NISTとは?

科学技術分野の計測や標準に関する研究を行うアメリカ商務省に属する政府機関「米国国立標準技術研究所(National Institute of Standards and Technology)」のことです。

NIST サイバー セキュリティ フレームワーク(CSF)とは?

NISTが2014年に発行した、重要インフラのサイバーセキュリティを向上させるためのフレームワーク(Cyber Security Framework)。ISMSと共に世界基準のセキュリティ管理フレームワークとして広く普及しています。
日本ではISMSの普及率が高い一方、海外ではCSFを採用する企業が急増。これは、CSFがITセキュリティリスクに特化しており、ISMSと比べて実践的な内容が記載されていることが理由として考えられます。

NIST SP800とは?

NIST内でコンピューターセキュリティに関する研究の各種文書を発行するCSD(Computer Security Division)によるレポート。SP(Special Publications)800シリーズは、セキュ リティマネジメントやリスクマネジメント、セキュリティ技術、セキュリティ対策状況を評価する指標などが幅広く網羅されており、民間企業やセキュリティ担当者にとって非常に有益な文書となっています。

CSFとSP800の位置付け

CSFの正式名称は「重要インフラのサイバーセキュリティを改善するためのフレームワーク」。NISTが定義するサイバーセキュリティ対策アプローチの中で最も上位に位置付けられており、セキュリティ管理手法の概念や管理方針・体制の整備など包括的な内容が記載されています。
CSFの下位概念に位置付けられているのがSP800シリーズです。実施すべきタスクと手順の特定や具体化、推奨技術の特定などが明記されています。

 

NIST SP 800-53とNIST SP 800-171との関連

NIST SP 800-53から民間企業・組織向けに要件を抽出したものがNIST SP 800-171です。
NIST SP 800-53とNIST SP 800-171では次のように、保護する情報と対策を行う組織が異なりますが、密接に関連しているため2つ同時に参照すべきです。

 

 NIST SP 800-53NIST SP 800-171
目的機密情報(CI)の保護機密情報以外の重要情報(CUI)の保護
対象組織連邦政府機関民間企業・組織

 

 

NIST SP800-53とは?

「NIST SP 800-53(連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策)」は、米国連邦政府の内部セキュリティ基準を示すガイドラインですが、日本においても、政府で導入するクラウドサービスに要求するセキュリティ管理基準のひとつとして本ガイドラインの採用方針を出しています。

政府の機密情報とされるCI(Classified Information)とそれ以外の重要情報と位置付けられるCUI(Controlled Unclassified Information)のうち、米国ではSP 800-53でCIを管理すると定めています。

NIST SP 800-53に示されているプライバシー要求事項およびセキュリティ要求事項を適用することで、プライバシーとセキュリティを管理します。

NIST SP800-171とは?

「NIST SP 800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)」は、CSDが提供するセキュリティ対策ガイドラインの一つです。
SP800シリーズで保護する情報には、政府の機密情報とされるCI(Classified Information)とそれ以外の重要情報と位置付けられるCUI(Controlled Unclassified Information)の2種類があります。米国では、SP 800-171でCUIを管理すると定めています。

  

NIST SP800-40とは?

脆弱性とパッチの管理についてのガイドラインが「NIST SP 800-40(パッチおよび脆弱性管理プログラムの策定)」です。各組織で「パッチ適用および脆弱性に関するポリシー」と「パッチ処理に関するプロセス」を策定できるよう支援することを目的としています。組織的プロセスの作成方法、および作成したプロセスの効果測定方法の2点に焦点を当てつつ、脆弱性の修正に利用できる技術情報も掲載しています。