ホーム Data Security NIST 800-171:電子製造における機密情報の保護

NIST 800-171:電子製造における機密情報の保護

Oliver J. Freeman, FRSA
|  投稿日 2024/12/17 火曜日
NIST 800-171 電子製造における機密情報の保護

世界のサプライチェーンが年々相互依存性を増している中、製造業務全般—特に電子機器の製造—は、異なる分野、国、市場のステークホルダー間の協力に依存し、それによって繁栄していることが明らかです。その結果、企業は製品を実現するために、契約メーカーやサプライヤーなどと機密設計や生産情報を共有することがよくあります。この情報には、知的財産、営業秘密、さらには防衛関連品や二重用途品に関連するデータなど、貴重な情報が含まれていることがあります。このような機密データを保護することは、競争優位を維持し、規制への準拠を確保することを目指す企業にとって最も重要です。

これらの規制の中でも特に重要なのが、契約メーカーに機密情報を転送する企業に対する国立標準技術研究所(NIST)特別公開文書800-171(NIST 800-171)です。このようなデータを共有する企業の具体的な要件、または国際武器取引規制に定義される防衛関連品や二重用途品を扱う場合について学びたい方は、読み進めてください。

規制の理解:ITARおよびNIST 800-171

国際武器取引規制(ITAR)は、防衛関連品目、防衛関連技術データ、およびサービスの輸出入を規制しています。ITAR管理下の情報を扱う企業は、サイバーセキュリティを超えた特定のコンプライアンス要件を認識する必要があります。NIST 800-171は、ITAR要件に沿うために満たされなければならないサイバーセキュリティ性能基準を定義しており、この機密データを保護する上で重要な役割を果たしています。

ITARは特定のサイバーセキュリティコントロールを指示していませんが、国立公文書記録管理局(NARA)は、「輸出管理」情報を管理された未分類情報(CUI)のカテゴリーとして分類しています。この分類により、NIST 800-171がこの機密データを保護するための最低サイバーセキュリティ基準として位置づけられます。

NIST 800-171:堅牢なサイバーセキュリティのためのフレームワーク

NIST 800-171は、CUIを保護するために設計された包括的なセキュリティコントロールのセットを提供します。これらのコントロールは、完全なサイバーセキュリティフレームワークを形成するために、幅広い領域にわたっています。以下のリストは、主要な要素を探求します:

  • アクセス制御:強力なアクセス制御策を実施することで、機密情報にアクセスできるのは承認された個人のみであることを保証します。これには、多要素認証、ロールベースのアクセス制御、および活動を監視するための徹底したアクセスログが含まれます。
  • 意識とトレーニング:従業員にサイバーセキュリティのベストプラクティスとITARコンプライアンスについて教育することが重要です。定期的なトレーニングプログラムは、従業員が不審な活動、フィッシング試み、および潜在的なセキュリティ侵害を特定して報告するのに役立ちます。トレーニングには、輸出管理情報の取り扱いに関するITAR特有の手順も含まれるべきです。
  • インシデント対応:よく定義されたインシデント対応計画は、セキュリティインシデントを迅速に特定し、対応し、回復するのに役立ちます。この計画には、侵害の封じ込め、損害(潜在的なデータ損失を含む)の軽減、根本原因の根絶、および関連する権限(ITAR違反の場合は防衛貿易管理局(DDTC)を含む)へのインシデント報告の手順が概説されているべきです。
  • データセキュリティ:休止状態、転送中、および使用中の機密データを保護することは、サイバーセキュリティの重要な側面です。NIST 800-171は、データ暗号化(休止状態および転送中の両方)、電子メディアの廃棄に関するデータ消去手順、および安全なデータ転送プロトコルに関する制御を概説しています。

これらの管理策を講じることは、企業が機密情報の保護とNARAのCUI要件の遵守への取り組みを示すものです。それにしても、NIST 800-171が基準として機能することを忘れてはなりません。企業はリスク評価を実施して特定の脆弱性を特定し、その結果に基づいて追加の管理策を実装する必要があるかもしれません。

契約製造業者向けNIST 800-171コンプライアンスのステップバイステップガイド

したがって、NIST 800-171コンプライアンスが重要である理由は明らかですが、機密設計および生産情報の安全な転送を契約製造業者に確実に行うにはどうすればよいでしょうか?次のステップを検討してください:

