NIST 意見募集 SP 800-171 Rev.3（最終ドラフト）非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版（初期公開ドラフト）管理対象非機密情報のセキュリティ要件の評価: まるちゃんの情報セキュリティ気まぐれ日記

November 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

2023.11.13

NIST 意見募集 SP 800-171 Rev.3（最終ドラフト）非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版（初期公開ドラフト）管理対象非機密情報のセキュリティ要件の評価

こんにちは、丸山満彦です。

みんな大好き？NIST SP800-171の第3版の最終ドラフトが公開され、意見募集がされていますね。。。今年の5月にドラフトが公開され、昨年の7月に改訂のアナウンスがでていますので、それと合わせt読むとよりよいかもしれません。。。これから私も、最終ドラフトを読んでみようと思います(^^)

そして、今回は、あわせてSP800-171の評価版であるSP800-171Aの初期ドラフトも公開され、意見募集がされていますね。。。ちなみに171Aも第3版の初期ドラフトですが、171にあわせるために第2版は飛ばしています...

⚫︎NIST - ITL

171の最終ドラフト

・2023.11.09 NIST SP 800-171A Rev. 3 (Initial Public Draft) Assessing Security Requirements for Controlled Unclassified Information

NIST SP 800-171 Rev. 3 (Final Public Draft) Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations	NIST SP 800-171 Rev.3（最終公開ドラフト）連邦政府以外のシステムおよび組織における管理対象非機密情報の保護
Announcement	発表
This update to NIST SP 800-171 represents over one year of data collection, technical analyses, customer interaction, redesign, and development of the security requirements and supporting information for the protection of Controlled Unclassified Information (CUI). Many trade-offs have been made to ensure that the technical and non-technical requirements have been stated clearly and concisely while also recognizing the specific needs of both federal and nonfederal organizations.	今回のNIST SP 800-171の更新は、管理対象非機密情報（CUI）の保護に関するセキュリティ要求事項及びそれを裏付ける情報のデータ収集、技術分析、顧客との対話、再設計、及び開発に1年以上を費やしたことを示すものである。技術的および非技術的な要求事項が明確かつ簡潔に記述され、同時に連邦および非連邦組織の特定のニーズを認識するために、多くのトレードオフが行われた。
In response to the 1600+ comments received on the initial public draft and its supporting resources, NIST continued to refine the security requirements to:	最初の公開ドラフトとその支援資料に対して寄せられた1,600件を超えるコメントを受けて、NISTは引き続きセキュリティ要件を以下のように改良した：
・Reduce the number of organization-defined parameters (ODP)	・組織定義パラメータ（ODP）の数を減らす。
・Reevaluate the tailoring categories and tailoring decisions	・テーラリングのカテゴリーとテーラリングの決定を再評価する。
・Restructure and streamline the discussion sections	・議論セクションを再構成し、スリム化する
Additional files include an FAQ, a detailed analysis of the changes between Revision 2 and Revision 3, and a prototype CUI Overlay.	追加ファイルには、FAQ、改訂2版と改訂3版の間の変更点の詳細な分析、CUIオーバーレイのプロトタイプが含まれる。
Concurrently, the initial public draft (ipd) of NIST SP 800-171Ar3 (Revision 3), Assessing Security Requirements for Controlled Unclassified Information, is also available.	同時に、NIST SP 800-171Ar3（改訂3版）「管理対象非機密情報に対するセキュリティ要件の評価」の初期公開ドラフト（ipd）も公開されている。
Submit Your Comments	意見を提出する
The public comment period is open now through January 12, 2024. We strongly encourage you to use this comment template if possible, and submit it to [web].	パブリックコメント期間は、2024年1月12日までである。可能であればこのコメントテンプレートを使用し、 [web]。
Reviewers are encouraged to comment on all or parts of draft NIST SP 800-171, Revision 3. NIST is specifically interested in comments, feedback, and recommendations for the following topics:	レビュワーは、NIST SP 800-171改訂第3版の全部または一部についてコメントすることが推奨される。NISTは、特に以下のトピックに関するコメント、フィードバック、および推奨に関心を持っている：
・Re-categorized controls (e.g., controls formerly categorized as NFO)	・再分類された管理（例えば、以前は NFO に分類されていた管理）。
・New tailoring criterion (e.g., other related controls [ORC])	・新たな調整基準（例えば、その他の関連する管理［ORC］）・組織で定義された基準を含める。
・Inclusion of organization-defined parameters (ODP)	・組織定義パラメータ（ODP）の包含
・New or revised requirements	・新規または改訂された要求事項
・Prototype CUI overlay	・CUIオーバーレイのプロトタイプ
...	...
Abstract	概要
The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations.	連邦政府以外のシステムや組織に常駐する管理対象非機密情報 (CUI) の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要なミッションや機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。セキュリティ要件は、連邦機関と連邦機関以外の組織との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。

・[PDF] NIST.SP.800-171r3.fpd

初期ドラフトからの変更点など...

