セキュリティチェックリスト|NIST SP 800-171
NIST SP 800-171は現在(2025年時点)でも広く標準として活用されています。
NIST SP 800-171とは?(概要)
『NIST SP 800-171』(Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations)は、米国のNIST(米国国立標準技術研究所) が発行した文書で、米国政府関連の業務を行う民間企業が取り扱う機密性の高い情報(CUI:Controlled Unclassified Information)を保護するためのセキュリティ要件を定めています。
NIST SP 800-171 制定年・基本情報
- 制定年: 2015年(初版)
- 最新改訂版: 2024年(Rev. 3)
- 発行元: NIST(米国国立標準技術研究所)
- 適用対象: 非連邦組織が保持する「機密性の高い非分類情報(CUI)」を保護するための標準
🔑 現在のスタンダードとしての利用状況
NIST SP 800-171は米国の防衛産業や米政府関連の調達において現在も必須の基準として採用されています。
特に米国防総省(DoD)関連の企業では、取引を行う上で法的に必須のセキュリティ標準となっています。
- 米国防総省(DoD)のCMMC(Cybersecurity Maturity Model Certification)プログラム の基礎として現在も活用中。
- 連邦政府調達(政府系プロジェクト)で、契約要件に含まれているケースが多数。
🌐 現在の主な活用分野
- 米国防衛産業(Defense Industrial Base, DIB)
- 米国防総省(DoD)のサプライチェーンや委託先企業
- 米軍や連邦機関に納入する製品・サービスを提供する全企業
- 米国政府関連の民間企業
- NASA、米国エネルギー省、連邦調達関連企業等も適用を推奨または義務化。
- 国際的な利用
- 米国外企業でも、米国政府と取引する場合には適用が求められるため、欧州やアジア地域の企業も遵守する事例が増加中。
🛡 NIST SP 800-171に含まれるセキュリティ管理要件
NIST SP 800-171は、14のセキュリティカテゴリ、合計110のセキュリティ要件から構成されています。
| カテゴリ例(抜粋) | 概要 |
|---|---|
| アクセス制御(Access Control) | 情報へのアクセスを制限 |
| 認証管理(Identification & Authentication) | 強力な認証の導入 |
| 監査および責任追跡(Audit & Accountability) | ログ管理・監査証跡の保管 |
| インシデント対応(Incident Response) | セキュリティ事故対応体制の整備 |
| システムおよび情報の完全性(System & Information Integrity) | ソフトウェアの脆弱性対策・マルウェア対策 |
🔄 CMMCとの関係性
現在米国防総省(DoD)は、CMMC(サイバーセキュリティ成熟度モデル認証) を推進していますが、このCMMCの要求事項の多くはNIST SP 800-171を基盤として作成されています。
そのため、NIST SP 800-171は実質的にCMMC認証を満たすための重要な標準として位置付けられています。
| 標準・認証 | 関係性 |
|---|---|
| NIST SP 800-171 | セキュリティ要件の基準 |
| CMMC(DoD主導の認証制度) | NIST SP 800-171を土台とした成熟度モデル |
📋 NIST SP 800-171:14カテゴリ・110要件 チェックリスト
以下はNIST SP 800-171(最新版Rev.3ベース)をわかりやすく要約したリストです。
✅【1. アクセス制御(Access Control)】
- 情報へのアクセスを制限する
- ユーザーの権限を最小権限原則で設定
- 未承認デバイスからのアクセスを防止
- セッション管理・自動ロックを導入
✅【2. 意識向上とトレーニング(Awareness and Training)】
- 全従業員にセキュリティトレーニングを実施
- トレーニング記録の保管と監査
✅【3. 監査および責任追跡(Audit and Accountability)】
- システムの操作ログを取得・保管
- ログ改ざん防止措置を実施
