■ NIST SP800-171 Rev3とは
NIST SP800-171とは、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が発行するガイドラインの一つで、日本語では「連邦政府外のシステムと組織における管理された非格付け情報の保護」と題されています。
米国防総省は全世界の取引先に対して、NIST SP800-171への準拠を求めており、日本の防衛省も、2019年5月にNIST SP800-171相当のセキュリティ要求事項を調達基準に盛り込みました。
NISTは2024年5月14日、NIST SP800-171の最新バージョンとなるRev3を正式に発行しました。2020年2月に公表されたRev2から、約4年ぶりの改訂となります。Rev2からRev3の主な変更点は、こちらをご参照ください。
■ NIST SP800-171 Rev3 を、ガイドラインチェック機能に取り込みました
Secure SketCHのガイドラインチェック機能では、Secure SketCHの標準設問(75問)に回答するだけで、国内のガイドラインだけでなく、NIST SP800-171などグローバルなガイドラインに対する自社・サプライチェーンの遵守状況を、パッと即座に可視化いただけます。
Secure SketCHは、これまでに「NIST SP800-171 Rev2」に対応しておりましたが、今回新たに「NIST SP800-171 Rev3」もご利用いただけるようになりました。
※画像はイメージであり、実際の画面とは異なります。
また、GROUPS PLUS/PREMIUMプランにおける「グループガイドラインチェック機能」を利用することで、国内・国外のグループ会社/委託先・取引先における、NIST SP800-171 Rev3の遵守状況を一元的に管理でき、サプライチェーン全体のガバナンス構築に寄与します。
※画像はイメージであり、実際の画面とは異なります。
■ ガイドラインチェック機能でご利用いただけるガイドライン・フレームワーク一覧
現在、Secure SketCHのガイドラインチェック機能でご利用いただけるガイドラインは以下14種です。
-
・NIST SP800-171 Rev2
・NIST SP800-171 Rev3【NEW】
・NIST Cybersecurity Framework 1.1 (CSF, サイバーセキュリティフレームワーク)
・NIST Cybersecurity Framework 2.0 (CSF, サイバーセキュリティフレームワーク)
・ISO/IEC 27001:2013及び27002:2013 (経済産業省 情報セキュリティ管理基準(平成28年改正版))
・ISO/IEC 27002:2022
・経済産業省 サイバーセキュリティ経営ガイドライン Ver2.0
・経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0
・CIS Controls v7.1
・CIS Controls v8
・Cybersecurity Maturity Model Certification (CMMC) 1.0
・Cybersecurity Maturity Model Certification (CMMC) 2.0
・金融庁:金融分野におけるサイバーセキュリティに関するガイドライン
・IPA 情報セキュリティ10大脅威(組織編)
ガイドラインチェック機能は、SINGLE PREMIUM・GROUPS PLUS/PREMIUM・3rd PARTY COWORKご契約者様にご利用いただけます。
詳細については、以下の資料をご確認ください。
⇒SINGLE PREMIUMプラン紹介資料を無料で読む
⇒GROUPSプラン紹介資料を無料で読む
⇒3rdPARTYプラン紹介資料を無料で読む
Secure SketCHは今後も皆様の要望を受けて機能のアップデートを続けてまいります。
【参考】NIST SP800-171 Rev2からRev3への変更点
2024年5月14日にNIST SP800-171 Rev3が正式に公開され、2020年2月にRev2が公開して以来、約4年ぶりの大幅改訂を遂げました。以下では、主要な改訂ポイントを3つに着目し、その変更点を説明いたします。
- ・Point1:3つのカテゴリが追加
・Point2:要件項目数は減少するも、項目を達成するための詳細が増加
・Point3:組織定義のパラメータであるODPが追加
■ Point1:3つの新たなカテゴリが追加
Rev2では14カテゴリで構成されていましたが、Rev3では「計画」「システムとサービスの調達」「サプライチェーンリスクマネジメント」の3つのカテゴリ追加がされ、17カテゴリの構成となりました。
Rev2からRev3へのカテゴリ変更
特にサプライチェーンに関して、「サプライチェーンリスクマネジメント」の各項目に加えて「システムとサービスの調達」において、開発中のシステムや外部システムのセキュリティ確認・監視について言及しており、重要視されていることが伺えます。
■ Point2:要件項目数は減少するも、項目を達成するための詳細が増加
Rev2では項目数が110項目であったのに対し、Rev3では97項目に減少しています。
Rev2からRev3への各種変更数
ただし、33件ある撤回項目のほとんどが他の管理策への再編されたことや、1つの項目の中に複数の要求内容が具体的に記載されたことなどにより、実態として企業のご担当者様が実施すべき対策内容は増えたと考えられます。
以下に、Rev2からRev3で具体化した項目の例として、3.1.1の項目内容を示します。
Rev2からRev3への項目具体化の例(項目3.1.1)
■ Point3:組織定義のパラメータであるODPが追加
NIST SP 800-171 Rev3では「ODP:Organization-Defined Parameter」という概念が新しく導入されました。
この概念は、NISTが公表するセキュリティガイドラインの柔軟性を高めるために導入されたもので、特定のセキュリティ要件や制御を実施する際に、組織がビジネス目標やリソースなど状況に応じてパラメータを定義できる仕組みです。
- ODPの例
・利用者による無効なログオン試行を [組織定義の回数] に制限する。
・割り当てられた権限を [組織定義の頻度] で確認し、権限の必要性を検証する。
・特権アカウントを [組織定義の人員または役割] に制限する。
約半数である49項目にODPが適応されており、各組織のビジネス目標や状況など合わせた定義が求められます。