• Eliminated the NFO control tailoring category	・NFOの管理調整カテゴリーを廃止した。
• Introduced a new control tailoring category for controls that are addressed by other related controls (ORC)	・他の関連する管理（ORC）により対処される管理のための新しい管理調整カテゴリーを導入した。
• Eliminated selected organization-defined parameters (ODPs) where the ODP specification did not significantly impact the security requirement	・ODP の仕様がセキュリティ要件に重大な影響を与えない場合、選択した組織定義パラメータ（ODP）を廃止した
• Clarified the responsibility for assigning ODP values	・ODP 値の割り当て責任を明確化した
• Combined security requirements (or parts of requirements) with other requirements for consistency and ease of use	・一貫性と使いやすさを考慮し、セキュリティ要件（または要件の一部）を他の要件と組み合わせた
• Added security requirements due to control categorization changes	・管理分類の変更に伴いセキュリティ要件を追加した
• Sequenced the content in the discussion sections to align with the individual parts of the requirements	・ディスカッションセクションの内容を要件の各部分と整合させるために順序を変更した
• Modified the tailoring categories of selected controls and control items (subparts of controls)	・選択した管理策と管理項目（管理策の下位部分）の調整カテゴリーを変更した
• Added leading zeros to security requirement numbers to achieve greater consistency with SP 800-171A numbering formats and to support automated tool usage	・SP 800-171A の番号付け形式との整合性を高め、自動化ツールの使用をサポートするため、セキュリティ要件の番号に先頭のゼロを追加した。

目次...

