TL;DR

NIST 800-53は、政府機関や請負業者が使用するセキュリティとプライバシーの管理に関する米国連邦標準であり、大規模なカタログ（1,000以上の管理）である。

アクセス制御、監査ロギング、サプライチェーンリスクなどをカバー。

高保証環境（FedRAMPなど）向けに構築されており、気の弱い人には向かない。詳細な文書化、カスタマイズ、継続的な監視を期待してください。

NIST SP 800-53 スコアカードの概要：

• 開発者の労力：高い（特定の技術的管理を数多く実施し、変更管理などの厳格なプロセスを遵守し、広範な文書化を行い、厳格な評価に参加する必要がある）。
• ツールコスト：高い（SAST、DAST、SCA、SIEM、IAM、構成管理など、多くの領域にわたる包括的なセキュリティツールが必要。- さらに、GRC/コンプライアンス管理プラットフォームも必要になることが多い）。
• 市場への影響クリティカル（米国連邦政府機関には必須、FedRAMPを通じて多くの政府請負業者やCSPには不可欠）。影響力は大きいが、ISO 27001 と比較して、米国連邦政府以外では直接の関連性は低い。
• 柔軟性：中程度（ベースラインと調整ガイダンスを提供するが、コントロールセット自体は膨大かつ特殊）。
• 監査の強度：非常に高い（数百の統制に対する厳格な評価、詳細な証拠、ATOのような正式な承認プロセスが必要）。

NIST SP 800-53とは？

NIST Special Publication 800-53, Security and Privacy Controls for Information Systems and Organizations は、米国国立標準技術研究所の主要な出版物である。その主な目的は、連邦政府の情報システムおよび組織を保護するために設計されたセキュリティおよびプライバシー管理の包括的なカタログを提供することである。FISMAの下で連邦機関がサイバーセキュリティ・リスクを管理するために使用するリスク管理フレームワーク（RMF）の中核部分を形成している。

NIST 800-53（現在改訂 5）の主な特徴：

• 包括的なコントロールカタログ：セキュリティとプライバシーの技術面、運用面、管理面をカバーし、20 のファミリーに分類された 1,000 を超える具体的なコントロールが含まれている。例えば、アクセス・コントロール（AC）、インシデント・レスポンス（IR）、システムと情報の完全性（SI）、コンフィギュレーション・マネジメント（CM）、サプライチェーン・リスク・マネジメント（SR）などが含まれる。
• リスクベースのアプローチ：実施にあたっては、機密性、完全性、可用性が損なわれた場合の潜在的な影響（低、中、高）に基づいて情報システムを分類することから始める（FIPS 199およびNIST SP 800-60を使用）。
• 管理ベースライン：低、中、高インパクトのシステムに対して、あらかじめ定義されたコントロールの開始セット（ベースライン）を提供する。
• 調整：組織は、特定のミッションのニーズ、環境、およびリスク評価に基づいて、基本的な管理策を調整し、管理策を追加、削除、または修正することが求められる。
• プライバシーの統合：リビジョン5では、セキュリティ管理とともにプライバシー管理が大幅に統合され、統一されたカタログとなった。
• 実施と評価に焦点を当てる：管理策自体の詳細と、その有効性を評価するためのガイダンスを提供する。

NIST CSFが「何を」（識別、保護などの機能）を提供するのに対し、NIST 800-53は、その広範な管理リストを通じて詳細な「どのように」を提供します。これは、NIST CSFおよびNIST SP 800-171（これは、CUIを扱う非連邦システム向けの800-53のサブセットである）を含む、他の多くの標準およびフレームワークによって参照されるソースカタログです。

