みなさんのご承知のように、2019年6月19日にNISTから「Draft NIST SP800-171 Revision 2」および「Draft NIST SP800-171B」が出されました。Protecting Controlled Unclassified Information: Comment on Draft NIST SP800-171 Rev. 2 and Draft NIST SP 800-171B (comment period ends July 19, 2019)
取り急ぎ変更点を整理すると、171 rev2については、 第3章110項目の基本的および派生的なセキュリティ要件には変更はありません。なお、使いやすさ向上のために、昨年追加された付録Fに記載されていたディスカッションセクションは、基本的および派生的なセキュリティ要件毎に同じ場所(第3章)に移動されています。
なお、NIST(Special Publication)SP800-53 Revision 5 発行後の改訂3で、この出版物の包括的な更新(基本要件と派生要件の更新を含む)が発表される予定のようです。
NIST SP800-171B はCUIをAdvanced Persistent Threat(APT)攻撃から守るため、SP800-171の基本的および派生的なセキュリティ要件に対して追加補完するものです。なお、全てのカテゴリに追加されているわけではありません。強化されたセキュリティ要件は、 特に指定した価値の高い資産またはCUIを含む重要なプログラムに対して適用されます。
171の要件はAPTに対処するようには作られていないため、この171Bで強化する必要があるとの考え方です。
弊社では、今後もシリーズとして年々充実してゆく171関係規程をフォローしてゆきます。皆様からもご質問や情報などをいただければありがたく思います。
※171Bは、その後「172」に改めることが発表されました。