ステップ

リスク評価を実施する

共有される機密情報を特定し、潜在的な脅威と脆弱性を評価し、転送に関連するリスクのレベルを決定する。

安全な通信チャネルを確立する

データの転送中にデータを保護するために暗号化された通信チャネル(例:VPN、セキュアメール)を使用し、機密情報へのアクセスを制限するために強力なアクセス制御を実装し、定期的にセキュリティプロトコルを監視および更新する。

強力なアクセス制御を実装する

強力なパスワードポリシーと多要素認証を実施し、機密情報へのアクセスを必要に応じて許可し、定期的にアクセス権限を見直し、必要に応じて更新してください。

データの安全な保管
およびバックアップ

休止状態および転送中の機密データを暗号化し、機密情報を定期的にバックアップし、バックアップを安全に保管し、不正なデータ転送を防ぐためのデータ損失防止(DLP)対策を実施します。

従業員のトレーニング

従業員に定期的なサイバーセキュリティ意識向上トレーニングを提供し、ITAR規制とその責任について従業員を教育し、従業員の意識をテストするためのフィッシングシミュレーションを実施します。

インシデント対応計画

包括的なインシデント対応計画を策定し、セキュリティインシデントの検出、対応、回復の手順を確立し、定期的にインシデント対応計画をテストおよび更新します。

セキュリティ実践の監視と監査

定期的なセキュリティ監査と脆弱性評価を実施し、不審な活動についてネットワークトラフィックとシステムログを監視し、最新のセキュリティベストプラクティスと規制について常に最新の情報を得るようにしてください。

ITARコンプライアンスを考慮する

防衛関連品またはデュアルユース品を取り扱っている場合は、ITARコンプライアンスを確保し、輸出管理リスクを軽減するためにITAR登録製造業者と協力してください。

ITAR登録:防衛および二重用途品目のための追加のセキュリティ層

貴社がITARによって定義される防衛品目または二重用途品目に関連する情報を転送している場合、ITAR登録済みの製造業者との作業は不可欠です。DDTCによるITAR登録は、製造業者がITAR規制の遵守を保証するための包括的な輸出管理プログラムを確立していることを意味します。このプログラムはサイバーセキュリティを超え、より広範な手順のセットを含んでいます:

  • ライセンス申請:防衛関連品目やデュアルユース品目の輸出に必要なライセンスを取得することは、重要なステップです。ITARに登録された製造業者は、ITARライセンスプロセスの複雑さを理解しており、特定のアイテムの転送に適切な認可を得るために企業を導くことができます。
  • 記録保持:すべてのITAR関連取引の正確で詳細な記録を保持することは義務です。ITARに登録された製造業者は、アイテムの特定のITARカテゴリーに応じて変わることがあるが、これらの記録を必要な期間保持するためのシステムを確立しています。
  • 開示:ITARは、潜在的な違反やITAR管理下の情報の不正な開示など、特定の開示をDDTCに報告することを要求しています。ITARに登録された製造業者は、これらの報告要件に精通しており、適切な機関へのタイムリーかつ正確な開示を保証することができます。
  • 物理的セキュリティ:ITAR規制は、管理された情報を保護するための物理的セキュリティ対策も含んでいます。ITARに登録された製造業者は、ITAR管理下の情報が保管または処理される物理的な場所へのアクセス制御のためのプロトコルを確立しています。

最大限の保護のための多層的アプローチ

電子製造業界の企業で、NIST 800-171を遵守し、ITAR登録製造業者と協力する企業は、機密情報の保護と関連規制の遵守を保証できます。しかし、NIST 800-171は基礎を提供するだけであり、具体的な状況に応じて追加の管理が必要になる場合があることを覚えておいてください。法律やサイバーセキュリティの専門家と相談し、会社がそのような情報を保護するための包括的なアプローチを持ち、すべてのコンプライアンス要件を満たしていることを確認することが重要です。これは、電子製造業界内での協力のための安全な環境を作り、革新と、場合によっては国家安全保障の利益を保護するのに役立つ多層的なアプローチです。

もし貴社がプロセスをレベルアップさせ、PCB設計をコンプライアンスに合わせたい場合は、Altium 365 GovCloudをご覧ください。これは、防衛および政府プロジェクトの要件をサポートするために設計された完全なソリューションです.

