【これなら分かる】NIST sp800 簡単解説！

NISTは、アメリカ合衆国の標準技術研究所のことです。
正式名称は、National Institute of Standards and Technologyです。
日本では、米国標準技術研究所と呼ばれています。
1901年設立の最古の物理科学研究所であり、現在は、米国商務省の参加となっている研究機関です。
NISTは、スマート電力網や電子健康記録から原子時計、先進のナノ材料、そしてコンピュータチップまで幅広いテーマを扱っていますが、NIST SP（特別刊行物）は、NISTの中にあるサイバーセキュリティ基準およびガイドラインを取り扱っている情報技術研究所が発行しているものとなります。
SPには、SP800、SP1800およびSP500ありますが、この記事では、情シスのセキュリティ担当者が抑えておきたい文書であるSP800シリーズにフォーカスして整理しています。
では、早速いってみましょう。

NIST SP800とは
日本企業でも、SP800-171への対応が必要
まとめ

NIST SP800とは

NISTのSPには、以下の種類があります。

SP800	NIST SP 800シリーズの出版物は、米国連邦政府の情報および情報システムのセキュリティおよびプライバシーのニーズに対処しサポートするために開発されている。
SP1800	NIST SP 1800シリーズの出版物は、サイバーセキュリティコミュニティに実用的で使用可能なサイバーセキュリティソリューションを提供する。
SP500	NIST SP 500シリーズの出版物は、情報技術に関連する文書を発行する。

つまり、SP800は、米国連邦政府のセキュリティおよびプライバシーに関するドキュメント類ということです。現在150の文書が公開されています。
その中でも情シスの方は、情報システムに関するSP800-53とSP800-171の２つの文書について、抑えましょう。

（１）NIST SP800-53（情報システム用）

NIST SP800-53は、米国政府の「機密」情報保護に求められるレベルを定めたガイドラインです。
セキュリティおよび個人情報保護をはじめ、自然災害、人的ミス、サイバー攻撃、構造上の欠陥等からの脅威から対応、機能、イメージ、評判を含む組織運営、資産、個人、他組織、国家を保護するための多岐にわたる管理策をしめしています。

（２）NIST SP800-171（情報システム用）

NIST SP800-171は、CUI （Controlled Unclassified Information）つまり米国政府の機密情報以外の重要情報に求められるレベルを定めたガイドラインです。
CUI （Controlled Unclassified Information）は、直訳すると「管理された非格付けされた情報」となり、あまり重要でない情報という印象をあたえますが、意味としては「管理すべき重要情報」、「機密情報以外の重要情報」と認識した方が適切です。
CUIに対応して、機密情報は、CI（Classified Information）と呼ばれます。

NIST SP800-171 は情報システムを構築する上ための体制という非技術的要件から技術的要件までを内包しており、14 カテゴリと 109 の項目から構成されてます。

一方、制御系システムを扱っている場合は、以下の２つSP800-82とSP800-161が役に立ちます。

（３）NIST SP800-82（制御システム用）

産業用制御システム（ICS）セキュリティガイド
NIST SP800-82は、ICSの現状のリスク分析及び評価、その対応方法の解説、リスク対策のためのセキュリティのアーキテクチャ設計、ソリューションの導入などのガイドラインを提示している。セキュリティのガイドラインとして、NIST SP800-53をもとにNIST SP800-82の管理策を提示している。

（４）NIST SP800-161（制御システム用）

連邦政府のための情報システム及び組織のサプライチェーン・リスク・マネージメント・プラクティス
NIST 800-161は、ICTサプライチェーンのリスクには、模倣品の挿入、不正な生産、改ざん、盗難、悪意のあるソフトウェアとハードウェアの挿入などのリスクを緩和するための管理策として、NIST SP 800-53の18の管理策群を採用し、新たにProvenance（出所）という管理群を追加した19の管理策群から構成されて、さらにサプライチェーン特有の補足ガイドラインを作成している。

日本企業でも、SP800-171への対応が必要

　防衛省は、2018年度からSP800-171に相当するセキュリティ対策を求める新防衛調達基準の試行導入を始めています。防衛省との取引がある約9000社の企業が対象となっており、グローバル展開をしている国内企業全体に波及していく可能性があるといわれています。

まとめ

　SP800では、まずSP800-171を意識しましょう。
　SP800-171は、CUI （Controlled Unclassified Information）つまり米国政府の機密情報以外の重要情報に求められるレベルを定めたガイドラインであり、日本の防衛省も米軍の情報を取り扱う関係上、同党のセキュリティレベルが要求されます。
　結果、防衛省と取引がある日本企業にも間接的に、このSP800-171を要求されることになるのです。