Zenn
📜

CISSP受験者必見!押さえておきたいNIST SP 800シリーズ重要文書リスト

に公開
Security
CISSP
idea

NIST SP 800シリーズとは?

皆さん、こんにちは!

CISSPの学習、順調に進んでいますか? 幅広い知識が求められるCISSPですが、その中でも情報セキュリティに関するお手本や教科書のような役割を果たしているのが、NIST (アメリカ国立標準技術研究所) が発行しているSP 800シリーズの文書群です。

CISSPの学習に限らず、これらの文書は、米国政府機関向けに作られたものが多いですが、その内容は非常に質が高く具体的であるため、世界中の企業や組織で情報セキュリティ対策の指針として広く参照されています。

全てを暗記する必要はありませんが、「どの文書が、何について書かれているのか」という概要と、その中心的な考え方を理解しておくことはCISSPに限らずセキュリティ業界をこれから目指す人にとっても大切なことだと思います。

今回は、個人的に学習した上で、特に覚えておきたいNIST SP 800シリーズの主要な文書をカテゴリーやジャンルごとにまとめていきたいと思います。

基礎・全般

まずは、情報セキュリティの基本的な考え方や全体像を理解するのに役立つ文書です。

  1. SP 800-12: An Introduction to Information Security (情報セキュリティ入門)
    • まさに情報セキュリティの「入門書」。基本的な用語、概念、セキュリティプログラムの要素などを解説しています。全体像を掴むのに役立ちます。
  2. SP 800-100: Information Security Handbook: A Guide for Managers (情報セキュリティハンドブック:管理者向けガイド)
    • 情報セキュリティプログラムを構築・運用するマネージャー向けの包括的なガイド。セキュリティ管理の各要素について幅広く解説しています。

リスクマネジメント

リスクをどう捉え、どう管理していくか、というCISSPでも非常に重要な分野です。

  1. SP 800-30: Guide for Conducting Risk Assessments (リスクアセスメント実施ガイド)
    • 情報システムに関するリスクアセスメント(リスクの特定、分析、評価)をどのように行うか、その手法や手順を詳しく解説しています。「リスク分析」の回で学んだ内容の元ネタの一つですね。
  2. SP 800-37: Risk Management Framework for Information Systems and Organizations (情報システムと組織のためのリスク管理フレームワーク - RMF)
    • 前回詳しく学んだ「NIST RMF」そのものです!準備、分類、選択、実装、評価、認可、監視という一連のプロセスを通じて、情報システムのリスクを体系的に管理するためのフレームワークです。超重要!
  3. SP 800-39: Managing Information Security Risk (情報セキュリティリスクの管理)
    • 組織全体で情報セキュリティリスクをどのように管理していくか、そのための階層的(組織全体レベル、ミッション/ビジネスプロセスレベル、情報システムレベル)なアプローチを示しています。RMFを組織全体のリスク管理に統合するための考え方が学べます。

セキュリティ管理策 (Security Controls)

具体的なセキュリティ対策を選ぶ、実装する、評価する際のお手本です。

  1. SP 800-53: Security and Privacy Controls for Information Systems and Organizations (情報システムと組織のためのセキュリティ管理策とプライバシー管理策)
    • 情報システムを保護するために推奨される具体的なセキュリティ管理策(技術的、運用的、管理的)とプライバシー管理策の包括的なカタログ(一覧)です。NIST RMFの「選択」ステップで参照されます。非常に多くの管理策が載っています。
  2. SP 800-53A: Assessing Security and Privacy Controls in Information Systems and Organizations (情報システムと組織におけるセキュリティ管理策とプライバシー管理策の評価)
    • SP 800-53で選択・実装された管理策が、正しく効果的に機能しているかを評価(SCA:セキュリティ管理評価)するための手順や方法を具体的に示しています。NIST RMFの「評価」ステップで使われます。

インシデント対応

もしセキュリティ事故が起きてしまったら…その時のための準備と対応手順です。

  1. SP 800-61: Computer Security Incident Handling Guide (コンピュータセキュリティインシデント対応ガイド)
    • セキュリティインシデント(マルウェア感染、不正アクセス、情報漏洩など)の発生に備え、検知、分析、封じ込め、根絶、復旧、そして事後の活動といったインシデント対応のライフサイクルと、そのための体制や手順の整備について解説しています。

事業継続・災害復旧 (BCP/DRP)

システムが止まっても事業を続ける、復旧させるための計画です。

  1. SP 800-34: Contingency Planning Guide for Federal Information Systems (連邦情報システムのためのコンティンジェンシープランニングガイド)
    • 情報システムの停止や災害発生時に備えて、事業継続計画(BCP)や災害復旧計画(DRP)などのコンティンジェンシープラン(不測事態対応計画)を策定・維持するためのガイドです。BIA(事業影響分析)の重要性などにも触れています。