1. Introduction	1. 序文
1.1. Purpose and Applicability	1.1. 目的と適用性
1.2. Organization of This Publication	1.2. 本書の構成
2. The Fundamentals	2. 基礎知識
2.1. Basic Assumptions	2.1. 基本的な前提
2.2. Security Requirement Development Methodology	2.2. セキュリティ要件開発手法
3. The Requirements	3. 要求事項
3.1. Access Control	3.1. アクセス制御
3.1.1. Account Management	3.1.1. アカウント管理
3.1.2. Access Enforcement	3.1.2. アクセスの強制
3.1.3. Information Flow Enforcement	3.1.3. 情報の流れの強制
3.1.4. Separation of Duties	3.1.4. 職務の分離
3.1.5. Least Privilege	3.1.5. 最小限の特権
3.1.6. Least Privilege – Privileged Accounts	3.1.6. 最小特権 - 特権アカウント
3.1.7. Least Privilege – Privileged Functions	3.1.7. 最小特権 - 特権機能
3.1.8. Unsuccessful Logon Attempts	3.1.8. 失敗したログオン試行
3.1.9. System Use Notification	3.1.9. システム使用通知
3.1.10. Device Lock	3.1.10. デバイスロック
3.1.11. Session Termination	3.1.11. セッションの終了
3.1.12. Remote Access	3.1.12. リモート・アクセス
3.1.13. Withdrawn	3.1.13. 廃止
3.1.14. Withdrawn	3.1.14. 廃止
3.1.15. Withdrawn	3.1.15. 廃止
3.1.16. Wireless Access	3.1.16. 無線アクセス
3.1.17. Withdrawn	3.1.17. 廃止
3.1.18. Access Control for Mobile Devices	3.1.18. モバイル機器のアクセス制御
3.1.19. Withdrawn	3.1.19. 廃止
3.1.20. Use of External Systems	3.1.20. 外部システムの利用
3.1.21. Withdrawn	3.1.21. 廃止
3.1.22. Publicly Accessible Content	3.1.22. 公にアクセス可能なコンテンツ
3.2. Awareness and Training	3.2. 意識向上およびトレーニング
3.2.1. Literacy Training and Awareness	3.2.1. 識字率向上およびトレーニング
3.2.2. Role-Based Training	3.2.2. 役割に応じたトレーニング
3.2.3. Withdrawn	3.2.3. 廃止
3.3. Audit and Accountability	3.3. 監査と説明責任
3.3.1. Event Logging	3.3.1. イベントロギング
3.3.2. Audit Record Content	3.3.2. 監査記録の内容
3.3.3. Audit Record Generation	3.3.3. 監査記録の生成
3.3.4. Response to Audit Logging Process Failures	3.3.4. 監査記録作成プロセスの失敗への対応
3.3.5. Audit Record Review, Analysis, and Reporting	3.3.5. 監査記録のレビュー、分析、報告
3.3.6. Audit Record Reduction and Report Generation	3.3.6. 監査記録の削減とレポート作成
3.3.7. Time Stamps	3.3.7. タイムスタンプ
3.3.8. Protection of Audit Information	3.3.8. 監査情報の防御
3.3.9. Withdrawn	3.3.9. 廃止
3.4. Configuration Management	3.4. コンフィギュレーション管理
3.4.1. Baseline Configuration	3.4.1. ベースライン構成
3.4.2. Configuration Settings	3.4.2. コンフィギュレーション設定
3.4.3. Configuration Change Control	3.4.3. コンフィギュレーション変更制御
3.4.4. Impact Analyses	3.4.4. 影響分析
3.4.5. Access Restrictions for Change	3.4.5. 変更のためのアクセス制限
3.4.6. Least Functionality	3.4.6. 最小機能
3.4.7. Withdrawn	3.4.7. 廃止
3.4.8. Authorized Software – Allow by Exception	3.4.8. 認可ソフトウェア - 例外的に許可する
3.4.9. Withdrawn	3.4.9. 廃止
3.4.10. System Component Inventory	3.4.10. システム・コンポーネント・インベントリ
3.4.11. Information Location	3.4.11. 情報ロケーション
3.4.12. System and Component Configuration for High-Risk Areas	3.4.12. 高リスク地域のシステムおよびコンポーネント構成
3.5. Identification and Authentication	3.5. 本人確認と認証
3.5.1. User Identification, Authentication, and Re-Authentication	3.5.1. 利用者の本人認証、認証、および再認証
3.5.2. Device Identification and Authentication	3.5.2. 機器の識別と本人認証
3.5.3. Incident Response Testing	3.5.3. インシデント対応テスト
3.5.4. Replay-Resistant Authentication	3.5.4. リプレイ耐性認証
3.5.5. Identifier Management	3.5.5. 識別子の管理
3.5.6. Withdrawn	3.5.6. 廃止
3.5.7. Password Management	3.5.7. パスワード管理
3.5.8. Withdrawn	3.5.8. 廃止
3.5.9. Withdrawn	3.5.9. 廃止
3.5.10. Withdrawn	3.5.10. 廃止
3.5.11. Authentication Feedback	3.5.11. 本人認証フィードバック
3.5.12. Authenticator Management	3.5.12. 本人認証管理
3.6. Incident Response	3.6. インシデント・レスポンス
3.6.1. Incident Response Plan and Handling	3.6.1. インシデント対応計画とハンドリング
3.6.2. Incident Monitoring, Reporting, and Response Assistance	3.6.2. インシデントの監視、報告、対応支援
3.6.3. Incident Response Testing	3.6.3. インシデント対応テスト
3.6.4. Incident Response Training	3.6.4. インシデント対応トレーニング
3.7. Maintenance	3.7. 保守
3.7.1. Withdrawn	3.7.1. 廃止
3.7.2. Withdrawn	3.7.2. 廃止
3.7.3. Withdrawn	3.7.3. 廃止
