NISTからリリースされているNIST SP 800-53が、昨年9月にRev.4からRev.5に改版されました。今回のコラムでは、改版の概要について紹介します。

 NIST SP 800-53 Rev.4「連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策」は、米国連邦政府の情報システムと組織に向けた、セキュリティ管理策とプライバシー管理策カタログと、FIPS 200「連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項」で求められるベースライン(低位、中位、高位)管理策が示されていました。

 Rev.5では、管理策カタログ文書(NIST SP 800-53 Rev.5「情報システムおよび組織のためのセキュリティ管理策とプライバシー管理策」)と米国連邦政府ベースライン管理策文書(NIST SP 800-53B Rev.5「情報システムおよび組織のための管理策ベースライン」)に分離されました。管理策カタログ文書のタイトルからは、“連邦政府”の記述がなくなり、連邦政府だけでなく、より広い分野で活用できる管理策カタログとなっています。

SP 800-53 Rev.5の和訳がIPAより利用可能になりました(弊社で訳しました)
弊社ダウンロードサイト

[Rev.5の主な改版概要]

  • 民間事業者、政府機関、重要インフラのベースとなるシステムやシステムコンポーネント製品、サービスを強化するための千を超える管理策のカタログとなっています。
  • 汎用コンピューターから産業用制御システム、IoTデバイスまで、あらゆるタイプのプラットフォームを保護するための管理策が提供されています。
  • セキュリティの専門家からシステム開発者、クラウドコンピューティングプロバイダーまで、幅広い専門家を対象とした管理策が提供されています。
  • 最新の実践的な管理策が組み込まれています。
    • セキュリティとプライバシーのガバナンスと説明責任を強化する管理策
    • 安全なシステム設計をサポートする管理策
    • サイバー回復力とシステム持続性をサポートする管理策 等
  • 管理策ファミリの追加見直しが行われています。

 Rev.5では以下の20の管理策ファミリ構成に見直されています。

ID管理策ファミリID管理策ファミリ
ACアクセス制御PE物理的および環境的な保護
AT意識向上およびトレーニングPL計画作成
AU監査および責任追跡性PMプログラム管理
CAセキュリティ評価および運用認可PS人的セキュリティ
CM構成管理PT個人情報の取扱いと透明性
CP緊急時対応計画RAリスク評価
IA識別および認証SAシステム調達およびサービスの調達
IRインシデント対応SCシステム保護および通信の保護
MA保守SIシステムおよび情報の完全性
MPメディアの保護SRサプライチェーンリスクマネジメント
  • プライバシーとサプライチェーンのリスク管理のために、2つの新しい管理策ファミリが追加されています。
    • PT:PII Processing and Transparency(個人情報の取扱いと透明性)
      • Rev.4で「APPENDIX J:PRIVACY CONTROL CATALOG」として、附属書となっていたプライバシー管理策が、共通のセキュリティ管理策カタログに取り込まれ、統合されています。
    • SR:Supply Chain Risk Management(サプライチェーン・リスクマネジメント)
      • サプライチェーンに起因するセキュリティ・リスクへの対応するために、新たな管理策が追加されています。
  • Revision 4で「APPENDIX G」附属書となっていたプログラム管理(PM)ファミリの管理策が、共通のセキュリティ管理策カタログに取り込まれ、統合されています。
  • 「Appendix C」付属書に、管理策の要約表が掲載されていて、要約表の「IMPLEMENTED BY(実装)」の欄に、各管理策を組織的手段で実装するか、情報システムによる技術的手段で実装するか、組織的手段と情報システムによる技術的手段の組み合わせで実装するかが示されています。
  • 米国連邦政府だけでなく、様々なコミュニティにより管理策カタログが活用されるよう、Rev.4にあった管理策選択のガイダンスがRev.5から分離されています。
    • 米国連邦政府の管理策選択にあたっては、NIST SP 800-37 Rev.2 リスクマネジメント・フレームワーク文書を管理策選択ガイダンスとして利用します。
    • Rev.5では、NIST サイバーセキュリティ・フレームワーク(NIST CSF)、NIST プライバシー・フレームワーク、ISO27001へのNIST SP 800-53管理策マッピング情報も提供されています。

 NIST SP 800-53 rev.5は、多岐にわたる管理策カタログとなっており、米国連邦政府システムに限らず、情報セキュリティのリスク抽出後に、管理策を検討する際の有用なカタログとなっており、今後活用の場面がさらに広がっていくと考えます。

--

NIST SP 800-53 Rev.5      :https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

NIST SP 800-53B Rev.5      :https://csrc.nist.gov/publications/detail/sp/800-53b/final

NIST関連文書の翻訳(IPA 独立行政法人情報処理推進機構のページ)

【2021.2.1 S.Miyamoto】

カテゴリー
Evaコラム
前の記事
Evaコラム:米国国防総省のサイバーセキュリティ基準の変化
2021年1月1日
次の記事
Evaコラム:我が国へのCMMC適用はいつ?
2021年2月18日