NIST 800-172について知っておくべきこと
NIST 800-172は、米国国立標準技術研究所(NIST)が発行した特別出版物で、高度なセキュリティ要件を示しています。2021年2月に制定され、その主な目的は、非連邦システムおよび組織における制御されていない分類情報(CUI)の保護を強化することです。NIST 800-172は、国家安全保障に影響を与える可能性のある機密情報を交換する政府機関およびその民間セクターパートナーにとって特に重要です。したがって、基本的なセキュリティ対策を超え、警戒を強化し、堅牢な防御メカニズムの必要性を強調しています。
サイバー脅威がますます巧妙化する中、NIST 800-172は、持続的標的型攻撃(APT)に関連するリスクを軽減するための包括的なフレームワークを提供することを目指しています。NIST 800-172のガイドラインに従うことで、組織はセキュリティ体制を大幅に改善し、重要なデータとインフラの安全性を確保できます。
NIST 800-172とは何ですか?
NIST 800-172は、米国国立標準技術研究所(NIST)が開発した特別出版物です。非連邦システムおよび組織における制御されていない分類情報(CUI)を保護するために特別に設計された高度なセキュリティ要件の包括的なセットを提供します。この出版物は、CUIの基本的な保護措置を確立するNIST特別出版物800-171に基づいています。
NIST 800-172は、より広範な脅威ベクトルに対応する強化されたコントロールと要件を導入し、機密情報を扱う組織のセキュリティ体制を強化することを目的としています。この文書は、特に重要インフラ、防衛、その他の高リスク環境に従事する産業やセクターに関連しており、セキュリティ侵害の潜在的な結果が特に深刻です。
主要な原則には、層状のセキュリティ戦略、積極的な脅威検出、および迅速なインシデント対応が含まれます。層状のセキュリティ、または多層防御としても知られるこの戦略は、機密情報を保護するために複数の防御メカニズムを実装することを含みます。この原則は、1つの層が侵害された場合でも、追加の層が保護を提供することを保証します。積極的な脅威検出は、重大な被害を引き起こす前に脅威を特定し対抗するための継続的な監視と分析を含みます。最後に、迅速なインシデント対応は、組織がセキュリティインシデントから迅速に緩和し回復できることを保証し、潜在的な被害を最小限に抑えます。
これらおよびその他の厳格な措置を概説することにより、NIST 800-172は、巧妙なサイバー脅威および敵対的活動に対するより高いレベルの保護を確保しようとしています。ガイドラインは、組織が強固なサイバーセキュリティ慣行を実施するのを支援し、無許可のアクセス、データ侵害、その他のセキュリティインシデントのリスクを最小限に抑えることを目的としています。全体として、NIST 800-172は、NISTによって確立されたより広範なサイバーセキュリティフレームワークの重要な構成要素として機能し、米国の情報システムおよびインフラの回復力とセキュリティを強化することを目指しています。
NIST 800-172の要件
NIST 800-172に準拠するためには、組織はサイバーセキュリティ体制を強化するために設計された一連の要件に従う必要があります。これらの要件には以下が含まれます:
- 強化されたセキュリティコントロール: NIST 800-172は、NIST 800-171の基本的なコントロールを超える特定の強化されたセキュリティ要件を示しています。これには、持続的な監視とインシデント対応能力などの高度な措置が含まれ、潜在的なセキュリティ脅威が迅速に検出および緩和されることを保証します。
- 脅威インテリジェンスと協力: 組織は、関連する当事者と脅威インテリジェンスを収集、分析、共有するプロセスを実施する必要があります。この協力的なアプローチは、セキュリティ脅威に事前に対処し、全体的なセキュリティの回復力を高めるのに役立ちます。
- 重要情報の保護: 高度な持続的脅威(APT)から重要なCUIを保護するために追加の措置が必要です。これには、データの保存中および転送中の暗号化が含まれ、機密情報が無許可のユーザーに簡単にアクセスされないようにします。
- 継続的な監視と対応: NIST 800-172に準拠するためには、ネットワーク、システム、およびアプリケーションの継続的な監視が必要であり、リアルタイムで異常を検出し対応します。この積極的なアプローチは、脆弱性が迅速に対処されることを保証します。
- インシデント対応と回復計画: 組織は、サイバー攻撃が発生した場合に迅速に発動できる包括的なインシデント対応計画を持っている必要があります。これらの計画は、影響を最小限に抑えるための封じ込め、根絶、および回復の手順を示す必要があります。
