米国 NIST SP 800-70 第5版 (初期公開ドラフト) IT製品向け国家チェックリストプログラム:チェックリスト利用者および開発者向けガイドライン
こんにちは、丸山満彦です。
NISTがSP 800-70 第5版 (初期公開ドラフト) IT製品向け国家チェックリストプログラム:チェックリスト利用者および開発者向けガイドラインを公開し、意見募集をしていますね...
米国だからできるのかもしれませんが...
● NIST - ITl
| NIST SP 800-70 Rev. 5 (Initial Public Draft) National Checklist Program for IT Products: Guidelines for Checklist Users and Developers | NIST SP 800-70 第5版 (初期公開ドラフト) IT製品向け国家チェックリストプログラム:チェックリスト利用者および開発者向けガイドライン |
| Announcement | 発表 |
| NIST established the National Checklist Program (NCP) to facilitate the generation of security checklists from authoritative sources, centralize the location of checklists, and make checklists broadly accessible. SP 800-70r5 ipd describes the uses, benefits, and management of checklists and checklist control catalogs, as well as the policies, procedures, and general requirements for participation in the NCP. | NISTは国家チェックリストプログラム(NCP)を設立している。これは権威ある情報源からのセキュリティチェックリスト作成を促進し、チェックリストの場所を一元化し、チェックリストを広く利用可能にするためである。SP 800-70r5 ipd は、チェックリスト及びチェックリスト管理カタログの用途、利点、管理方法、並びに NCP への参加に関する方針、手順、及び一般的な要件を説明する。 |
| Why Security Configuration Checklists Matter | セキュリティ構成チェックリストの重要性 |
| A security configuration checklist is a document or technical content that contains instructions or procedures for securely configuring an IT product to match an operational environment’s risk tolerance, verifying that the product has been configured properly, and/or identifying unauthorized changes to the product. Using these checklists can minimize the attack surface, reduce vulnerabilities, lessen the impacts of successful attacks, and identify changes that might otherwise go undetected. | セキュリティ構成チェックリストとは、運用環境のリスク許容度に合わせてIT製品を安全に構成するための手順や指示、製品の適切な構成確認、および製品への不正変更の特定を含む文書または技術的コンテンツである。これらのチェックリストを使用することで、攻撃対象領域を最小化し、脆弱性を減らし、攻撃成功時の影響を軽減し、検出されにくい変更を識別できる。 |
| What’s New in Revision 5? | 改訂版5の新機能 |
| This revision introduces significant updates to improve usability, automation, and alignment with modern cybersecurity practices. | 本改訂版では、使いやすさ、自動化、現代的なサイバーセキュリティ慣行との整合性を向上させるための大幅な更新を導入した。 |
| Key Highlights | 主なハイライト |
| Traceability and Compliance: Enhanced mapping concepts between checklist settings, NIST Cybersecurity Framework (CSF) 2.0 outcomes, SP 800-53 controls, and Common Configuration Enumeration (CCE) identifiers for evidence-ready automation and reporting | トレーサビリティとコンプライアンス:チェックリスト設定、NISTサイバーセキュリティフレームワーク(CSF)2.0の成果、SP 800-53の制御、共通構成列挙(CCE)識別子間のマッピング概念を強化し、証拠対応型の自動化と報告を実現 |
| Expanded Coverage: Guidance that includes cloud platforms, IoT, and AI systems and reflects the latest NIST research and federal requirements | 適用範囲の拡大:クラウドプラットフォーム、IoT、AIシステムを含むガイダンスを拡充。最新のNIST研究及び連邦政府要件を反映 |
| Modernized Automation: Explicit support for a wide range of automated checklist formats | 自動化の近代化:多様な自動化チェックリスト形式への明示的サポート |
| Control Catalog Approach: Encourages developers to use catalogs of controls for rapid, consistent checklist generation and easier tailoring to different risk postures | コントロールカタログ方式:開発者が制御カタログを活用し、迅速かつ一貫性のあるチェックリスト生成と、異なるリスク態勢への容易な適応を促進 |
| Operational Environment Tailoring: Detailed recommendations for customizing checklists to fit stand-alone, managed (enterprise), specialized security-limited functionality (SSLF), and legacy environments | 運用(OT)環境への適合:スタンドアロン環境、管理対象(エンタープライズ)環境、特殊セキュリティ限定機能(SSLF)環境、レガシー環境に合わせてチェックリストをカスタマイズするための詳細な推奨事項 |
| Checklist Life Cycle: Clear procedures for checklist development, testing, documentation, submission, public review, maintenance, and archival | チェックリストのライフサイクル:チェックリストの開発、テスト、文書化、提出、公開レビュー、保守、アーカイブに関する明確な手順 |
