているのがNISTによるセキュリティガイドラインです。保全が必要な情報を取り扱うには守る必要があり、これを満たしていない企業はアメリカ政府と直接的、間接的に取引出来ないことになります。
ここでいわれている保全が必要な情報とは特に機密ではないが保護する必要があり、外部に漏れて拡散されるのを防ぐ必要のある情報です。
たとえば金融情報や住所などもふくまれており、グローバル展開する日本企業はもちろん、サプライチェーンとしてアメリカと関わりのある日本企業にも導入が求められます。
NISTがこうした強固なセキュリティを求める背景にはサイバー空間での安全性の確保があるからで、アメリカと接点のあるビジネスを展開している企業には対応が求められます。
こうした状況を踏まえたときの問題点は、日本企業がどれだけこの問題に対応できるかです。現状、防衛省の調達に関してはこの基準が採用されていますが、今後、分野を限定せずNISTが示した基準の適用が拡大されることになれば、企業のITを利用した物品の調達や運用の仕方にも見直しを迫られます。

NISTに関するお役立ち情報

NIST