これらの要件を理解し実施することで、CUIの保護を大幅に強化し、巧妙なサイバー脅威に対する強固なセキュリティを確保できます。
重要なポイント
-
高度なセキュリティフレームワーク
NIST 800-172は、非連邦システムにおける制御されていない分類情報(CUI)の保護を目的とした強化されたセキュリティ要件を導入することで、NIST 800-171の基本的なコントロールを基に構築されています。このフレームワークは、持続的標的型攻撃(APT)に対抗し、強固なセキュリティ体制を確保するために重要です。
-
適用性と重要性
NIST 800-172は主に連邦機関とその請負業者に適用され、防衛、IT、研究などのセクターを含みます。侵害された場合、国家安全保障に影響を与える可能性のある機密情報を交換する組織にとって重要です。
-
主要な構成要素
NIST 800-172は、層状のセキュリティ戦略、積極的な脅威検出、および迅速なインシデント対応を強調しています。このアプローチは、複数の防御層の実装、継続的な監視、およびリスクを効果的に軽減するためのタイムリーな対応を含みます。
-
他の規格との関係
NIST 800-172の準拠は、CMMC、FedRAMP、ITARなどのフレームワークに明示的に義務付けられているわけではありませんが、その基準に従うことで、これらおよび他の規制要件を満たすのに役立ちます。これらのフレームワーク間の相互作用を理解することは、包括的なセキュリティコンプライアンスに役立ちます。
-
コンプライアンスと実施
NIST 800-172のコンプライアンスを達成するには、高度な監視、強力な認証、インシデント対応計画などの包括的なアクションチェックリストに従う必要があります。実施するには、現在のセキュリティ対策を評価し、詳細なセキュリティ計画を策定し、適切な技術に投資します。
NIST 800-172とNIST 800-171の違い
NIST 800-172とNIST 800-171はどちらもCUIの保護を扱っていますが、異なるレベルのセキュリティ要件に対応しています。以前に確立されたNIST 800-171は、非連邦情報システム内でCUIを保護するための基準を提供します。組織が機密情報を保護するために実施すべき基本的なコントロールと慣行を定めています。
対照的に、NIST 800-172は、これらの基本的なコントロールを補完し、高度な脅威に対抗するためのより厳格な措置を導入しています。NIST 800-171が強固なセキュリティ基盤を確立することに焦点を当てている一方で、NIST 800-172はそれを基に構築し、保護レベルを高めるためのギャップを埋めます。高度に機密性の高い情報を扱う組織や、より巧妙なサイバー脅威に直面している組織は、包括的なセキュリティコンプライアンスを達成するために両方の基準に従うことを検討すべきです。
NIST 800-172に準拠する必要があるのは誰ですか?
NIST 800-172は、制御されていない分類情報(CUI)を扱う連邦機関およびその請負業者に適用されます。例として、防衛請負業者、サイバーセキュリティ企業、クラウドサービスプロバイダー、航空宇宙企業、研究機関、ITサービスプロバイダーが含まれます。これらの組織は、NIST 800-171の要件を超える厳格なセキュリティ要件に従う必要があります。組織は、NIST 800-172の要件を満たすための包括的なチェックリストに従う必要があります。
組織はしばしばNIST 800-172とNIST 800-171の違いを区別するのに苦労しますが、具体的な内容を理解することでデータ保護が向上します。NIST 800-172のコンプライアンスを目指す組織にとって、よく構造化されたコンプライアンスチェックリストは不可欠です。このチェックリストには、多要素認証の採用、継続的な監視、インシデント対応などの高度な慣行が含まれます。NIST 800-172の原則に従うことで、組織はリスクを効果的に軽減できます。
NIST 800-172に準拠するためには、高度な暗号化保護、持続的な監視、即時の脅威対応を含む厳格な措置を実施する必要があります。NIST 800-172にどのように準拠するかを知ることは難しいかもしれませんが、成功するための包括的なガイドラインとリソースが利用可能です。NIST 800-172の実施プロセスを理解し、そのコンプライアンス要件に従うことで、機密情報を効果的に保護できます。
FedRAMP、CMMC、ITARまたは類似の規制に対してNIST 800-172のコンプライアンスは必要ですか?
