[本文]

国名:
米国
公開機関:
国立標準技術研究所(NIST)
元記事公開日:
2021/02/02
抄訳記事公開日:
2021/04/08
元記事の言語:
英語

NISTが国家の支援を受けたハッカーからの防御に役立つツールを提供

NIST Offers Tools to Help Defend Against State-Sponsored Hackers

本文:

2021年2月2日付の国立標準技術研究所(NIST)による標記発表の概要は以下のとおりである。

世界中の国々がサイバー戦力を武器として追加し、高度なスキルを持つチームを採用して他の国に対する攻撃を開始している。これらの敵は、「高度標的型攻撃」つまりAPTとも呼ばれる。これは、防御側が抵抗しようとする力に対抗して、長期間にわたって繰り返し目的を追求するためのツールとリソースを有しているためである。

脆弱なデータには、さまざまな連邦プログラムを支援するために政府、産業界、学界が管理する、機密扱いされていない機微情報が含まれる。現在、NISTは、そのような「管理すべき非機密情報」(CUI)をAPTから保護するための指針を示している。NISTの特別刊行物(SP)800-172、「管理すべき非機密情報を保護するための強化されたセキュリティ要件:NIST SP 800-171の補足」は、国家が支援するハッカーの攻撃に対抗するべく設計されたツール・セットを提供している。

連邦政府は、コンピュータのほか、産業用制御システムやモノのインターネット(IoT)などの専門技術を含む情報システムを使用して多様な任務を遂行するために、連邦政府以外のサービスプロバイダに大きく依存している。州政府、地方政府、大学、独立した研究機関など、連邦政府以外のシステムに存在する機密性の高い連邦情報の保護は、連邦政府の業務遂行能力に直接影響を与える可能性があるため、最も重要である。機密情報を危険にさらした2018年のハッキングは、SP 800-172に関するNISTチームの作業に直接動機を与えた。

SP 800-172は、情報が通常よりも高いリスクにさらされる状況でのCUIの取扱いについて、追加提言をしている。CUIには、個人の名前や社会保障番号から重要な国防情報まで、さまざまな種類の情報が含まれている。

SP 800-172では、SP 800-171の要件に加えて、APTに対応するため強化されたセキュリティ要件が実装される。SP 800-172の要件は、CUIを処理、保存、送信する、またはそのようなコンポーネントを保護する連邦政府以外のシステム・コンポーネントに適用される。範囲をさらに狭めるために、要件は、指定されたCUIが重要なプログラムまたは価値の高い資産に関連付けられている場合にのみ適用される。

[DW編集局+JSTワシントン事務所]