Main content

NIST SP 800-171準拠活動への取り組み

画像:NIST webプロモーション

本ページでは、サイバーセキュリティ強化を対象としたリコーグループのNIST SP 800-171への取り組みについて紹介いたします。

NIST SP 800-171はサイバーセキュリティ領域の国際的な基準・ガイドラインです。
リコーグループはサイバー攻撃の脅威からお客様の情報資産を守り、安心・安全な「製品・サービス」を届けることを目的としてNIST SP 800-171を用いて「サイバーセキュリティ」におけるリコーグループの活動水準を国際レベルに引き上げようとしています。

NIST SP 800-171の背景にある国際事情

国家間の政治的戦略の変化とサイバー攻撃の関係

近年国家間の政治的戦略(紛争)の手段が軍事から経済制裁へと変わりつつあります。

これは「エコノミックステイトクラフト」と呼ばれ、国家が軍事力ではなく、その経済力によって地政学的国益を追求する外交を激化させ、国家間の貿易や援助のレベルから、相手国の重要産業の活動を混乱させるような企業攻撃のレベルへと発展、その被害総額は年々増加しています。

具体的には、特定企業の特定の製品や施設を狙い撃ちする形で違反を突き付けて業務停止に追い込んだり、特定企業のデータを改竄/漏洩させるようなサイバー攻撃を行い、企業価値を低下させたりするような攻撃がこの「エコノミックステイトクラフト」にあたります

これらは、組織レベルで特定企業を攻撃する手段であり、国家間の争いに見えない攻撃のため、国際問題となりません。このような環境変化の中で、自国にとってより有利なルールを形成するかが重要となってきており、経済ルール(法規制)の打ち立て合いが起きています。

さらに2022年に勃発したロシアウクライナ有事では、現代型のハイブリッド戦争においてサイバー攻撃が軍事オプションの一つとして行使され、相手国のみならず、多くの民間企業が標的となり、被害を受けたことが大きな問題として取り沙汰されています。

サイバー攻撃の標的の拡大

サイバー攻撃の増加と高度化に伴い、その標的は業種を問わず、無差別かつあらゆる産業に拡大しているが現状です。

また、ネットワーク上のPCや重要なサーバー、基幹システムだけではなく、複合機や様々な周辺機器において、セキュリティが脆弱なところを狙った攻撃が増加しています。

画像:企業団体等におけるランサムウェア被害及びその実態

サイバーセキュリティに関する米国の施策

企業や政府機関へのサイバー攻撃は増加・高度化しており、各組織における防御体制、情報保護強化はより高い水準を求められる状況にあります。

この分野で大きくリードしている米国政府はNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が策定したセキュリティ要件を礎として、防衛産業をはじめ、連邦政府関係機関との取引先を対象に、より強固で先進的なサイバーセキュリティ対策を求め始めました。

サイバーセキュリティ強化の必要性

米国のサイバーセキュリティ政策は、高度化するサイバー攻撃に対して最も先進的であり、各国・各産業はこれを参照したサイバーセキュリティ関連ルールの策定を進めています。このようなセキュリティ水準の強化は今後、日本国内の他の省庁や政府機関に関わる業界へ波及すると予想されます。

情報やサービスが一国に留まらない現状において、デジタルサービスを提供する事業者は自社の「事業環境」のセキュリティ水準を担保し、提供する「製品・サービス」もそれに準ずることが求められます。

リコーグループにとっての取り組みの重要性

リコーグループは、世界中のお客様に対してセキュアな「製品・サービス」を提供するため、国際基準のセキュリティニーズに応えてまいります。リコーグループはワークフローをデジタル化してお客様へ付加価値を提供するなど、お客様の情報資産を守ることを目的とした「事業環境」の整備やモノづくりに取り組んでいます。

サイバーセキュリティ強化への取り組み

本章以降ではリコーグループのNIST SP 800-171への取り組みについて紹介いたします。

リコーグループのサイバーセキュリティ体制とガバナンス

リコーグループでは、近年増加しているサイバー攻撃からお客様の情報資産を守るために、戦略的かつ国際的にセキュリティ対策を進めています。

また、セキュリティ管理の強化を図るため、高度化・頻発化するサイバー攻撃に対処すべく専門部署を設置して全社セキュリティ活動の管理を行い、製品のセキュリティ機能の開発、リコーグループにおける情報セキュリティの体制構築を推進しています。

セキュリティ活動においては人・プロセス・技術への展開が必要であり、経営層によるトップダウンが求められます。リコーグループは以下のように経営視点でのセキュリティ施策決定の場とマネジメントラインを一本化しました。

  • 全社経営に対するセキュリティ方針と評価のため担当役員を指名
  • セキュリティ方針と評価のための組織としてセキュリティ統括推進組織を設置
  • 各事業の特性に応じたルール策定と評価を行うためにコーポレート・プロダクト・ファクトリーのセキュリティ推進機能をセキュリティ統括推進部門内に集約

