NIST SP800-171「Rev.3」を正式に発行 NIST
掲載:2024年05月20日
サイバー速報
目次
米国国立標準技術研究所(NIST) は5月14日、NIST SP800-171の最新バージョンとなるRev.3を正式に発行しました。Rev.2は2020年2月に公表しており、約4年ぶりの改訂となります。改訂にあたってはまず2022年7月に意見公募が行われ、それを踏まえて2023年5月に最初の素案が示されました。同年11月には再度、素案が提示され意見公募が実施されました。最終決定されたRev.3の主な変更点は以下の通りです。
1)14ファミリーが17ファミリーへ
新たにPlanning(計画)、System and Services Acquisition(システムとサービスの調達)、Supply Chain Risk Management(サプライチェーンリスクマネジメント)を追加。
2)セキュリティ要件数が110から97へ
セキュリティ要件の統合や廃止、追加に伴い、合計97に減少。
3)基本セキュリティ要件と派生セキュリティ要件区分の廃止
基本セキュリティ要件(FIPS 200から導出)と派生セキュリティ要件(NIST SP 800-53から導出)で構成されていましたが、分かりやすさの観点からNIST SP800-53を唯一の情報源とし、区分を排除。
4)ODP(Organization-Defined Parameter:組織定義パラメータ)の導入
97のセキュリティ要件のうち約半数の49で、各組織が個々に定義したセキュリティコントロールを認めるODPを適用。個々の組織でのセキュリティ要件への対応がより柔軟に認められます。
サイバー空間の変化、使いやすさの観点などから大幅に改訂されたRev.3。NIST SP800-171は防衛産業の調達基準や政府統一基準でも参考にされており、今回の改訂は日本企業にも大きな意味を持ちます。改訂のポイントを踏まえ、各企業は現状評価・改善を行い、より安全なデジタル環境を実現し、信頼性と競争力を高めることが求められます。
おすすめ記事
- 「NIST SP800-171」CUIの厳格管理でサプライチェーンリスクに備える
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (前編) ~CMMC1.0とは~
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (後編) ~CMMC2.0とは~
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- NICE Cybersecurity Workforce Framework(SP800-181)とは
- ISMAP:政府情報システムのためのセキュリティ評価制度
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- 2024年のセキュリティ動向
- ゼロトラスト・アーキテクチャ導入のための「NIST SP800-207」
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- ISO/IEC27002:2022
- ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
- 「NIST SP800-171」と同じ水準まで強化、「防衛産業サイバーセキュリティ基準」を整備 防衛装備庁
- NIST CSF 2.0版~改訂のポイント~
- 「能動的サイバー防御」導入に向け法案策定へ、「サイバーセキュリティ2024」を公表 NISC
- NIST SP800-160 Vol 2, Rev.1「Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」(サイバーレジリエントなシステムの開発:システムセキュリティエンジニアリングアプローチ)
- 防衛産業サイバーセキュリティ基準(新基準)に準拠する際の勘所