3.7.4. Maintenance Tools	3.7.4. 保守ツール
3.7.5. Nonlocal Maintenance	3.7.5. 非ローカル保守
3.7.6. Maintenance Personnel	3.7.6. 保守要員
3.8. Media Protection	3.8. メディア防御
3.8.1. Media Storage	3.8.1. メディアの保管
3.8.2. Media Access	3.8.2. メディアへのアクセス
3.8.3. Media Sanitization	3.8.3. メディアのサニタイゼーション
3.8.4. Media Marking	3.8.4. メディアのマーキング
3.8.5. Media Transport	3.8.5. メディアの輸送
3.8.6. Withdrawn	3.8.6. 廃止
3.8.7. Media Use	3.8.7. メディア使用
3.8.8. Withdrawn	3.8.8. 廃止
3.8.9. System Backup – Cryptographic Protection	3.8.9. システムバックアップ - 暗号防御
3.9. Personnel Security	3.9. 人的セキュリティ
3.9.1. Personnel Screening	3.9.1. 人事審査
3.9.2. Personnel Termination and Transfer	3.9.2. 人員の解雇と異動
3.10. Physical Protection	3.10. 物理的防御
3.10.1. Physical Access Authorizations	3.10.1. 物理的アクセス認可
3.10.2. Monitoring Physical Access	3.10.2. 物理的アクセスの監視
3.10.3. Withdrawn	3.10.3. 廃止
3.10.4. Withdrawn	3.10.4. 廃止
3.10.5. Withdrawn	3.10.5. 廃止
3.10.6. Alternate Work Site	3.10.6. 代替作業場所
3.10.7. Physical Access Control	3.10.7. 物理的アクセス制御
3.10.8. Access Control for Transmission and Output Devices	3.10.8. 伝送装置および出力装置のアクセス管理
3.11. Risk Assessment	3.11. リスクアセスメント
3.11.1. Risk Assessment	3.11.1. リスクアセスメント
3.11.2. Vulnerability Monitoring and Scanning	3.11.2. 脆弱性の監視とスキャン
3.11.3. Withdrawn	3.11.3. 廃止
3.12. Security Assessment and Monitoring	3.12. セキュリティ評価と監視
3.12.1. Security Assessment	3.12.1. セキュリティ評価
3.12.2. Plan of Action and Milestones	3.12.2. 行動計画とマイルストーン
3.12.3. Continuous Monitoring	3.12.3. 継続的モニタリング
3.12.4. Withdrawn	3.12.4. 廃止
3.12.5. Information Exchange	3.12.5. 情報交換
3.13. System and Communications Protection	3.13. システムおよびコミュニケーションの防御
3.13.1. Boundary Protection	3.13.1. バウンダリーの防御
3.13.2. Withdrawn	3.13.2. 廃止
3.13.3. Withdrawn	3.13.3. 廃止
3.13.4. Information in Shared System Resources	3.13.4. 共有システムリソース内の情報
3.13.5. Withdrawn	3.13.5. 廃止
3.13.6. Network Communications – Deny by Default – Allow by Exception	3.13.6. ネットワークコミュニケーション - デフォルト拒否・例外で許可
3.13.7. Withdrawn	3.13.7. 廃止
3.13.8. Transmission and Storage Confidentiality	3.13.8. 送信と保管の機密性
3.13.9. Network Disconnect	3.13.9. ネットワークの切断
3.13.10. Cryptographic Key Establishment and Management	3.13.10. 暗号鍵の確立と管理
3.13.11. Cryptographic Protection	3.13.11. 暗号防御
3.13.12. Collaborative Computing Devices and Applications	3.13.12. 共同コンピューティング機器とアプリケーション
3.13.13. Mobile Code	3.13.13. モバイルコード
3.13.14. Withdrawn	3.13.14. 廃止
3.13.15. Session Authenticity	3.13.15. セッション本人認証
3.13.16. Withdrawn	3.13.16. 廃止
3.14. System and Information Integrity .	3.14. システムと情報の完全性 .
3.14.1. Flaw Remediation	3.14.1. 欠陥の修復
3.14.2. Malicious Code Protection	3.14.2. 悪意のあるコードの防御
3.14.3. Security Alerts, Advisories, and Directives	3.14.3. セキュリティ警告、勧告、指令
3.14.4. Withdrawn	3.14.4. 廃止
3.14.5. Withdrawn	3.14.5. 廃止
3.14.6. System Monitoring	3.14.6. システム・モニタリング
3.14.7. Withdrawn	3.14.7. 廃止
3.14.8. Information Management and Retention	3.14.8. 情報の管理と保持
3.15. Planning	3.15. 計画
3.15.1. Policy and Procedures	3.15.1. 方針と手続き
3.15.2. System Security Plan	3.15.2. システム・セキュリティ計画
3.15.3. Rules of Behavior	3.15.3. 行動規則
3.16. System and Services Acquisition	3.16. システム及びサービスの取得
3.16.1. Acquisition Process	3.16.1. 取得プロセス
3.16.2. Unsupported System Components	3.16.2. 未サポートのシステムコンポーネント
3.16.3. External System Services	3.16.3. 外部システムサービス
3.17. Supply Chain Risk Management	3.17. サプライチェーンリスクマネジメント
3.17.1. Supply Chain Risk Management Plan	3.17.1. サプライチェーンリスクマネジメント計画
3.17.2. Acquisition Strategies, Tools, and Methods	3.17.2. 取得戦略、ツール、方法
3.17.3. Supply Chain Requirements and Processes	3.17.3. サプライチェーン要件及びプロセス
References	参考文献
Appendix A. Acronyms	附属書 A. 頭字語
Appendix B. Glossary	附属書 B. 用語集
Appendix C. Tailoring Criteria	附属書 C. テーラリング基準
Appendix D. Change Log	附属書 D. 変更履歴

