セキュリティ関連NIST文書について

最終更新日：2024年12月24日

独立行政法人情報処理推進機構
セキュリティセンター

IPA/ISEC（独立行政法人情報処理推進機構セキュリティセンター）は、政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ（株）と共同で行い、その成果を一般に公開しています。

米国国立標準技術研究所（NIST: National Institute of Standards and Technology）の発行するSP800シリーズ（SP: Special Publications）とFIPS（Federal Information Processing Standards）の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うような研究も行います。なお、文書の翻訳にあたっては、NISTから事前に承諾を得ております。

【概要説明】 NIST及びNIST発行の情報セキュリティ関連文書について

【解説】情報セキュリティ向上のための米国の取り組み－FISMA導入プロジェクト－

翻訳文書（ダウンロード）

OMB文書

OMB M-04-04

連邦政府機関向けの電子認証にかかわるガイダンス
E-Authentication Guidance for Federal Agencies

OMB M-04-04 （2003年12月）(PDF:181 KB)
- [掲載] 2008年6月
OMB M-04-04 は、OMB （Office of Management and Budget：米国行政管理予算局）が米国各省庁および各政府機関長官宛てに発行したガイダンスであり、NIST SP800-63（電子的認証に関するガイドライン）の上位ポリシーとなります。

FIPS

FIPS 199

連邦政府の情報および情報システムに対するセキュリティ分類規格
Standards for Security Categorization of Federal Information and Information Systems

FIPS 199（2004年2月）(PDF:90 KB)
- [掲載] 2006年8月

FIPS 200

連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項
Minimum Security Requirements for Federal Information and Information Systems

FIPS 200（2006年2月）(PDF:269 KB)
- [掲載] 2006年9月

FIPS 201-1

連邦職員および委託業者のアイデンティティの検証
Personal Identity Verification （PIV） of Federal Employees and Contractors

FIPS 201-1（2006年3月）(PDF:5.7 MB)
- [掲載] 2011年3月

SP 800シリーズ

SP 800-18 Rev. 1

連邦情報システムのためのセキュリティ計画作成ガイド改訂第1版
Guide for Developing Security Plans for Federal Information Systems

SP 800-18 Rev. 1（2006年2月）(PDF:509 KB)
- [掲載] 2007年3月

SP 800-30 Rev. 1

リスクアセスメントの実施の手引き
Guide for Conducting Risk Assessments

SP 800-30 Rev. 1（2012年9月）(PDF:1.2 MB)
- [掲載] 2013年2月

SP 800-34

ITシステムのための緊急時対応計画ガイド
Contingency Planning Guide for Information Technology Systems

SP 800-34（2002年6月）(PDF:1.8 MB)
- [掲載] 2005年11月

SP 800-35

ITセキュリティサービスガイド
Guide to Information Technology Security Services

SP 800-35（2003年10月）(PDF:2.0 MB)
- [掲載] 2005年8月

SP 800-37 Rev. 2

連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド：セキュリティライフサイクルによるアプローチ
Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach

SP 800-37 Rev. 2（2018年12月）(PDF:2.3 MB)
- [掲載] 2024年1月

SP 800-40 Ver. 2

パッチおよび脆弱性管理プログラムの策定
Creating a Patch and Vulnerability Management Program

SP 800-40 Ver. 2（2005年11月）(PDF:827 KB)
- [掲載] 2007年12月

SP 800-45 Ver. 2

電子メールのセキュリティに関するガイドライン
Guidelines on Electronic Mail Security

SP 800-45 Ver. 2（2007年2月）(PDF:1.2 MB)
- [掲載] 2010年1月

SP 800-50

ITセキュリティの意識向上およびトレーニングプログラムの構築
Building an Information Technology Security Awareness and Training Program

SP 800-50（2003年10月）(PDF:3.9 MB)
- [掲載] 2005年8月

SP 800-52 Rev. 1

トランスポート層セキュリティ(TLS)実装の選択、設定、および使用のためのガイドライン
Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations

SP 800-52 Rev. 1（2014年4月）(PDF:1.1 MB)
- [掲載] 2017年1月

SP 800-53 Rev. 5

組織と情報システムのためのセキュリティおよびプライバシー管理策
Security and Privacy Controls for Information Systems and Organizations

SP 800-53 Rev. 5（2020年9月）(PDF:21.6 MB)
- [掲載] 2021年7月

SP 800-53B

組織と情報システムのための管理策ベースライン
Control Baselines for Information Systems and Organizations

SP 800-53B（2020年9月）(PDF:1.3 MB)
- [掲載] 2021年7月

SP 800-55 Rev. 1

情報セキュリティパフォーマンス測定ガイド
Performance Measurement Guide for Information Security

SP 800-55 Rev. 1（2008年7月）(PDF:2.5 MB)
- [掲載] 2009年9月

SP 800-57 Part 1 Rev. 5

鍵管理における推奨事項
第一部：一般事項
Recommendation for Key Management
Part 1: General

SP 800-57 Part 1 Rev. 5（2020年5月）(PDF:1.9 MB)
- [掲載] 2021年5月

SP 800-57 Part 3 Rev. 1

鍵管理における推奨事項
第三部：アプリケーション特有の鍵管理ガイダンス
Recommendation for Key Management
Part 3: Application-Specific Key Management Guidance

