米国 NIST SP 800-172 Rev. 3 (最終公開ドラフト) 管理対象非機密情報の保護に関する強化されたセキュリティ要件とSP 800-172A Rev. 3(初期公開ドラフト)管理対象非機密情報に対する強化されたセキュリティ要件の評価 (2025.09.26)
こんにちは、丸山満彦です。
NISTが
- SP 800-172 Rev. 3 管理対象非機密情報の保護に関する強化されたセキュリティ要件(最終公開ドラフト)
- SP 800-172A Rev. 3 管理対象非機密情報に対する強化されたセキュリティ要件の評価(初期公開ドラフト)
を公表し、意見募集をしていますね。。。
SP800-172は、連邦政府の管理対象非機密情報(CUI)を利用する組織に要求する強化されたセキュリティコントロール要件で、SP800-171のコントロール以上のコントロールを要求するものです。(SP800-172としては初めての改訂なのですが、SP800-171の改訂バージョンと合わせるために、「Rev. 3」としています)
172Aはそれを評価する手法を記載していて、ある意味監査手法となります。
いずれも連邦政府向けのセキュリティコントロール要件であるSP800-53をベースにしたものです(政府向けの基準=委託先の基準)。
ということで...
● NIST - ITL
発表の部分はほぼ共通なので...
| Announcement | 発表 |
| As part of ongoing efforts to strengthen the protections for securing controlled unclassified information (CUI) in nonfederal systems, NIST has released the following drafts for comment: | 非連邦システムにおける管理対象非機密情報(CUI)の保護強化に向けた継続的な取り組みの一環として、NISTは以下のドラフトを公表し、意見を募集しています: |
| ・SP 800-172r3 (Revision 3) fpd (final public draft), Enhanced Security Requirements for Protecting Controlled Unclassified Information, provides new enhanced security requirements that support cyber resiliency objectives, focus on protecting CUI, and are consistent with the source controls in SP 800-53r5. | ・SP 800-172r3(改訂版3)fpd(最終公開ドラフト)『管理対象非機密情報の保護に関する強化されたセキュリティ要件』は、サイバーレジリエンス目標を支援し、CUIの保護に焦点を当て、SP 800-53r5のソース管理と整合性のある新たな強化セキュリティ要件を提供する。 |
| ・SP 800-172Ar3 ipd (initial public draft), Assessing Enhanced Security Requirements for Controlled Unclassified Information, provides a set of assessment procedures for the enhanced security requirements. These procedures are based on the source assessment procedures in SP 800-53Ar5. | ・SP 800-172Ar3 ipd(初期公開ドラフト)「管理対象非機密情報の強化されたセキュリティ要件の評価」は、強化されたセキュリティ要件に対する一連の評価手順を提供する。これらの手順はSP 800-53Ar5のソース評価手順に基づいている。 |
| Both drafts implement a one-time “revision number” change for consistency with SP 800-171r3 and SP 800-171Ar3. | 両ドラフトは、SP 800-171r3およびSP 800-171Ar3との整合性を図るため、一時的な「改訂番号」変更を実施している。 |
| NIST seeks feedback on both drafts during a 45-day public comment period, from September 29 through November 14, 2025. NIST is specifically interested in comments, feedback, and recommendations on the following topics: | NISTは、2025年9月29日から11月14日までの45日間のパブリックコメント期間中、両ドラフトに関するフィードバックを求めている。NISTは特に以下のトピックに関するコメント、フィードバック、提言に関心を持っている: |
| ・The additional enhanced security requirements to protect critical systems and high value assets | ・重要システムおよび高価値資産を保護するための追加強化セキュリティ要件 |
| ・The mappings between the enhanced security requirements to the SP 800-160 protect strategies and adversary effects | ・強化セキュリティ要件とSP 800-160の保護戦略および敵対者効果との対応関係 |
| ・The usefulness of the information in the supplementary Appendices | ・補足附属書の情報の実用性 |
| Learn More about the Protecting CUI Project. | CUI保護プロジェクトの詳細はこちら |
まずは、セキュリティ要件...
| NIST SP 800-172 Rev. 3 (Final Public Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information | NIST SP 800-172 Rev. 3 (最終公開ドラフト) 管理対象非機密情報の保護に関する強化されたセキュリティ要件 |
| Abstract | 概要 |
| The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality, integrity, and availability of CUI when it is resident in a nonfederal system and organization and associated with a critical program or high value asset (HVA). The security requirements apply to the components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The enhanced security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. | 非連邦システムおよび組織に存在する管理対象非機密情報(CUI)の保護は、連邦機関にとって極めて重要であり、連邦政府が本質的な任務と機能を成功裏に遂行する能力に直接影響を及ぼし得る。本出版物は、非連邦システムおよび組織に存在し、重要プログラムまたは高価値資産(HVA)に関連するCUIの機密性、完全性、可用性を保護するための推奨セキュリティ要件を連邦機関に提供する。本セキュリティ要件は、CUIを処理・保存・伝送する非連邦システムの構成要素、またはそれらを保護する構成要素に適用される。強化されたセキュリティ要件は、連邦機関と非連邦組織との間で締結される契約手段やその他の合意において、連邦機関が利用することを意図している。 |
・[PDF] SP.800-172r3.fpd
目次...