組織はしばしば、FedRAMP、CMMC、ITARなどの他のフレームワークとの重複を考慮しながら、NIST 800-172にどのように準拠するかを疑問に思います。NIST 800-172とこれらの個々の規制との関係を詳しく見てみましょう。
NIST 800-172とCMMC
サイバーセキュリティ成熟度モデル認証(CMMC)2.0のコンプライアンスには、NIST SP 800-172の準拠が明示的に必要ではありません。しかし、これらの基準とフレームワークの関係を理解することは、その影響を完全に把握するために重要です。CMMC 2.0は、制御されていない分類情報(CUI)および連邦契約情報(FCI)を防衛産業基盤(DIB)内で保護するために設計されており、サイバーセキュリティ成熟度の3つのレベルを含んでいます。CMMCレベル1(基礎)は、FAR 52.204-21に見られる17の基本的なセキュリティ慣行と整合しています。CMMCレベル2(高度)は、NIST SP 800-171で定義された110のセキュリティコントロールと密接に整合しています。CMMCレベル3(エキスパート)は、NIST SP 800-172などの基準に影響を受けていますが、直接的な1対1のマッピングは含まれていません。要するに、CMMCレベル3はNIST SP 800-172の完全な準拠を明示的に義務付けていません。
NIST 800-172とFedRAMP
FedRAMP(連邦リスク承認管理プログラム)は、クラウド製品およびサービスのためのセキュリティ評価、承認、および継続的な監視を標準化する米国政府のプログラムです。FedRAMPのコンプライアンスは主に、クラウドサービスに関連する特定のニーズとリスクに合わせて調整されたNIST SP 800-53に概説されたコントロールに従うことに焦点を当てています。NIST SP 800-172の準拠はFedRAMPの承認に対する特定の要件ではありませんが、進化するセキュリティニーズと法的変更に基づいて、将来の更新で追加の基準や要件が統合される可能性があります。
NIST 800-172とITAR
国際武器取引規則(ITAR)は、防衛関連の物品およびサービスの輸出入を管理する米国政府の規制のセットです。ITARのコンプライアンスは主に、技術データおよび防衛関連情報の保護に焦点を当てており、適切な承認なしに外国のエンティティの手に渡らないようにすることを目的としています。ITARはNIST 800-172の準拠を具体的に義務付けていませんが、ITAR関連データと制御されていない分類情報の両方を扱う組織は、全体的なセキュリティ体制を強化するためにNIST 800-172またはNIST 800-171の基準を実施することが有益であると考えるかもしれません。ITARのコンプライアンスには、物理的なセキュリティ、人物の審査、アクセス制御、サイバーセキュリティ対策など、複数の層のコントロールが含まれることがよくあります。NISTフレームワークを使用することで、これらのサイバーセキュリティ要件の一部を満たすのに役立ちますが、NIST 800-172に厳密に従うことはITARの下での規制要件ではありません。
したがって、NIST 800-172の準拠はCMMC、FedRAMP、またはITARに対して明示的に必要ではありませんが、NIST 800-172の準拠を示すか、あるいはNIST 800-172の基準の一部に従う組織は、セキュリティ体制を大幅に強化し、複数の規制要件を満たすのを容易にすることができます。
NIST 800-172に準拠しないことのリスク
NIST 800-172に準拠しないことは、組織にいくつかの重大なリスクをもたらします。最も差し迫った危険の1つは、データ侵害の可能性が高まることであり、これにより機密情報の喪失や盗難が発生する可能性があります。これにより、CUIの機密性が損なわれるだけでなく、政府機関とそのパートナー間の信頼も損なわれます。
非準拠はまた、深刻な財務的および法的な影響を引き起こす可能性があります。組織は罰金、罰則、訴訟に直面する可能性があり、リソースに負担をかけ、全体的な運用効率に影響を与える可能性があります。さらに、セキュリティ体制が損なわれると、組織の評判が傷つき、将来の契約や協力を確保することが難しくなります。
NIST 800-172に準拠する方法
NIST 800-172に準拠するためには、一連の明確に定義されたステップを踏む必要があります。まず、組織は現在のセキュリティ体制を徹底的に評価する必要があります。これには、既存のコントロールを特定し、その有効性を評価し、改善が必要な領域を特定することが含まれます。
次に、組織はNIST 800-172の特定の要件に対応する包括的なセキュリティ計画を策定し実施する必要があります。この計画には、監視、認証、冗長性、評価、インシデント対応、トレーニングのための詳細な手順が含まれている必要があります。各領域は、継続的なコンプライアンスを確保するために、細心の注意を払って文書化され、定期的にレビューされる必要があります。
