トップ > セキュリティ技術解説 > NIST SP800-218とSP800-160:政府機関と産業界のセキュリティを強化する主要ガイドライン

NIST SP800-218とSP800-160:政府機関と産業界のセキュリティを強化する主要ガイドライン

セキュリティ技術解説
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

はじめに:米国政府機関が策定するセキュリティ標準の重要性

現代のサイバー脅威は日々高度化・巧妙化しており、組織のセキュリティ対策も常に進化が求められています。その中で、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)が発行するSP800シリーズは、情報セキュリティに関する包括的なガイドラインとして、米国政府機関だけでなく、世界中の企業や組織に広く参照されています。

私は情報セキュリティの専門家として、これらのNIST標準が、システム開発から運用、そしてシステムの回復力向上に至るまで、幅広いセキュリティ課題に対する実践的なアプローチを提供していることを認識しています。今回は、ソフトウェアのセキュリティ開発に焦点を当てたNIST SP800-218と、システムのセキュリティエンジニアリングとサイバーレジリエンスに焦点を当てたNIST SP800-160について解説します。

1. NIST SP800-218 Secure Software Development Framework (SSDF)

NIST SP800-218は「Secure Software Development Framework (SSDF): Recommendations for Mitigating the Risk of Software Vulnerabilities」という正式名称を持ち、安全なソフトウェア開発のためのフレームワークを提供します。これは、米国政府のサイバーセキュリティ強化に関する大統領令(EO 14028)を受けて、ソフトウェアサプライチェーンのセキュリティ強化を目的として2022年2月に発行(Version 1.1)されました。

1.1. 目的

NIST SP800-218の主な目的は以下の通りです。

  • 脆弱性の軽減: ソフトウェアに存在するセキュリティ上の脆弱性を、開発ライフサイクルの全体を通じて最小限に抑えます。
  • サプライチェーンセキュリティの強化: ソフトウェアの調達者と供給者の双方にとって、セキュアな開発プラクティスを共有し、サプライチェーン全体のセキュリティを向上させます。
  • コンプライアンス: 米国政府の調達基準に準拠するための基盤を提供し、開発者や企業がセキュアな開発プラクティスを実践できるように支援します。
  • 共通言語の提供: 産業分野、開発言語、開発プロセスに依存しない共通の言語を提供し、ステークホルダー間の理解とコミュニケーションを促進します。

1.2. 内容と主要なプラクティス

SSDFは、抽象的な内容でありながら、具体的な技術やツールに依存せず、どのような組織や開発環境でも導入できるように設計されています。推奨事項は「プラクティス」と「タスク」の2つの階層で構成され、以下の4つの主要なグループに分類されています。

  1. 組織の準備(Prepare the Organization: PO):

    • 組織レベルで安全なソフトウェア開発を行うための人(トレーニング)、プロセス、技術(ツールチェーン)を準備します。
    • セキュリティ要件の定義、役割と責任の明確化、安全な開発環境の維持などが含まれます。

  2. ソフトウェアの保護(Protect the Software: PS):

    • ソフトウェアの全てのコンポーネント(ソースコード、実行可能コードなど)を、不正アクセスや改ざんから保護します。
    • アクセス制御の最小化、バージョン管理によるトレーサビリティ確保、コード署名やハッシュ値による整合性保護などが含まれます。

  3. 安全なソフトウェアの作成(Produce Well-Secured Software: PW):

    • リリース時のセキュリティ脆弱性を最小限に抑えるようにソフトウェアを作成します。
    • セキュアな設計の実施(脅威モデリング、セキュリティレビュー)、セキュアコーディングガイドラインの適用、静的/動的解析、ファジング、侵入テストなどが含まれます。

  4. 脆弱性への対応(Respond to Vulnerabilities: RV):

    • ソフトウェアに存在する脆弱性を特定・対処し、将来同様の脆弱性が発生しないように継続的に改善します。
    • インシデント対応計画の実施、脆弱性の迅速な修正と記録、継続的なセキュリティ対策の評価と改善などが含まれます。

NIST SP800-218は、ソフトウェアサプライチェーン攻撃が深刻化する現代において、開発者がセキュアなソフトウェアを設計・実装するための不可欠なガイドラインとなっています。

