- ホーム ›
- セキュリティアーカイブス ›
- NIST SP 800シリーズ
NIST SP 800シリーズ
米国国立標準技術研究所(NIST)のComputer Security Division (CSD)が提供する、セキュリティ対策を実施する際の評価指標(メトリクス)、セキュリティインシデントへの対応手順、ガイドラインなどのドキュメントの翻訳版です。
NIST SP 800シリーズの資料、各種文書を閲覧いただくにはユーザー名・パスワードが必要です(無料)。
以下の「閲覧申込み」よりお申込みください。
- ※個人情報の取り扱いについては、プライバシーポリシーにご同意の上、入力をお願いいたします。
- ※閲覧用ID、パスワードは予告なしに変更する場合がございます。
すでにID、パスワードをお持ちの方でログインできなかった場合には、恐れ入りますが再度お申し込みをお願いいたします。
新しく取得したID、パスワードにても閲覧できなかった場合には、恐れ入りますが、 download@nri-secure.co.jp までご連絡をお願いいたします。
NRIセキュアでは、IPAと協力して、NIST SP800シリーズや同研究所の米国連邦政府情報処理規格(Federal Information Processing Standards : FIPS)、およびその他の海外セキュリティ関連文書等について、翻訳監修を進め、公表しています。
加えて、NISTの文書体系や内容について、日本の実情に即した解説を行うような調査研究も行います。
なお、文書の翻訳にあたっては、NISTから事前に承諾を得ております。
NIST SP800シリーズとは
NIST は、科学技術分野における計測と標準に関する研究を行う機関で、その中 のComputer Security Division (CSD)が、コンピュータセキュリティに関する事項を全般的に担当しています。
SP800シリーズは、CSDが発行するコンピュータセキュリティ関連のガイドラインです。本ガイドラインは、NIST内で情報技術に関する研究を行っているInformation Technology Laboratory(ITL) の研究成果に基づいています。
SP800シリーズは、米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、内容的には、セキュリティの対策状況を評価するための指標(メトリクス)、セキュリティインシデントへの対応手順をまとめたIncident Handling Guide、情報セキュリティ対策を実施する際の出発点となる Risk Management Guideなど、政府機関、民間企業を問わず、セキュリティ担当者にとって有益なものばかりです。
FIPSとは
FIPSは、米国の政府機関が情報セキュリティ対策を実施する際に利用されることを前提として、NISTによってまとめられた文書です。
暗号化やハッシュ化、認証、デジタル署名、そしてLANのセキュリティなど、分野別に詳細に基準や要求仕様、ガイドラインを示しています。その具体的な内容は、これら発表内容の利用が強制されていない民間企業においても情報セキュリティ向上に役立つ内容となっています。
NIST SP800シリーズ
| ドキュメント番号 | ドキュメントタイトル |
|---|---|
| SP 800-18 rev1 | 連邦情報システムのためのセキュリティ計画作成ガイド(改訂第1版)  Guide for Developing Security Plans for Federal Information Systems(Revision 1) |
| SP 800-30 | ITシステムのためのリスクマネジメントガイド Risk Management Guide for Information Technology Systems |
| SP 800-33 | ITセキュリティのための基本テクニカルモデル Underlying Technical Models for Information Technology |
| SP 800-34 | ITシステムのための緊急時対応計画ガイド Contingency Planning Guide for Information |
| SP 800-35 | ITセキュリティサービスガイド Guide to Information Technology Security Services |
| SP 800-37 | 連邦政府情報システムに対するセキュリティ承認と運用認可ガイド Guide for the Security Certification andAccreditation of Federal Information Systems |
| SP 800-40 | パッチおよび脆弱性管理プログラムの策定 Creating a Patch and Vulnerbility Management Program |
| SP 800-42 | ネットワークセキュリティテストにおけるガイドライン Guideline on Network Security Testing |
| SP 800-45 Rev1 | 電子メールのセキュリティに関するガイドライン Guidelines on Electronic Mail Security |
| SP 800-50 | ITセキュリティの意識向上およびトレーニングプログラムの構築 Building an Information Technology Security Awareness and Training Program |
| SP 800-53 rev2 | 連邦政府情報システムにおける推奨セキュリティ管理策(改訂第2版) Recommended Security Controls for Federal Information Systems (Revision2) |
| SP800-53 rev.2 Annex 1 | 連邦政府情報システムにおける推奨セキュリティ管理策 低位影響レベルのベースライン Recommended Security Controls for Federal Information Systems LOW-IMPACT BASELINE |
| SP800-53 rev.2 Annex 2 | 連邦政府情報システムにおける推奨セキュリティ管理策 中位影響レベルのベースライン Recommended Security Controls for Federal Information Systems MODERATE-IMPACT BASELINE |
| SP800-53 rev.2 Annex 3 | 連邦政府情報システムにおける推奨セキュリティ管理策 高位影響レベルのベースライン Recommended Security Controls for Federal Information Systems HIGH-IMPACT BASELINE |
| SP 800-55 Rev1 | 情報セキュリティパフォーマンス測定ガイド Performance Measurement Guide for Information Security |
