NIST SP 800-53 にすと えすぴー はっぴゃくごじゅうさん
簡単に言うとこんな感じ!
「情報システムをどうやって守ればいいか」を網羅した、アメリカ政府公認の超詳細なセキュリティ対策リストだよ!「チェックリスト1000項目版」みたいなイメージで、官公庁やその取引企業が守るべき対策が全部まとまってるんだ。
NIST SP 800-53とは
NIST SP 800-53(National Institute of Standards and Technology Special Publication 800-53)は、アメリカ国立標準技術研究所(NIST)が発行する連邦政府情報システム向けのセキュリティ・プライバシー管理策カタログです。「管理策(コントロール)」と呼ばれる具体的な対策項目を20のファミリーに整理して列挙しており、組織がどのようにシステムを保護すべきかの指針を提供します。
もともとはアメリカ連邦政府の機関が対象でしたが、現在では民間企業・国際企業・政府系クラウドサービス(FedRAMP)の評価基準としても広く使われています。日本でも政府調達や防衛関連のサプライチェーン審査で参照されるケースが増えており、グローバルビジネスに関わる企業にとっても無視できない規格です。
2020年に公開されたRevision 5(Rev.5)では、プライバシー管理策がセキュリティ管理策と統合され、クラウドやAI・IoTなど現代の技術環境に対応した内容に大幅改訂されました。「セキュリティはITだけの話ではない」という考え方が明確に反映されています。
管理策ファミリーの構造
NIST SP 800-53の管理策は20のファミリーに分類されています。それぞれ略称2文字で識別されます。
| 略称 | ファミリー名 | 主な内容 |
|---|---|---|
| AC | アクセス制御 | ユーザー権限・最小権限の原則 |
| AT | 認識とトレーニング | セキュリティ教育・訓練 |
| AU | 監査と説明責任 | ログ取得・監査証跡 |
| CA | 評価・認可・監視 | システム評価・継続的監視 |
| CM | 構成管理 | システム設定・変更管理 |
| CP | 緊急時計画 | BCP・バックアップ・復旧計画 |
| IA | 識別と認証 | 本人確認・多要素認証 |
| IR | インシデント対応 | インシデント検知・対処・報告 |
| MA | 保守 | システムメンテナンス管理 |
| MP | メディア保護 | 記録媒体の管理・廃棄 |
| PE | 物理的・環境的保護 | 入退室管理・設備保護 |
| PL | 計画 | システムセキュリティ計画書 |
| PM | プログラム管理 | 組織全体のセキュリティプログラム |
| PS | 人的セキュリティ | 採用・退職・バックグラウンド調査 |
| PT | プライバシー管理 | 個人情報の取り扱い(Rev.5追加) |
| RA | リスクアセスメント | リスク評価・脆弱性管理 |
| SA | システムとサービスの取得 | 調達・開発・サプライチェーン |
| SC | システムと通信の保護 | 暗号化・ネットワーク分離 |
| SI | システムと情報の完全性 | マルウェア対策・パッチ管理 |
| SR | サプライチェーンリスク管理 | 調達先・委託先の管理(Rev.5追加) |
インパクトレベルで管理策数が変わる
NIST SP 800-53では、システムの重要度を低(Low)・中(Moderate)・高(High)の3段階に分類し、それぞれ適用すべき管理策の数が変わります。
インパクトレベル 管理策数の目安 適用例
─────────────────────────────────────────────
Low(低) 約100項目 一般的な行政情報システム
Moderate(中) 約300項目 個人情報を扱うシステム
High(高) 約400項目 国家安全保障・重要インフラビジネスで発注する際は「このシステムはModerateレベルで評価する」といった形で合意するのが一般的です。
覚え方のヒント
「800番台=セキュリティ系」と覚えておくと便利です。NISTのSP(Special Publication)シリーズで、800番台はすべてサイバーセキュリティ関連文書。800-53は「53番目の文書=管理策カタログ」です。姉妹文書のSP 800-37(リスク管理フレームワーク)とセットで使われることが多いです。
歴史と背景
- 2002年 — アメリカでFISMA(連邦情報セキュリティ管理法)が制定。連邦機関に情報セキュリティプログラムの整備を義務付け
- 2003年 — FISMA対応のためNISTがSP 800-53の初版(Rev.1相当)を発行
- 2005年 — Rev.1正式公開。連邦政府システムへの適用が本格始動
- 2009年 — Rev.3公開。管理策の構造が現在の形(ファミリー分類)に整備される
- 2013年 — Rev.4公開。プライバシー管理策の強化・モバイル・クラウド対応を追加
- 2017年 — FedRAMP(クラウドサービス向け政府認定プログラム)がSP 800-53 Rev.4を基準に採用。民間クラウド事業者も無視できない規格に
- 2020年 — Rev.5公開。プライバシーとセキュリティの統合、サプライチェーン管理(SR)追加、技術中立的な記述に改訂
- 2023年〜現在 — 日本の経済安全保障・防衛調達でSP 800-171(800-53のサブセット版)が参照され始め、国内企業への影響が拡大
関連フレームワーク・規格との比較
NIST SP 800-53は単独で使うのではなく、他のフレームワークと組み合わせて運用するのが一般的です。
| フレームワーク | 位置づけ | 対象 | SP 800-53との関係 |
|---|---|---|---|
| NIST SP 800-37(RMF) | リスク管理の手順書 | 連邦機関 | 800-53の管理策を「どう適用するか」のプロセスを定義 |
| NIST CSF | 経営層向け指針 | 民間企業全般 | CSFの「サブカテゴリ」は800-53の管理策にマッピング可能 |
| FedRAMP | クラウド認定制度 | クラウドサービス事業者 | 800-53 Rev.5の管理策を基準に審査 |
| SP 800-171 | サブセット版 | 非連邦機関・委託企業 | 800-53から非連邦向けに絞り込んだ110の管理策 |
| CMMC | 防衛調達認定 | 防衛省委託業者 | 800-171をベースに成熟度レベルを追加 |
| ISO/IEC 27001 | 国際標準ISMS | 民間企業全般 | 管理策に部分的な重複あり。相互対応表あり |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| NIST SP 800-53 Rev.5 | セキュリティ・プライバシー管理策カタログ本体(2020年公開) |
| NIST SP 800-37 Rev.2 | リスク管理フレームワーク(RMF)。800-53の適用手順 |
| NIST SP 800-171 Rev.2 | 非連邦機関向けCUI保護(800-53のサブセット) |
| FIPS 199 | 連邦情報システムのカテゴリ化基準(Low/Moderate/Highの定義) |
| FIPS 200 | 連邦情報システムへの最低限のセキュリティ要件 |
関連用語
- NIST CSF — サイバーセキュリティフレームワーク。経営層向けに整理された上位指針
- リスク管理フレームワーク(RMF) — SP 800-37が定める管理策適用の手順プロセス
- FedRAMP — 米国連邦政府向けクラウドサービスの認定制度
- FISMA — SP 800-53誕生のきっかけとなった米国連邦情報セキュリティ管理法
- CMMC — 防衛調達サプライチェーン向けサイバーセキュリティ成熟度認定
- ISO/IEC 27001 — 国際標準の情報セキュリティ管理システム(ISMS)規格
- 脆弱性管理 — RA(リスクアセスメント)ファミリーの中核となる対策プロセス
- サプライチェーンリスク管理 — Rev.5で追加されたSRファミリーの対象領域