NIST SP800-53と ISO27001の違いを踏まえた適切な規格の選択方法

NIST SP800-53と
ISO27001の違いを踏まえた適切な規格の選択方法 

監修：CISO事業部　吉田 卓史

本記事はNIST SP800-53（組織と情報システムのためのセキュリティおよびプライバシー管理策）の紹介を通して、ISO27001（情報セキュリティマネジメントシステム（ISMS）に関する国際規格）との違いを説明し、どのような組織がどちらの規格に準拠すべきかを提案します。

・ISO27001はリスクマネジメントを中心とした要求事項が書かれていて、サイバー攻撃の「予防」に重点を置いている

・一方でNIST SP800-53は「識別・防御・検知・対応・復旧」に関わる管理策があるため、対応しているスコープが広い

・米国政府から日本企業に対するNISTへの準拠の依頼、及び日本政府が業務発注の前提条件としてNISTへの準拠を検討しつつある点を踏まえると、米国にて事業を推進あるいは拡大する場合は、NIST SP800-53への準拠も視野に入れるべき

NISTとは何か

NIST SP 800-53は米国商務省の一機関である米国国立標準技術研究所 (以下、NISTとする) が開発したフレームワークです。NISTとは、米国における科学技術分野の計測と標準に関する研究を行っていて、フレームワークやガイドラインを発行しています。米国連邦政府機関およびその請負業者は、システムを保護するために NISTが発行したガイドラインに準拠する必要があります。NISTが開発したフレームワーク及びガイドラインのうち、日本でもCybersecurity FrameworkやSP800シリーズなどは有名です。

NIST SP 800シリーズとは何か

NIST SP800-53の説明の前に、まずはSP800シリーズについて説明します。SP800シリーズはNISTが発行するガイドラインの中でも、米国連邦政府の情報、情報システム、及びプライバシーへの対応に関するセキュリティ対策が記載されています。本来は米国連邦政府が対象でしたが、米国の重要インフラや民間企業などもガイドラインとして利用しています。SP800シリーズは独立行政法人情報処理推進機構（IPA）のサイトにて、日本語翻訳版が一般公開されているため、日本の組織も参照できます。

SP 800シリーズの中でもSP800-53とSP800-171が特に利用されていて、前者のSP800-53は「米国連邦政府の機密情報」がスコープで、SP800-171は「機密情報以外の重要情報（＝CUI, Controlled Unclassified Infortion）」がスコープです。今回は前者のSP800-53を深掘りしていきます。

NIST SP 800-53とは何か

SP800-53はSP800シリーズの中でも、「米国連邦政府の機密情報」をサイバー攻撃、災害、ヒューマンエラーなど様々な脅威から保護するためのセキュリティ対策が記載されています。ガイドラインに記載されているセキュリティ対策はSP800シリーズでは「管理策」と呼ばれていて、SP800-53の管理策は20あり、これらを「管理策ファミリー」と呼びます。

管理策ファミリーは大きく2つのカテゴリーに分けられていて、セキュリティ管理策とプライバシー管理策があります。

セキュリティ管理策は、アクセス制御、インシデント対応、ビジネス継続性、災害復旧性などの17の管理策（NIST SP800-53 付録F）とプログラムマネジメント（NIST SP800-53 付録G）を規定しています。また、プライバシーに関する管理策は、権限と目的、説明責任・監査とリスクマネジメント、データの品質と完全性など8つの分類（NIST SP800-53 付録J）を規定しています。

出典："NIST Special Publication 800-53 Revision 5組織と情報システムのためのセキュリティおよびプライバシー管理策" https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000092657.pdfより引用。

また、それぞれのカテゴリーの中には「基本管理策」と「拡張管理策」が含まれていて、違いは以下の通りです。

表2基本管理策と拡張管理策の違い

^*：管理策によって提供されるセキュリティ対策の機能とメカニズムを指します

図 1 ISO27001とNIST SP800-53のセキュリティ対策のスコープの違い

どちらのガイドラインに準拠すべきか

まず、国内の現状として情報マネジメントシステム認定センター（ISMS-AC）が出している「ISMS適合性評価制度に関する調査報告書」を踏まえると、ISMSを取得している企業のうち、半数以上は従業員数100人超の企業なので、多くの日本の大企業は既にISO27001を取得していると分かります。NIST SP800-53に関しては、代表的なデータがないため準拠している企業はまだ少ないでしょう。しかし、日本政府は2023年中に業務を委託している組織に対して、NISTのガイドラインへの準拠を義務付けることを検討しています。NISTのどのガイドラインへの準拠を検討しているか詳細は発表されていませんが、2018年度から防衛省で新防衛調達基準の試行導入としてSP800-171が採用されていることを踏まえると、SP800シリーズである可能性は高いです。

次にグローバルに目を向けると、日本の大手企業を含む多くのグローバル企業が事業を展開している米国では、SP800-53への準拠が政府調達の入札条件になっています。米国の企業に関しては多くの企業がNIST SP800-53に既に準拠しているでしょう。

上記を踏まえ、米国にて事業を推進する上ではISO27001よりもSP800-53への準拠が重要視されていることが分かります。

ここまで多くの日本の大企業がISO27001を取得していると述べましたが、日本政府のNISTガイドラインへの準拠の義務化、及びグローバル企業が活躍する米国でのSP800-53への準拠の重要視を踏まえると、以下のようなケースに当てはまる企業はNIST SP800-53への準拠を視野に入れることを推奨します。

【NIST SP800-53への準拠を推奨するケース】

• 日本政府の組織に関わる業務を遂行している（委託と再々委託を含む）
• 日本政府の組織に関わる業務を、今後遂行する予定がある（委託と再々委託を含む）
• 米国にて事業を展開している
• 今後、米国にて事業を展開、あるいは拡大する

規格に準拠することが目的ではなく、あくまでも事業を継続するための土台作りだと捉え、まずはご自身の組織の事業計画を見直しあるいは検討することを推奨します。そのうえで、上記に当てはまるか否かを検討していただき、事業の方針に沿った規格を適用することで、情報資産を保護し、安全に事業を推進できると考えます。

【プロフィール】

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】

• https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000092657.pdf
• https://www.intellilink.co.jp/column/security/2019/091100.aspx
• https://isms.jp/isms/
• https://enterprisezine.jp/news/detail/18053
• https://www.mason-c.co.jp/security/nist
• https://isms.jp/enquete/2017/report2017.pdf
• https://www.nikkei.com/article/DGXZQOUA2899V0Y3A420C2000000/