昨今の情シスさんのテーマとしては、新型コロナウィルス(COVID-19)に端を発するテレワーク(在宅勤務)対応やそれ以前から課題とされていたDX(デジタルトランスフォーメーション)対応かもしれません。
しかしながら、日本の製造業に関係する企業が忘れてはいけないのが、「NIST SP800-171」です。
(参考:【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?)
この度、IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で実施、その成果を一般に公開しています。
この記事の目次
おさらい:NISTやCSDとは
NIST(National Institute of Standards and Technology:米国国立標準技術研究所)は、科学技術分野における計測と標準に関する研究を行う米国商務省に属する政府機関です。
NIST内には、情報技術に関する研究を行っているITL(Information Technology Laboratory)があります。
ITLは情報技術に関して6つの分野(Security, Information Access, Mathematics and Computational Science, Software Testing, Networking Research, Statistical Engineering)の研究を行っており、そのITLの中でコンピュータセキュリティに関して研究を行い各種文書を発行しているのがCSD(Computer Security Division)と呼ばれる部門になります。
FIPSやSP800シリーズなどの文書も、CSDが発行しています。
CSDが発行する文書
CSDが発行する主な文書としては、以下の4種類に分類されます。
1. Special Publications (SP800シリーズ)
SP800シリーズは、CSDが発行するコンピュータセキュリティ関係のレポートです。
米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書です。
サプライチェーンに求められるセキュリティ対策など参考にしておくと将来役立つかもしれません。
2.FIPS(Federal Information Processing Standards)
米国商務長官の承認を受けて、NISTが公布した情報セキュリティ関連の文書です。SP800シリーズよりFIPSとなったものもあります。
主なターゲットは米国政府ですが、推奨する管理策や要求事項、暗号化やハッシュ化、認証、デジタル署名およびLANのセキュリティなど、分野別に、詳細な基準や要求事項、ガイドラインを示しており、政府機関のみならず、民間企業にとっても、情報セキュリティ対策を考える上で有用な文書といえます。
3.ITL Security Bulletins
不定期に発行されるCSDの会報です。CSDの活動やCSD発行の文書について概要や枠組みが解説されています。
4.NIST IRs(NIST Interagency Reports)
NISTの各内部機関がまとめたレポートです。CSD Annual Report(年次報告書)などがあります。
参照ニーズの高いSP800やFIPSの翻訳から
当面は、米国国立標準技術研究所(NIST)の発行するSP800シリーズとFIPSの中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うような研究もおこなわれます。
当面、米国政府との取引がないのであれば関係のないNIST対応ですが、日本政府もNISTに限りなくの近い対応へと考えていることもあり、関係する企業の情シス担当者は概要だけでも理解しておくべきではないでしょうか。
尚、以下に掲載する翻訳文書は、NISTから事前に承諾を得ているとのことであり、社内基準を見直すなどの際には参考にされるとよいでしょう。
翻訳文書
[OMB文書]
文書番号 (原文発行年月) |
タイトル | 掲載 |
---|---|---|
OMB M-04-04※1 (2003年12月) |
連邦政府機関向けの電子認証にかかわるガイダンス E-Authentication Guidance for Federal Agencies |
2008年 6月 |
※1:OMB M-04-04 は、OMB (Office of Management and Budget:米国行政管理予算局)が米国各省庁および各政府機関長官宛てに発行したガイダンスであり、NIST SP800-63(電子的認証に関するガイドライン)の上位ポリシーとなります。
- OMB ホームページ
- OMB M-04-04の原文(PDF:126KB)
[FIPS]
シリーズNo. (原文発行年月) |
タイトル | 掲載 |
---|---|---|
FIPS 199 (2004年02月) |
連邦政府の情報および情報システムに対するセキュリティ分類規格 Standards for Security Categorization of Federal Information and Information Systems |
2006年 8月 |
FIPS 200 (2006年02月) |
連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項 Minimum Security Requirements for Federal Information and Information Systems |
2006年 9月 |
FIPS 201-1 (2006年03月) |
連邦職員および委託業者のアイデンティティの検証 Personal Identity Verification (PIV) of Federal Employees and Contractors |
2011年 3月 |
[SP800シリーズ]
シリーズNo. (原文発行年月) |
タイトル | 掲載 | |
---|---|---|---|
SP 800-18 rev.1 (2006年02月) |
