NISTは、National Institute of Standards and Technology(米国国立標準技術研究所)の略であり、SP800シリーズはNISTから発行されているコンピュータセキュリティ関連のレポートである。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられたものであり、調調達要件の基準としてSP800シリーズが明記されるケースがある。
NIST SP800-171(NIST Special Publication 800-171 Revision 1)は、“連邦政府外のシステムと組織における管理された非格付け情報の保護” (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations ) について記載されたものであり、政府調達において基準となるセキュリティ技術、セキュリティの対策状況を広く網羅してものとなっている。米国では政府機関が行う調達取引において全世界の取引先企業にSP800-171への準拠を義務付けている。
日本においてNIST SP800-171が注目されるきっかけとなったのは、防衛省が同様の対応を取引先企業に求めるようになったためである。
SP800-171の内容は、アクセス制御、意識向上と訓練、監査と責任追跡性、識別と認証、インシデント対応など14のセキュリティ要件ファミリについて、それぞれ基本的セキュリティ要件、推奨されるセキュリティ要件が列挙されている。自社のセキュリティ対策の点検について網羅的に確認が行える内容となっており、本要件をもとに自社のセキュリティ対策レベルを点検する企業も増えている。
なお NIST SP800シリーズは、IPAのサイト(セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構)にて日本語訳されたものが一部掲載されいる。SP800-171も日本語訳されたものが掲載されている。
