スマート工場のセキュリティを取り巻くガイドライン（4） NIST SP800シリーズ

本連載は、ICSやOTセキュリティの汎用的なガイドラインの代表例を解説し、スマート工場のセキュリティに求められる考え方を理解することを目的としています。第4回では第3回で紹介したNIST CSFを基に、具体性を高めたガイドラインであるSP800シリーズから、一般の製造業に特に関わりが深いと思われるSP800-53、SP800-82、SP800-171を解説します。

第１回はこちら

米国の法と規格とガイドライン

NIST(National Institute of Standards and Technology：米国国立標準技術研究所)が発行するガイドラインや技術仕様等をSP(Special Publications)と呼称し、コンピュータセキュリティを扱う部門が発行する文書が800としてナンバリングされてSP800シリーズとして公開されています。

米国の法令に、FISMA （Federal Information Security Management Act of 2002:連邦情報セキュリティマネジメント法）があり、この法令において指定されている規格として、FIPS（Federal Information Processing Standards ：連邦情報処理規格）があります。

FIPS199（Standards for Security Categorization of Federal Information and Information Systems）は政府の情報及び情報システムについて機密性、完全性、可用性の3つのセキュリティ要件と高、中、低の影響の度合いを分析することを求めており、FIPS200（Minimum Security Requirements for Federal Information and Information Systems）では、政府の情報および情報システムに対する最低限のセキュリティ要求事項とそれを満たすために必要な管理策をリスクに応じ選択するプロセスについて規定しています。

このFIPSで規定されている要求事項とプロセスに従い、組織がリスクを管理し、セキュリティ管理策を選定するためのガイドがSP800-53です。

SP800-53をベースに、SP800-82がICS向け、SP800-161が政府におけるICTのサプライチェーンのリスク管理、SP800-171が政府以外の組織における情報管理、という位置づけになります。

• SP800-53：Security and Privacy Controls for Federal Information Systems and Organizations
  連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
• SP800-82：Guide to Industrial Control Systems (ICS) Security
  産業用制御システム（ICS）セキュリティガイド
• SP800-161: Supply Chain Risk Management Practices for Federal Information Systems and Organizations
  連邦政府のための情報システム及び組織のサプライチェーン・リスク・マネージメント・プラクティス
• SP800-171：Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
  連邦政府外のシステムと組織における管理された非格付け情報の保護

SP800-53：Security and Privacy Controls

セキュリティ・プライバシー管理策と、管理策を選択するプロセスのガイドラインです。

2013年にrev4として改訂された際にICSとサプライチェーンについての加筆がなされ、現在ドラフトとして公開されているrev5ではタイトルから「Federal」が削除される方向で検討が進んでおり、政府機関以外の幅広い組織も対象になると見られています。

まず、管理策の選択は組織横断的なリスクマネジメントのプロセスの一部であるとされ、組織における多層的なアプローチが示されています。Tier1：組織のレベル、Tier2：ミッション/ビジネスプロセスのレベル、Tier3：情報システムのレベルです。リスクマネジメントのプロセスは、すべての利害関係者の間で効果的な階層間および階層内のコミュニケーションによって、組織の活動を継続的に改善するものです。

Tier1の組織レベルは、ミッションとビジネス機能の優先順位付けです。これにより資金調達と投資戦略が決まります。Tier2は、ビジネスプロセスの定義です。そのビジネスプロセスに必要なセキュリティカテゴリを決め、要件をプロセスに組み込み、アーキテクチャを確立することになります。Tier3におけるリスクマネジメントプロセスは、6つのStepで示されています。Step1:Categorize、Step2:Select、Step3:Implement、Step4:Assess、Step5:Authorize、Step6:Monitor、がセキュリティライフサイクルとされています。SP800-53は、このStep2:Selectに該当します。

図1：3階層のリスクマネジメントアプローチ（NIST SP800-53）

次に、管理策です。セキュリティ管理策（Security Controls）は、18のファミリで構成されています。

表1：セキュリティ管理策のIDとファミリ名（NIST SP800-53）

これらの管理策に対して、ベースラインという概念が示されています。システムの影響度を大中小の3段階に分類し、初期のベースラインと調整後のベースラインを定めギャップ分析のアプローチを行う考え方です。さらに、個々の管理策には優先度が4段階で示されています。P1の最優先で実施すべきこと、その次に行うP2、さらにP3、対象外となるP0です。管理策によっては、複数の強化策が示されており、ベースラインのレベルに応じて、求める強化策が異なります。

表2：管理策のベースライン（NIST SP800-53 付録D）

また、特別な組織およびシステムに、これらの管理策とベースラインを適用するために、オーバーレイ(overlay)という概念も示されています。特定の技術や運用環境、業界、法的要件等に適用し、管理策を追加あるいは削除するためのガイダンスも付録されています。

SP800-53は、詳細の管理策のカタログ等を付録とし、全460ページにも及ぶ巨大な文書です。セキュリティ対策の辞書として他のガイドラインから参照されるものに位置付けられます。

