NIST SP800-53の目的と構成要素・適用方法

近年のITの急速な発展による、インターネットの普及や、IoT機器の増加等、システム環境が多様化しています。それに伴い、フィッシングや乗っ取り、DDoS攻撃など、サイバー攻撃が増加、かつ巧妙化しており、各企業、個人ともに、セキュリティ対策が必要です。

セキュリティ対策を講じるにあたり、どのようなことが必要なのかを指名しているガイドラインが多く存在します。その中でも、NIST SP800シリーズは技術や脅威の進化に合わせてガイドラインが定期的に更新され、また、米国発の基準ですが、世界中の組織や企業で採用されている信頼性の高いという特徴があります。

本記事では、そもそもNISTが何か、から、SP800シリーズについて、その中でも特にNIST SP800-53について解説します。

• NISTとは
• NIST SP-800シリーズについて
• SP 800-53について
  • 目的
  • SP 800-53 構成要素
    • コントロールファミリ
    • コントロールの選択と実装
    • 評価手順について
  • SP 800-53の適用方法について
    • リスク評価の実施
    • コントロールの選定
    • 実装と運用
    • 監視と評価
  • SP 800-53を適用すると
• まとめ

NISTとは

NISTとは、「National Institute of Standards and Technology」の略称で、日本語では、「米国国立標準技術研究所」と呼ばれているアメリカの政府機関であり、1901年に設立された物理科学研究です。現在はDoC(Department of Commerce：米国商務省)に所属する研究機関です。

NISTは、ITL(Informatin Technology Laboratory：情報技術研究所)という情報技術に関する研究をする機関を持っており、この機関の中にあるCSD(Computer Security Division)で情報セキュリティに関する研究や「SP-800シリーズ」といったガイドラインを発行しています。

ITLの他にも、MML(Material Measurement Laboratory)、PML(Physical Measurement Laboratory)、CML(Chemical Science Division)といった機関が存在し、それぞれでガイドラインを発行しています。

このようにNISTでは様々なガイドラインやその他文書を発行しています。NISTが発行している文書の一部を以下の表にまとめます。

FIPS (Federal Information Processing Standards)		米国政府機関向けの情報勝利に関する標準 FIPS 140-2,FISP 199などがある。
SPシリーズ	SP 800	情報セキュリティに関するガイドラインやベストプラクティスを提供するシリーズ。
	SP 1800	特に情報セキュリティやリスク管理に関連したガイドラインを提供する文書を含むシリーズ。
	SP 500	コンピュータ技術、ソフトウェア、通信技術、情報管理の標準に関する文書を提供するシリーズ。
CSF (NIST Cybersecurity Framework)		サイバーセキュリティリスクを管理するためのフレームワークで、組織がリスクを識別、評価、管理するためのガイドライン。
AI RMF (NIST AI Risk Management Framework)		AI（人工知能）システムのリスクを特定、評価、管理するための指針を提供する文書。AI技術の導入におけるリスク管理のベストプラクティスについての情報が含まれる。
NSIT Cybersecurity White Papers		さまざまなトピックに関する分析や議論を提供する文書で、サイバーセキュリティの最新のトレンドやベストプラクティスについての情報が含まれる。

NIST:https://csrc.nist.gov/publications

NIST SP-800シリーズについて

SP-800シリーズは情報セキュリティおよびプライバシーに関するベストプラクティクスを提供する文書のシリーズで、およそ150種類の文書が公開されています。

それぞれの文書でセキュリティを達成するためのガイドラインが記載されています。

また、SP800シリーズは定期的に新規文書の追加や、既存文書の更新が行われています。

下表はSP-800の代表的な文書名とセキュリティテーマを一覧化したものです。

発行番号	規格名	規格名(日本語訳)
SP 800-30	Guide for Conducting Risk Assessments	リスク評価のためのガイド
SP 800-37	Risk Management Framework for Information Systems and Organizations	情報システムおよび組織のためのリスク管理フレームワーク
SP 800-53	Security and Privacy Controls for Information Systems and Organizations	情報システムおよび組織のためのセキュリティとプライバシー管理策
SP 800-63	Digital Identity Guidelines	デジタルアイデンティティガイドライン
SP 800-86	Guide to Integrating Forensic Techniques into Incident Response	インシデント対応へのフォレンジック技術の統合ガイド
SP 800-171	Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations	管理された未分類情報の保護に関する指針（非連邦システムおよび組織）

SP 800-53について

SP 800-53は、情報システムのセキュリティとプライバシーを管理するためのコントロール（管理策）の包括的なセットを提供する文書です。

このガイドラインは、特に米国の政府機関や他の組織が直面するリスクやセキュリティ要件に対処するために策定されています。

以下は、SP 800-53の主要な内容と構成要素です。

目的

SP 800-53の主な目的は、情報システムを保護するための管理策を標準化し、組織がリスクを効果的に管理できるようにすることです。これにより、次のような成果が期待されます。

