情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

昨今の情シスさんのテーマとしては、新型コロナウィルス(COVID-19)に端を発するテレワーク(在宅勤務)対応やそれ以前から課題とされていたDX(デジタルトランスフォーメーション)対応かもしれません。
しかしながら、日本の製造業に関係する企業が忘れてはいけないのが、「NIST SP800-171」です。
(参考:【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

この度、IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で実施、その成果を一般に公開しています。

おさらい:NISTやCSDとは

NIST(National Institute of Standards and Technology:米国国立標準技術研究所)は、科学技術分野における計測と標準に関する研究を行う米国商務省に属する政府機関です。
NIST内には、情報技術に関する研究を行っているITL(Information Technology Laboratory)があります。
ITLは情報技術に関して6つの分野(Security, Information Access, Mathematics and Computational Science, Software Testing, Networking Research, Statistical Engineering)の研究を行っており、そのITLの中でコンピュータセキュリティに関して研究を行い各種文書を発行しているのがCSD(Computer Security Division)と呼ばれる部門になります。
FIPSやSP800シリーズなどの文書も、CSDが発行しています。

CSDが発行する文書

CSDが発行する主な文書としては、以下の4種類に分類されます。

1. Special Publications (SP800シリーズ)

SP800シリーズは、CSDが発行するコンピュータセキュリティ関係のレポートです。
米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書です。

サプライチェーンに求められるセキュリティ対策など参考にしておくと将来役立つかもしれません。

2.FIPS(Federal Information Processing Standards)

米国商務長官の承認を受けて、NISTが公布した情報セキュリティ関連の文書です。SP800シリーズよりFIPSとなったものもあります。
主なターゲットは米国政府ですが、推奨する管理策や要求事項、暗号化やハッシュ化、認証、デジタル署名およびLANのセキュリティなど、分野別に、詳細な基準や要求事項、ガイドラインを示しており、政府機関のみならず、民間企業にとっても、情報セキュリティ対策を考える上で有用な文書といえます。

3.ITL Security Bulletins

不定期に発行されるCSDの会報です。CSDの活動やCSD発行の文書について概要や枠組みが解説されています。

4.NIST IRs(NIST Interagency Reports)

NISTの各内部機関がまとめたレポートです。CSD Annual Report(年次報告書)などがあります。

参照ニーズの高いSP800やFIPSの翻訳から

当面は、米国国立標準技術研究所(NIST)の発行するSP800シリーズとFIPSの中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うような研究もおこなわれます。
当面、米国政府との取引がないのであれば関係のないNIST対応ですが、日本政府もNISTに限りなくの近い対応へと考えていることもあり、関係する企業の情シス担当者は概要だけでも理解しておくべきではないでしょうか。
尚、以下に掲載する翻訳文書は、NISTから事前に承諾を得ているとのことであり、社内基準を見直すなどの際には参考にされるとよいでしょう。

翻訳文書

[OMB文書]

文書番号
(原文発行年月)
タイトル 掲載
OMB M-04-04PDF※1
(2003年12月)
連邦政府機関向けの電子認証にかかわるガイダンス
E-Authentication Guidance for Federal Agencies
2008年
6月

※1:OMB M-04-04 は、OMB (Office of Management and Budget:米国行政管理予算局)が米国各省庁および各政府機関長官宛てに発行したガイダンスであり、NIST SP800-63(電子的認証に関するガイドライン)の上位ポリシーとなります。

[FIPS]

シリーズNo.
(原文発行年月)
タイトル 掲載
FIPS 199PDF
(2004年02月)
連邦政府の情報および情報システムに対するセキュリティ分類規格
Standards for Security Categorization of Federal Information and Information Systems
2006年
8月
FIPS 200PDF
(2006年02月)
連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項
Minimum Security Requirements for Federal Information and Information Systems
2006年
9月
FIPS 201-1PDF
(2006年03月)
連邦職員および委託業者のアイデンティティの検証
Personal Identity Verification (PIV) of Federal Employees and Contractors
2011年
3月

[SP800シリーズ]

