AWSへのNIST SP800-171管理策 導入に向けての整備 株式会社SHIFT ナショナルセキュリティ事業部 松尾 光敏 LT Speak － AWS Top Ambassadorsに訊くセキュリティ（AWSぶっちゃけ討論会 vol.1）2024/9/30

1 １．はじめに（自己紹介） • 松尾 光敏（https://service.shiftinc.jp/engineers/07） • 業務内容 • 官公庁案件が中心。行政機関のガバメントクラウド（※）への利用支援 etc... • AWS CCoE 社内活動 • 保有資格 • 2023/2024 Japan AWS All Certifications Engineers • その他（CISSP、CISA、PMP etc...） （※）ガバメントクラウド：デジタル庁が整備する、中央政府や地方公共団体、準公共分野向けのデジタル施策推進のための共通のクラウドサービス利用環境。 クラウドサービスの利点を最大限に活用して、迅速、柔軟、かつセキュアでコスト効率の高いシステムの実現を目指す。 【出典】 https://www.soumu.go.jp/main_content/000961341.pdf

2 ２．NIST SP800-171とは 大統領令13556 Controlled Unclassified Information （Nov.2010） DFARS Provision 252.204-7012 Safeguarding Covered Defense Information and Cyber Incident Reporting（Dec.2015） NIST SP800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations （Jun.2015） 防衛産業サイバーセキュリティ基準 （May.2023） 制定 要求 制定 ・NIST（米国国立標準技術研究所）：米国商務省配下の研究機関であり、NIST SP800シリーズでセキュリティの標準化等を実施 ・NIST SP800シリーズ：セキュリティ関連のマネジメント、技術基準および管理状況のアセスメントなどについて明記されたもの

3 ３．情報の管理と分類 CI Classified Information （機密情報） Unclassified Information （非機密情報） CUI Control Unclassified Information （非機密の中でも重要な情報） NIST SP800-171の要求事項を満たすことで保護される情報

4 4．NIST SP800-（171／172）管理策実装サービスの実装（1/2）

5 4．NIST SP800-（171／172）管理策実装サービスの実装（2/2） ・FedRAMP：連邦政府のクラウドサービス調達要件に関する認証制度 ・ISMAP：日本政府のクラウドサービス調達要件に関する認証制度

6 5．技術ブログ ■AWS環境へNIST SP800-171を導入すると何ができるのか https://note.shiftinc.jp/n/n20c29f4d4b96