NIST 800-171:電子製造における機密情報の保護

Oliver J. Freeman, FRSA
|  投稿日 2024/12/17 火曜日
NIST 800-171 電子製造における機密情報の保護

世界のサプライチェーンが年々相互依存性を増している中、製造業務全般—特に電子機器の製造—は、異なる分野、国、市場のステークホルダー間の協力に依存し、それによって繁栄していることが明らかです。その結果、企業は製品を実現するために、契約メーカーやサプライヤーなどと機密設計や生産情報を共有することがよくあります。この情報には、知的財産、営業秘密、さらには防衛関連品や二重用途品に関連するデータなど、貴重な情報が含まれていることがあります。このような機密データを保護することは、競争優位を維持し、規制への準拠を確保することを目指す企業にとって最も重要です。

これらの規制の中でも特に重要なのが、契約メーカーに機密情報を転送する企業に対する国立標準技術研究所(NIST)特別公開文書800-171(NIST 800-171)です。このようなデータを共有する企業の具体的な要件、または国際武器取引規制に定義される防衛関連品や二重用途品を扱う場合について学びたい方は、読み進めてください。

規制の理解:ITARおよびNIST 800-171

国際武器取引規制(ITAR)は、防衛関連品目、防衛関連技術データ、およびサービスの輸出入を規制しています。ITAR管理下の情報を扱う企業は、サイバーセキュリティを超えた特定のコンプライアンス要件を認識する必要があります。NIST 800-171は、ITAR要件に沿うために満たされなければならないサイバーセキュリティ性能基準を定義しており、この機密データを保護する上で重要な役割を果たしています。

ITARは特定のサイバーセキュリティコントロールを指示していませんが、国立公文書記録管理局(NARA)は、「輸出管理」情報を管理された未分類情報(CUI)のカテゴリーとして分類しています。この分類により、NIST 800-171がこの機密データを保護するための最低サイバーセキュリティ基準として位置づけられます。

NIST 800-171:堅牢なサイバーセキュリティのためのフレームワーク

NIST 800-171は、CUIを保護するために設計された包括的なセキュリティコントロールのセットを提供します。これらのコントロールは、完全なサイバーセキュリティフレームワークを形成するために、幅広い領域にわたっています。以下のリストは、主要な要素を探求します:

  • アクセス制御:強力なアクセス制御策を実施することで、機密情報にアクセスできるのは承認された個人のみであることを保証します。これには、多要素認証、ロールベースのアクセス制御、および活動を監視するための徹底したアクセスログが含まれます。
  • 意識とトレーニング:従業員にサイバーセキュリティのベストプラクティスとITARコンプライアンスについて教育することが重要です。定期的なトレーニングプログラムは、従業員が不審な活動、フィッシング試み、および潜在的なセキュリティ侵害を特定して報告するのに役立ちます。トレーニングには、輸出管理情報の取り扱いに関するITAR特有の手順も含まれるべきです。
  • インシデント対応:よく定義されたインシデント対応計画は、セキュリティインシデントを迅速に特定し、対応し、回復するのに役立ちます。この計画には、侵害の封じ込め、損害(潜在的なデータ損失を含む)の軽減、根本原因の根絶、および関連する権限(ITAR違反の場合は防衛貿易管理局(DDTC)を含む)へのインシデント報告の手順が概説されているべきです。
  • データセキュリティ:休止状態、転送中、および使用中の機密データを保護することは、サイバーセキュリティの重要な側面です。NIST 800-171は、データ暗号化(休止状態および転送中の両方)、電子メディアの廃棄に関するデータ消去手順、および安全なデータ転送プロトコルに関する制御を概説しています。

これらの管理策を講じることは、企業が機密情報の保護とNARAのCUI要件の遵守への取り組みを示すものです。それにしても、NIST 800-171が基準として機能することを忘れてはなりません。企業はリスク評価を実施して特定の脆弱性を特定し、その結果に基づいて追加の管理策を実装する必要があるかもしれません。

契約製造業者向けNIST 800-171コンプライアンスのステップバイステップガイド

したがって、NIST 800-171コンプライアンスが重要である理由は明らかですが、機密設計および生産情報の安全な転送を契約製造業者に確実に行うにはどうすればよいでしょうか?次のステップを検討してください:

ステップ

リスク評価を実施する

共有される機密情報を特定し、潜在的な脅威と脆弱性を評価し、転送に関連するリスクのレベルを決定する。

安全な通信チャネルを確立する

データの転送中にデータを保護するために暗号化された通信チャネル(例:VPN、セキュアメール)を使用し、機密情報へのアクセスを制限するために強力なアクセス制御を実装し、定期的にセキュリティプロトコルを監視および更新する。