画像:リコーグループのNIST SP 800-171準拠活同推進体制図

リコーグループのセキュリティ活動

リコーグループではサイバー攻撃からお客様の情報資産を守るために国際的なサイバーセキュリティに関する基準・法規制に基づき、サイバー攻撃に対する強化策として社内体制・運用・定期的な監査をグループ全体への展開を見据えて進めています。

企業に要求されるセキュリティ基準・ガイドラインの強化

従来のセキュリティはサイバー攻撃に対し「未然の防御」の考え方中心でしたが、NIST SP 800-171は攻撃・侵入を前提に「特定・防御・検知・対応・復旧」を包括、サイバー攻撃に対しての要件を指定しています。

さらにNIST SP 800-171、および参照元であるNIST SP 800-53ではサイバーセキュリティに対する「マネジメント・ガバナンス」に加え、その施策として明確に「強度」の要件が網羅されています。

世界中に事業を展開するリコーグループは、独自の基準・ガイドラインではなく、国際的な基準・ガイドラインに則ってお客様の情報資産を守ることを重要視しています。このためにサイバーセキュリティへ積極的な投資を行い、安心・安全な「製品・サービス」を提供することにより、お客様のビジネスに貢献することがリコーグループの責務となります。

リコーグループにおいて、包括的で国際的な基準・ガイドラインを検討した結果、高いセキュリティ水準を持つNIST SP 800-171をサイバーセキュリティ施策として選択しました。

画像:リコーグループのセキュリティ基準とガイドラインの強化を示す図

NIST SP 800-171とは

NIST(National Institute of Standards and Technology:米国国立標準技術研究所)は米国の技術規格などを扱う政府の研究所で、NISTの中のITL( Information Technology Laboratory:情報技術研究所)が米国のサイバーセキュリティの基準・ガイドラインを策定しています。

“NIST SP 800-171” は、米国の国家安全保障上重要な情報のうち秘密指定のされていない情報である CUI(Controlled Unclassified Information)を保護するために NIST が規定した非政府組織向けの基準であり、“NIST SP 800-53” から基本要件を抽出したものです。

NIST SP 800-171は、CUIを保護するための14ファミリー・127の要件で構成され、米国の調達規制である“FAR 52.204-21”や “DFARS 252.204-7012” によって調達要件としてNIST SP 800-171が指定されています。米国防衛産業を起点に、そのサプライチェーンに係る民間産業を含むすべての事業者に対して調達要件としての対応が求められます。

リコーグループもこのサプライチェーンに関わる事業者に対して複合機やソリューション等の「製品・サービス」を提供しており、同様に対応が求められます。また、事業者がサイバーセキュリティの善管注意義務を果たしていることを証明する手段の一つとして認知されています。

2022年4月1日には日本の防衛装備庁が防衛産業におけるサイバーセキュリティ体制の強化のための施策を一層促進するため、先行する米国(NIST)の取組を参考に、現行より厳格な管理策を盛り込んだ情報セキュリティ基準の改定等による「防衛産業サイバーセキュリティ基準」を整備いたしました。

  • *1 NIST SP 800-53: NISTが規定した基準・ガイドラインであり、米国の機密情報であるCI(Classified Information)を保護するためのセキュリティ管理策であり、対象組織は米国連邦政府機関です。

NIST SP 800-171の準拠に向けたリコーグループの取り組み・考え方

NIST SP 800-171への対応および準拠に向けた取り組み

リコーグループのNIST SP 800-171への準拠の考え方は、単にNIST SP 800-171の要件に対応することだけではなく、お客様の情報資産を守ることを取り組みの目的の本質としています。

お客様の事業環境において、お客様が守りたいと考える情報資産を取り扱う可能性があるリコーグループの「製品・サービス」をサイバー攻撃から守るという目的と、その「製品・サービス」をお客様に提供するまでのバリューチェーンにおいて、取り扱う情報資産を守るという目的の2つがあります。

リコーグループではデジタルサービスを提供する事業者として、お客様の情報資産を第一に配慮したセキュリティ活動を行い、NIST SP 800-171への準拠を目指します。

NIST SP 800-171の適用範囲は「製品・サービス」「事業環境」の大きく2つに分けられます。

「製品・サービス」とはリコーグループがお客様に提供するハードウェア製品、オンプレミスソリューション、クラウドソリューションとこれらのアフターサービス、サポート、メンテナンスが含まれています。

「事業環境」とは、商品の企画から販売・保守に至る全てのバリューチェーンにおける、各バリューチェーンの業務や情報を管理するインフラ、業務のルール、体制などが含まれています。

近年、「製品・サービス」への直接的な攻撃だけではなく、この「事業環境」を対象としたサイバーセキュリティリスクが増加しています。

リコーグループの「製品・サービス」へのNIST SP 800-171の準拠について

お客様の「事業環境」の一部として設置されたリコーグループの「製品」にはNIST SP 800-171で必要な機能を搭載しています。「サービス」とはNIST SP 800-171に沿った設置や保守の業務内容を準拠させることで、お客様の「事業環境」の攻撃の糸口となるリスクを低減します。

