SP 800-171とは
NIST SP 800-171 Rev.3「Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」(2024年5月公開)は、連邦政府以外の組織(民間企業等)が管理対象非機密情報(CUI)を保護するためのセキュリティ要件を定めたガイドラインです。
主に米国防総省(DoD)の調達においてDFARS 252.204-7012で義務付けられており、DoDと取引する防衛関連企業は本ガイドラインへの準拠が求められます。CMMC(Cybersecurity Maturity Model Certification)の技術要件の基盤でもあります。
CUI(管理対象非機密情報)とは
CUI(Controlled Unclassified Information)は、機密指定(Classified)ではないが、法律・政策により保護が求められる政府関連情報です。
- 輸出管理データ(ITAR/EAR対象技術情報)
- 法執行関連情報
- 契約関連の機密情報(入札価格、技術仕様等)
- 個人識別情報(PII)
- 知的財産関連情報
17のセキュリティ要件ファミリー
Rev.3では17ファミリー・97要件で構成されています(Rev.2の14ファミリー・110要件から再構成)。
| ファミリー | 要件数 | 概要 |
|---|---|---|
| アクセス制御(AC) | 15 | ユーザー認証、権限管理、リモートアクセス |
| 意識向上・研修(AT) | 3 | セキュリティ教育・訓練 |
| 監査・説明責任(AU) | 9 | ログ管理、監査証跡 |
| 評価・認可(CA) | 4 | セキュリティ評価、脆弱性管理 |
| 構成管理(CM) | 9 | ベースライン構成、変更管理 |
| 識別・認証(IA) | 8 | MFA、パスワード方針 |
| インシデント対応(IR) | 5 | インシデント検知・報告 |
| メンテナンス(MA) | 4 | システム保守管理 |
| メディア保護(MP) | 6 | 記録媒体の管理・廃棄 |
| 物理保護(PE) | 5 | 物理アクセス制御 |
| 計画(PL) | 2 | セキュリティ計画(Rev.3で新設) |
| 人的セキュリティ(PS) | 5 | 採用・退職時の管理 |
| リスク評価(RA) | 4 | 脆弱性スキャン、リスク評価 |
| システム・サービス調達(SA) | 4 | 調達時セキュリティ(Rev.3で新設) |
| システム・通信保護(SC) | 9 | 暗号化、境界防御 |
| システム・情報の完全性(SI) | 5 | マルウェア対策、パッチ管理 |
| サプライチェーンリスク管理(SR) | 3 | サプライチェーン管理(Rev.3で新設) |
Rev.3の主な変更点
| 変更点 | 内容 |
|---|---|
| SP 800-53との整合強化 | 要件をSP 800-53 Rev.5 Moderateベースラインに厳密に対応付け |
| 3ファミリー新設 | 計画(PL)、システム調達(SA)、サプライチェーン(SR)を追加 |
| ODP(組織定義パラメータ)導入 | 49のODPにより、組織が要件を柔軟にカスタマイズ可能に |
| 基本/派生の区分廃止 | Rev.2の「基本要件」「派生要件」の区分を廃止し、統一的な要件として整理 |
| 要件数の減少 | 110要件→97要件(ただし内容は統合されており、実質的な要求範囲は拡大) |
CMMCとの関係
CMMC(Cybersecurity Maturity Model Certification)は、DoDの契約企業に対するサイバーセキュリティ認証制度です。
| CMMCレベル | 要件 | 評価方法 |
|---|---|---|
| Level 1 | FCI保護(基本的なサイバー衛生)15要件 | 自己評価 |
| Level 2 | CUI保護(SP 800-171の97要件に準拠) | 第三者評価(C3PAO) |
| Level 3 | 高度な脅威への対応(SP 800-172の追加要件) | 政府主導の評価 |
現時点ではDoDはSP 800-171 Rev.2を引き続き準拠基準としていますが、将来的にRev.3への移行が予定されています。
日本企業への影響
- 米国防衛調達に参加する企業:SP 800-171/CMMCへの準拠が入札条件。下請企業も対象
- グローバル製造業:CUIを扱うサプライチェーンの一部として準拠が求められるケースが増加
- セキュリティフレームワークの参考:CUI保護に限らず、SP 800-171の要件は一般的なセキュリティ対策の指針としても有用
まとめ
SP 800-171 Rev.3は17ファミリー・97要件でCUIを保護するガイドラインです。SP 800-53 Moderateベースラインから導出され、CMMCの技術的基盤となっています。米国防衛調達に関わる企業はRev.3への移行準備を進めましょう。