米国 NIST SP 1800-39(初期公開ドラフト)データ格付の実践 (2026.02.12)
こんにちは、丸山満彦です。
NISTが、SP 1800-39(初期公開ドラフト)データ格付の実践を公表し、意見募集をしていますね...
組織が保有するデータの80~90%を占める未構造データの「発見」・「識別」・「ラベル付け」というデータ格付けの実務は、ゼロトラスト、PQC 移行、AI モデル学習といった次世代のデータ中心セキュリティの基盤となるということですかね...
生成的AIにより、未構造データはどんどん増えていくでしょうね...そうなった場合にこのようなデータを網羅的に、適時に格付けできるようにしないといけない...
当然手作業ではできないので、ツールですることになる。というときに、米国データのツールでどのように実践できるのか...組織内で一貫した「スキーマ(格付け体系)」を定義し、それを自動化ツールで適用することで、膨大なデータ資産を法規制やプライバシーポリシーに則して効率的に管理できることを実証していますね...
Data Classification Practicesプロジェクトの実装ガイドということになりますかね...
● NIST - ITL
・2026.02.12 NIST SP 1800-39 (Initial Public Draft) Data Classification Practices
| NIST SP 1800-39 (Initial Public Draft) Data Classification Practices | NIST SP 1800-39(ドラフト)データ格付の実践 |
| Announcement | 発表 |
| This guide, Data Classification Practices, demonstrates how organizations can discover, identify, and label unstructured data using data classification practices. Performing Data Classification Practices allows an organization to know its data and apply technologies that minimize the risk of valuable or sensitive data being lost or mismanaged. Data Classification Practices prepare an organization for the use of emerging security measures—including Zero Trust Architecture, quantum-safe cryptography, and AI model training that requires labeled data. This 1800-series NIST publication documents how the NCCoE and its collaborators created a synthetic dataset and used commercially available data classification tools to discover, identify, and label unstructured data. | このガイド「データ格付の実践」は、組織がデータ格付の実践を用いて非構造化データを発見、識別、ラベル付けする方法を示す。データ格付の実践を行うことで、組織は自社のデータを把握し、貴重または機密性の高いデータが紛失または誤管理されるリスクを最小限に抑える技術を適用できる。データ格付手法は、ゼロトラストアーキテクチャ、量子耐性暗号、ラベル付きデータを必要とするAIモデルトレーニングといった新たなセキュリティ対策の導入に向けた準備を整える。この1800シリーズのNIST出版物は、NCCoEとその協力機関が合成データセットを作成し、市販のデータ格付ツールを用いて非構造化データを発見、識別、ラベル付けした方法を記録している。 |
| Background | 背景 |
| Organizations trying to protect sensitive data from unauthorized access or disclosure need to understand all their data—structured and unstructured—across all the places that data might live. Sensitive data, such as PII, may reside in a variety of systems, digital conversations, data lakes, and file repositories. Identifying and classifying sensitive data is crucial for minimizing data loss and preparing organizations for advanced security measures, including Zero Trust Architecture, quantum-safe cryptography, and AI model training. | 機密データを不正アクセスや漏洩から防御しようとする組織は、構造化データと非構造化データの両方を、データが存在する可能性のあるあらゆる場所において把握する必要がある。PIIなどの機密データは、様々なシステム、デジタル会話、データレイク、ファイルリポジトリに存在する可能性がある。機密データの特定と分類は、データ損失を最小限に抑え、ゼロトラストアーキテクチャ、量子耐性暗号、AIモデルトレーニングといった高度なセキュリティ対策に組織を準備させる上で極めて重要である。 |