• リスクの軽減
  • 潜在的な脅威や脆弱性を特定し、それに対する対策を講じることができます。
• コンプライアンスの確保
  • 法令や業界標準に対する遵守を促進します。
• プライバシーの保護
  • 個人情報の適切な管理を支援します。

SP 800-53 構成要素

コントロールファミリ

SP 800-53では、管理策を「コントロールファミリ」と呼ばれるカテゴリーに分類しています。組織が情報資産を包括的に保護し、セキュリティの脅威に対処するためのフレームワークを提供します。

以下では主要なファミリについて紹介します。

• アクセス制御（AC）
  • ユーザーのアクセス権の管理と制御を行います。
  • 誰が情報資産にアクセスできるかを決定し、適切な認証方法を使用することで、機密性を保護します。
• 認証（IA）
  • ユーザーやデバイスの正当性を確認するためのコントロールです。
  • ユーザーが誰であるかを確認し、適切な権限を持っていることを確保します。
• 監視（AU）
  • システムのイベンやユーザの行動を記録し、監視するための手法を提供します。
  • 異常な活動を早期に検出するための重要な手段です。
• インシデント対応（IR）
  • サイバーセキュリティインシデントが発生した際の対応手順を策定します。
  • 発生後の迅速な対応と復旧が強調されます。
• リスク評価（RA）
  • 組織がリスクを特定し、評価するための手法を提供します。
  • 脅威や脆弱性を評価することで、適切な管理策を選ぶための情報を提供します。
• システムおよび通信保護（SC）
  • システムやネットワークを保護するためのコントロールです。
  • データの暗号化やネットワークアクセスの制御が含まれます。
• 認証された（運用）環境のセキュリティ（OP）
  • システムの運用環境のセキュリティを確保します。
  • これは、物理的なセキュリティ措置や運用管理を対象としています。
• プライバシー（PT）
  • プライバシーに関する管理策が含まれ、個人情報やプライバシーを保護するためのガイドラインが示されています。

それぞれのファミリは相互に関連しており、総合的なセキュリティ戦略として機能します。

このように、体系的にコントロールを選定し実施することが、効果的なセキュリティ管理の鍵となります。

コントロールの選択と実装

組織は、目的やリスク評価に基づいて該当するコントロールを選び、実装します。これにより、セキュリティの強化とプライバシーの保護が実現されます。

また、SP 800-53では、各コントロールの選択と実施において、リスクに基づいたアプローチを強調しています。

評価手順について

SP 800-53Aにおいては、管理策の評価方法が定義されています。

組織は、セキュリティ管理策が機能しているかどうかを確認するために、定期的に評価を行うべきです。評価手法には、テスト、インタビュー、文書のレビューが含まれます。

SP 800-53の適用方法について

SP 800-53の適用方法について以下を実施します。

リスク評価の実施

SP 800-53を定期ようするにあたり、最初のステップは、リスクを評価することです。これにより、組織が直面する脅威、脆弱性、リスクを特定し、評価します。

リスク評価では以下の内容が含まれます。

• 脅威の特定：組織が直面する可能性のある脅威を特定
• 脆弱性の評価：現在のシステムやプロセスの脆弱性を評価
• 影響評価：脅威が実現した場合、組織にどれくらいの影響力があるのかを考慮

コントロールの選定

次に、リスク評価の結果に基づいて、適用するコントロールを選定します。

SP 800-53には、要件に基づいた多くの具体的なコントロールがリストされています。それを基に、組織にとって最も効果的な管理策を選びます。

実装と運用

選定したコントロールを実行します。

実施状況を文書化し、関係者にトレーニングを行い、標準作業手順(SOP)を策定します。同時に、内部セキュリティポリシーや手順書を整備し、全社員が遵守できるようにします。

監視と評価

セキュリティ コントロールは組織内外の変化に応じて監視および評価を行う必要があります。これには、脅威の変化、環境の変化、技術の進歩が含まれます。

定期的に評価を行うことで、管理策が効果的であることを確認し、必要に応じて見直しを行います。

SP 800-53を適用すると

SP 800-53を適用することで、例えば、リスク評価を通じて、情報漏洩のリスクが見つかったとき、アクセス制御、認証、インシデント対応のコントロールを重点的に適用します。

その結果として、情報の保護が強化され、サイバー攻撃に対する耐性が向上する。といったように、セキュリティを強化することが可能です。

まとめ

NIST SP 800-53は、情報システムのセキュリティとプライバシーを保護するための包括的なガイドラインです。その実施によって、組織はリスクを効果的に管理し、信頼性の高い情報システムを構築できるようになります。

特に、現在のサイバーセキュリティ環境において、SP 800-53は情報資産を保護するための重要なリソースとして機能しています。

セキュリティの強化、法令遵守、プライバシーの保護を実現するために、NIST SP 800-53を積極的に活用することが推奨されます。安全で信頼性のある情報システムの構築に向けて、継続的な努力が求められます。

また、社内になんらかのセキュリティ製品を導入する際に、NIST SP 800-53に準しているといった記載があると、それは選定するうえで、大きな指標にもなります。

是非、参考にしてください。