連邦情報システムのためのセキュリティ計画作成ガイド 改訂第1版 Guide for Developing Security Plans for Federal Information Systems |
2007年 3月 |
|
SP 800-30 rev.1 (2012年09月) |
リスクアセスメントの実施の手引き Guide for Conducting Risk Assessments |
2013年 2月 |
|
SP 800-34 (2002年06月) |
ITシステムのための緊急時対応計画ガイド Contingency Planning Guide for Information Technology Systems |
2005年 11月 |
|
SP 800-35 (2003年10月) |
ITセキュリティサービスガイド Guide to Information Technology Security Services |
2005年 8月 |
|
SP 800-37 rev.1 (2010年02月) |
連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド: セキュリティライフサイクルによるアプローチ Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach |
2011年 3月 |
|
SP 800-40 ver.2 (2005年11月) |
パッチおよび脆弱性管理プログラムの策定 Creating a Patch and Vulnerability Management Program |
2007年 12月 |
|
SP 800-45 rev.2 (2007年02月) |
電子メールのセキュリティに関するガイドライン Guidelines on Electronic Mail Security |
2010年 1月 |
|
SP 800-50 (2003年10月) |
ITセキュリティの意識向上およびトレーニングプログラムの構築 Building an Information Technology Security Awareness and Training Program |
2005年 8月 |
|
SP 800-52 rev.1 (2014年4月) |
トランスポート層セキュリティ(TLS)実装の選択、設定、および使用のためのガイドライン Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations |
2017年 1月 |
|
SP 800-53 rev.4 |
|||
SP 800-55 rev.1 (2008年07月) |
情報セキュリティパフォーマンス測定ガイド Performance Measurement Guide for Information Security |
2009年 9月 |
|
SP 800-57 Part 1 Rev.4 (2016年1月) |
Recommendation for Key Management Part 1: General 鍵管理における推奨事項 第一部:一般事項 |
2016年 11月 |
|
SP 800-57 Part 3 Rev.1 (2015年1月) |
Recommendation for Key Management Part 3: Application-Specific Key Management Guidance 鍵管理における推奨事項 第三部:アプリケーション特有の鍵管理ガイダンス |
2016年 11月 |
|
SP 800-60 Volume I (2004年06月) |
第I巻:情報および情報システムのタイプとセキュリティ分類のマッピングガイド Guide for Mapping Types of Information and Information Systems to Security Categories |
2006年 8月 |
|
SP 800-60 Volume II (簡易監修版) (2004年06月) |
第II巻:情報および情報システムのタイプとセキュリティ分類のマッピングガイド 付録 Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories |
2006年 8月 |
|
SP 800-61 rev.1 (2008年03月) |
コンピュータインシデント対応ガイド Computer Security Incident Handling Guide |
2009年 1月 |
|
SP 800-63 (2006年04月) |
電子的認証に関するガイドライン Electronic Authentication Guideline ※本文書の上位ポリシーOMB M-04-04の翻訳はこちら |
2007年 8月 |
|
SP 800-64 rev.2 (2008年10月) |
システム開発ライフサイクルにおけるセキュリティの考慮事項 Security Considerations in the System Development Life Cycle |
2009年 9月 |
|
SP 800-70 (2005年05月) |
IT 製品のためのセキュリティ設定チェックリストプログラム – チェックリスト利用者と開発者のための手引き Security Configuration Checklists Program for IT Products – Guidance for Checklists Users and Developers |
2007年 3月 |
|
SP 800-73 rev.1 (2005年04月) |
個人識別情報の検証インタフェース Interfaces for Personal Identity Verification |
2006年 10月 |
|
SP 800-76-1 (2007年01月) |
個人識別情報の検証における生体認証データ仕様(改訂版) Biometric Data Specification for Personal Identity Verification(rev.1) |
2009年 10月 |
|
SP 800-81 (2006年05月) |
セキュアなドメインネームシステム(DNS)の配備ガイド Secure Domain Name System (DNS) Deployment Guide |