| Intended Audience | 対象読者 |
| This document is intended for users and developers of security configuration. | 本ドキュメントは、セキュリティ構成のユーザーおよび開発者を対象とする。 |
| For checklist users, this document makes recommendations on how they should select checklists from the NIST National Checklist Repository, evaluate and test checklists, and apply them to IT products. | チェックリストユーザーに対しては、NIST国家チェックリストリポジトリからのチェックリスト選定方法、チェックリストの評価・テスト方法、IT製品への適用方法に関する推奨事項を示す。 |
| For checklist developers, this document sets forth the policies, procedures, and general requirements for participation in the NCP. | チェックリスト開発者に対しては、NCP(国家チェックリストプログラム)への参加に関する方針、手順、および一般的な要件を定める。 |
| Abstract | 概要 |
| A security configuration checklist is a document or technical content that contains instructions or procedures for securely configuring an IT product to match an operational environment’s risk tolerance, verifying that the product has been configured properly, and/or identifying unauthorized changes to the product. Using these checklists can minimize the attack surface, reduce vulnerabilities, lessen the impact of successful attacks, and identify changes that might otherwise go undetected. NIST established the National Checklist Program (NCP) to facilitate the generation of security checklists from authoritative sources, centralize the location of checklists, and make checklists broadly accessible. This publication explains how to use the NCP to find and retrieve checklists and describes the policies, procedures, and general requirements for participation in the NCP. | セキュリティ構成チェックリストとは、運用環境のリスク許容度に合わせてIT製品を安全に構成するための手順や指示、製品の適切な構成確認方法、および製品への不正変更の識別方法を記載した文書または技術的コンテンツである。これらのチェックリストを使用することで、攻撃対象領域を最小化し、脆弱性を低減し、攻撃成功時の影響を軽減し、検出されにくい変更を識別することが可能となる。NISTは、権威ある情報源からのセキュリティチェックリスト作成を促進し、チェックリストの場所を一元化し、チェックリストを広く利用可能にするため、国家チェックリストプログラム(NCP)を設立した。本出版物は、NCPを使用してチェックリストを検索・取得する方法を説明し、NCPへの参加に関する方針、手順、および一般的な要件を記述するものである。 |
・[PDF] NIST.SP.800-70r5.ipd
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| A security configuration checklist (also called a lockdown, hardening guide, or benchmark) is a series of instructions or procedures for securely configuring an IT product to a particular risk tolerance for an operational environment, verifying that the product has been configured properly, and/or identifying unauthorized changes to the product. The checklist may be for a commercial, open-source, or government-off-the-shelf (GOTS) IT product. | セキュリティ構成チェックリスト(ロックダウン、強化ガイド、ベンチマークとも呼ばれる)とは、運用環境における特定のリスク許容度に合わせてIT製品を安全に構成するための一連の指示や手順である。製品が適切に構成されていることを確認し、あるいは製品への不正な変更を識別することを目的とする。チェックリストは、商用製品、オープンソース製品、政府向け既製品(GOTS)のIT製品を対象とする場合がある。 |
| Checklists can comprise a mix of templates, automated scripts, patch information, Extensible Markup Language (XML) files, and other procedures. Typically, checklists are created by IT vendors for their own products; however, checklists are also created by other organizations, such as academia, consortia, and government agencies. The use of well-written, standardized checklists can markedly reduce the attack surface and vulnerability exposure of IT products. | チェックリストは、テンプレート、自動化スクリプト、パッチ情報、拡張マークアップ言語(XML)ファイル、その他の手順を組み合わせて構成されることがある。通常、チェックリストはITベンダーが自社製品向けに作成するが、学術機関、コンソーシアム、政府など他の組織によって作成される場合もある。適切に作成された標準化されたチェックリストの使用は、IT製品の攻撃対象領域と脆弱性のエクスポージャーを著しく低減できる。 |
