NISTのSP800-171とは
NISTのSP800-171とは
NISTのSP800-171は、アメリカ政府機関が定めたセキュリティ基準を示したガイドラインです。その存在は政府機関からはもちろんのこと、取引先の企業からの情報漏えいも防ぐことを目的に、業務委託先にセキュリティの強化を要求する内容になっています。
なお、そのガイドライン発行の目的はNISTのSP800-171に明示されています。
その具体的な目的としては、重要情報が連邦政府以外の情報システムや組織にあるときに重要情報の機密性を保護し、連邦政府機関に推奨されるセキュリティ要求を提供することです。また、重要情報が処理された後の保存される、あるいは連邦政府以外のシステムを使った組織に送信されるときには同等レベルの保護が必要である、とされています。
つまり、調達から販売供給までの一連サプライチェーンに関わるすべての業務委託先や関連企業が一貫したセキュリティ基準を持つことが必要である、と述べられています。
NISTのSP800-171はCUI機密情報以外の重要情報を管理します
いきなり難しい横文字ばかりで理解しがたいと思いますが、簡単にわかるようにお知らせしましょう。NISTのSP800-171は米国政府により確立されましたが、機密情報以外の重要情報を管理します。
アメリカでは機密情報のことをClassifiedInformation,CIと呼んでいますが、機密情報以外の重要情報のことを、ControlledUnclassifiedInformation,CUIとして管理しています。NISTのSP800-171では、機密情報以外の重要情報として、民間企業が実施すべきセキュリティ対策を細かに定めています。米国ではガイドラインと称されているようです。
CUI保護の重要性が明記されていますが、それには大きな理由が隠されていました。このような細かなガイドラインを定めておかないと、中国に経済力を奪われてしまうからに他なりません。前の大統領の時から、この動きは加速されました。選挙で米国大統領が入れ替わっても、この動きには何ら変わりがありません。