2009年 9月 |
|
SP 800-82 rev.2 (2015年5月) |
産業制御システム(ICS)セキュリティ Guide to Industrial Control Systems (ICS) Security |
2016年 3月 |
|
SP 800-83 (2005年11月) |
マルウェアによるインシデントの防止と対応のためのガイド Guide to Malware Incident Prevention and Handling |
2008年 9月 |
|
SP 800-84 (2006年09月) |
IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities |
2009年 2月 |
|
SP 800-86 (2006年08月) |
インシデント対応へのフォレンジック技法の統合に関するガイド Guide to Integrating Forensic Techniques into Incident Response |
2009年 9月 |
|
SP 800-88 (2006年09月) |
媒体のサニタイズに関するガイドライン Guidelines for Media Sanitization |
2009年 9月 |
|
SP 800-92 (2006年09月) |
コンピュータセキュリティログ管理ガイド Guide to Computer Security Log Management |
2009年 3月 |
|
SP 800-94 (2007年02月) |
侵入検知および侵入防止システム(IDPS)に関するガイド Guide to Intrusion Detection and Prevention Systems (IDPS) |
2011年 3月 |
|
SP 800-130 (2013年08月) |
暗号鍵管理システム設計のフレームワーク A Framework for Designing Cryptographic Key Management Systems |
2020年 7月 |
|
SP 800-144 (2011年12月) |
パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン Guidelines on Security and Privacy in Public Cloud Computing |
2014年 3月 |
|
SP 800-145 (2011年09月) |
NISTによるクラウドコンピューティングの定義 The NIST Definition of Cloud Computing |
2011年 12月 |
|
SP 800-146 (2012年05月) |
クラウドコンピューティングの概要と推奨事項 Cloud Computing Synopsis and Recommendations |
2012年 8月 |
|
SP 800-171 rev.2 (2020年2月) |
連邦政府外のシステムと組織における管理された非格付け情報の保護 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations |
2021年 2月 |
|
SP800-190 rev.1 (2017年9月) |
アプリケーションコンテナセキュリティガイド Application Container Security Guide |
2020年 9月 |
|
SP800-207 (2020年8月) |
ゼロトラスト・アーキテクチャ Zero Trust Architecture |
2020年 12月 |
注:SP800-26 は、廃止文書となりました。管理策のアセスメントに関しては、第三者によるアセスメント、セルフアセスメントのいずれも、参照文書は、SP800-53Aとなります。
SP800-26に記載のあった、The system reporting についてはNIST SP800-53A に、The FITSAF Security Program Maturity Levels については SP800-100 に記載されています。
注2:SP800-33、SP800-42、SP800-65 は、廃止文書となりました。
注3:SP800-53 rev.2 Annex1, 2, 3 の掲載を終了しました。
注4:SP 800-82は、JPCERT/CCが翻訳・公開している資料です。同資料の掲載については、JPCERT/CCの許可を得ています。
注5:SP 800-171 rev.2は、株式会社エヴァアビエーションが翻訳・公開している資料です。同資料の掲載については、株式会社エヴァアビエーションの許可を得ています。
注6:SP 800-207は、PwCコンサルティング合同会社が翻訳・公開している資料です。同資料の掲載については、PwCコンサルティング合同会社の許可を得ています。
[その他のNIST文書]
文書名 (原文発行年月) |
タイトル | 掲載 | |
---|---|---|---|
Cybersecurity Framework Version 1.1 (2018年04月) |
重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版 Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 (原文) (頁対訳) Core (原文) (和訳) |
2019年 1月 |
ここに公開されている海外セキュリティ関連文書は、原文にできるだけ忠実に翻訳するよう努めていますが、完全性、正確性を保証するものではありません。
翻訳監修主体(IPA及びNRIセキュアテクノロジーズ(株))は、本翻訳物に記載されている情報より生じる損失または損害に対して、いかなる人物あるいは団体にも責任を負うものではありません。
原文のありのままの内容を理解する必要のある場合は、以下の原文をお読み下さい。
本内容は、IPA様のプレスリリースを元に作成しております。
ソース:https://www.ipa.go.jp/security/publications/nist/index.html