米国 NIST SP 800-171による連邦政府調達基準への対応について

~米国の要求背景とその具体的対応方策~

米国は2010.10の大統領令(Executive Order 13556)により、管理すべき重要情報(CUI : Controlled Unclassified Information)についてどのように取扱われるべきか体系的規定の策定を指示しました。その指針がNIST SP 800-171(連邦政府以外の組織に対するCUIの保護について)であり、具体的な要件がSP 800-53 (Security and Privacy Controls), SP 800-63 (Electronic Authentication Guideline)などのドキュメントとして整備されています。

また、国防総省(以下、DoD)は、DFARS 252.204-7012  Safeguarding Covered Defense Information and Cyber Incident Reportingにより、DFARS 252.204-7012本要件の遵守を契約のサプライチェーンに関係する企業すべてに、2017.12.31までにという期限付きで対応を求めています。

(1)   セキュリティ対策の動向

これまで我が国の産業界は情報システムのセキュリティ対策についてはISMS (ISO/IEC 27001)を中心に対応してきました。しかしながら、米国はISMSと対比可能な体系でありながら独自の要件を盛り込んだ体系をNISTにより策定しています(SP 800-53)。

この度の要件は、米国の政府調達(特にDoD)について関係する下請け企業すべてに対して遵守を要求するものです。本件のDoDおよびNISTの規定体系をひとことで整理すると、すべての連邦政府が関わる重要情報(Unclassified)についてはNISTが規定し(SP 800-37 RMF)、軍事秘密などの情報(Classified)を加えた体系をDoDが規定しています(DoDI 8510.01 RMF)。その中で、CUIの扱いに関するドキュメントは下図のようになっています。

詳しくは

米国NIST SP 800-171による連邦政府調達基準への対応について(PDF)

または、右上の

◆ CUI・保護すべき情報とNIST SP800-171 <特設サイト>◆

からご参照ください。