シリーズNo.
(原文発行年月)
タイトル 掲載
SP 800-18 rev.1PDF
(2006年02月)
連邦情報システムのためのセキュリティ計画作成ガイド 改訂第1版
Guide for Developing Security Plans for Federal Information Systems
2007年
3月
SP 800-30 rev.1PDF
(2012年09月)
リスクアセスメントの実施の手引き
Guide for Conducting Risk Assessments
2013年
2月
SP 800-34PDF
(2002年06月)
ITシステムのための緊急時対応計画ガイド
Contingency Planning Guide for Information Technology Systems
2005年
11月
SP 800-35PDF
(2003年10月)
ITセキュリティサービスガイド
Guide to Information Technology Security Services
2005年
8月
SP 800-37 rev.1 PDF
(2010年02月)
連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド: セキュリティライフサイクルによるアプローチ
Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach
2011年
3月
SP 800-40 ver.2PDF
(2005年11月)
パッチおよび脆弱性管理プログラムの策定
Creating a Patch and Vulnerability Management Program
2007年
12月
SP 800-45 rev.2PDF
(2007年02月)
電子メールのセキュリティに関するガイドライン
Guidelines on Electronic Mail Security
2010年
1月
SP 800-50PDF
(2003年10月)
ITセキュリティの意識向上およびトレーニングプログラムの構築
Building an Information Technology Security Awareness and Training Program
2005年
8月
SP 800-52 rev.1PDF
(2014年4月)
トランスポート層セキュリティ(TLS)実装の選択、設定、および使用のためのガイドライン
Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations
2017年
1月
SP 800-53 rev.4PDF
(改訂第4版)

(2013年4月)
連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
Recommended Security Controls for Federal Information Systems
2017年
1月
SP 800-55 rev.1PDF
(2008年07月)
情報セキュリティパフォーマンス測定ガイド
Performance Measurement Guide for Information Security
2009年
9月
SP 800-57 Part 1 Rev.4PDF
(2016年1月)
Recommendation for Key Management
Part 1: General
鍵管理における推奨事項
第一部:一般事項
2016年
11月
SP 800-57 Part 3 Rev.1PDF
(2015年1月)
Recommendation for Key Management
Part 3: Application-Specific Key Management Guidance
鍵管理における推奨事項
第三部:アプリケーション特有の鍵管理ガイダンス
2016年
11月
SP 800-60PDF
Volume I

(2004年06月)
第I巻:情報および情報システムのタイプとセキュリティ分類のマッピングガイド
Guide for Mapping Types of Information and Information Systems to Security Categories
2006年
8月
SP 800-60PDF
Volume II