暗号技術・鍵管理

情報を守るための強力な武器、暗号とその鍵の扱い方です。

  1. SP 800-57: Recommendation for Key Management (鍵管理の推奨)
    • 暗号鍵の生成、配布、保管、利用、破棄といったライフサイクル全体にわたる「鍵管理」のベストプラクティスを示しています。暗号を安全に使うためには、鍵の管理が超重要!
  2. SP 800-131A: Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths (暗号アルゴリズムと鍵長の移行に関する推奨)
    • 安全性が低下した古い暗号アルゴリズムや短い鍵長から、より強力なものへ移行するためのガイダンス。
  3. FIPS 140-2 / FIPS 140-3 (Federal Information Processing Standards) (※これはSP 800シリーズではありませんが、NIST発行で極めて重要)
    • 暗号モジュール(ハードウェア、ソフトウェア、ファームウェアで暗号機能を提供するもの)のセキュリティ要件を定めた米国連邦標準。政府機関が利用する暗号製品はこの認証を受けていることが多いです。

ID管理・アクセス制御

「誰が誰で、何ができるか」を管理する仕組みです。

  1. SP 800-63-3: Digital Identity Guidelines (デジタルアイデンティティガイドライン)
    • デジタル環境における本人確認(Identity Proofing)、登録、認証(Authentication)、そしてID連携(Federation)に関する包括的なガイドライン。3つのパート(Authentication and Lifecycle Management, Identity Proofing and Registration, Federation and Assertions)に分かれています。パスワード、多要素認証、生体認証など、様々な認証技術の強度についても解説。

システム開発とセキュリティ (SDLC / SecDevOps)

安全なシステムを作るための考え方です。

  1. SP 800-160 Volume 1: Systems Security Engineering (システムセキュリティエンジニアリング)
    • 信頼できる安全なシステムを構築するために、システム開発のライフサイクル全体を通じてセキュリティを考慮し、組み込んでいくためのエンジニアリングアプローチ(考え方やプロセス)を示しています。「セキュアSDLC」や「セキュリティ・バイ・デザイン」の実現に役立ちます。
    • (旧 SP 800-64: Security Considerations in the System Development Life Cycle もありますが、より新しい考え方としてSP 800-160が重要です)

クラウドコンピューティング

クラウドサービスを安全に使うための指針です。

  1. SP 800-145: The NIST Definition of Cloud Computing (クラウドコンピューティングのNISTによる定義)
    • クラウドコンピューティングとは何か?その基本的な特徴(オンデマンドセルフサービス、広帯域ネットワークアクセスなど)、サービスモデル(SaaS, PaaS, IaaS)、導入モデル(パブリック、プライベート、ハイブリッドなど)を定義した、クラウド理解の基本となる文書です。
  2. SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing (パブリッククラウドコンピューティングにおけるセキュリティとプライバシーのガイドライン)
    • パブリッククラウドを利用する際のセキュリティとプライバシーのリスク、そしてそれらに対する対策の考え方を示しています。

サイバーセキュリティの全体像

  1. NIST Cybersecurity Framework (CSF) (※これもSP 800シリーズではありませんが、NIST発行で極めて重要)
    • 組織がサイバーセキュリティリスクを管理し、対策を改善していくための、実践的で分かりやすいフレームワーク。「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」という5つのコア機能で構成されています。

その他、重要なトピック

  1. SP 800-92: Guide to Computer Security Log Management (コンピュータセキュリティログ管理ガイド)
    • ログの収集、分析、保管、廃棄など、セキュリティログを効果的に管理するための指針。インシデント調査や監査に不可欠です。
  2. SP 800-88: Guidelines for Media Sanitization (メディアサニタイゼーション(記憶媒体のデータ消去)ガイドライン)
    • ハードディスク、SSD、USBメモリなどの記憶媒体を廃棄・再利用する際に、記録された情報を安全かつ完全に消去するための方法を解説しています。
  3. SP 800-161: Supply Chain Risk Management Practices for Federal Information Systems and Organizations (サプライチェーンリスク管理の実践)
    • IT製品やサービスを調達・利用する際に、その供給網(サプライチェーン)に潜むセキュリティリスクを管理するためのプラクティス。
  4. SP 800-171: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (非連邦政府システム・組織における管理対象非機密情報(CUI)の保護)
    • 米国政府機関と取引のある民間企業などが、政府の重要な非機密情報(CUI)を保護するために実施すべきセキュリティ要件を定めています。
  5. SP 800-207: Zero Trust Architecture (ゼロトラストアーキテクチャ)
    • 「決して信頼せず、常に検証する(Never Trust, Always Verify)」というゼロトラストの概念に基づいた、ネットワークセキュリティのアーキテクチャ設計の考え方を示しています。

学習のポイント

これらの文書はどれもボリュームがありますが、CISSPの学習においては、

  • 各文書の主な目的と概要(何について書かれているか)を理解する
  • 太字で示したようなキーワードや中心的な概念を覚える
  • 他の知識(例えば、アクセス制御モデル、暗号方式、インシデント対応フェーズなど)と、これらの文書がどのように関連しているかを意識する

