NIST SP800-171
米国は2010年11月の大統領令(Executive Order 13556)により、管理すべき重要情報(CUI : Controlled Unclassified Information)についてどのように取扱われるべきか体系的規定の策定を指示しました。その結果出来上がった指針がNIST が作成したSP800-171(連邦政府機関以外の組織および情報システムに対するCUIの保護について)であり、具体的な要件がNIST SP800-53(Security and Privacy Controls) , SP800-63 (Electronic Authentication Guideline) などのドキュメントとして整備されています。
また、国防総省 (DoD; Department of Defense以下、DoD)は、DFARS 252.204-7012 Safeguarding Covered Defense Information and Cyber Incident Reporting により、本指針に示された要件の遵守を契約のサプライチェーンに関係する企業すべてに、2017年12月31日までという期限付きで対応を求めています。
NIST SP800-53と171の違い
NIST SP800-53などは連邦政府機関自身に対する要件として規定されていますが、SP800-171は連邦政府機関以外(外国政府組織や契約企業等)へのCUIの扱いについて遵守を求める事項として新たに規定されたものです。なお、現時点ではDFARSとしてDoD調達案件のみが適用対象とされていますが、FAR(※5)として連邦政府機関の調達案件すべてについても適用される方針です。
なお、NIST SP800-53/171とISMS (ISO/IEC27001)を比較すると、NISTはより具体的な指針であると評されており、ISMSを包含していると見做すことができます。従って、ISMSを取得している組織は比較的容易に今回のNIST要件に対応できるものと考えられ、特に米国と取引の多い組織はNISTにも対応させることがビジネス上のメリットになると言えると考えています。
次ページ>>「NIST SP800-171遵守の要求背景 〜DOD調達契約条項 DFARS 252.204-7012〜」