SP800-82：Guide to ICS Security

産業用制御システム（ICS）のセキュリティガイドです。監視制御およびデータ収集（SCADA）システム、分散制御システム（DCS）、プログラマブルロジックコントローラー（PLC）を含む、産業用制御システム（ICS）を保護し、対処する方法を示した文書です。

この文書では、まず背景となるICSの環境について、システムの図版を多用しながら丁寧に解説しています。ICS環境で利用されるSCADA、PLC、DCSの各々について説明した上で、ITとICSの違いも整理されています。

その上で、ICS環境に実装する上での主要なセキュリティ対策方針には、次のものを含める必要があるとしています。

• ICSネットワークへの論理アクセスとネットワーク活動の制限
• ICSネットワークおよびデバイスへの物理的アクセスの制限
• 個々のICSコンポーネントの悪用からの保護
• データの不正改造の制限
• セキュリティイベントやインシデントの検知
• 悪条件下でも機能を維持
• 事故発生後のシステム復旧

リスクマネジメントの観点では、影響に基づく低中高のセキュリティレベルの定義が例示されています。生産する製品、業界、セキュリティ上の懸念に基づく定義も記載されており、影響度を測る目安になるでしょう。

表3：ISA99に基づくICSの影響レベルの定義例（NIST SP800-82）

表4：製品、業界、セキュリティ上の懸念に基づくICSの影響レベル例（NIST SP800-53）

この文書では、ICSセキュリティアーキテクチャとしてシステム設計における多数のポイントが解説されています。

まずは、ITネットワークとICSネットワークの分離です。相互を独立させ、接続する場合にはDMZとファイアウォールを経由して最小限の接続にとどめることが推奨されています。次にICSネットワークのセグメンテーションと分離が、最も効果的なアーキテクチャの一つとして挙げられています。大きなICSネットワークを、管理権限、ポリシー、信頼性、機能の重要性、通信量等の観点から小さなネットワークに分割します。セグメンテーションと分離の目的は、組織が効果的に運用し続けることを保ちながら、システムや人の機密情報への不要なアクセスを最小限に抑えることです。この他にも、ネットワーク分離の複数の手法やファイアウォールのルール設定など、ICSセキュリティに特化したシステム設計方法が示されています。

また、管理策については、前述のSP800-53の多くがICS環境に適用可能であるとしている一方で、一部についてはICS特有の解釈の変更や拡張が必要であり、適用するための追加情報が記載されています。

SP800-171：Protecting Controlled Unclassified Information

2018年にrev.1、2020年2月にrev.2が発行されたSP800-171は、直接的には米国連邦政府の調達に関連する民間組織への要求事項と言えますが、グローバルサプライチェーンの標準となりうるものとして注目を集めています。

非格付け情報（CUI：Controlled Unclassified Information）を対象にした情報管理のガイドですが、対になる言葉として格付け情報（CI：Classified Information）があります。CIが国家・政府としての機密情報、CUIはそれ以外の重要情報というイメージです。

SP800-171の特徴は、組織を対象とするのではなく、情報を対象として、それを扱う組織やシステムにセキュリティ要件を求めているとことと言えます。従って、該当の情報を業務上扱う組織として、政府機関に直接関わる企業・団体だけではなく、いわゆる下請け企業も本ガイドラインの準拠が求められることになります。

米国国立公文書館（NARA: National Archives and Records）のWebサイトで、CUIのカテゴリーリストが公開されていますが、重要インフラや国防に関わるものからプライバシーまで幅広く、一般の企業活動において、社外秘にあたるもの全てと理解しても差し支えないでしょう。

CUIの機密性を保護するためのセキュリティ要件は14のカテゴリでグループ化しており、各々のカテゴリ内に、基本的な管理策と、派生する管理策が記述されています。トータルで110件の管理策が示されます。

表5：SP800-171のセキュリティ要件と分類（トレンドマイクロ）

カテゴリの管理策として、組織・人によるもの、ルールや運用によるもの、技術やツールによるものでタグ付けしてみると、全体的にルール、プロセス面での管理をベースにしたガイドラインととらえることができます。技術的な対策のほか、リスクアセスメントのプロセスはもちろん、組織的な対策として、トレーニングや説明責任、インシデント時の監督官庁への報告も要件となっています。

第4回は、NIST SP800シリーズから一部を取り上げて解説しました。これらは元々、米国政府の調達要件として始まったガイドラインではありますが、IT環境とICS環境をセキュリティ面で統合して管理することや、サプライチェーンの中で重要情報を保護することは、特定の国や業種に限らず、組織と事業を推進する上で必要不可欠なものとなっていると言えるでしょう。

次回の第5回では、SP800-53のサブセットとして位置づけられるCIS Controlsを取り上げます。

参考：

• NIST SP800-53 rev.4
  https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final
• NIST SP800-82 rev.2
  https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
• NIST SP800-171 rev.2
  https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
• NARA: CUI category
  https://www.archives.gov/cui