NISTとは、「National Institute of Standards and Technology」の略で、日本では米国国立標準技術研究所と呼ばれています。
1901年に前身のNBS(National Bureau of Standard)として設立された機関で、1988年に現在の名称に改称されました。
現在は、アメリカ商務省配下の研究部門として活動しており、経済的・安全保障を強化し生活の質を向上させるような方法で、計量学・標準規格・産業技術を進歩させることによって、アメリカの技術革新と産業競争力の促進を目指しています。
また、NISTは5つの研究所と2つのユーザー用施設で構成されている機関です。
NISTは、これらの研究施設で様々な活動を行っていますが、セキュリティ基準を示すガイドライン「sp800-171」は情報技術研究所(Information Technology Laboratory:ITL)と呼ばれる研究所が担当しています。
NIST1とは、米国政府機関を意味するものでNISTのSP800-171は当機関が定めているセキュリティ基準を示すガイドラインになるものです。
政府機関だけでなく、取引企業からの情報漏洩を防ぐ目的で業務委託先でのセキュリティ強化を要求する内容などの特徴を持ちます。
ネットの記事の中には、サイバー時代の黒船などのような紹介記事を見ることもありますが、どのような概要になっているのか気になる人も多いのではないでしょうか。
調達から販売や供給に至る一連のサプライチェーンに存在すると思われる業務委託先や関連企業すべてに対して一貫したセキュリティ基準を設けることが必要、このような概念を持つのがNISTのSP800-171です。
なお、このガイドラインの対象読者となるのはシステム開発におけるライフサイクル管理の責任者や取得もしくは調達部門の責任者、システムやセキュリティリスク管理などを担う管理者やセキュリティ評価や監視責任者などです。