2. NIST SP800-160 Systems Security Engineering

NIST SP800-160は「Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems」という正式名称を持ち、システムセキュリティエンジニアリングに関する包括的なガイダンスを提供します。これは主に2つのボリューム(Vol. 1とVol. 2)で構成されています。

2.1. Vol. 1: システムセキュリティエンジニアリングの考慮事項

  • 目的: 信頼性があり安全なシステムを構築するためのシステムセキュリティエンジニアリング(SSE: Systems Security Engineering)の原則と実践を示します。システムライフサイクル全体にわたってセキュリティを組み込むことの重要性を強調しています。
  • 内容:
    • システムセキュリティの原則: セキュリティは、システムのライフサイクル全体(概念化、設計、開発、導入、運用、保守、廃棄)を通じて、最初から組み込むべきものであるという「セキュリティ・バイ・デザイン」の考え方を提示します。
    • 多分野横断的なアプローチ: セキュリティは単一の専門分野ではなく、システムエンジニアリング、ソフトウェアエンジニアリング、運用、調達など、様々な分野の専門家が連携して取り組むべきであることを強調します。
    • リスク管理との統合: システムのセキュリティ要件を、組織のリスク管理フレームワークと密接に連携させる方法を示します。
    • トレーサビリティと説明責任: セキュリティ要件がシステム設計にどのように反映され、テストされたかのトレーサビリティを確保し、各関係者の責任を明確にすることを推奨します。

2.2. Vol. 2: サイバーレジリエントなシステムの開発

  • 正式名称: 「Developing Cyber-Resilient Systems: A Systems Security Engineering Approach
  • 目的: サイバー攻撃や予期せぬ障害が発生した場合でも、ミッションやビジネス機能を継続・回復できる「サイバーレジリエンス」を持つシステムを開発するためのシステムセキュリティエンジニアリングアプローチに焦点を当てています。
  • 内容:
    • サイバーレジリエンスの原則: 脅威の予測(Anticipate)、攻撃の予防・回避(Prevent or Avoid)、脅威への対応(Respond)、回復(Recover)、継続(Continue)、変革(Transform)といったサイバーレジリエンスの主要な目標と、それを実現するための設計原則(例: 多様性、冗長性、制限、デセプションなど)を定義します。
    • レジリエンスエンジニアリングの統合: SSEのプロセスに、サイバーレジリエンスの要素をどのように組み込むかを具体的な手法や活動を通して説明します。
    • 攻撃者の視点: 攻撃者のTTPs(戦術・技術・手順)を理解し(MITRE ATT&CKとも関連)、それらを上回るレジリエンスを持つシステムを設計することの重要性を強調します。
    • 継続的改善: システムのライフサイクルを通じて、サイバーレジリエンスのレベルを継続的に評価し、改善していくプロセスを推奨します。

NIST SP800-160は、単にセキュリティを確保するだけでなく、「システムが攻撃や障害に直面しても、その機能を維持し、回復できる能力」としてのサイバーレジリエンスをシステム設計に組み込むための実践的なガイドラインを提供します。これは、今日の脅威環境において非常に重要な視点です。

3. 両標準の連携とセキュリティ専門家としての視点

NIST SP800-218(SSDF)とNIST SP800-160は、ともにシステムのセキュリティと信頼性向上を目指していますが、焦点を当てる領域が異なります。

  • SP800-218(SSDF): ソフトウェア開発に特化し、脆弱性のない安全なコードとソフトウェアをいかに「作るか」に重点を置きます。
  • SP800-160: より広範なシステム全体のライフサイクルにわたるセキュリティエンジニアリングと、特にサイバーレジリエンスをいかに「組み込むか」に重点を置きます。

私は情報セキュリティの専門家として、これらのNIST標準が相補的な関係にあると捉えています。安全なソフトウェア(SP800-218)は、レジリエントなシステム(SP800-160)を構成する重要な要素です。逆に、どんなに安全に開発されたソフトウェアであっても、それを動かすシステム全体のセキュリティや回復力が脆弱であれば、ビジネス継続は困難になります。

したがって、組織はこれら両方の標準の原則を理解し、自社のソフトウェア開発プロセスとシステム全体のリスク管理戦略に統合していくことが、現代の複雑なサイバー脅威から身を守る上で不可欠です。