NISTセキュリティ標準のインパクトとHPビジネスPC

NIST要求基準に対応するにはどうすればよいか？

日本でも2019年4月からNIST SP800-171相当のセキュリティ対策を求める新防衛調達基準が試行開始予定です。防衛省と取引がある企業が対象となりますが、世界でビジネスを行っている幅広い業種の国内企業全体に波及されることが予想されます。

本トピックスでは、NISTとは何か、どのような対策をすればよいのかをご紹介します。

NISTとは何か？

NIST（National Institute of Standards and Technology：米国標準技術研究所）とは、科学技術分野における計測と標準に関する研究を行う機関であり、技術革新や産業競争力の強化を任務としています。

NIST SP800-171とCUI

そのNISTが義務付けた、機密情報以外の重要情報（CUI：Controlled Unclassified Information）を扱う民間企業が講じるべきセキュリティガイドラインが「NIST SP800-171」です。

図のように、日本の主流のセキュリティ対策基準よりも一段と高いレベルの対策基準を求められ、NIST SP800-171の準拠は世界でビジネスを行っていくうえで必要なセキュリティ対策の最低ラインとなりつつあります。

CUIの例として以下の情報が挙げられます。

製品の設計および性能仕様情報
特許に関連する情報
病院に来る患者の健康情報
運送コストや価格データ
自動運転テストの走行データ

これらはものづくりのうえで必要となる情報ではないでしょうか？

NIST SP800-171に対応していくには？

自社セキュリティをNIST SP800-171の要求水準に近づけるためには、NIST要求水準を満たすハード、ソフト、ネットワーク機器への入れ替えが有効です。次の二つのポイントを参考にご検討ください。

NIST対応には時間がかかるため、特に減価償却に関わるIT機器については早期に検討を始める。
CUIの洗い出し、NISTの要求事項と自社のギャップ、グローバルの動向情報など専門のコンサルティングファームのサポートを得る。

NIST SP800-171のセキュリティ要件とエンドポイント

NIST SP800-171対応におけるHP製品の価値

HPはNIST SP800-171に対応する機能を搭載したソリューションをご用意しています。また、HP製品に関することでしたら専門スタッフがいる大塚商会にご相談ください。

NIST SP800-171要件	対応するHP独自機能	メリット
システム全体のハードウェア、ソフトウェア、ファームウェアの構成を管理、強制し維持する（構成管理3.4.1～3.4.7）	（MS SCCM）＋HP MIK	OSに加えてハードウェアとファームウェアの構成管理ができ、構成管理の漏れによるリスクを減らせる
複数要素の認証を使用し、認証情報が見えないようにする（識別と認証3.5.3、3.5.11）	HPマルチファクタ認証 HP Sure View	追加コストなしで2要素認証を実現できる
準備、検知、分析、抑制（封じ込め）、リカバリー（レジリエンス）、利用者対応を含めたインシデント対応能力を確立する（インシデント対応 3.6.1）	HP Sure Start（SP800-193） HP Sure Run HP Sure Click HP MIK HP Sure Recover	レジリエンスに対応したインシデント対応体制をより簡単、安価に構築できる
除去された装置の情報ついて完全に消去されることを保証する（メンテナンス3.7.3）	HP Secure Erase	追加コストなしでガイドラインに準拠した完全な情報の消去ができる
ハードウェア、ファームウェア、ソフトウェアの完全性を保ち、攻撃を検知する（システムと情報の完全性3.14.1、3.14.2、3.14.3、3.14.7）	HP BIOSphere HP Sure Start（SP800-193） HP Sure Run	ハードウェアレベルの完全性を保ち、システムや情報の改ざんと破壊のリスクを減らせる