強力なアクセス制御を実装する

強力なパスワードポリシーと多要素認証を実施し、機密情報へのアクセスを必要に応じて許可し、定期的にアクセス権限を見直し、必要に応じて更新してください。

データの安全な保管
およびバックアップ

休止状態および転送中の機密データを暗号化し、機密情報を定期的にバックアップし、バックアップを安全に保管し、不正なデータ転送を防ぐためのデータ損失防止(DLP)対策を実施します。

従業員のトレーニング

従業員に定期的なサイバーセキュリティ意識向上トレーニングを提供し、ITAR規制とその責任について従業員を教育し、従業員の意識をテストするためのフィッシングシミュレーションを実施します。

インシデント対応計画

包括的なインシデント対応計画を策定し、セキュリティインシデントの検出、対応、回復の手順を確立し、定期的にインシデント対応計画をテストおよび更新します。

セキュリティ実践の監視と監査

定期的なセキュリティ監査と脆弱性評価を実施し、不審な活動についてネットワークトラフィックとシステムログを監視し、最新のセキュリティベストプラクティスと規制について常に最新の情報を得るようにしてください。

ITARコンプライアンスを考慮する

防衛関連品またはデュアルユース品を取り扱っている場合は、ITARコンプライアンスを確保し、輸出管理リスクを軽減するためにITAR登録製造業者と協力してください。

ITAR登録:防衛および二重用途品目のための追加のセキュリティ層

貴社がITARによって定義される防衛品目または二重用途品目に関連する情報を転送している場合、ITAR登録済みの製造業者との作業は不可欠です。DDTCによるITAR登録は、製造業者がITAR規制の遵守を保証するための包括的な輸出管理プログラムを確立していることを意味します。このプログラムはサイバーセキュリティを超え、より広範な手順のセットを含んでいます:

  • ライセンス申請:防衛関連品目やデュアルユース品目の輸出に必要なライセンスを取得することは、重要なステップです。ITARに登録された製造業者は、ITARライセンスプロセスの複雑さを理解しており、特定のアイテムの転送に適切な認可を得るために企業を導くことができます。
  • 記録保持:すべてのITAR関連取引の正確で詳細な記録を保持することは義務です。ITARに登録された製造業者は、アイテムの特定のITARカテゴリーに応じて変わることがあるが、これらの記録を必要な期間保持するためのシステムを確立しています。
  • 開示:ITARは、潜在的な違反やITAR管理下の情報の不正な開示など、特定の開示をDDTCに報告することを要求しています。ITARに登録された製造業者は、これらの報告要件に精通しており、適切な機関へのタイムリーかつ正確な開示を保証することができます。
  • 物理的セキュリティ:ITAR規制は、管理された情報を保護するための物理的セキュリティ対策も含んでいます。ITARに登録された製造業者は、ITAR管理下の情報が保管または処理される物理的な場所へのアクセス制御のためのプロトコルを確立しています。

最大限の保護のための多層的アプローチ

電子製造業界の企業で、NIST 800-171を遵守し、ITAR登録製造業者と協力する企業は、機密情報の保護と関連規制の遵守を保証できます。しかし、NIST 800-171は基礎を提供するだけであり、具体的な状況に応じて追加の管理が必要になる場合があることを覚えておいてください。法律やサイバーセキュリティの専門家と相談し、会社がそのような情報を保護するための包括的なアプローチを持ち、すべてのコンプライアンス要件を満たしていることを確認することが重要です。これは、電子製造業界内での協力のための安全な環境を作り、革新と、場合によっては国家安全保障の利益を保護するのに役立つ多層的なアプローチです。

もし貴社がプロセスをレベルアップさせ、PCB設計をコンプライアンスに合わせたい場合は、Altium 365 GovCloudをご覧ください。これは、防衛および政府プロジェクトの要件をサポートするために設計された完全なソリューションです.

筆者について

筆者について

Oliver J. Freeman, FRSA, former Editor-in-Chief of Supply Chain Digital magazine, is an author and editor who contributes content to leading publications and elite universities—including the University of Oxford and Massachusetts Institute of Technology—and ghostwrites thought leadership for well-known industry leaders in the supply chain space. Oliver focuses primarily on the intersection between supply chain management, sustainable norms and values, technological enhancement, and the evolution of Industry 4.0 and its impact on globally interconnected value chains, with a particular interest in the implication of technology supply shortages.

関連リソース

関連する技術文書

ホームに戻る
Thank you, you are now subscribed to updates.