| NIST maintains the National Checklist Repository, which is a publicly available resource of security configuration checklists for IT products. The repository is located at https://checklists.nist.gov/ and contains metadata describing each checklist. The repository links to the website where a checklist is hosted. Users can browse and search the repository to locate a particular checklist using a variety of criteria. Having a centralized checklist repository makes it easier for organizations to find current, authoritative versions of security checklists and to determine which ones best meet their needs. | NISTはIT製品向けセキュリティ構成チェックリストの公開リソースである国家チェックリスト・レポジトリを管理している。リポジトリは https://checklists.nist.gov/ に所在し、各チェックリストを記述するメタデータを含む。リポジトリはチェックリストがホストされているウェブサイトへリンクする。ユーザーは様々な規準を用いてリポジトリを閲覧・検索し、特定のチェックリストを特定できる。中央集約型のチェックリストリポジトリが存在することで、組織は最新の権威あるセキュリティチェックリストを見つけ、自社のニーズに最も適合するものを判断しやすくなる。 |
| This document is intended for users and developers of security configuration. For checklist users, this document makes recommendations on how they should select checklists from the NIST National Checklist Repository, evaluate and test checklists, and apply them to IT products. For checklist developers, this document sets forth the policies, procedures, and general requirements for participation in the NIST National Checklist Program (NCP). | この文書は、セキュリティ構成のユーザーおよび開発者を対象とする。チェックリスト利用者向けには、NIST国家チェックリストリポジトリからのチェックリスト選定方法、評価・テスト手法、IT製品への適用方法に関する推奨事項を示す。開発者向けには、NIST国家チェックリストプログラム(NCP)への参加に関する方針、手順、基本要件を定める。 |
| Major recommendations made in this document for checklist users and developers include the following: | 本文章がチェックリストのユーザーと開発者に対して行う主な推奨事項は以下の通りである: |
| • Organizations should apply checklists to operating systems and applications to reduce the number of vulnerabilities that attackers can attempt to exploit and to lessen the impact of successful attacks. | • 組織は、攻撃者が悪用を試みうる脆弱性の数を減らし、攻撃が成功した場合の影響を軽減するために、オペレーティングシステムやアプリケーションにチェックリストを適用すべきである。 |
| • When selecting checklists, users should carefully consider each checklist’s degree of automation, source, use of standards, and other relevant characteristics. | • チェックリストを選択する際、ユーザーは各チェックリストの自動化の程度、出典、標準の使用状況、その他の関連特性を慎重に考慮すべきである。 |
| • Checklist users should customize and test checklists before applying them to production systems. | • チェックリスト利用者は、本番システムに適用する前にチェックリストをカスタマイズしテストすべきである。 |
| • Checklist users should consider their operational environments when selecting checklists.,. | • チェックリスト利用者は、チェックリストを選択する際に自組織の運用環境を考慮すべきである。 |
| • Checklist creators are encouraged to adopt a “catalog of controls” approach for products to facilitate custom checklist re-use. | • チェックリスト作成者は、製品向けに「制御カタログ」アプローチを採用し、カスタムチェックリストの再利用を容易にするよう推奨される。 |
| • NIST strongly encourages IT product vendors to develop security configuration checklists for their products and contribute them to the NIST National Checklist Repository. | • NISTは、IT製品ベンダーが自社製品向けのセキュリティ構成チェックリストを開発し、NIST国家チェックリストリポジトリへ寄稿することを強く推奨する。 |
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序論 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Document Organization | 1.2. 文書の構成 |
| 2. NIST National Checklist Program | 2. NIST国家チェックリストプログラム |
| 2.1. Overview of the NCP | 2.1. NCPの概要 |
| 2.2. Security Configuration Checklists | 2.2. セキュリティ構成チェックリスト |
| 2.3. Benefits of Using Security Checklists | 2.3. セキュリティチェックリスト利用の利点 |
| 2.4. Types of Checklists Listed by NCP | 2.4. NCPが列挙するチェックリストの種類 |
| 3. Operational Environments for Checklists | 3. チェックリストの運用環境 |
| 3.1. Stand-Alone Environment | 3.1. スタンドアローン環境 |
| 3.2. Managed Environment (Enterprise) | 3.2. 管理環境(エンタープライズ) |
| 3.3. Custom Environments | 3.3. カスタム環境 |
| 3.3.1. Specialized Security-Limited Functionality Environment | 3.3.1. 特殊なセキュリティ制限機能環境 |