なぜ重要なのか？

NIST 800-53は、以下の点で極めて重要である：

• 米国連邦政府機関：FISMAに基づき、連邦政府の情報システムを保護するための必須の基盤である。
• 政府請負業者：連邦政府機関にサービスやシステムを提供する企業は、契約の一環としてNIST 800-53コントロール（または NIST SP 800-171 や CMMC などの関連標準）への準拠を証明しなければならないことがよくあります。
• クラウド・サービス・プロバイダー（FedRAMP経由）：連邦政府利用のCSPを認可するFederal Risk and Authorization Management Program（FedRAMP）は、そのセキュリティ要件をNIST 800-53に大きく基づいている。
• 高い保証を求める組織連邦政府の要求事項以外であっても、重要なインフラストラクチャに携わる組織や、非常に高いレベルのセキュリティ保証を求める組織は、その包括性と厳格性から、NIST 800-53を採用することが多い。
• 他の標準の基盤その詳細なコントロール定義は広く参照され、他のセキュリティ標準やベストプラクティスに世界的に影響を与えている。

コンプライアンスは、成熟した、十分に文書化された、包括的なセキュリティおよびプライバシー・プログラムであり、連邦政府の厳格な要件に沿ったものであることを示す。

何をどのように実施するか（技術・政策）

NIST 800-53の導入は、構造化された多段階のプロセスであり、多くの場合、NISTリスクマネジメントフレームワーク（RMF）によって導かれます：

1. システムを分類する（RMF ステップ 1）：FIPS 199 及び NIST SP 800-60 を使用して、情報システムのセキュリティ区分（低、中、高）を、侵害の潜在的な影響に基づいて決定する。これは、基本的な管理策を決定するため、極めて重要である。
2. コントロールを選択する（RMFステップ2）：システムカテゴリーに基づいて、適切なベースライン制御セット（低、中、高）を選択する。
3. 統制の調整：組織のリスクアセスメント、特定の技術、ミッションのニーズ、および運用環境に基づいて、管理策を追加、削除、または修正することにより、ベースラインを改良する。すべての調整に関する決定を文書化する。
4. コントロールを実施する（RMFステップ3）： 選択され、調整された管理策を実施する。これには、システムの設定、ポリシーと手順の確立、および該当する 20 のコントロール・ファミリーすべてにわたる要員のトレーニングが含まれる。
   
   • 技術的な実装：ファイアウォールの設定(SC-7)、暗号メカニズムの実装(SC-13)、最小特権の適用(AC-6)、侵入検知システムの導入(SI-4)、システム構成の安全な管理(CMファミリー)、多要素認証の実装(IA-2)、システムイベントのログ記録(AUファミリー)など。
   • ポリシーと手順の策定：アクセス制御方針（AC-1）、インシデント対応計画（IR-1）、構成管理計画（CM-1）、コンティンジェンシープラン（CP-1）、セキュリティ意識向上トレーニングプログラム（AT-1）などを文書化する。
5. 実施を文書化する：システム・セキュリティ計画（SSP）の中で、各管理策をどのように実施するかを徹底的に文書化する。これには、構成、方針、手順、担当者が含まれる。
6. 管理策を評価する（RMF ステップ 4）：統制が正しく実装され、意図したとおりに運用され、セキュリティ要求事項の充足に関して望ましい結果が得られていることを検証する。これには多くの場合、厳密なテストと証拠収集が含まれる。
7. システムの認可（RMFステップ5）：評価結果および欠陥に対する措置計画およびマイルストーン（POA&M）に基づき、認可担当者はリスクに基づいて運転認可（ATO）を与える決定を行う。
8. 統制を監視する（RMF ステップ 6）：統制の有効性を継続的に監視し、変更を文書化し、継続的な評価を実施し、システムのセキュリ ティ状況を報告する。

