SP 800-172とは——「171の上」に積まれる拡張要件

NIST SP 800-172「Enhanced Security Requirements for Protecting Controlled Unclassified Information」は、NIST SP 800-171補足(Supplement)として上乗せされる拡張セキュリティ要件です。2021年2月に初版が公開され、その後SP 800-171 Rev.3との整合を図った改訂版(Rev.3)が公開されています。

SP 800-171が「CUI(管理対象非機密情報)を扱うすべての民間システム」を対象とする標準的な保護なのに対し、SP 800-172は重要プログラム・高価値資産(critical programs / high value assets)に関連するCUIを、APT(Advanced Persistent Threat:国家支援型などの高度持続的脅威)から守ることを目的とします。

🔑 この記事の要点
  • SP 800-172はSP 800-171の110要件を満たした上で適用される拡張要件(初版は35の拡張要件)
  • 想定する敵はAPT。「侵入される前提」で設計・運用・回復力を要求する
  • CMMCではLevel 3の根拠基準。評価は政府主導(DIBCAC)で、Phase 3(2027年11月〜)から要求開始
  • 対象となる日本企業はごく一部。自社が本当にLevel 3対象かの見極めが最初の仕事

3つの防御戦略——「侵入されない」から「侵入されても戦える」へ

SP 800-172の要件は、APTに対する次の3つの戦略を実現するために構成されています。SP 800-171が「境界を守る」発想だとすれば、SP 800-172は「侵入は起こる」前提で被害を限定し、事業を継続する発想です。

戦略狙い要件の例
① 侵入耐性アーキテクチャ
(Penetration-Resistant Architecture)		侵入の成功率と到達範囲を構造的に下げるネットワークの論理・物理セグメンテーション、重要資産の分離、信頼性検証済みコンポーネントの利用
② 被害限定運用
(Damage-Limiting Operations)		侵入されても検知・封じ込めで被害を最小化する24時間体制のSOC、脅威ハンティング、サイバーデセプション(偽装環境・おとり)、二重承認(dual authorization)
③ サイバーレジリエンスと生存性
(Cyber Resiliency & Survivability)		攻撃下でもミッションを継続・回復できるようにする多様性・冗長性の確保、改ざん検知と既知良好状態への復元、定期的なリフレッシュ(システム再構築)

代表的な拡張要件

初版(2021年)はSP 800-171の14ファミリーに対応する35の拡張要件で構成されています。SP 800-171との「質の違い」がわかる代表例を挙げます。

  • 二重承認(Dual Authorization):重要な操作(システム変更・CUIの大量持出等)に2名の承認を要求。内部不正・アカウント乗っ取り単独では実行できなくする
  • 脅威ハンティング:アラートを待つのではなく、侵害の痕跡を能動的に探索する活動を継続的に実施。SOC体制と専門人材が前提
  • 脅威インテリジェンスの活用:外部の脅威情報をリスク評価・防御策・ハンティングに反映する運用ループ
  • サイバーデセプション:おとり環境・偽情報により攻撃者の行動を攪乱・検知
  • 定期的なシステムリフレッシュ:潜伏した攻撃者を排除するため、既知の良好な状態からシステムを定期的に再構築
  • サプライチェーンの検証強化:調達コンポーネントの真正性確認、改ざん検知

一見して明らかなとおり、これらはツール導入ではなく「専門人材を擁する継続運用」を要求するものです。SP 800-171までは構成と設定で到達できても、SP 800-172は体制投資の世界に入ります。

CMMC Level 3との関係

項目内容
根拠基準SP 800-171の110要件+SP 800-172から選定された24の拡張要件(DoDがパラメータを指定)
前提条件Level 2のC3PAO認証(最終認証)を先に取得していること
評価主体政府主導評価(DIBCAC:国防契約管理庁のサイバー評価部門)。民間C3PAOでは評価できない
有効期間3年+年次宣誓(Level 2と同様の枠組み)
適用時期段階導入のPhase 3(2027年11月〜)から該当調達で要求開始
対象最重要プログラムに関わるごく一部の契約。DoDが契約ごとに指定

つまりLevel 3は「Level 2の延長で頑張れば届く」ものではなく、Level 2認証→政府評価→24拡張要件の継続運用という別次元のコミットメントです。段階導入スケジュール全体はCMMC 2.0実務対応ガイドを参照してください。

対象になる企業・ならない企業——過剰対応を避ける

  • 対象になり得る:最重要装備品プログラムの中核技術を担い、DoDまたはプライムから明示的にLevel 3相当を指定された企業
  • 対象にならない(大多数):一般的なCUIを扱うサプライヤーはLevel 2まで。契約で指定されていないのにSP 800-172対応へ投資するのは過剰対応であり、まずLevel 2(SP 800-171)の完全実装と維持に資源を集中すべき
  • 判断の起点:契約・引合いに記載されたCMMCレベルの指定。不明ならプライムに書面で確認する(DFARS条項の確認ポイント参照)

一方で、Level 3対象でなくとも、SP 800-172の発想——「侵入される前提」の検知・封じ込め・回復力——は、ランサムウェア対策など一般企業のセキュリティ設計にもそのまま応用できる優れた指針です。

対応の考え方(Level 3を指定された場合)

  1. Level 2の完全実装が前提:POA&M頼みの状態ではLevel 3の議論に入れない。まずエンクレーブを含むLevel 2基盤を固める
  2. 24時間監視体制の確保:自前SOCが現実的でない規模なら、MDR/マネージドSOCの活用を検討。Microsoft環境ならDefender XDR+Sentinelを核に、ハンティングクエリの定常運用を設計
  3. 二重承認・特権管理の強化:PIMの承認フロー、重要操作の職務分離をプロセスとして文書化
  4. 回復力の設計:既知良好状態への復元手段(イミュータブルバックアップ、再構築手順)と訓練
  5. 政府評価への備え:DIBCAC評価は文書と実運用の突合が厳格。運用記録(ハンティング結果・訓練記録・承認ログ)を日常的に残す

まとめ

NIST SP 800-172は、SP 800-171の上位に積まれるAPT対策の拡張要件であり、CMMC Level 3(政府主導評価・2027年11月Phase 3〜)の根拠基準です。要求されるのはツールではなく24時間監視・脅威ハンティング・二重承認といった継続的な運用体制であり、対象は最重要プログラムに関わるごく一部の企業に限られます。大多数のサプライヤーはLevel 2(SP 800-171)の完全実装に集中しつつ、「侵入される前提」の設計思想だけは自社のセキュリティに取り入れる——これが現実的な向き合い方です。

BTNコンサルティングでは、CMMCレベルの見極め(契約要件の整理)からSP 800-171/172のギャップ分析、Microsoft環境での監視・検知体制の設計までをITコンサルティングとして支援しています。60分の無料相談からお気軽にどうぞ。

関連記事・参考リンク
CMMC 2.0実務対応ガイド2026CMMC 2.0解説(制度概要)NIST SP 800-171解説M365でのCUIエンクレーブ構築DFARS条項とインシデント報告義務ゼロトラスト解説NIST SP 800-172(原文) ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。