| 3.3.2. Legacy Environment | 3.3.2. レガシー環境 |
| 4. Checklist Usage | 4. チェックリストの使用方法 |
| 4.1. Determining Local Requirements | 4.1. ローカル要件の決定 |
| 4.2. Browsing and Retrieving Checklists | 4.2. チェックリストの閲覧と取得 |
| 4.3. Reviewing, Customizing, Documenting, and Testing Checklists | 4.3. チェックリストのレビュー、カスタマイズ、文書化、テスト |
| 4.4. Applying Checklists to IT Products | 4.4. IT製品へのチェックリスト適用 |
| 4.5. Providing Feedback on Checklists | 4.5. チェックリストへのフィードバック提供 |
| 5. Checklist Development | 5. チェックリスト開発 |
| 5.1. Developer Steps for Creating, Testing, and Submitting Checklists | 5.1. チェックリスト作成、テスト、提出のための開発者手順 |
| 5.2. Initial Checklist Development | 5.2. 初期チェックリスト開発 |
| 5.3. Checklist Testing | 5.3. チェックリストテスト |
| 5.4. Checklist Documented | 5.4. チェックリストの文書化 |
| 5.5. Checklist Submitted to NIST | 5.5. NISTへのチェックリスト提出 |
| 5.6. NIST Steps for Reviewing and Finalizing Checklists for Publication | 5.6. 公開に向けたチェックリストのNISTによる審査と最終化手順 |
| 5.7. NIST Screening of the Checklist Package | 5.7. チェックリストパッケージのNISTによるスクリーニング |
| 5.8. Public Review and Feedback for the Candidate Checklist | 5.8. 候補チェックリストの公開レビューとフィードバック |
| 5.9. Final Listing on Checklist Repository | 5.9. チェックリストリポジトリへの最終掲載 |
| 5.10. Checklist Maintenance and Archival | 5.10. チェックリストの保守とアーカイブ |
| References | 参考文献 |
| Appendix A. Checklist Program Operational Procedures | 附属書A. チェックリストプログラム運用手順 |
| A.1. Overview and General Considerations | A.1. 概要と一般的な考慮事項 |
| A.2. Checklist Submission and Screening | A.2. チェックリストの提出とスクリーニング |
| A.3. Candidate Checklist Public Review | A.3. 候補チェックリストの公開レビュー |
| A.4. Final Checklist Listing | A.4. 最終チェックリストの掲載 |
| A.5. Final Checklist Update, Archival, and Delisting | A.5. 最終チェックリストの更新、アーカイブ、および掲載解除 |
| A.6. Record Keeping | A.6. 記録の保管 |
| Appendix B. Participation and Logo Usage Agreement Form | 附属書B. 参加およびロゴ使用に関する合意書 |
| Appendix C. Automating NIST CSF 2.O | 附属書C. NIST CSF 2.0 の自動化 |
| C.1. How the Path Connects Policy to Automation | C.1. パスがポリシーと自動化をどう結びつけるか |
| C.2. Implementation and Traceability | C.2. 実装とトレーサビリティ |
| C.3. Checklist Development Guidance | C.3. チェックリスト開発ガイダンス |
| C.4. Operational Environment Tailoring and Considerations | C.4. 運用環境の調整と考慮事項 |
| C.5. Checklist Submission and Maintenance | C.5. チェックリストの提出と保守 |
| C.6. Appendix References | C.6. 附属書の参考文献 |
| Appendix D. List of Symbols, Abbreviations, and Acronyms | 附属書D. 記号、略語、頭字語一覧 |
| Appendix E. Glossary | 附属書E. 用語集 |
| Appendix F. Change Log | 附属書F. 変更履歴 |
| List of Tables | 表一覧 |
| Table 1. Checklist Description Form Fields | 表 1. チェックリスト説明フォームのフィールド |
| List of Figures | 図一覧 |
| Fig. 1. Checklist user process overview | 図 1. チェックリスト利用者プロセスの概要 |
国家チェックリストプログラム
・2017.02.15 National Checklist Program NCP
チェックリストのレポジトリ...
全部で853のチェックリストがあります(2025.12.13確認時)
例えば、MacOSOS (Tahoe) 26.0.0を選んだ画面...
でマッチしたのが、
https://ncp.nist.gov/repository?product=Apple+macOS+%28Tahoe%29+26.0.0&sortBy=modifiedDate%7Cdesc
でこれをクリックすると
・2025.09.17 Tahoe Guidance Revision 1.0 Checklist Details
ダウンロード
・・[ZIP] Download ZIP - Tahoe Guidance, Revision 1.0
ダウンロードして内容を確認してみてくださいませ。充実した内容となっております...
こんな感じでファイルが格納されています...
例えば、
SP800-53
・800-53r5_high.html (downloaded)
国家安全保障システム委員会 (Committee on National Security Systems; CNSS) 用のCNSSI-1253チェックリスト
・CNSSI - 1253_high.html (downloaded)
● Github
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.16 NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
« 米国 NIST SP 800-57 第6版(初期公開ドラフト)鍵管理に関する推奨事項:第1部-一般事項 (2025.12.05) | Main | ASKUL ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みの報告 (2025.12.12) »
Comments