| The goal of this project is to demonstrate data classification practices for identifying and understanding sensitive unstructured data. This NIST Cybersecurity Practice Guide provides users with the information they need to apply data classification practices to discover, identify, and label sensitive unstructured data using commercially available data classification technology. By doing so, organizations can better understand their data and minimize the risk of losing or mismanaging valuable or sensitive data. | 本プロジェクトの目的は、機微な非構造化データを特定・理解するためのデータ格付手法を示すことである。このNISTサイバーセキュリティ実践ガイドは、市販のデータ格付技術を用いて機微な非構造化データを発見・識別・ラベル付けするための実践手法をユーザーに提供する。これにより組織は自社のデータをより深く理解し、貴重または機微なデータの紛失・誤管理リスクを最小化できる。 |
| The public comment period ends on March 30, 2026. | パブリックコメントの受付期間は2026年3月30日までである。 |
| Abstract | 概要 |
| This guide demonstrates how organizations can discover, identify and label unstructured data using data classification practices. Performing Data Classification Practices allows an organization to know its data and apply technologies that minimize the risk of valuable or sensitive data being lost or mismanaged. Data Classification Practices prepare an organization for the use of emerging security measures—including Zero Trust Architecture, quantum-safe cryptography, and AI model training that requires labeled data. This 1800-series NIST publication documents how the NCCoE and its collaborators created a synthetic dataset and used commercially available data classification tools to discover, identify and label unstructured data. | 本ガイドは、組織がデータ格付手法を用いて非構造化データを発見、識別、ラベル付けする方法を示す。データ格付手法を実施することで、組織は自社のデータを把握し、貴重なデータや機密データの紛失・誤管理リスクを最小化する技術を適用できる。データ格付手法は、ゼロトラストアーキテクチャ、量子耐性暗号、ラベル付きデータを必要とするAIモデルトレーニングといった新たなセキュリティ対策の導入に向けた準備を整える。この1800シリーズのNIST出版物は、NCCoEとその協力機関が合成データセットを作成し、市販のデータ格付ツールを用いて非構造化データを発見、識別、ラベル付けした方法を記録している。 |
・[PDF] SP 1800-39 (Draft)
目次...
| 1 Overview | 1 概要 |
| 1.1 Challenge | 1.1 課題 |
| 1.2 Audience | 1.2 対象読者 |
| 1.3 Scope | 1.3 範囲 |
| 1.4 Structure of This Guide | 1.4 本ガイドの構成 |
| 2 Project Overview | 2 プロジェクト概要 |
| 2.1 Motivation for the Project | 2.1 プロジェクトの動機 |
| 2.2 Challenges in Implementing Data Classification Practices for Unstructured Data | 2.2 非構造化データに対するデータ格付手法の実装における課題 |
| 2.3 Project Approach | 2.3 プロジェクトのアプローチ |
| 3 Synthetic Data | 3 合成データ |
| 3.1 Synthetic Data Characteristics | 3.1 合成データの特性 |
| 3.2 Synthetic Data Source | 3.2 合成データのソース |
| 3.3 Unstructured Synthetic Data Files | 3.3 非構造化合成データファイル |
| 4 Demonstrations | 4 デモンストレーション |
| 4.1 Unstructured Data Classification Practice Demonstrations | 4.1 非構造化データ格付手法の実演 |
| 4.2 Lab Demonstration Environment | 4.2 ラボ実演環境 |
| 4.3 Unstructured Data Classification Practice Demonstration Workflow | 4.3 非構造化データ格付手法の実演ワークフロー |
| 4.4 Electronic Mail Message Demonstration | 4.4 電子メールメッセージの実演 |
| 4.5 Tool Summary | 4.5 ツール概要 |
| 5 Findings and Insights | 5 調査結果と知見 |
| Appendix A List of Acronyms | 附属書A 略語一覧 |
| Appendix B Glossary | 附属書B 用語集 |
| Appendix C References | 附属書C 参考文献 |
| Appendix D Synthetic Data Creation Steps | 附属書D 合成データ作成手順 |
| Appendix E Lab Implementation Details | 附属書E ラボ実装詳細 |
予定では、第6章として、プロジェクトで使用したツールのサイバーセキュリティフレームワーク2.0のサブカテゴリーへのマッピングがつくようですね...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察
・2023.04.26 米国 NIST SP 1800-39 データ格付の実践(初期ドラフト)
Comments