(簡易監修版)
(2004年06月)
第II巻:情報および情報システムのタイプとセキュリティ分類のマッピングガイド 付録
Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories
2006年
8月
SP 800-61 rev.1PDF
(2008年03月)
コンピュータインシデント対応ガイド
Computer Security Incident Handling Guide
2009年
1月
SP 800-63PDF
(2006年04月)
電子的認証に関するガイドライン
Electronic Authentication Guideline
※本文書の上位ポリシーOMB M-04-04の翻訳はこちら
2007年
8月
SP 800-64 rev.2PDF
(2008年10月)
システム開発ライフサイクルにおけるセキュリティの考慮事項
Security Considerations in the System Development Life Cycle
2009年
9月
SP 800-70PDF
(2005年05月)
IT 製品のためのセキュリティ設定チェックリストプログラム – チェックリスト利用者と開発者のための手引き
Security Configuration Checklists Program for IT Products – Guidance for Checklists Users and Developers
2007年
3月
SP 800-73 rev.1PDF
(2005年04月)
個人識別情報の検証インタフェース
Interfaces for Personal Identity Verification
2006年
10月
SP 800-76-1PDF
(2007年01月)
個人識別情報の検証における生体認証データ仕様(改訂版)
Biometric Data Specification for Personal Identity Verification(rev.1)
2009年
10月
SP 800-81PDF
(2006年05月)
セキュアなドメインネームシステム(DNS)の配備ガイド
Secure Domain Name System (DNS) Deployment Guide
2009年
9月
SP 800-82 rev.2
(2015年5月)
産業制御システム(ICS)セキュリティ
Guide to Industrial Control Systems (ICS) Security
2016年
3月
SP 800-83PDF
(2005年11月)
マルウェアによるインシデントの防止と対応のためのガイド
Guide to Malware Incident Prevention and Handling
2008年
9月
SP 800-84PDF
(2006年09月)
IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド
Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities
2009年
2月
SP 800-86PDF
(2006年08月)
インシデント対応へのフォレンジック技法の統合に関するガイド
Guide to Integrating Forensic Techniques into Incident Response
2009年
9月
SP 800-88PDF
(2006年09月)
媒体のサニタイズに関するガイドライン
Guidelines for Media Sanitization
2009年
9月
SP 800-92PDF
(2006年09月)
コンピュータセキュリティログ管理ガイド
Guide to Computer Security Log Management
2009年
3月
SP 800-94PDF
(2007年02月)
侵入検知および侵入防止システム(IDPS)に関するガイド
Guide to Intrusion Detection and Prevention Systems (IDPS)
2011年
3月
SP 800-130PDF
(2013年08月)
暗号鍵管理システム設計のフレームワーク
A Framework for Designing Cryptographic Key Management Systems
2020年
7月
SP 800-144PDF
(2011年12月)
パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン
Guidelines on Security and Privacy in Public Cloud Computing
2014年
3月
SP 800-145PDF
(2011年09月)
NISTによるクラウドコンピューティングの定義
The NIST Definition of Cloud Computing
2011年
12月
SP 800-146PDF
(2012年05月)
クラウドコンピューティングの概要と推奨事項
Cloud Computing Synopsis and Recommendations
2012年
8月
SP 800-171 rev.1PDF
(2016年12月)
連邦政府外のシステムと組織における管理された非格付け情報の保護
Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
2017年
2月
SP800-190 rev.1PDF
(2017年9月)
アプリケーションコンテナセキュリティガイド
Application Container Security Guide
2020年
9月

注:SP800-26 は、廃止文書となりました。管理策のアセスメントに関しては、第三者によるアセスメント、セルフアセスメントのいずれも、参照文書は、SP800-53Aとなります。
SP800-26に記載のあった、The system reporting についてはNIST SP800-53A に、The FITSAF Security Program Maturity Levels については SP800-100 に記載されています。
注2:SP800-33、SP800-42、SP800-65 は、廃止文書となりました。

注3:SP800-53 rev.2 Annex1, 2, 3 の掲載を終了しました。

注4:SP 800-82は、JPCERT/CCが翻訳・公開している資料です。同資料の掲載については、JPCERT/CCの許可を得ています。

 

[その他のNIST文書]

文書名
(原文発行年月)
タイトル 掲載
Cybersecurity
Framework
Version 1.1
(2018年04月)
重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版
Framework for Improving Critical Infrastructure Cybersecurity Version 1.1
PDF (原文)  (頁対訳)     Core  (原文)  (和訳)
2019年
1月
<免責事項>
ここに公開されている海外セキュリティ関連文書は、原文にできるだけ忠実に翻訳するよう努めていますが、完全性、正確性を保証するものではありません。
翻訳監修主体(IPA及びNRIセキュアテクノロジーズ(株))は、本翻訳物に記載されている情報より生じる損失または損害に対して、いかなる人物あるいは団体にも責任を負うものではありません。
原文のありのままの内容を理解する必要のある場合は、以下の原文をお読み下さい。

 


本内容は、IPA様のプレスリリースを元に作成しております。
ソース:https://www.ipa.go.jp/security/publications/nist/index.html

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラスト#02:ゼロトラストモデルが求める7つの要件とは

  2. 怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

  3. 中小企業向けテレワーク(在宅勤務)ツール14選~コラボ業務編~

  4. 情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

  5. 松田軽太の「一人情シスのすゝめ」#11:複雑な関数やVBAをやめたら属人化Excelは無くなるのか?

  6. いまさら聞けない【情シス知識】SSLとTLSって何?

  7. シリーズ”ウィズコロナ”#01:テレワークと安全配慮義務

  8. 「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

  9. テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ-セキュリティブログ

  10. 【知っ得スキル】もらってうれしいRFP ~第2章~システム要件

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Google検索におけるページランクのアルゴリズムやChromeの安全性を高めるための手段として、「…
  2. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  3. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  4. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
ページ上部へ戻る