筆者について

筆者について

Oliver J. Freeman, FRSA, former Editor-in-Chief of Supply Chain Digital magazine, is an author and editor who contributes content to leading publications and elite universities—including the University of Oxford and Massachusetts Institute of Technology—and ghostwrites thought leadership for well-known industry leaders in the supply chain space. Oliver focuses primarily on the intersection between supply chain management, sustainable norms and values, technological enhancement, and the evolution of Industry 4.0 and its impact on globally interconnected value chains, with a particular interest in the implication of technology supply shortages.

その他のコンテンツ Oliver J. Freeman, FRSA

関連リソース

クラウドPCB設計のクラウドセキュリティ神話 クラウドPCB設計:クラウドセキュリティに関する5つの神話を暴く クラウドPCB設計プラットフォームがオンプレミスソリューションよりも安全である理由と、エンタープライズグレードのセキュリティ機能であなたのIPをどのように保護するかを学びましょう。 記事を読む
エレクトロニクス設計における人為的エラーとサイバーセキュリティ なぜ人的ミスが電子設計のサイバーセキュリティにおける最大の弱点なのか エレクトロニクス設計における人為的エラーがサイバーセキュリティを損なう方法を発見しましょう。最良の実践と最新のツールを用いてリスクを軽減する戦略を学びます。 記事を読む
PCB設計エンジニアは、外部チームと安全に設計ファイルを共有できます PCB設計エンジニアが外部チームと設計ファイルを安全に共有する方法 外部チームとPCB設計ファイルを安全に共有する方法。ベストプラクティス、メール/ファイルホスティングのリスク、およびクラウドベースのソリューションが設計データのセキュリティをどのようにサポートするかを学びます。 記事を読む
ITARおよびDFARSによる電子部品の調達と製造 ITARとDFARS:電子部品調達と製造が知っておくべきこと ITARとDFARS規制の主な違いを理解し、それらをどのように扱うか、そしてそれらがOEM、契約メーカー、および設計会社にとって何を意味するのかを理解します。 記事を読む
PCB設計のコラボレーションにおけるセキュリティリスクを暗号化されたファイル転送で阻止する PCB設計のコラボレーションにおけるセキュリティリスクを暗号化されたファイル転送で阻止する データ侵害を防ぎ、競争力を維持したいですか?機密データを保護し、協力を強化し、業界規制に準拠する方法を学びましょう。 記事を読む
エレクトロニクス設計環境におけるゼロトラストセキュリティの実装 エレクトロニクス設計環境におけるゼロトラストセキュリティの実装 Discover how Zero Trust security enhances electronics design by replacing outdated perimeter defenses with continuous verification and advanced threat protection. 記事を読む
防衛電子機器のための輸出管理分類番号(ECCN) 防衛電子機器の輸出管理分類番号(ECCN)を理解する 技術輸出規制を理解し、ナビゲートすることは、その技術自体を理解することと同じくらい難しい場合があります。 輸出管理分類番号(ECCN)は、これらの規制の中心にあり、敏感な技術の国際貿易におけるゲートキーパーでありガイドです。この記事は、防衛電子機器の専門家向けに、ECCNを解明し、実践的なコンプライアンスアドバイスを提供することを目的としています。 ECCNのABC ECCNは、 商業管理リスト(CCL)上のアイテムを分類するために使用される5文字のコードです。防衛電子機器にとって、これらのコードは輸出要件を決定する上で重要です。ECCNの構造はシンプルで情報豊富です。異なるレベルの分類を表す5文字が含まれています。 これらのカテゴリーには: 最初の文字: カテゴリー(0-9) 2番目の文字: 製品グループ(A-E) 最後の3文字: 特定のアイテム指定 防衛電子機器は通常、カテゴリー3(電子機器)、5(通信および情報セキュリティ)、および6(センサーおよびレーザー)に分類されます。例えば 記事を読む
航空宇宙および防衛産業の陳腐化管理 航空宇宙および防衛の陳腐化管理は積極的に行うことができます 国家の安全保障、安全、予算に対する壊滅的な影響を、航空宇宙および防衛機関向けに特化した積極的な陳腐化管理で防ぎます。 記事を読む
なぜAltium 365 GovCloudにAWS GovCloud (US)を選んだのか 4つの理由 私たちがAltium 365 GovCloudのためにAWS GovCloud (US)を選んだ理由 Altium 365 GovCloudが電子設計プロジェクトにおいて比類のないセキュリティ、コンプライアンス、およびデータ保護を提供するためにAWS GovCloud (US)を活用している理由を探ります。 記事を読む
Altium 365のセキュリティアプローチと実践について Altium 365のセキュリティアプローチと実践 次のホワイトペーパーは、 Altium 365を支える広範なセキュリティ対策を理解するのに役立ちます。私たちはあなたのデータを安全に保つことに尽力しており、その方法を具体的にお見せしたいと考えています。 より良く理解するためにホワイトペーパーを読む: あなたのデータを保護するために実施されたAltium 365の包括的なセキュリティ対策 Altium 365 GovCloudと、それがどのようにしてPCBの設計を支援し、米国政府の規制を満たすことができるか データの完全性を保証するためのコンプライアンス認証、規制、および次のステップ 追加のセキュリティ機能を提供するAltium 365 Advanced Security Packageの利点 ハイライト: 機密設計データを保護するためのセキュリティを強化する Altium 365 GovCloudを使用して政府規制を遵守する 厳格なアイデンティティおよびアクセス管理の実践を強化し、データを完全にコントロールする 記事を読む

