ご存知でしたか？セキュリティガイドライン NIST SP800-171 には、監視システムも含まれます

日本企業は、これまでプライバシーマークや ISMS、PCI DSS など、セキュリティ対策に関するさまざまなガイドラインや認証プログラムの動向を気にかけ、また対応してきました。また、自治体においても、2020 年末に、総務省による「情報セキュリティポリシーに関するガイドライン」の改定があり、常にセキュリティガイドラインへの対応が求められている状況です。

その中でも、現在最も注目され、準拠の義務化が進み始めているのが、米国のセキュリティ標準「NIST SP800-171」です。これは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」と題された米国立標準技術研究所（NIST：National Institute of Standards and Technology）が発行するガイドラインの 1 つです。

このガイドラインは、米国政府が取り扱う機密情報以外の「一般情報（Unclassified）」のうち、一部を「保護すべき情報（CUI：Controlled Unclassified Information）」として管理することを目的にしています。ガイドラインに記載された要件は、ガバナンス体制の確立、管理体制の構築、システムへのセキュリティ対策の導入と運用、監査の実施など幅広い範囲にまたがっています。

参考：機密情報（CI, Classified Information）を扱う組織に対応が求められているのが NIST SP 800-53 です。

この NIST SP800-171 に準拠した調達は、各省庁で決定されますが、すでに、米国防省は、企業からの調達要件として NIST SP800-171 に沿って CUI を取り扱う体制の整備を義務化しています。今後は、IT、電力、水道、金融、物流、航空、鉄道、自動車など、さまざまな産業に適用されることが想定されています。

「米国政府が調達する製品や技術だと自社には関係ない」「セキュリティのことは難しくて、よくわからないけれど、影響があるのは防衛関係だけでは」と日本企業は考えるかもしれません。しかし、適用される範囲は、米国企業だけをさしているわけではありません。米国政府への元請け企業に日本企業が部品などを納品している場合は、その企業も対象となります。さらに、その日本企業に下請けがいるとしたら、それらの企業も対象になってきます。そのため、日本企業にも大きな影響がでてくることが想定されます。

すでに、実際に一部の業界では、NIST SP800-171 と同等のセキュリティガイドラインの採用を進めていることなどから分かるように、米国発のこのような規則は、世界各国に影響を及ぼすことも多くなることが予想できます。

NIST SP800-171 の要件には監視システムも含まれる

それでは NIST SP800-171 に対して、企業にとってどんな対策が必要でしょうか ?
技術要件として、アクセス制御、構成管理、認証、暗号化、システム監視、悪意のあるコードの検出・防御などが挙げられています。監視システムはどの環境にも必要であるため、NIST SP800-171 に対応するということは、監視システムも対応する必要があるということを意味します。
監視システムがセキュリティ標準に対応しなければならないことは、NIST SP800-171 だけにとどまらないことにも注意が必要です。例えば、金融分野でのガイドラインの 1 つである PCI DSS （カード会員情報の保護規格）規定では、以前は個人情報などを扱わないということで、監査の対象外でした。最新の PCI DSS では、監視システムも準拠すべき対象となっています。このようことからも分かるように、監視システム自体をセキュリティガイドラインに合わせて適切に設計することが重要です。

「MIRACLE ZBX Virtual Appliance」で NIST SP800-171 に対応するメリット

仮想アプライアンスで安価に簡単導入
NIST SP800-171 準拠の統合システム監視ソリューション MIRACLE ZBX 搭載、OS もガイドライン要件に沿って事前設定
自動障害復旧機能「MIRACLE FailSafe」で安定運用
最長 10 年間の長期サポートで安心導入

仮想アプライアンスで安価に簡単導入

サイバートラストが提供する MIRACLE ZBX Virtual Appliance は、仮想環境でゲスト OS として動作する「MIRACLE LINUX」上に NIST SP800-171（と NIST SP800-53）に準拠した統合システム監視ソリューション MIRACLE ZBX に加えて、データベース、Web サーバーを一体型にして提供される仮想アプライアンスです。

VMware や Hyper-V などの仮想化基盤やパブリッククラウド (AWS) にインポートしてシステム監視のための設定を行うだけで、すぐにシステム監視を始めることが可能です。

また、オープンソースで、かつ監視対象の数に依存しないサポート価格体系のため、初期費用も運用費用も大幅削減が可能です。

NIST SP800-171 準拠の統合システム監視ソリューション MIRACLE ZBX 搭載

統合システム監視ソリューション MIRACLE ZBX は、サイバートラストが 13 年以上の実績を持つサイバートラストが提供する統合監視ツールです。MIRACLE ZBX は、NIST SP800-171 およびに NIST SP800-53 準拠しています。

注：「NIST SP800-171」 [3.1 アクセス制御 , 3.3 監査と責任追跡性 , 3.13 システムと通信の保護 ] および「NIST SP800-53」 [3.1 アクセス制御 , 3.3 監査と責任追跡性 , 3.18: システムと通信の保護 ] に準拠

以下のセキュリティ強化を実装しています。

監査ログを syslog に出力
Web フロントエンドからしか確認できなかった ZBX の監査ログを syslog に出力できるようになります。
パスワードポリシー設定 （MariaDB のみ対応、MySQL は MIRACLE ZBX 5.0.10 より対応予定）
ZBX の Web フロントエンドのユーザーに対してパスワードポリシーを設定できるようになります。文字数や文字種の制約のほか、パスワード再使用の制限や有効期限の設定ができます。
bcrypt の cost パラメーター設定
ZBX から Web フロントエンドのパスワードをハッシュ化する際に使用される bcrypt の cost パラメーターを設定できるようになります。
設定ファイル中の DB パスワード暗号化 （RHEL8 系 OS のみ対応）
ZBX サーバーや Web フロントエンドの設定ファイルに記載する DB のパスワードを暗号化できるようになります。

さらに、これまで各事業者側で必要となっていた NIST SP 800-53 などのセキュリティガイドラインの要件に沿った OS の設定が MIRACLE ZBX Virtual Appliance にあらかじめ設定されています。これにより、システムの構築工数を大幅に削減し、デプロイ後の作業をより簡潔に実現できます。

自動障害復旧機能「MIRACLE FailSafe」で安定運用

企業や政府・自治体において、業務で利用するためには、システムの安定稼働に欠かせない高可用性が必要です。

MIRACLE FailSafe は、日本電気株式会社製の可用性向上ソフトウェア「CLUSTERPRO X SingleServerSafe」をベースとしています。プロセスやサービス、OS を常に監視し、異常を検出した際に、OS やアプリケーションを再起動することでサービスを継続します。仮想化ソフトウェアが提供する HA 機能では検出できないソフトウェア障害を検出し、安価で容易にサービスの可用性を向上し安定運用することが可能になります。

最長 10 年間の長期サポートで安心導入

Linux OS ベンダーとして培った高い技術力によるソースコード解析をサポートの基本としており、最長 10 年間の長期サポートを提供しているため、安心してご使用いただけます。

大規模なお客さま向けの MIRACLE ZBX Virtual Appliance Suite は、MIRACLE ZBX Virtual Appliance に加えて、ソフトウェアの脆弱性管理を自動化・効率化する脆弱性管理ソリューション「MIRACLE Vul Hammer」および、複数の監視画面を統合し運用を効率化する表示専用ソフトウェア「統合ビューア」を提供します。これにより、システムの死活監視やリソース監視に加え、高精度の脆弱性スキャンによりシステムに内在する脆弱性を可視化して管理可能にし、システムの稼働状況だけでなく潜在的な脆弱性と対応状況まで一元的に監視可能となります。