さらに、組織はNIST 800-172の原則と要件をサポートする高度なセキュリティ技術とツールに投資する必要があります。これには、侵入検知システム、セキュリティ情報およびイベント管理(SIEM)ソリューション、および高度な認証プラットフォームが含まれる場合があります。
NIST 800-172コンプライアンスチェックリスト
NIST 800-172に準拠するには、組織は一連の包括的なアクションとコントロールのチェックリストに従う必要があります。注目すべき主要な領域には以下が含まれます:
- 監視能力の強化: 高度な監視ツールを実装して、リアルタイムで脅威を検出し対応します。
- 高度な認証メカニズムの実装: 多要素認証やその他の高度な技術を使用してユーザーの身元を確認します。
- 重要なシステムの冗長性の確保: 侵害が発生した場合に運用の継続性を確保するためにバックアップシステムを開発し維持します。
- 定期的なセキュリティ評価の実施: 脆弱性を特定し、迅速に対処するために頻繁に評価を行います。
- インシデント対応計画の策定: セキュリティインシデントに対応し回復するための計画を作成し、定期的に更新します。
- スタッフにセキュリティのベストプラクティスと脅威認識について教育し、高いレベルのセキュリティ文化を維持します。
- セキュリティ対策の監視と改善: 組織はまた、セキュリティの取り組みを継続的に監視し改善する必要があります。このアプローチは、防御が進化する脅威に対して堅牢であり続け、CUIの整合性と機密性を維持することを保証します。
NIST 800-172を実施する方法
NIST 800-172を実施するには、よく構造化され組織化されたアプローチが必要です。組織は、実施プロセスを監督するために専任のサイバーセキュリティ専門家チームを編成することから始めるべきです。このチームは、リスク管理、インシデント対応、セキュリティ技術、コンプライアンスの専門知識を持つ個人で構成されるべきです。次に、チームは、コンプライアンスを達成するために必要なステップとタイムラインを示す包括的な実施ロードマップを開発する必要があります。このロードマップは、最も重要な領域に最初に対処することを優先し、最も機密性の高い情報とシステムが即座に注目されることを保証する必要があります。また、進捗を監視し、必要に応じて調整を行うための明確に定義されたマイルストーンとチェックポイントを含める必要があります。
成功した実施には、外部パートナーおよび利害関係者との協力も必要です。これは、政府機関と民間セクターパートナーがセキュリティ慣行を一致させ、新たな脅威とベストプラクティスに関する情報を積極的に共有する必要があることを意味します。このような協力は、全体的なセキュリティを強化するだけでなく、関与するすべての当事者間で共有責任の文化を育むことにもつながります。
Kiteworksは政府請負業者がNIST 800-171およびNIST 800-172のコンプライアンスを示すのを支援します
NIST 800-172は、非連邦システム内の制御されていない分類情報のセキュリティを強化する上で重要な役割を果たしています。巧妙なサイバー脅威に対処するための高度なセキュリティ対策を導入し、政府機関とそれらと協力する民間セクターパートナーの両方に利益をもたらします。NIST 800-171を補完するフレームワークとして機能し、ギャップを埋め、セキュリティ基準を高めます。
NIST 800-172に従うことは、強固なサイバーセキュリティ体制を維持し、重要な情報を保護するために不可欠です。これらのガイドラインを無視すると、データ侵害、法的影響、財務的損失のリスクが高まります。
Kiteworksのプライベートコンテンツネットワーク、FIPS 140-2レベル検証済みのセキュアファイル共有およびファイル転送プラットフォームは、メール、ファイル共有、ウェブフォーム、SFTP、マネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がファイルを管理し、保護し、追跡することを可能にします。
Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、自動化されたエンドツーエンド暗号化、多要素認証、およびセキュリティインフラ統合を使用して外部に共有される際に保護し、すべてのファイル活動を確認、追跡、報告できます。つまり、誰が何を誰に、いつ、どのように送信するかを把握できます。最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や基準に準拠していることを示します。
Kiteworksについて詳しく知りたい方は、カスタムデモを予約してください。