コンプライアンスとフレームワーク
NIST SP 800-53
別称: SP 800-53, NIST 800-53
定義
米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。
NIST Special Publication 800-53 は、米国国立標準技術研究所(NIST)が発行する権威あるセキュリティ・プライバシー統制カタログで、現行版は Revision 5 です。アクセス制御、監査と説明責任、システム・通信保護など 20 の統制ファミリーに分類された数百の統制と、その強化項目および補足ガイドが定義されています。SP 800-53 は FISMA と FedRAMP の下で米国連邦情報システムに必須であり、世界中の受託業者、州政府、重要インフラ事業者にも広く採用されています。組織は通常、NIST SP 800-53B に基づき低・中・高のベースラインを選定し、自組織のリスクプロファイルに合わせてテーラリングします。
例
- 連邦機関が FISMA の下で新システムを認可するために中ベースラインを採用。
- FedRAMP 認証クラウド事業者が統制を高ベースラインにマッピング。
関連用語
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
NIST SP 800-171
非連邦組織が保存・処理する管理対象非機密情報(CUI)の保護要件を定める NIST 発行の文書。
FISMA
FISMA — definition coming soon.
FedRAMP
FedRAMP — definition coming soon.
NIST Risk Management Framework
NIST Risk Management Framework — definition coming soon.
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。