突然ですが、情報セキュリティに携わる皆様ならもう常識?
私はつい先日、この言葉を初めて耳にしました。
NISTとは、National Institute of Standards and Technologyの略で「米国国立標準技術研究所」という機関だそうです。
Wikiさんの引用では、経済的(安全)保障を強化し生活の質を高めるような手法で、計量学や標準規格、産業技術を進歩させることによって、アメリカの技術革新と産業競争力を促進すること、、、とあります。
実は、このNISTさんが出している、あるガイドラインがあるんです。
それが、「NIST SP800-171」
この 「NIST SP800-171」 というガイドラインが、アメリカ政府がセキュリティ基準への準拠を求めたものらしく、この要件に見合わないと、色々とまずいらしいんです。
セキュリティ初心者には抑えておいた方が
具体的には、CUIと呼ばれる保全が必要な情報(Controlled Unclassified Information)を取り扱うには、調達先企業などが守らなくてはいけないセキュリティ要件が14分野109項目あると言うんです。
つまり、このセキュリティ要件を満たしていないものは、アメリカ政府は買うことができませんよ、ということになります。
日本でも、アメリカの政府機関とビジネスをする会社は、この 「NIST SP800-171」 をクリアする為に色々大変な思いをされていると思います。
厳しいですね・・・
そして、ここにはセキュリティ要件がたっぷり盛り込まれているんです。
その要件14分野は以下の通りです。
NIST 800-171 COMPLIANCE
ざっくりわかってもらえてましたか?
基準を守ることで、優遇されるもの、排除されるもの、色々あると思いますが、このようなものが世の中にあるんですと、ということがご理解いただけたら幸いです。
日本の防衛装備庁も、この基準を参考に高い取り組みをされています。
詳しくは、防衛装備庁のページをご覧ください。
防衛装備庁ホームページ内
技術シンポジウム2019【防衛装備庁における情報セキュリティ基準の改正に係る取組】(pdf)
IPA、防衛装備庁、NIST