関連する技術文書

Tutorial - Searching for and Acquiring the Components in Altium Designer Tutorial - Searching for and Acquiring the Components in Altium Designer

Explore Altium Designer 24 technical documentation for Searching for and Acquiring the Components and related features.

 ドキュメントを読んでください
Managing Project Documents in Altium Designer Managing Project Documents in Altium Designer

Explore Altium Designer 24 technical documentation for Managing Project Documents and related features.

 ドキュメントを読んでください
Navigating a Document in Altium Designer Navigating a Document in Altium Designer

Explore Altium Designer 24 technical documentation for Navigating a Document and related features.

 ドキュメントを読んでください
Saving Projects and Documents in Altium Designer Saving Projects and Documents in Altium Designer

Explore Altium Designer 24 technical documentation for Saving Projects and Documents and related features.

 ドキュメントを読んでください
Navigating a Project using Design Insight Features in Altium Designer Navigating a Project using Design Insight Features in Altium Designer

Explore Altium Designer 24 technical documentation for Design Insight and related features.

 ドキュメントを読んでください
Creating a Project Template in Altium Designer Creating a Project Template in Altium Designer

Explore Altium Designer 24 technical documentation for Creating a Project Template and related features.

 ドキュメントを読んでください
QuickNav - Panels in Altium Designer QuickNav - Panels in Altium Designer

Explore Altium Designer 24 technical documentation for QuickNav - Panels and related features.

 ドキュメントを読んでください
Local Version Control Service with Altium On-Prem Enterprise Server Local Version Control Service with Altium On-Prem Enterprise Server

This page looks at the Enterprise Server's local version control service, available for those who have upgraded from Altium Vault 3.0. Use this service to create new repositories (SVN-only), or connect to external repositories (SVN or Git)

 ドキュメントを読んでください
Design Data Comparisons in Altium On-Prem Enterprise Server Design Data Comparisons in Altium On-Prem Enterprise Server

Explore Altium On-Prem Enterprise Server 7.0 technical documentation for Design Data Comparisons and related features.

 ドキュメントを読んでください
Altium On-Prem Enterprise Server FAQs Altium On-Prem Enterprise Server FAQs

This page presents a listing of frequently asked questions for the Enterprise Server. Covers general questions, as well as those regarding licensing, component management, design management, and ECAD-MCAD CoDesign

 ドキュメントを読んでください
ホームに戻る

目次

Altium Designer Logo

世界で最も信頼されているPCB設計システムを利用しましょう。

一つのインターフェース。一つのデータモデル。無限の可能性。

機械設計者との効率的な共同作業。

世界で最も信頼されているPCB設計プラットフォーム。

業界最高クラスのインタラクティブルーティング。

ライセンスオプションを見る
Altium Designerを試す
お客様は、次のどちらに該当しますか?
Step 1 of 2
Altium Designerを試す
お客様は、次のどちらに該当しますか?
専門家向け
学生向け
スタートアップ向け
Thank you, you are now subscribed to updates.