セキュリティ関連NIST文書

IPA/ISEC（独立行政法人情報処理推進機構 セキュリティセンター）は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ（株）と共同で行い、その成果を一般に公開しています。

当面は、米国国立標準技術研究所（NIST）^（*1）の発行するSP800^（*2）シリーズとFIPS^（*3）の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うような研究も行います。なお、文書の翻訳にあたっては、NISTから事前に承諾を得ております。

（*1）　NIST: National Institute of Standards and Technology
（*2）　SP: Special Publications
（*3）　FIPS: Federal Information Processing Standards

【概要説明】 NIST及びNIST発行の情報セキュリティ関連文書について

• NIST及びCSDとは
• SP800シリーズとは
• FIPSとは
• ITL Security Bulletins とは
• NIST IRs（NIST Interagency Reports） とは

【解説】 情報セキュリティ向上のための米国の取り組み －FISMA導入プロジェクト－

[SP800シリーズ]

シリーズNo. （原文発行年月）		タイトル	掲載
SP 800-18 rev.1 （2006年02月）		連邦情報システムのためのセキュリティ計画作成ガイド 改訂第1版 Guide for Developing Security Plans for Federal Information Systems	2007年 3月
SP 800-30 rev.1 （2012年09月）		リスクアセスメントの実施の手引き Guide for Conducting Risk Assessments	2013年 2月
SP 800-34 （2002年06月）		ITシステムのための緊急時対応計画ガイド Contingency Planning Guide for Information Technology Systems	2005年 11月
SP 800-35 （2003年10月）		ITセキュリティサービスガイド Guide to Information Technology Security Services	2005年 8月
SP 800-37 rev.1 （2010年02月）		連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド： セキュリティライフサイクルによるアプローチ Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach	2011年 3月
SP 800-40 ver.2 （2005年11月）		パッチおよび脆弱性管理プログラムの策定 Creating a Patch and Vulnerability Management Program	2007年 12月
SP 800-45 rev.2 （2007年02月）		電子メールのセキュリティに関するガイドライン Guidelines on Electronic Mail Security	2010年 1月
SP 800-50 （2003年10月）		ITセキュリティの意識向上およびトレーニングプログラムの構築 Building an Information Technology Security Awareness and Training Program	2005年 8月
SP 800-52 rev.1 （2014年4月）		トランスポート層セキュリティ(TLS)実装の選択、設定、および使用のためのガイドライン Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations	2017年 1月
SP 800-53 rev.4 （改訂第4版） （2013年4月）		連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策 Recommended Security Controls for Federal Information Systems	2017年 1月
SP 800-55 rev.1 （2008年07月）		情報セキュリティパフォーマンス測定ガイド Performance Measurement Guide for Information Security	2009年 9月
SP 800-57 Part 1 Rev.4 （2016年1月）		Recommendation for Key Management Part 1: General 鍵管理における推奨事項 第一部：一般事項	2016年 11月
SP 800-57 Part 3 Rev.1 （2015年1月）		Recommendation for Key Management Part 3: Application-Specific Key Management Guidance 鍵管理における推奨事項 第三部：アプリケーション特有の鍵管理ガイダンス	2016年 11月
SP 800-60 Volume I （2004年06月）		第I巻：情報および情報システムのタイプとセキュリティ分類のマッピングガイド Guide for Mapping Types of Information and Information Systems to Security Categories	2006年 8月
SP 800-60 Volume II （簡易監修版） （2004年06月）		第II巻：情報および情報システムのタイプとセキュリティ分類のマッピングガイド　付録 Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories	2006年 8月
SP 800-61 rev.1 （2008年03月）		コンピュータインシデント対応ガイド Computer Security Incident Handling Guide	2009年 1月
SP 800-63 （2006年04月）		電子的認証に関するガイドライン Electronic Authentication Guideline ※本文書の上位ポリシーOMB M-04-04の翻訳はこちら	2007年 8月
SP 800-64 rev.2 （2008年10月）		システム開発ライフサイクルにおけるセキュリティの考慮事項 Security Considerations in the System Development Life Cycle	2009年 9月
SP 800-70 （2005年05月）		IT 製品のためのセキュリティ設定チェックリストプログラム - チェックリスト利用者と開発者のための手引き Security Configuration Checklists Program for IT Products - Guidance for Checklists Users and Developers	2007年 3月
SP 800-73 rev.1 （2005年04月）		個人識別情報の検証インタフェース Interfaces for Personal Identity Verification	2006年 10月
SP 800-76-1 （2007年01月）		個人識別情報の検証における生体認証データ仕様（改訂版） Biometric Data Specification for Personal Identity Verification（rev.1）	2009年 10月
SP 800-81 （2006年05月）		セキュアなドメインネームシステム（DNS）の配備ガイド Secure Domain Name System （DNS） Deployment Guide	2009年 9月
SP 800-82 rev.2 （2015年5月）		産業制御システム(ICS)セキュリティ Guide to Industrial Control Systems (ICS) Security	2016年 3月
SP 800-83 （2005年11月）		マルウェアによるインシデントの防止と対応のためのガイド Guide to Malware Incident Prevention and Handling	2008年 9月
SP 800-84 （2006年09月）		IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities	2009年 2月
SP 800-86 （2006年08月）		インシデント対応へのフォレンジック技法の統合に関するガイド Guide to Integrating Forensic Techniques into　Incident Response	2009年 9月
SP 800-88 （2006年09月）		媒体のサニタイズに関するガイドライン Guidelines for Media Sanitization	2009年 9月
SP 800-92 （2006年09月）		コンピュータセキュリティログ管理ガイド Guide to Computer Security Log Management	2009年 3月
SP 800-94 （2007年02月）		侵入検知および侵入防止システム（IDPS）に関するガイド Guide to Intrusion Detection and Prevention Systems （IDPS）	2011年 3月
SP 800-130 （2013年08月）		暗号鍵管理システム設計のフレームワーク A Framework for Designing Cryptographic Key Management Systems	2020年 7月
SP 800-144 （2011年12月）		パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン Guidelines on Security and Privacy in Public Cloud Computing	2014年 3月
SP 800-145 （2011年09月）		NISTによるクラウドコンピューティングの定義 The NIST Definition of Cloud Computing	2011年 12月
SP 800-146 （2012年05月）		クラウドコンピューティングの概要と推奨事項 Cloud Computing Synopsis and Recommendations	2012年 8月
SP 800-171 rev.2 （2020年2月）		非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations	2021年 2月
SP800-190 rev.1 （2017年9月）		アプリケーションコンテナセキュリティガイド Application Container Security Guide	2020年 9月
SP800-207 （2020年8月）		ゼロトラスト・アーキテクチャ Zero Trust Architecture	2020年 12月

