セキュリティ分野で近年よく耳にするSP800。セキュリティ製品を導入する際に、SP800に準拠しているという文言があるだけで、製品選定では加点になりますよね。
SP800はNIST(米国国立標準技術研究所)が発行している一連のセキュリティガイドラインです。またNISTはSP800以外にもCSF (NIST Cybersecurity Framework)やAI RMF (NIST AI Risk Management Framework)といったガイドラインを発行しています。
特に、NIST SP 800-171とNIST SP800-53は、米連邦政府やパートナー企業が情報セキュリティ体制を強化するうえで不可欠な基準です。どちらもセキュリティ管理策の集大成ですが、その目的と適用範囲、具体的な要件には根本的な違いがあります。
今回は両者の違いを交えながら、特にNIST SP800-171がどのような立ち位置にあるかについて解説します。
NIST SP800-171とSP800-53について
NIST SP800-171とは?
NIST SP800-171は、「Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」の名称で、2015年に初版が制定されました。
このガイドラインは、米連邦政府以外の組織が政府と取引を行う際に取り扱う「管理対象非機密情報(Controlled Unclassified Information、CUI)」の保護要件を定めています。
このSP800-171は、サプライチェーン全体のセキュリティ態勢強化を目的の一つとしており、米国防総省(DoD)との契約をはじめ、連邦政府と何らかの商取引を行う企業にとっては遵守が不可欠となっています。
サイバー攻撃被害が拡大するなか、これを守れなければ入札資格を失い、多大な事業リスクを抱えることとなるため、世界中のグローバル企業が対策を講じています。
CUIとは?
CUIは、「Controlled Unclassified Information」の略で、機密情報(Classified Information)ほど厳格な法的制約がないものの、一定の管理的・技術的保護が必要な情報の総称です。
米国政府はCUIの取り扱いに一定の制約を設けており、情報の外部流出や漏洩を防ぐためのしっかりとした保護策が必要です。
CUIに該当するデータの例として、以下があります。
- 契約書、調達文書
- 設計図や製造仕様書
- 個人情報
- 医療/健康情報
- 財務データ、輸出管理対象情報
- 科学技術系の研究成果
NIST SP800-53とは?
NIST SP800-53は「Security and Privacy Controls for Information Systems and Organizations」という文書名で、元々は米連邦政府機関や関連団体向けに、情報システムおよびその運用環境に必要なセキュリティとプライバシー管理策を体系的にまとめたものです。
詳しくはこちらの記事をご覧ください。
適用範囲の比較
SP800-171とSP800-53について大まかに解説しましたが、この2つの最大の違いは「適用範囲」です。
- SP800-171
- 米連邦政府以外の民間企業・研究機関などが対象。
- 主にCUIを取り扱う非連邦情報システム。
- DoDやGSA、NASAとの防衛・宇宙産業関連のサプライヤーも含まれる。
- SP800-53
- 連邦政府の情報システム、あるいは連邦政府から管理を委託された組織、時にはクラウドプロバイダや大規模社会インフラ運営者などが対象。
- CUI以外にPII(個人識別情報)、機密情報、運用情報など、あらゆる重要情報が範疇となる。
このように、SP800-171は“CUI保護を必要とする民間向けの最小基準”であり、SP800-53は“連邦情報資産を広範に守る網羅的で高度な基準”だと言えます。
要件と構成 両者の共通点と違いについて
SP800-171の構成
SP800-171は全110のセキュリティ要件を、以下14のセキュリティ制御ファミリーに分類しています。
- アクセス制御(Access Control)
- 意識向上と訓練(Awareness and Training)
- 監査証跡と責任追跡(Audit and Accountability)
- 構成管理(Configuration Management)
- 識別・認証(Identification and Authentication)
- インシデント対応(Incident Response)
- 維持管理(Maintenance)
- メディア保護(Media Protection)
- 物理的保護(Physical Protection)
- リスク評価(Risk Assessment)
- セキュリティ評価(Security Assessment)
- システム・通信の保護(System and Communications Protection)
- システム・情報健全性(System and Information Integrity)
- 人的セキュリティ
各項目で目的と結果が明文化されており、実装には柔軟性が求められます。
SP800-53の構成
SP800-53も同様に500以上の制御項目が計20に近いセキュリティファミリーに分類されており、システムの重要度や事業・リスク環境や法令によってい要求内容が都度カスタマイズされます。
また、各制御毎に「Low」「Moderate」「High」のレベルが用意されており、組織の業務内容やシステムの特性に応じてリスクベースで取捨選択が必要になります。
2つの共通点
SP800-171とSP800-53ではセキュリティファミリーや制御の名称、理念は共通しています。そして、米連邦情報資産保護を最終目的にしているという大きな共通点があります。
そもそもSP800-171はSP800-53をベースに、コストや現場環境の違いを考慮し、「民間現場用の最小基準」として再編集されたものであるため、適用範囲や求められるセキュリティレベルは違えど、共通する部分は存在します。
2つの違い
上記でも記載した通り、SP800-171とSP800-53の最大の違いは、適用対象となる範囲と、求められる管理策の深さや細かさです。
この2つの基準が話題に上がったときは、『SP800-171は民間組織向け、SP800-53は政府機関向け』のガイドラインであると覚えておくと理解しやすいでしょう。
ただし、SP800-53はその包括的な内容から、民間企業でも高度な情報セキュリティ管理基準の参考として利用されることもあります。
実務上の使い分け
SP800-171の利用シーン
DoDやGSA契約で、CUIを取り扱う民間企業はSP800-171への準拠が必須です。
具体的には、セキュリティ自己評価やPOA&M(改善計画)の作成、外部監査、契約書への準拠表明などが求められます。
SP800-53の利用シーン
連邦政府自身の情報システム、またはFedRAMPなどクラウド認証取得時の第三者評価の際にSP800-53ベースでの適合が要請されます。
フレームワークの細密さゆえに、民間への適用には大きなコスト・リソースがかかります。
まとめ
NIST SP800-171とSP800-53はいずれもサイバーセキュリティの国際的スタンダードです。
ただしSP800-171は「現実的で必須なCUI保護」を目指す“民間企業向けの実務ガイド”であり、SP800-53は一歩踏み込んで「連邦全体の情報資産ガバナンス強化」を狙う“包括的戦略フレームワーク”です。
自身の組織がどちらの指針に該当し、どのように“サイバーリスクに強い組織”を目指すべきかを正しく理解し、必要なプロセスを着実に導入しましょう。
世界中のビジネスと社会インフラを守る鍵は、“目的に向け最適なNISTガイドを使い分ける知見”にこそあるのです。
米澤 拓馬(日本ビジネスシステムズ株式会社)
ハイブリッドクラウドグループの米澤です。ハイブリッドということもあり普段の業務ではクラウドとオンプレミスの両方を対応しております。趣味は、映画とNBAの鑑賞です。最近はゴルフをはじめまして、週末は打ちっぱなしに行き、練習の日々です。
担当記事一覧