防衛省が米国防総省と同程度となる情報セキュリティ基準を規則化へ

SHIFT SECURITY セキュリティの学び場ニュース解説防衛省が米国防総省と同程度となる情報セキュリティ基準を規則化へ

防衛省が米国防総省と同程度となる情報セキュリティ基準を規則化へ

2022.01.05 ニュース解説

今回の解説ニュース
NIST SP800-171とは一体どういったモノなのか？
海外拠点攻撃から国内へ侵入、その高度かつ巧妙な手口

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

防衛省がNIST SP800-171と同レベルのセキュリティを規則化へ、三菱電機への不正アクセス受け

三菱電機株式会社は12月24日、2020年1月20日に公表した不正アクセス事案で流出した可能性のあるファイルの、防衛省での安全保障上の影響に関する確認結果について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

防衛省が、米国防総省と同程度となる情報セキュリティ基準の規則化に取り組むということです。新たな基準が規則化される背景と、米国防総省が準拠を求める情報セキュリティ基準がどういったものかについて説明します。

今回のインシデントでは、防衛省の取引先が受けた不正アクセスにより流出した可能性のあるファイルについて、同省の「注意情報」が含まれることが発覚しています。防衛省では、安全保障への影響を及ぼすおそれのあるデータファイルが59件あったことを確認しており、それぞれ適切な措置を講じたということです。

再発防止策として、取引先に対し適切な情報の管理について厳格に行うよう注意するとともに、同社での情報の適切な取扱いを徹底するよう指示したということです。また、今年度中に、米国防総省が全世界の取引先に対し準拠を求めるNIST SP800-171と同程度となる管理策を盛り込んだ新たな情報セキュリティ基準を規則化すべく取り組むと発表しています。

NIST SP800-171とは一体どういったモノなのか？

NIST SP800-171とは、NISTが提供するセキュリティガイドラインの一つです。NIST SP800-171についてできるだけわかりやすく説明します。

まずNISTとは、National Institute of Standards and Technologyの略で米国国立標準技術研究所と訳されます。NISTは5つの研究所で構成されており、IT業界でもNISTが提供する最新技術や技術標準について依存することが増えてきています。そんなNISTが作成したNIST SP800-171は、一言で言うと「アメリカ政府と取り引きするために満たすべきセキュリティ基準」です。言い方を変えれば、NIST SP800-171を満たすことができない組織はアメリカ政府と取引できません。つまり、今後は防衛省に対しても同じように取引ができなくなる可能性があるということになります。

NIST SP800-171には14のセキュリティ要件が定められています。項目についてざっと並べると
・アクセス管理
・意識向上および訓練
・監査および説明責任
・構成管理
・識別および認証
・インシデント対応
・メンテナンス
・媒体保護
・職員のセキュリティ
・物理的保護
・リスクアセスメント
・セキュリティアセスメント
・システムおよび通信の保護
・システムおよび情報の完全性
です。

他のセキュリティ基準との違いについて簡単に説明します。未然防止を目的としたISMSのISO 27001と比較すると、NIST SP800-171はサイバー攻撃による被害を受けることを前提としているため、検知や対応、復旧まで網羅されているところが主な特徴となります。

海外拠点攻撃から国内へ侵入、その高度かつ巧妙な手口

今回のインシデントは、海外拠点がサイバー攻撃の起点となり、国内拠点へ侵入を拡大していったサプライチェーンリスクが狙われたようです。被害を受けた組織から公開している資料に基づき説明します。

サプライチェーンリスクとは、関連企業のマルウェア感染や、ソフトウェアの脆弱性によるインシデントなど、サプライチェーン全体に潜在するリスクです。セキュリティが弱い海外拠点のシステムが踏み台となり、本社のシステムに侵入されてしまう事例が確認されています。

海外拠点への「ゼロディ攻撃」が起点: 今回のインシデントでは、中国拠点にあるウイルス対策管理サーバの未公開脆弱性をついた「ゼロデイ攻撃」を受け、パターンファイルのアップデート機能が悪用されることで、同拠点の端末に侵入されたということです。その後、中国拠点内の端末にマルウェアの感染が拡大し、その影響が国内の複数拠点にまで広がったと発表されています。また、攻撃者はマルウェアを実行するためのプラットフォームとして、大手クラウドサービスを利用したとされています。
これまで以上の多層防御態勢の整備が必要: 対策として、一般の社内ネットワークに接続しているすべての端末で、マルウエア感染の疑いの有無、攻撃者とおぼしき特定の外部との通信有無を精査し、通信があった全端末を絞り込んで、個人情報が流出した可能性のある被害者に対して報告をしているということです。再発防止策として、高度かつ巧妙な手法を用いた標的型攻撃を防御するには、これまで以上の多層防御態勢を整備していく必要があると発表しています。具体的には、「侵入防止」「拡散防止」「流出防止」「グローバル対応」の4つの視点でサイバーセキュリティー対策および監視体制の強化を行っていくということです。

今回はグローバルなセキュリティ基準と、それが求められる背景として、高度な標的型攻撃についてお届けしました。実感が湧きづらい話だったかもしれませんが、皆さんが今後、セキュリティ対策でより高みを目指していく為のご参考になれば幸いです。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

この記事の著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。