この記事は、『サイバーセキュリティの新標準 NIST SP800-171』(内海良 著,翔泳社,2024年6月刊行予定)の内容の一部となります。前回までの連載はこちら。なお今後「NIST SP800-171」に変更・修正があった場合は加筆・修正を行う可能性があります。
2.1. NIST SP800-171とは
「171」とは米国国立標準研究所(NIST)が発行するフレームワークです。NISTが発行するフレームワークでは「Cyber Security Framework(通称CSF)」が有名ですが、NISTはさまざまなフレームワークを提供してきています。
なかでも「171」が属する「SP800シリーズ」は、米国連邦政府の情報および情報システムのセキュリティおよびプライバシーのニーズに対処し、サポートするために開発されており、国家機密等を取り扱う政府のセキュリティやプライバシーを司るガイドライン群といえます。「NIST CSF」の概念は方針等を表した上位に位置づけられ、さらに細かい対策を提示するものが「NIST SP800シリーズ」であり、「171」なのです。
2.2. NIST SP800-171が登場した背景
米国で「171」が制定されたきっかけは大統領令(Executive Order:略称EO)です。大統領令は、米国議会の承認を得ることなく大統領が行政権を直接行使できる指令のことを指します。さまざまな大統領令がありますが、セキュリティに関するものも数多く存在します。
「171」が立案される元となったのは2010年に発行された大統領令「EO13556」です。
この「EO13556」において、政府内部の機密情報ではないが一定の保護を必要とする情報を定義しました。そしてこの一定の保護が必要とする情報を取り扱う事業者に対し、一定レベル以上のセキュリティ機能を実現するための基準として2015年に「171」が定められました。
「171」の最新バージョンは2020年に公表されたVer2.0です。Ver2.0はマイナーチェンジにとどまり、その内容はVer1.0と大きくは変わっていません。
2.3. 「171」はサプライチェーン全体でデータを守る
「171」が注目されている理由の一つには、サプライチェーン全体でセキュリティを確保するコンセプトを持っているということがあります。
守る対象とするデータを決め、サプライチェーンを形成する組織がバラバラではなく、「171」という統一されたセキュリティ基準に則ることが求められます。つまりサプライチェーン全体でデータを守ることを目的としたガイドラインなのです。