| SP 800-60 Volume 1 | 情報および情報システムのタイプからセキュリティカテゴリへのマッピングの手引き Guide for Mapping Types of Information and Information Systems to Security Categories |
| SP 800-60 Volume 2 | 情報および情報システムのタイプから セキュリティカテゴリへのマッピングの手引きの付録 Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories |
| SP 800-61 rev1 | コンピュータセキュリティインシデント対応ガイド(改訂第1版) Computer Security Incident Handling Guide (Revision 1) |
| SP 800-63 | 電子認証に関するガイドライン Electronic Authentication Guideline |
| SP 800-64 Rev2 | 情報システム開発ライフサイクルにおけるセキュリティの考慮事項 Security Considerations in the Information System Development Life Cycle |
| SP 800-65 | ITセキュリティの資金計画および投資管理プロセスへの統合 Integrating IT Security into the Capital Planning and Investment Control Process |
| SP800-70 | IT 製品のためのセキュリティ設定チェックリストプログラム -チェックリスト 利用者と開発者のための手引き Security Configuration Checklists Program for IT Products: Guidance for Checklists Users and Developers |
| SP 800-73 | 個人識別情報の検証インタフェース Interfaces for Personal Identity Verification |
| SP 800-76-1 | 個人識別情報の検証における生体認証データ仕様(改訂版) Biometric Data Specification for Personal Identity Verification (rev.1) |
| SP 800-81 | セキュアなドメインネームシステム(DNS)の導入ガイド Secure Domain Name System (DNS) Deployment Guide |
| SP 800-83 | マルウェアによるインシデントの防止と対応のためのガイド Guide to Malware Incident Prevention and Handling |
| SP 800-84 | IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド Guide to Test,Traniing,and Excercise Programs for IT Plans and Capabilities |
| SP 800-86 | インシデント対応へのフォレンジック技法の統合に関するガイド Guide to Integrating Forensic Techniques into Incident Response |
| SP 800-88 | 媒体のサニタイズに関するガイドライン Guidelines for Media Sanitization |
| SP 800-92 | コンピュータセキュリティログ管理ガイド Guide to Computer Security Log Management |
OMB文書
| ドキュメント番号 | ドキュメントタイトル |
|---|---|
| OMB M-04-04 ※1 | 連邦政府機関向けの電子認証にかかわるガイダンス E-Authentication Guidance for Federal Agencies |
- ※1 OMB M-04-04 は、OMB (Office of Management and Budget:行政管理予算局)が米国各省庁および各政府機関長官宛てに発行したガイダンスであり、NIST SP800-63(電子的認証に関するガイドライン)の上位ポリシーとなります。
OMB ホームページ
http://www.whitehouse.gov/omb/
OMB M-04-04の原文
EXECUTIVE OFFICE OF THE PRESIDENT OFFICE OF MANAGEMENT AND BUDGET
解説文書
| ドキュメントタイトル |
|---|
| 連邦政府の情報セキュリティを飛躍的に向上させる新たなFISMA規格およびガイドライン
Standards for Security Categorization of Federal Information and Information Systems |
FISMA導入を推進するさまざまな取り組み(仮題) |
FISMAリスクマネジメントフレームワークとISMS(仮題) |
| NIST SP800シリーズに見る情報セキュリティと事業継続計画
※この文書は、独立行政法人 情報処理推進機構 セキュリティセンターのサイトに掲載されております。 事業継続計画と情報セキュリティの関係を、NIST SP800シリーズから眺めて解説した文書です。NIST発行の文書には、FIPSやSP800シリーズ文書があります。連邦政府機関にとり、FIPS(Federal Information Processing Standards:連邦情報処理規格)への準拠は必須ですが、SP800シリーズ文書は、FIPSに準拠するためにはどのようにすれば良いかを示したガイドラインです。SP800シリーズ文書の中にはIT緊急時対応計画について記したSP800-34があります。この解説文書では、情報セキュリティの管理策集であるSP800-53とSP800-34の関連、SP800-53とISO/IEC17799との比較も交えて、情報セキュリティと事業継計画について論じています。 |
| NIST SP800シリーズに見るBCPとContingency Planning (プレゼンテーション資料) ※この文書は、独立行政法人 情報処理推進機構 セキュリティセンターのサイト に掲載されております。 NIST SP800-34などのNISTのガイドラインを引用しながら、BCPとContingency Planningについて 説明した際のプレゼンテーション資料です。 このプレゼンテーション資料は、JIPDEC主催の情報セキュリティ総合的普及啓発シンポジウムで使用したものです。(一部修正) |
※ID、PASSのコピー&ペーストによる入力では、ブラウザの仕様により正しく認証・ダウンロードできない事例があります。
その際は、お手数ですが、ID、PASSを手入力いただけますと正しく認証・ダウンロードできる場合がございます。
お問い合わせ / 資料請求
ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。