コンプライアンスとフレームワーク
NIST SP 800-171
別称: SP 800-171, NIST 800-171
定義
非連邦組織が保存・処理する管理対象非機密情報(CUI)の保護要件を定める NIST 発行の文書。
NIST Special Publication 800-171 は、非連邦組織——主に米国政府の契約業者および下請業者——が自社システム上の管理対象非機密情報(CUI)を保護するための要件を規定します。現行の Revision 3 では、NIST SP 800-53 をベースに 17 ファミリへ整理された約 100 件の要件が定められ、アクセス制御、監査、構成管理、インシデント対応などを網羅しています。米国の防衛関連契約業者は DFARS 7012 に基づき準拠が義務付けられ、CMMC Level 2 の技術的基盤となっています。導入組織は適合性を示すためにシステム・セキュリティ計画(SSP)と是正計画(POA&M)を整備します。
例
- 国防総省の契約業者が DFARS 252.204-7012 に対応するため 800-171 を実装。
- 連邦助成プロジェクトで CUI を扱う研究大学。
関連用語
NIST SP 800-53
米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。
CMMC
CMMC — definition coming soon.
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
FISMA
FISMA — definition coming soon.
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。