実施には多大な技術的専門知識、文書化作業、継続的な管理が必要であり、リソースを要する。

避けるべき一般的な間違い

包括的なNIST 800-53フレームワークの導入は困難です。よくある間違いには次のようなものがあります：

1. システムの不適切な分類：影響レベルを過小評価することは、不適切なコントロール・ベースラインを選択することにつながり、重大なリスクを未対処のまま放置することになる。
2. テーラリングの省略または不十分な文書化：適切な調整なしに基本的な統制を実施すること、または統制を修正した理由や適用できないと判断した理由を文書化しないこと。
3. リソース不足：何百もの統制を実施、文書化、評価、監視するために必要な多大な時間、予算、専門知識を過小評価している。
4. 不十分な文書化（SSP 及び証拠）：詳細なシステムセキュリティプランを作成しなかったり、アセスメント時にコントロールが実施され有効であることを証明する十分な証拠を収集しなかったりすること。"文書化されていなければ、実施されていない"。
5. 一過性のプロジェクトとして扱うこと： NIST 800-53への準拠には、継続的な監視、更新、再評価が必要である。継続的な取り組みがなければ、セキュリティ態勢は低下する。
6. 自動化の欠如：数百、数千に及ぶ統制の実施、評価、監視を手作業で管理しようとすることは、極めて非効率的であり、エラーが発生しやすい。
7. 不適切なコントロールの選択／解釈：コントロール要求事項の解釈を誤ったり、コントロールの目的を実際に満たさない方法で実施したりすること。

監査人／評価者が質問すること（開発者フォーカス）

NIST 800-53への準拠を検証する評価者は（多くの場合、FISMAまたはFedRAMPのために）、開発に関連する特定のコントロールの実施証拠を調査する：

• (SA-11) 開発者のテストと評価：「SDLC の間に実施されたセキュリティテスト（静的解析、動的解析、脆弱性スキャン）のプロセスと証拠を示してください。
• (SA-15) 開発プロセス、標準、ツール：「安全なソフトウェア開発ライフサイクル（SSDLC）プロセスと使用したツールの文書を提供する。
• (CM-3) コンフィギュレーション変更管理："承認とテストを含む、コードデプロイメントの変更管理プロセスについて教えてください。"
• (SI-7) ソフトウェア、ファームウェア、情報の完全性：「本番環境に配備されたソフトウェアの完全性をどのように確保していますか？
• (AC-6) 最小特権：「異なる環境(開発、テスト、プロダクション)にまたがる開発者のアクセスはどのように制御されているか？
• (AU-2） イベントログ「アプリケーション内のセキュリティ関連イベントがログに記録されている証拠を提供する。
• (RA-5） 脆弱性スキャン：「アプリケーションとインフラストラクチャの最近の脆弱性スキャンのレポート、および修復の証拠を提示すること。
• (SR-3）サプライチェーンの管理とプロセス「ソフトウエアに使用されているサードパーティのライブラリやコンポーネントに関連するセキュリティリスクをどのように評価し、管理していますか？(SCAに関連）

評価者は、該当する各コントロールが実施され、有効であることを証明する詳細な文書（ポリシー、手順、SSP）と具体的な証拠（ログ、スキャンレポート、コンフィグレーション、チケット）を要求する。

開発チームのクイックウィン

NIST 800-53の完全な実装は複雑ですが、開発チームは主要な原則に沿った作業を開始することができます：

1. セキュアな SDLC を採用する：開発プロセスを文書化し、SAST/SCA のようなセキュリティ活動を早期に統合し始める。(SA ファミリと整合する）
2. 脆弱性スキャンの自動化SAST、DAST、SCA、IaCスキャンをCI/CDパイプラインに統合する。(RA-5、SA-11と整合)
3. 変更管理の実施：Gitブランチ戦略の使用、PRレビュー/承認の要求、デプロイの追跡。(CM-3との整合性)
4. 秘密の管理：ハードコードされた秘密を排除し、安全な保管庫を使用する。(様々なAC,SIコントロールと整合する。）
5. 集中ロギング：アプリケーションが主要なイベントを中央システムに確実に記録する。(auファミリーと一致)
6. 依存関係の管理：SCA ツールを使用して、サードパーティ製ライブラリの脆弱性を追跡・管理する。(SRファミリー、RA-5と整合)

