コラムCOLUMN
NIST SP800-171 とは
概要
NIST とは、アメリカ国立標準技術研究所( National Institute of Standards and Technology )の略で、米国の研究機関です。
NIST SP800-171 はセキュリティ基準を示すガイドラインで、日本企業であっても米国政府機関が調達する製品や技術を開発・製造する企業に対して準拠を求められることを意識する必要があります。
解説
NIST SP800-171 は情報システムを構築する上で、体制という非技術的要件から技術的要件が内包されており、これを標準として企業に準拠することを求めています。
NIST の主なミッションは米国の生活と産業の品質を高めるため、計測・軽量についての標準を管理し、米国の技術革新および産業競争力を強化することです。
情報システムのセキュリティ対策を技術レベルに落とし込んだ基準を作成し、米国の政府調達要件としており、直接の契約先のみならず再委託先にも適用されます。満たしていない場合は取引先から外れるリスクがあります。また日本の防衛装備庁も同等のセキュリティ要件を設けており、グローバル市場における最低限のサイバースタンダードとして注目を集めています。
その中でも NIST SP800-171 は情報システムを構築する上で、体制という非技術的要件から技術的要件が内包されており、これを標準として企業に準拠することを求めています。 NIST SP800-171 は 14 カテゴリと 109 の項目から構成されてます。
SP800-171 14 カテゴリ
- アクセス制御:システムへのアクセスが出来る人/機能を制限すること
- 意識向上と訓練:セキュリティポリシーを遵守すること
- 監査と責任追跡性:システムの監査を行うとともに責任の追及が出来ること
- 構成管理:システムを構成する機器に求められるセキュリティ構成設定を確立すること
- 識別と認証:システム利用者、デバイスを識別すること
- インシデント対応:インシデントの追跡、報告が出来ること
- メンテナンス:組織のシステムのメンテナンスを行うこと
- 記録媒体保護: CUI をセキュアに格納するとともにアクセスできる者を制限すること
- 人的セキュリティ:システムへのアクセスを行う個人を審査すること
- 物理的保護:組織のシステム、装置等への物理的アクセスを制限すること
- リスクアセスメント:情報資産のリスクを適切に評価すること
- セキュリティアセスメント:セキュリティ管理策を定期的に評価すること
- システムと通信の保護:システムの鍵となる通信を監視し、制御し、保護すること
- システムと情報の完全性:タイムリーに情報及びシステムフローを識別すること
NIST SP800-171 では従来よりもカバーするセキュリティ領域が大きく、特定・防御するまでの侵入前だけに重点を置くのではなく、検知・対応・復旧のサイバー攻撃の侵入後も対象としています。
AI で未知のウイルスやマルウェアが生み出されている現代で、今後は「侵入されることを前提」に、 NIST SP800-171 は侵入後の対策に重きを置いているといえます。
情報セキュリティのグローバルスタンダードになりつつある NIST SP800-171 に対応していくには、社内だけでなく取引先(サプライチェーン)の中での対応が求められており、経営戦略として会社全体として取り組む必要があります。
本ページは、情報セキュリティ分野で利用される範囲における用語解説を目的としている為、表現に正確性に欠ける場合がございます。あらかじめご了承ください。