NIST SP800-171「Rev.3」を正式に発行 NIST

掲載:2024年05月20日

サイバー速報

         
目次

米国国立標準技術研究所(NIST) は5月14日、NIST SP800-171の最新バージョンとなるRev.3を正式に発行しました。Rev.2は2020年2月に公表しており、約4年ぶりの改訂となります。改訂にあたってはまず2022年7月に意見公募が行われ、それを踏まえて2023年5月に最初の素案が示されました。同年11月には再度、素案が提示され意見公募が実施されました。最終決定されたRev.3の主な変更点は以下の通りです。

1)14ファミリーが17ファミリーへ

新たにPlanning(計画)、System and Services Acquisition(システムとサービスの調達)、Supply Chain Risk Management(サプライチェーンリスクマネジメント)を追加。

2)セキュリティ要件数が110から97へ

セキュリティ要件の統合や廃止、追加に伴い、合計97に減少。

3)基本セキュリティ要件と派生セキュリティ要件区分の廃止

基本セキュリティ要件(FIPS 200から導出)と派生セキュリティ要件(NIST SP 800-53から導出)で構成されていましたが、分かりやすさの観点からNIST SP800-53を唯一の情報源とし、区分を排除。

4)ODP(Organization-Defined Parameter:組織定義パラメータ)の導入

97のセキュリティ要件のうち約半数の49で、各組織が個々に定義したセキュリティコントロールを認めるODPを適用。個々の組織でのセキュリティ要件への対応がより柔軟に認められます。

 

サイバー空間の変化、使いやすさの観点などから大幅に改訂されたRev.3。NIST SP800-171は防衛産業の調達基準や政府統一基準でも参考にされており、今回の改訂は日本企業にも大きな意味を持ちます。改訂のポイントを踏まえ、各企業は現状評価・改善を行い、より安全なデジタル環境を実現し、信頼性と競争力を高めることが求められます。

おすすめ記事