注：SP800-26 は、廃止文書となりました。管理策のアセスメントに関しては、第三者によるアセスメント、セルフアセスメントのいずれも、参照文書は、SP800-53Aとなります。
　SP800-26に記載のあった、The system reporting についてはNIST SP800-53A に、The FITSAF Security Program Maturity Levels については　SP800-100 に記載されています。

注2：SP800-33、SP800-42、SP800-65 は、廃止文書となりました。
 
注3：SP800-53 rev.2 Annex1, 2, 3 の掲載を終了しました。

注4：SP 800-82は、JPCERT/CCが翻訳・公開している資料です。同資料の掲載については、JPCERT/CCの許可を得ています。

注5：SP 800-171 rev.2は、株式会社エヴァアビエーションが翻訳・公開している資料です。同資料の掲載については、株式会社エヴァアビエーションの許可を得ています。

注6：SP 800-207は、PwCコンサルティング合同会社が翻訳・公開している資料です。同資料の掲載については、PwCコンサルティング合同会社の許可を得ています。

[その他のNIST文書]

文書名 （原文発行年月）		タイトル	掲載
Cybersecurity Framework Version 1.1 （2018年04月）		重要インフラのサイバーセキュリティを改善するためのフレームワーク　1.1版 Framework for Improving Critical Infrastructure Cybersecurity Version 1.1  (原文)  (頁対訳)     Core  (原文)  (和訳)	2019年 1月

免責事項
ここに公開されている海外セキュリティ関連文書は、原文にできるだけ忠実に翻訳するよう努めていますが、完全性、正確性を保証するものではありません。
翻訳監修主体（IPA及びNRIセキュアテクノロジーズ（株））は、本翻訳物に記載されている情報より生じる損失または損害に対して、いかなる人物あるいは団体にも責任を負うものではありません。
原文のありのままの内容を理解する必要のある場合は、以下の原文をお読み下さい。