NIST SP800-171の対象とは
NIST SP800-171の対象とは
アメリカの政府機関が調達する技術や製品の開発や製造を行っている企業のセキュリティを担保するために定められたガイドラインが、「NIST SP800-171」です。そのため、本ガイドラインに照らし合わせて万が一不備があった場合、調達先から除外されてしまう可能性があります。
実際に取引事業者に準拠を求めている米国防総省のサプライヤとなっている日本の防衛企業は、すでにそのガイドラインとは無縁ではありません。
一方で、米国政府機関が調達となると防衛関係くらいしかNIST SP800-171に関係ないと考えてしまう人が多いかもしれません。しかし、その考えは間違いです。
これは、近年では各種サービスを含めたさまざまな製品がITを内蔵しており、その適正な管理手法を示しているものこそが本ガイドラインなためです。つまり、現状は政府機関が調達する製品のみが対象な本ガイドラインが将来民間企業に広がる可能性が高い点には注意が必要です。
NISTのガイドラインは日本国内の多くの企業で採用されている
企業はデジタル化を進めると同時に、セキュリティリスクへの対策もしっかり行わなくてはいけないことが日本国内でも課題になってします。
高度化するテクノロジーと様々なセキュリティリスクが存在する時代に移り変わっているため、一企業が網羅的にセキュリティリスクを把握することは非常に難しいと考えられます。そこで先進的企業の多くが活用するようになってきているのが、「NISTのサイバーセキュリティフレームワーク策定」です。
NISTはアメリカ国立標準技術研究所であり、NISAが定めるサイバーセキュリティフレームワークは日本国内でもガイドライン翻訳版を公開するなど、多くの企業や公的機関がこのフレームワークを採用しています。
フレームワークを構成する3つの要素としては、業種や重要インフラと関係なく共通となる具体的なサイバーセキュリティ対策を示したフレームワークコア、自社のセキュリティ対策のレベルがどの程度なのか客観的に判断を行うインプリメンテーションティアがあります。
自社の置かれた経営環境やリスク許容度、割当可能なリソースに基づいてセキュリティ対策の現状とあるべき姿を記述するために使用するフレームワークプロファイルがあります。