突然ですが、情報セキュリティに携わる皆様ならもう常識？
私はつい先日、この言葉を初めて耳にしました。

NISTとは、National Institute of Standards and Technologyの略で「米国国立標準技術研究所」という機関だそうです。

Wikiさんの引用では、経済的（安全）保障を強化し生活の質を高めるような手法で、計量学や標準規格、産業技術を進歩させることによって、アメリカの技術革新と産業競争力を促進すること、、、とあります。

実は、このNISTさんが出している、あるガイドラインがあるんです。
それが、「NIST SP800-171」

この 「NIST SP800-171」 というガイドラインが、アメリカ政府がセキュリティ基準への準拠を求めたものらしく、この要件に見合わないと、色々とまずいらしいんです。

セキュリティ初心者には抑えておいた方が

具体的には、CUIと呼ばれる保全が必要な情報（Controlled Unclassified Information）を取り扱うには、調達先企業などが守らなくてはいけないセキュリティ要件が14分野109項目あると言うんです。

つまり、このセキュリティ要件を満たしていないものは、アメリカ政府は買うことができませんよ、ということになります。

日本でも、アメリカの政府機関とビジネスをする会社は、この 「NIST SP800-171」 をクリアする為に色々大変な思いをされていると思います。

厳しいですね・・・

そして、ここにはセキュリティ要件がたっぷり盛り込まれているんです。

その要件14分野は以下の通りです。

ざっくりわかってもらえてましたか？

基準を守ることで、優遇されるもの、排除されるもの、色々あると思いますが、このようなものが世の中にあるんですと、ということがご理解いただけたら幸いです。

日本の防衛装備庁も、この基準を参考に高い取り組みをされています。
詳しくは、防衛装備庁のページをご覧ください。

- 参考文献 -

防衛装備庁ホームページ内
技術シンポジウム2019【防衛装備庁における情報セキュリティ基準の改正に係る取組】(pdf)

- 引用先 -

IPA、防衛装備庁、NIST