NISTとは?
NIST(National Institute of Standards and Technology:米国国立標準技術研究所)とは、科学技術分野における計測と標準に関する研究を行う、米国商務省に属する政府機関です。
内部には情報技術に関する研究を行っているITL(Information Technology Laboratory)という研究所があります。
その中にあるCSD(Computer Security Division)と呼ばれる部門では、コンピュータセキュリティに関する研究および各種文書ならびにガイドラインの発行を行っており、主なガイドラインとしては本サイト内で詳しく解説しているSP800シリーズの他、Cybersecurity Frameworkなどがあります。
また、各ガイドラインの日本語訳版は独立行政法人情報処理推進機構(IPA)のサイトにて一般公開されています。
SP800シリーズとは?
SP800シリーズとは、CSDが発行するコンピュータセキュリティ関係のレポートです。
SP800-45(電子メールのセキュリティに関するガイドライン)やSP800-171(非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護)などのように、ソリューションやイノベーション毎に分類され、詳記されています。
本来は米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書として世界的に注目・活用されています。
Cybersecurity Frameworkとは?
CSDが公開している、重要インフラのサイバーセキュリティを改善するためのフレームワークのガイドラインです。
組織が以下の5項目を実現するにあたり一般的な分類法及び手法を示しています。
- 原稿のサイバーセキュリティへの取り組みを説明する。
- 目標とするサイバーセキュリティ対策の実施状態を説明する。
- 継続的かつ繰り返し実施可能なプロセスにおける改善の機会を識別し、優先順位付けを行う。
- 目標達成までの進捗を評価する。
- 社内外の利害関係者とサイバーセキュリティリスクについてコミュニケーションを行う。
