SP 800-171

NIST SP 800-171

 米国は2010年11月の大統領令(Executive Order 13556)により、管理すべき重要情報(CUI : Controlled Unclassified Information)についてどのように取扱われるべきか体系的規定の策定を指示しました。その結果出来上がった指針がNIST が作成したSP 800-171(連邦政府機関以外の組織および情報システムに対するCUIの保護について)です。

 SP 800-171は、連邦政府以外の組織に対して、CUIを流出させないための「秘匿性」に重点を置いて開発されました。網羅的に管理策を整理したSP 800-53 (Security and Privacy Controls) をベースに、SP 800-171は具体的な要件として中位レベル(Moderate)の規程となっています。また、認証についてはSP 800-63 (Electronic Authentication Guideline) の規程があり、SP 800-171では認証基盤のあり方については記載されていません。これらの他にも、多くの関連規程の中でSP 800-171は位置づけられています。

 また、国防総省 (DoD; Department of Defense以下、DoD) は、DFARS 252.204-7012  Safeguarding Covered Defense Information and Cyber Incident Reporting により、本指針に示された要件の遵守を契約のサプライチェーンに関係する企業すべてに、2017年12月31日までという期限付きで対応を求めています。

SP 800-53とSP 800-171の違い

 NIST SP 800-53などは連邦政府機関自身に対する管理策として規定されていますが、SP 800-171は連邦政府機関以外(外国政府組織や契約企業等)へのCUIの扱いについて遵守を求める事項として新たに要件として規定されたものです。なお、国防総省ではDFARS 252.204-7012としてDoD調達案件が適用対象とされており、連邦政府機関の調達案件すべてについてはFARとして適用されています。

« Back to Glossary Index