これを無視すれば...（コンプライアンス違反の結果）

NIST 800-53が関係する組織（特に連邦政府機関や請負業者）にとって、コンプライアンス違反は深刻な結果をもたらす：

• 連邦契約の喪失： NIST 800-53または関連する標準（800-171、CMMC）に基づく契約要件を満たさない場合、契約の打ち切りや新たな連邦政府のビジネスの獲得ができなくなる可能性がある。
• FISMA監査の失敗連邦政府機関は、FISMA監査に失敗したことで、議会の監視、予算削減の可能性、風評被害に直面している。
• FedRAMP ATOを達成できないこと：クラウドサービスは、NIST 800-53のベースラインを満たす必要があるFedRAMPのAuthorization to Operateがなければ、連邦政府機関では利用できない。
• セキュリティリスクの増大：コンプライアンス違反は、必要なセキュリティ管理が欠けているか、効果がない可能性が高いことを意味し、違反や攻撃に対する脆弱性を著しく増大させる。
• 法的および評判へのダメージ：コンプライアンス違反による情報漏えいは、訴訟や罰金（HIPAAなど他の法律が関係している場合）、評判への深刻なダメージにつながる可能性があります。

よくあるご質問

NIST 800-53は必須ですか？

FISMAに基づき、米国連邦政府の情報システム（国家安全保障システムを除く）には義務付けられている。連邦政府にサービスを提供する政府請負業者やクラウドプロバイダーには、間接的に義務付けられていることが多い（FedRAMP、CMMC、契約条項を通じて）。ほとんどの民間企業にとっては任意だが、高保証ベンチマークとみなされている。

NIST 800-53とNISTサイバーセキュリティフレームワーク（CSF）の違いは何ですか？

NIST CSF は、5 つの中核的機能（識別、保護、検知、対応、回復）をめぐる構造と共通言語を提供する、高水準の自主的なフレームワークである。NIST 800-53は、特に連邦政府内で CSF の目標を実施するために使用される、具体的なセキュリ ティ及びプライバシー管理の詳細なカタログである。CSF は「何を」であり、800-53 は主に「どのように」である。

NIST 800-53とNIST 800-171の違いは何ですか？

NIST 800-53は、連邦システムの包括的な管理カタログである。NIST 800-171は、非連邦システム（請負業者システムなど）における管理対象非分類情報（CUI）の保護に重点を置いている。800-171の管理は、大部分がNIST 800-53のModerateベースラインから派生したものですが、広範な調整ガイダンスはなく、要求事項として提示されています。

NIST 800-53認証はありますか？

いいえ、NIST は 800-53 コンプライアンスの直接的な証明書を提供していません。コンプライアンスは通常、FISMA 監査、FedRAMP 認可プロセス、または契約要件の一部として実施される評価を通じて実証され、多くの場合、証明書ではなく運用許可（Authorization to Operate：ATO）が発行されます。

低、中、高のベースラインとは？

これらは、セキュリティ侵害による潜在的な影響が「低」、「中」、「高」に分類されたシステム（FIPS 199 を経由して）に対して推奨される、NIST 800-53カタログから事前に選択された管理策セットである。影響レベルが高いほど、より多くの管理策とより厳格な実装が必要となる。

システム・セキュリティ・プラン（SSP）とは何か？

SSPは、NIST800-53（及びFedRAMPのような関連フレームワーク）が要求する重要な文書である。これは、情報システムのバウンダリー、その環境、および要求される各セキュリティ・コントロールがどのように実装されているかを詳細に説明するものである。

NIST 800-53の最新バージョンは？

現在のところ、最新版は2020年9月に発行されたリビジョン5（Rev.5）である。この改訂版では、管理方法が大幅に更新され、プライバシーが統合され、サプライチェーン・リスクマネジメントのような新しいファミリーが導入されました。