NISTは、National Institute of Standards and Technology(米国国立標準技術研究所)の略であり、SP800シリーズはNISTから発行されているコンピュータセキュリティ関連のレポートである。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられたものであり、調達要件の基準としてSP800シリーズが明記されるケースがある。
NIST SP800-53 (Security and Privacy Controls for Federal Information Systems and Organizations)は"連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策"について記載されたものである。
内容としては、セキュリティ対策のリスクマネジメントの方法から、ベースライン・セキュリティ統制の考え方、セキュリティ対策管理の指定方法、などからなる。それらを実現する方法としてベースラインによるアプローチ、ベースラインでどのように実現するかが記載されている。
また、考慮すべきセキュリティ規則として、アクセス制御、インシデント対応、事業継続、災害復旧性など以下の18の分野をカバーしており、網羅的にセキュリティ規則を確認、検討する際には参考となる内容となっている。
- アクセス制御
- メディアの保護
- 意識向上およびトレーニング
- 物理的および環境的な保護
- 監査および責任追跡性
- 計画作成
- セキュリティ評価および運用認可
- 人的セキュリティ
- 構成管理
- リスク評価
- 緊急時対応計画
- システム調達およびサービスの調達
- 識別および認証
- システム保護および通信の保護
- インシデント対応
- システムおよび情報の完全性
- 保守
- プログラム管理
なお NIST SP800シリーズは、IPAのサイト(セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構)にて日本語訳されたものが一部掲載されており、SP800-53も翻訳版が公開されている。
