NIST SP800-171に関する情報サイト

NIST SP 800-171以外にもSPシリーズはある

NISTが発行するセキュリティガイドラインといえば知名度が高いのはSP800-171が挙げられ、アメリカと取引を行う世界の国々はガイドラインへの準拠を求められています。
しかし実は他にもSPシリーズは存在しています。
NISTは定期的にガイドラインの発行を行っており、SP800シリーズは2007年まで発行を遡ります。
これはSP800-18とされるもので、2013年にはSP800-30が出ていることなどもポイントでしょう。
デジタルやセキュリティなど様々な流れを取り入れ、バージョンを更新して情報を改めながらの指定が続いているのです。
また、SP800-171ではCUIの取り扱いを指定していますが、SPシリーズのSP800-53はCIの扱いを策定したものとなっています。
機密情報ではない重要情報をCUI、重要情報をCIと定め、SP800-53では重要情報についてのガイドラインを専門的に指定しているのが特徴です。

NISTによりアメリカでSP800-171が発効された背景

アメリカ合衆国の連邦政府機関であるNISTが、セキュリティ基準のガイドラインであるSP800-171を発行した背景には、2017年に起こったオーストラリア軍によるF35戦闘機に関するデータ流出があります。
軍用機の情報流失だけでも国家的な大問題ですが、不正アクセスに4ヶ月間も気づきませんでした。
不正アクセスを受けたのは、いわゆる孫請けの契約企業で、情報システム管理者も一人しかいなく、ログインパスワードも非常に簡単なものでした。
漏洩した情報は機密情報ではありませんでしたが、F35戦闘機に関連する重要情報が含まれており、サプライチェーンにおけるセキュリティ対策の甘さが浮き彫りになりました。
事態を重く見たNISTは、すでに発行済みの機密情報に関するSP800-53に加え、重要情報に対するSP800-171を新たに発行しました。
さらにアメリカ本国も、このガイドラインに準拠したITシステムの整備を各企業に要求するなど、重要性はますます高まっています。