SP 800-53とは
NIST SP 800-53 Rev.5「Security and Privacy Controls for Information Systems and Organizations」(2020年公開、2024年にRelease 5.2.0へ更新)は、情報システムのセキュリティとプライバシーを保護するための管理策(コントロール)のカタログです。NISTの全セキュリティフレームワークの中で最も中核的な文書であり、他の多くのSPや国際標準(ISO 27001等)の参照元となっています。
Rev.5ではセキュリティとプライバシーの管理策が統合され、20のコントロールファミリーに1,000以上の管理策が体系化されています。
20のコントロールファミリー
| ID | ファミリー | 管理策数 | 概要 |
|---|---|---|---|
| AC | アクセス制御 | 25 | ユーザー認証、権限管理、セッション管理 |
| AT | 意識向上・研修 | 6 | セキュリティ教育・訓練プログラム |
| AU | 監査・説明責任 | 16 | ログ取得・保管・分析・保護 |
| CA | 評価・認可・監視 | 9 | セキュリティ評価、運用認可、継続的監視 |
| CM | 構成管理 | 14 | ベースライン構成、変更管理、ソフトウェア管理 |
| CP | 事業継続計画 | 13 | バックアップ、復旧計画、代替処理 |
| IA | 識別・認証 | 12 | ユーザーID管理、MFA、パスワード方針 |
| IR | インシデント対応 | 10 | インシデント検知・分析・封じ込め・復旧 |
| MA | メンテナンス | 7 | システム保守、リモートメンテナンス管理 |
| MP | メディア保護 | 8 | USB・ディスク等の記録媒体の管理・廃棄 |
| PE | 物理・環境保護 | 23 | 入退室管理、電源保護、環境制御 |
| PL | 計画 | 11 | セキュリティ計画書、利用規程 |
| PM | プログラム管理 | 32 | 組織全体のセキュリティプログラム |
| PS | 人的セキュリティ | 9 | 採用時審査、退職時対応、異動時管理 |
| PT | PII処理・透明性 | 8 | 個人情報の処理制限、同意管理、プライバシー通知 |
| RA | リスク評価 | 10 | 脆弱性スキャン、脅威分析、リスク評価 |
| SA | システム・サービス調達 | 23 | 調達時のセキュリティ要件、開発セキュリティ |
| SC | システム・通信保護 | 51 | 暗号化、境界防御、通信保護 |
| SI | システム・情報の完全性 | 23 | マルウェア対策、パッチ管理、入力検証 |
| SR | サプライチェーンリスク管理 | 12 | サプライチェーンの評価・監視・保護 |
管理策の構造
各管理策は以下の要素で構成されています。
- 管理策ID:例 AC-2(アクセス制御ファミリーの2番目)
- 管理策名:例「Account Management(アカウント管理)」
- 管理策の記述:組織が実施すべき具体的な要件
- 補足ガイダンス:管理策の背景・意図・実装の指針
- 管理策の拡張(Enhancement):基本管理策に追加できる強化要件
- 関連管理策:他のファミリーの関連する管理策への参照
ベースラインの選定
SP 800-53B(Control Baselines)で、システムの影響度に応じた3つのベースラインが定義されています。
| ベースライン | 影響度 | 管理策数(目安) | 適したシステム |
|---|---|---|---|
| Low | 低 | 約130 | 公開情報のみを扱うシステム |
| Moderate | 中 | 約287 | 一般的な業務システム、個人情報を扱うシステム |
| High | 高 | 約370+ | 国家安全保障、金融システム、重要インフラ |
中小企業の一般的な業務システムはModerateベースラインを参照するケースが多く、SP 800-171もこのModerateベースラインから導出されています。
SP 800-171/CMMCとの関係
| 文書 | SP 800-53との関係 |
|---|---|
| SP 800-171 Rev.3 | SP 800-53 Moderateベースラインから、CUI保護に必要な管理策を抽出(97要件) |
| CMMC | SP 800-171をベースとした米国防総省の認証制度 |
| FedRAMP | SP 800-53のModerate/Highベースラインに基づくクラウドセキュリティ認証 |
| ISO 27001 | SP 800-53との対応表(マッピング)がNISTから提供されている |
まとめ
SP 800-53はNISTのセキュリティ管理策の「総本山」です。20ファミリー・1,000超の管理策から、システムの影響度に応じたベースライン(Low/Moderate/High)を選定して適用します。SP 800-171やCMMC、FedRAMPの根拠となるため、セキュリティ管理の共通言語として理解しておくことが重要です。