といった点が重要です。全ての文書を隅から隅まで熟読する必要はありませんが、特にNIST RMF (SP 800-37)やセキュリティ管理策 (SP 800-53)、インシデント対応 (SP 800-61)、クラウドの定義 (SP 800-145)、そしてNIST CSFなどは、しっかりと概要を掴んでおくと良いでしょう。

ISACAが発行するCOBITや、ISO/IEC 27000シリーズといった他の標準・フレームワークと、NISTの文書群がどのように連携したり、補完し合ったりするのかを理解するのも、より深い知識に繋がります。

まとめ

NIST SP 800シリーズは、情報セキュリティの世界における「知の宝庫」のようなものです。CISSPの学習を通じてこれらの文書に触れることは、試験対策だけでなく、皆さんが将来セキュリティ専門家として活躍する上での土台造りにもなります。

最初は難しく感じるかもしれませんが、一つ一つの文書がどのような問題を解決しようとしているのかを意識しながら、少しずつ理解を深めていってくださいね!

また、最後にこれらNIST SP 800シリーズを以下に表形式でまとめました。

  • 【一覧表】NIST SP 800シリーズ重要文書まとめ
文書番号 (SP No.) 主なタイトル (日本語要約) 簡単な概要 / キーワード
SP 800-12 情報セキュリティ入門 基本用語、概念、セキュリティプログラムの構成要素や役割について解説。
SP 800-100 情報セキュリティハンドブック (管理者向け) 情報セキュリティプログラムの構築・運用に関する包括的なガイダンスをマネージャー向けに提供。
SP 800-30 リスクアセスメント実施ガイド 情報システムに対するリスクの特定、分析、評価の手法やプロセスを詳述。
SP 800-37 リスク管理フレームワーク (RMF) 準備、分類、選択、実装、評価、認可、監視の6ステップによる体系的なリスク管理プロセス。
SP 800-39 情報セキュリティリスクの管理 組織全体、ビジネスプロセス、情報システムの各階層でのリスク管理アプローチを定義。
SP 800-53 セキュリティ・プライバシー管理策カタログ 情報システムと組織を保護するための具体的なセキュリティ管理策とプライバシー管理策の一覧。
SP 800-53A セキュリティ・プライバシー管理策の評価 SP 800-53で選択された管理策の有効性を評価 (SCA) するための手順や方法を提示。
SP 800-61 コンピュータセキュリティインシデント対応ガイド インシデント対応のライフサイクル (準備、検知・分析、封じ込め・根絶・復旧、事後活動) を解説。
SP 800-34 コンティンジェンシープランニングガイド BCP/DRPなど、情報システムの不測事態対応計画の策定・維持に関するガイダンス。
SP 800-57 鍵管理の推奨 暗号鍵のライフサイクル (生成から破棄まで) 全体にわたる鍵管理のベストプラクティス。
SP 800-131A 暗号アルゴリズム・鍵長の移行推奨 安全性が低下した古い暗号アルゴリズムや短い鍵長から、より強力なものへ移行するための指針。
SP 800-63-3 デジタルアイデンティティガイドライン デジタル環境における本人確認、登録、認証 (多要素認証含む)、ID連携に関する包括的指針。
SP 800-160 Vol.1 システムセキュリティエンジニアリング 信頼できる安全なシステムを構築するための、ライフサイクル全体を通じたセキュリティ組込み手法。
SP 800-145 クラウドコンピューティングのNIST定義 クラウドの基本特性、サービスモデル (SaaS, PaaS, IaaS)、導入モデルを定義。
SP 800-144 パブリッククラウドのセキュリティ・プライバシー パブリッククラウド利用時のセキュリティとプライバシーのリスク、及びその対策の考え方。
SP 800-92 コンピュータセキュリティログ管理ガイド ログの収集、分析、保管、廃棄など、効果的なセキュリティログ管理のための指針。
SP 800-88 メディアサニタイゼーションガイドライン 記憶媒体 (HDD, SSD等) を廃棄・再利用する際の、安全かつ完全なデータ消去方法。
SP 800-161 サプライチェーンリスク管理の実践 IT製品・サービスの調達から利用におけるサプライチェーン上のセキュリティリスク管理手法。
SP 800-171 CUI保護 (非連邦政府組織向け) 米国政府の管理対象非機密情報(CUI)を扱う民間企業などが遵守すべきセキュリティ要件。
SP 800-207 ゼロトラストアーキテクチャ 「信頼せず常に検証する」原則に基づくネットワークセキュリティアーキテクチャの概念と設計。

この一覧表が、膨大なNIST SP 800シリーズを理解する手助けになれば幸いです。

それでは、本日はここまでです。また次回の学びでお会いしましょう!👋

Discussion