"NIST SP800-171は、CUIを処理、蓄積、通信するために新たなシステムの開発または導入を必要とするのではなく、契約事業者がすでに保有しているシステムおよび運用手続を用いて要件に適合させることを可能にする意図により、実効ベースの要件を用いて作成されました。
NIST SP800-171における大部分の要件は、ポリシー、運用手続き、およびITセキュリティを構成することになっていますが、他はセキュリティ関連のソフトウェアまたは追加のファイアウォールなどハードウェアを必要としています。
多要素認証要件(3.5.3)を除けば、一般的には追加のソフトウェアまたはハードウェアは必要とされていません。"
