DXとセキュリティをともに推進するポイント 第4回 海外と日本のセキュリティガイドラインの決定的な違いとは

同じくNISTが発行しているSP（Special Publication）800は、コンピュータセキュリティに関する研究、ガイドラインなどをまとめたものだ。機密情報を扱う政府機関向けの「SP800-53：組織と情報システムのためのセキュリティおよびプライバシー管理策」や、機密未満の重要情報を扱う組織向けの「SP800-171：非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」、ゼロトラストという概念の共通認識を形づくる「SP800-207：ゼロトラストアーキテクチャ」などが日本でもよく知られており、世界的に参照・導入されている。

日本の防衛省も2022年からNIST SP800-171に準拠したセキュリティ体制を契約企業に求めていたり、今後は経済産業省によるサイバー攻撃への対応に関わる格付けにおいても重要な位置を占めたりすると考えられている。

NIST SP800-171は連邦政府が保持する重要情報が重要インフラ企業等で取り扱われる際に求められる「重要情報を保護するための具体的なセキュリティ推奨要件」であるが、CSFの考え方に立脚しており、特にサプライチェーンを通じた情報漏えいを防ぐことを目的に、委託先に求めるセキュリティ対策をまとめている。その内容は、アクセス制御や認証といった技術的要件77項目に加え、監査や訓練、インシデント対応など非技術要件33項目を加えた110項目で構成される。網羅性が高く、内容も具体的なことから、日本を含む一般企業でも広く参照されている。
米国のセキュリティガイドラインはSP 800が主流

米国のセキュリティガイドラインは、CSFに集約された考え方を基本としたSP 800シリーズが主流となっており、環境や攻撃手法の変化に合わせて定期的にアップデートされている。

NIST CSFは2024年2月26日に2.0が正式に公開され、適用範囲が以前の重要インフラ事業者から広く一般企業やそのサプライチェーンにまで拡大された。具体的な技術要件やアクションアイテムが記載されるNIST SP 800-53や171もゼロトラストの考え方がより明確に反映されながら、定期的に改訂が行われている。

NIST CSF 2.0では従来の識別、防御、検知、対応、復旧に加え、その中心に統治（Govern）が設定された。つまり5つの構成要素に対しガバナンスを効かせることで、サイバーセキュリティリスク管理の取り組みをさらに強化する狙いがある。技術的な対応にとどまらず、経営陣のリーダーシップによる戦略的かつ全社的体制作りを重視している。