171Aの初期ドラフト

・2023.11.09 NIST SP 800-171A Rev. 3 (Initial Public Draft) Assessing Security Requirements for Controlled Unclassified Information

NIST SP 800-171A Rev. 3 (Initial Public Draft) Assessing Security Requirements for Controlled Unclassified Information	NIST SP 800-171A 改訂第 3 版（初期公開草案）管理対象非機密情報のセキュリティ要件の評価
Announcement	発表
This initial public draft is being released along with NIST SP 800-171r3 fpd (final public draft).	この初期公開草案は、NIST SP 800-171r3 fpd（最終公開草案）と共に公表される。
In addition to reflecting the security requirements in NIST SP 800-171r3 fpd, the following significant changes have been made:	NIST SP 800-171r3 fpdのセキュリティ要求事項を反映することに加え、以下の重要な変更が加えられた：
・Restructured the assessment procedure syntax to align with NIST SP 800-53A	・NIST SP 800-53A と整合させるために、評価手順の構文を再構築した。
・The addition of a references section to provide source assessment procedures from NIST SP 800-53A	・NIST SP 800-53A の出典であるアセスメント手順を提供するための参考文献のセクションを追加した。
・A one-time change to the publication version number (skipping “Revision 2”) to align with NIST SP 800-171r3	・NIST SP 800-171r3と整合させるために、出版物のバージョン番号を一度だけ変更した（「改訂2」をスキップ）。
Submit Your Comments	意見を提出する
The public comment period is open now through January 12, 2024. We strongly encourage you to use this comment template if possible, and submit it to [mail].	パブリックコメント期間は、2024 年 1 月 12 日までである。可能であればこのコメントテンプレートを使用し、[mail]に提出することを強く推奨する。
Reviewers are encouraged to comment on all or parts of draft NIST SP 800-171A, Revision 3. NIST is specifically interested in comments, feedback, and recommendations for the following topics:	レビュワーは、NIST SP 800-171A改訂第3版の全部または一部についてコメントすることが推奨される。NIST は、特に以下のトピックに関するコメント、フィードバック、および推奨に関心を持っている：
・The alignment of the assessment procedures to NIST SP 800-53A	・NIST SP 800-53A に対する評価手順の整合性
・The use of organization-defined parameters (ODPs) in the assessment procedures	・評価手順における組織定義パラメータ（ODP）の使用
・The ease-of-use of the assessment	・アセスメントの使いやすさ
...	...
Abstract	概要
The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal and nonfederal organizations with assessment procedures and a methodology that can be employed to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Security assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can also be applied with various degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can facilitate risk-based decisions by organizations related to the security requirements.	連邦政府以外のシステムおよび組織に常に存在する非機密管理情報 (CUI) の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務および機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST Special Publication 800-171「非連邦システムおよび組織における管理対象非機密情報の保護」のセキュリティ要件の評価を実施するために採用できる評価手順および方法論を、連邦および非連邦組織に提供するものである。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。セキュリティ評価は、独立した第三者による評価として実施することも、政府主催の評価として実施することもできる。また、顧客が定義した深度や適用範囲の属性に基づき、さまざまな厳しさで評価を適用することもできる。アセスメントで得られた知見や証拠は、セキュリティ要件に関連する組織のリスクベースの意思決定を促進することができる。

・[PDF] NIST.SP.800-171Ar3.ipd

前バージョンからの変更点

• The restructuring of the assessment procedure syntax to align with NIST SP 800-53A [5].	・NIST SP 800-53A [5]と整合させるために、評価手順シンタックスを再構築した。
• The addition of a references section to provide source assessment procedures from NIST SP 800-53A [5].	・NIST SP 800-53A [5]からのソース評価手順を提供するための参考文献セクションの追加。
There has also been a one-time change to the publication version number to align with NIST SP 800-171, Revision 3 [3].	また、NIST SP 800-171、改訂 3 [3]と整合させるために、出版物のバージョン番号を一度だけ変更した。

レビューしてもらいたい点

• The alignment of the assessment procedures to NIST SP 800-53A [5].	・評価手順の NIST SP 800-53A [5]への整合。
• The use of organization-defined parameters (ODPs) in the assessment procedures.	・評価手順における組織定義パラメータ（ODP）の使用。
• The ease-of-use of the assessment procedures in conducting assessments of the CUI security requirements.	・CUIセキュリティ要件の評価を実施する際の評価手順の使いやすさ。