| 1. Introduction |
1. 序論 |
| 1.1. Purpose and Applicability | 1.1. 目的と適用範囲 |
| 1.2. Organization of This Publication | 1.2. 本出版物の構成 |
| 2. The Fundamentals | 2. 基本原則 |
| 2.1. Enhanced Security Requirement Assumptions | 2.1. 拡張セキュリティ要件の前提条件 |
| 2.2. Enhanced Security Requirement Development Methodology | 2.2. 拡張セキュリティ要件の開発方法論 |
| 2.3. Enhanced Security Requirement Selection | 2.3. 拡張セキュリティ要件の選定 |
| 3. The Requirements | 3. 要件 |
| 3.1. Access Control | 3.1. アクセス管理 |
| 3.2. Awareness and Training | 3.2. 意識向上およびトレーニング |
| 3.3. Audit and Accountability | 3.3. 監査と説明責任 |
| 3.4. Configuration Management | 3.4. 構成管理 |
| 3.5. Identification and Authentication | 3.5. 識別と認証 |
| 3.6. Incident Response | 3.6. インシデント対応 |
| 3.7. Maintenance | 3.7. 維持管理 |
| 3.8. Media Protection | 3.8. 媒体保護 |
| 3.9. Personnel Security | 3.9. 職員のセキュリティ |
| 3.10. Physical Protection | 3.10. 物理的保護 |
| 3.11. Risk Assessment | 3.11. リスクアセスメント |
| 3.12. Security Assessment and Monitoring | 3.12. セキュリティ評価と監視 |
| 3.13. System and Communications Protection | 3.13. システム及び通信の保護 |
| 3.14. System and Information Integrity | 3.14. システム及び情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システム及びサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンリスクマネジメント |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書A. 略語 |
| Appendix B. Glossary | 附属書B. 用語集 |
| Appendix C. Summary of Enhanced Security Requirements | 附属書C. 拡張セキュリティ要件の概要 |
| Appendix D. Adversary Effects | 附属書D. 敵対者効果 |
| Appendix E. Organization-Defined Parameters | 附属書E. 組織定義パラメータ |
| Appendix F. Change Log | 附属書F. 変更履歴 |
次に保証...
| NIST SP 800-172A Rev. 3 (Initial Public Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information | NIST SP 800-172A Rev. 3(初期公開ドラフト)管理対象非機密情報に対する強化されたセキュリティ要件の評価 |
| Abstract | 要約 |
| The protection of controlled unclassified information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with assessment procedures for the security requirements in NIST SP 800-172. The assessment procedures are flexible and can be tailored to the needs of federal agencies and assessors. Security requirement assessments can be conducted as (1) self-assessments; (2) independent, third-party assessments; or (3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on federal agency-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the security requirements. | 非連邦システムおよび組織に存在する管理対象非機密情報(CUI)の保護は、連邦機関にとって極めて重要であり、連邦政府が本質的な任務と機能を成功裏に遂行する能力に直接影響を及ぼし得る。本出版物は、NIST SP 800-172のセキュリティ要件に関する評価手順を連邦機関に提供する。評価手順は柔軟性があり、連邦機関および評価者のニーズに合わせて調整可能である。セキュリティ要件評価は、(1)自己評価、(2)独立した第三者評価、(3)政府主導の評価として実施可能である。評価は、連邦機関が定義する深度および範囲属性に基づき、様々な厳密度で実施できる。評価過程で得られた所見および証拠は、セキュリティ要件に関連する組織のリスクベースの意思決定を促進するために活用できる。 |
・[PDF] SP.800-172Ar3.ipd
目次...
| 1. Introduction | 1. 序論 |
| 1.1. Purpose and Applicability | 1.1. 目的と適用範囲 |
| 1.2. Organization of This Publication | 1.2. 本出版物の構成 |
| 2. The Fundamentals | 2. 基本原則 |
| 2.1. Assessment Procedures | 2.1. アセスメント手順 |
| 2.2. Assurance Cases | 2.2. 保証事例 |
| 3. The Procedures | 3. 手順 |
| 3.1. Access Control | 3.1. アクセス管理 |
| 3.2. Awareness and Training | 3.2. 意識向上およびトレーニング |
| 3.3. Audit and Accountability | 3.3. 監査と説明責任 |
| 3.4. Configuration Management | 3.4. 構成管理 |
| 3.5. Identification and Authentication | 3.5. 識別と認証 |
| 3.6. Incident Response | 3.6. インシデント対応 |
| 3.7. Maintenance | 3.7. 維持管理 |
| 3.8. Media Protection | 3.8. 媒体保護 |
| 3.9. Personnel Security | 3.9. 職員のセキュリティ |
| 3.10. Physical Protection | 3.10. 物理的保護 |
| 3.11. Risk Assessment | 3.11. リスクアセスメント |
| 3.12. Security Assessment and Monitoring | 3.12. セキュリティ評価と監視 |
| 3.13. System and Communications Protection | 3.13. システム及び通信の保護 |
| 3.14. System and Information Integrity | 3.14. システム及び情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システム及びサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンリスクマネジメント |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書A. 略語一覧 |
| Appendix B. Glossary | 附属書B. 用語集 |
| Appendix C. Summary of Enhanced Security Requirements | 附属書C. 拡張セキュリティ要件の概要 |
| Appendix D. Security Requirement Assessments | 附属書D. セキュリティ要件アセスメント |
| Appendix E. Organization-Defined Parameters | 附属書E. 組織定義パラメータ |
| Appendix F. Change Log | 附属書F. 変更履歴 |
SP800-172の歴史
SP800-171の歴史
SP800-53の歴史
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.11.17 米国 NIST SP 800-172 Rev.3(初公開ドラフト) 管理対象非機密情報保護のための拡張セキュリティ要件
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
« 米国 NIST SP 800-88 Rev. 2 媒体サニタイズ・ガイドライン (2025.09.26) | Main | 米国 NIST IR 8183 Rev. 2 (初期公開ドラフト) サイバーセキュリティ・フレームワーク2.0 製造業プロファイル (2025.09.29) »
Comments