- ログを定期的にレビューし、不正を検知
✅【4. 設定管理(Configuration Management)】
- システムの設定変更を管理・記録
- ベースライン設定を作成し、遵守を定期監査
- 未許可のソフトウェアを禁止
✅【5. 識別および認証(Identification and Authentication)】
- 強力な認証方法(多要素認証等)を導入
- パスワード管理ポリシーを適用
- ユーザーアカウントの定期的レビュー
✅【6. インシデント対応(Incident Response)】
- インシデントレスポンス計画の作成と訓練
- セキュリティインシデント発生時の報告プロセスの策定
- インシデント対応体制の整備(IRTチーム等)
✅【7. メンテナンス(Maintenance)】
- システムメンテナンスを安全に実施するためのプロセス確立
- メンテナンス作業の記録を保管
- メンテナンス時のアクセスを厳密に管理
✅【8. メディア保護(Media Protection)】
- データ保存媒体を安全に管理(暗号化、施錠)
- 不要メディアの安全な破棄手順を策定
- メディア取り外し・移動を記録し管理
✅【9. 物理的保護(Physical Protection)】
- 情報システム設置場所の物理的アクセス制御
- 入退室履歴を取得し、定期監査
- 防犯カメラ等の物理的監視を導入
✅【10. 人的セキュリティ(Personnel Security)】
- 従業員の身元確認・セキュリティ審査
- 職務異動・退職時のアクセス権限即時削除
✅【11. リスク評価(Risk Assessment)】
- システムへの定期的なリスク評価の実施
- 脆弱性スキャンを定期的に実施し対策を記録
✅【12. セキュリティ評価(Security Assessment)】
- セキュリティ管理の定期的な評価・監査を実施
- セキュリティ改善計画を策定・実施・追跡
✅【13. システムおよび通信の保護(System and Communications Protection)】
- 通信の暗号化(TLS等)を必須化
- ファイアウォールを導入し不要な通信を遮断
- システム間通信のセキュリティを確保(VPN等)
✅【14. システムおよび情報の完全性(System and Information Integrity)】
- マルウェア対策を導入(ウイルス対策ソフト等)
- ソフトウェアの脆弱性対策を迅速に実施(パッチ管理)
- システムの異常をリアルタイムで監視・通知
📋【110項目の具体的な内訳(カテゴリ別数)】
| カテゴリ | 項目数 |
|---|---|
| 1. アクセス制御 | 22項目 |
| 2. 意識向上とトレーニング | 3項目 |
| 3. 監査および責任追跡 | 9項目 |
| 4. 設定管理 | 9項目 |
| 5. 識別および認証 | 11項目 |
| 6. インシデント対応 | 3項目 |
| 7. メンテナンス | 6項目 |
| 8. メディア保護 | 9項目 |
| 9. 物理的保護 | 6項目 |
| 10. 人的セキュリティ | 2項目 |
| 11. リスク評価 | 3項目 |
| 12. セキュリティ評価 | 4項目 |
| 13. システムおよび通信の保護 | 16項目 |
| 14. システムおよび情報の完全性 | 7項目 |
| 合計 | 110項目 |
🛡【実務上の推奨事項】
- このチェックリストをもとに、自社のセキュリティ体制の成熟度を評価し、不足点を明確化
- 定期的(年1回以上)にこのチェックリストを基準とした監査・レビューを実施
📅 最新動向・今後の見通し(2025年現在)
- NIST SP 800-171は定期的にアップデートされており、現在の最新版はRev.3(2024年発行)です。
- 米国政府によるサイバーセキュリティ強化の流れが続いているため、今後もさらに強化・利用が拡大する見込みです。
- 米国外企業に対する適用も引き続き拡大する見通しです。
📖 結論(現在の標準としての位置付け)
- NIST SP 800-171は、2025年現在も米国政府や米国防総省関連の契約における重要なスタンダードであり、国際的にも利用が拡大しています。
- 特に米国防関連調達に関わる企業にとっては必須の基準であり、実質的なグローバルスタンダードになっています。
引き続き、グローバル企業が米国政府との取引や国際的なコンプライアンス要件を満たすためには重要な基準です。