新しいアップデートやコンプライアンス要件の追加は、日が昇り、また暮れるのと同じように定期的に行われます。最近、米国国立標準技術研究所(NIST)は、NIST 800-171の付属書を発表しました。これはSP 800-171Aとして知られる文書で、NIST 800-171内のCUI要件を組織がどのように評価できるかについてのガイダンスを提供するものです。
このリリースは、非連邦組織がSP 800-171への準拠実現に向けて、セキュリティ要件を満たすための評価計画の作成と評価の実行に関するガイダンスを提供することを目的としています。NIST SP 800-171の主な目的は、非連邦システムおよび組織におけるControlled Unclassified Information(CUI:管理対象非機密情報)を保護するためのセキュリティ要件を策定することでした。この要件は、Defense Federal Acquisition Regulation Supplement(DFARS)で参照されているため、国防総省(DoD)の直契約サプライヤーには必須となっています。
NIST SP 800-171に準拠するために、非連邦組織が管理する必要のある領域が5つあります。SP 800-171Aでは、それらの領域について次のように対応しています。
NIST Special Publication 800-171では、セキュリティ要件の項目を14のファミリー(大分類)に分類しています。その大分類は次の通りです。
CUIセキュリティ要件の大分類
評価担当者がこれらの要件を評価する際のメソッドを明確化することを目的として、NISTは「NIST SP 800-171A」として運用手順書を発表しました。この評価プロセスは、Examine(仕組みの整備状況の確認)、Interview(実施状況のインタビュー確認)、Test(実地テスト)のように区分されています。
セキュリティ要件の大分類に対するコンプライアンス準拠を支援するために、上記3つのプロセスすべてを実施することが推奨されます。
NIST SP 800-171Aのチャプター3では、CIUのセキュリティ要件実施状況の評価の手順、手法、および目的を詳細に説明しています。NISTは、評価の詳細度のレベルに関しては、組織独自の保証要件に基づくように柔軟性を持たせています。附属書Dでは、詳細度のレベルに関する分類を示しています。
Tripwireでは、これまでと変わらず、コンプライアンス要件への準拠を支援しています。Tripwireは、Examine、Interview、Testの手法を使用して企業がコンプライアンスを確認する際に、その到達度を測定する手段を提供しています。