リコーグループの「事業環境」へのNIST SP 800-171の準拠について

自社の「製品・サービス」の企画から販売・保守に至るバリューチェーンにおいて、自社の「製品・サービス」に係る情報のうち、お客様の「事業環境」の攻撃の糸口となる情報を守るためNIST SP 800-171に準拠いたします。

画像:NIST SP 800-171への対応および準拠に向けた「製品・サービス」「事業環境」 の取り組み

すなわち、お客様に提供するリコーグループの「製品・サービス」がサイバー攻撃に対し堅牢なことはもとより、それらの企画から販売・保守に至る全てのバリューチェーンを擁するリコーグループの「事業環境」も堅牢である必要があります。

リコーグループではこの2つの考え方を踏まえ他のサイバーセキュリティに係る法規制や基準・繋がりにも配慮し、NIST SP 800-171の準拠を推進しています。この活動は「コーポレート」「プロダクト」「ファクトリー」を包括したセキュリティ強化の一環です。

リコーグループにおけるNIST SP 800-171の対応

前述のとおりNIST SP 800-171への対応の適用範囲として「製品・サービス」と「事業環境」が存在します。

リコーグループが製造・販売・提供する「製品・サービス」においては、主要な製品からNIST SP 800-171で必要な機能を搭載していきます。さらにこの製品に係る「事業環境」の取り組みについて説明します。

お客様の「事業環境」への貢献のための「製品・サービス」

世界中のお客様の「事業環境」においてサイバー攻撃は日々増加、高度化しています。リコーグループの「製品・サービス」は、セキュアな「事業環境」を目指しているお客様、またNIST SP 800-171に準拠した「事業環境」を目指しているお客様を想定し、NIST SP 800-171に必要な機能を搭載した製品を提供していきます。

このような「製品・サービス」は導入を検討されるお客様のセキュリティニーズに対応、情報資産を守ることに貢献し、お客様のビジネスリスクを低減します。

また、リコーグループで製造・販売・提供する「製品・サービス」はお客様のセキュアな「事業環境」(例えばNIST SP 800-171に準拠した「事業環境」)へ適合できるように、主要な製品の機能やサポート体制などを用意していきます。

画像:リコーグループの「製品・サービス」におけるお客様の情報資産へのセキュリティの配慮

リコーグループの「事業環境」の取り組み

リコーグループが提供する「製品・サービス」はお客様の「事業環境」を守るため、お客様の情報資産(秘匿するべき要求仕様・パスワードなど)を取り扱う可能性があるリコーグループの「事業環境」もまた、国際基準でセキュリティを保つ必要があります。

リコーグループの「事業環境」において守るべき情報はお客様の事業環境で生成される(またはお預かりする)情報資産とリコーグループの事業環境で生成される情報資産(設計図・ソースコードなど)があり、後者はお客様に提供する「製品・サービス」への攻撃の糸口となる情報です。セキュリティ活動における情報資産は、厳格に閲覧権限を管理し、そのセキュリティ強度が継続的に維持されています。

上記の情報資産の保護を目的として、リコーグループが守るべき情報資産をNIST SP 800-171の要件に従い保護基準を定めて、バリューチェーンごとに以下の配慮をしています。その手段は以下のように大きく2つに分類されます。

画像:情報資産を守るための手段

リコーグループのNIST SP 800-171に係る今後の取り組みや展望

お客様の「事業環境」への貢献のための「製品・サービス」に関して

リコーグループはNIST SP 800-171の対応を進めながら、お客様に提供する「製品・サービス」をハードウェア中心とするビジネスからソリューションビジネスへと展開し、お客様のセキュアな「事業環境」において安心してお使いいただけるように、「製品・サービス」のセキュリティ強化を順次進めていきます。

リコーグループの「事業環境」の取り組みに関して

リコーグループは製品開発から販売に至るバリューチェーンをNIST SP 800-171に対応させる活動から、技術・システム管理、人的資源管理、社内インフラ等を対応させる活動においてもセキュリティ強化策を継続していきます。

また、リコーグループのサプライヤー・委託先を含めたセキュリティ対策を強化し、お客様の情報資産を守るために、各国の法規制や基準の動向を注視しながら定期的な施策の見直しを実施します。

メッセージ

サイバー攻撃が年々増加し、手口も多様化している環境の中において、リコーグループはお客様の情報資産を保護するための施策を継続的に行います。全社におけるサイバーセキュリティ推進のガバナンス強化、製品のセキュリティ機能仕様の規定、および全社におけるサイバーセキュリティの教育、有事の際のリスク最小化、迅速な対応に重点を置き、お客様のサイバーセキュリティ上の課題を支援します。

NIST SP 800-171への対応を含めたサイバーセキュリティ対策の実装・運用を実施することで、お客様の「事業環境」で求められるサイバーセキュリティ対策に対し、ビジネスパートナーとして、お客様の情報資産を守る施策を追求していくことを優先します。