SP 800-57 Part 3 Rev. 1（2015年1月）(PDF:1.2 MB)
- [掲載] 2016年11月

SP 800-60 Ver. 2 Vol. I

第I巻：情報および情報システムのタイプとセキュリティ分類のマッピングガイド
Guide for Mapping Types of Information and Information Systems to Security Categories

SP 800-60 Ver. 2 Vol. 1（2004年6月）(PDF:443 KB)
- [掲載] 2006年8月

SP 800-60 Ver. 2 Vol. II

第II巻：情報および情報システムのタイプとセキュリティ分類のマッピングガイド付録
Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories

SP 800-60 Ver. 2 Vol. II [簡易監修版]（2004年6月）(PDF:1.1 MB)
- [掲載] 2006年8月

SP 800-61 Rev. 1

コンピュータインシデント対応ガイド
Computer Security Incident Handling Guide

SP 800-61 Rev. 1（2008年3月）(PDF:800 KB)
- [掲載] 2009年1月

SP 800-63 Ver. 1.0.2

電子的認証に関するガイドライン
Electronic Authentication Guideline

SP 800-63（2006年4月）(PDF:679 KB)
- [掲載] 2007年8月

本文書の上位ポリシーOMB M-04-04の翻訳

SP 800-64 Rev. 2

システム開発ライフサイクルにおけるセキュリティの考慮事項
Security Considerations in the System Development Life Cycle

SP 800-64 Rev. 2（2008年10月）(PDF:1.5 MB)
- [掲載] 2009年9月

SP 800-70

IT 製品のためのセキュリティ設定チェックリストプログラム - チェックリスト利用者と開発者のための手引き
Security Configuration Checklists Program for IT Products - Guidance for Checklists Users and Developers

SP 800-70（2005年5月）(PDF:1.4 MB)
- [掲載] 2007年3月

SP 800-73-1

個人識別情報の検証インタフェース
Interfaces for Personal Identity Verification

SP 800-73-1（2005年4月）(PDF:1.1 MB)
- [掲載] 2006年10月

SP 800-76-1

個人識別情報の検証における生体認証データ仕様
Biometric Data Specification for Personal Identity Verification

SP 800-76-1（2007年1月）(PDF:548 KB)
- [掲載] 2009年10月

SP 800-76-1は2013年7月11日に廃止され、SP 800-76-2 に置き換えられました。

SP 800-81

セキュアなドメインネームシステム（DNS）の配備ガイド
Secure Domain Name System （DNS） Deployment Guide

SP 800-81（2006年5月）(PDF:899 KB)
- [掲載] 2009年9月

SP 800-82 Rev. 2

産業用制御システム（ICS）セキュリティガイド
Guide to Industrial Control Systems (ICS) Security

SP 800-82 Rev. 2（2015年5月）
- [掲載] 2016年3月

SP 800-83

マルウェアによるインシデントの防止と対応のためのガイド
Guide to Malware Incident Prevention and Handling

SP 800-83（2005年11月）(PDF:653 KB)
- [掲載] 2008年9月

SP 800-84

IT計画およびIT対応能力のためのテスト、トレーニング、演習プログラムのガイド
Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities

SP 800-84（2006年9月）(PDF:616 KB)
- [掲載] 2009年2月

SP 800-86

インシデント対応へのフォレンジック技法の統合に関するガイド
Guide to Integrating Forensic Techniques into Incident Response

SP 800-86（2006年8月）(PDF:1.1 MB)
- [掲載] 2009年9月

SP 800-88 Rev. 1

媒体のデータ抹消処理（サニタイズ）に関するガイドライン
Guidelines for Media Sanitization

SP 800-88 Rev. 1（2014年12月）(PDF:1.2 MB)
- [掲載] 2021年11月

SP 800-92

コンピュータセキュリティログ管理ガイド
Guide to Computer Security Log Management

SP 800-92（2006年9月）(PDF:622 KB)
- [掲載] 2009年3月

SP 800-94

侵入検知および侵入防止システム（IDPS）に関するガイド
Guide to Intrusion Detection and Prevention Systems （IDPS）

SP 800-94（2007年2月）(PDF:1.5 MB)
- [掲載] 2011年3月

SP 800-130

暗号鍵管理システム設計のフレームワーク
A Framework for Designing Cryptographic Key Management Systems

SP 800-130（2013年8月）(PDF:1.5 MB)
- [掲載] 2020年7月

SP 800-144

パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン
Guidelines on Security and Privacy in Public Cloud Computing

SP 800-144（2011年12月）(PDF:924 KB)
- [掲載] 2014年3月

SP 800-145

NISTによるクラウドコンピューティングの定義
The NIST Definition of Cloud Computing

SP 800-145（2011年9月）(PDF:218 KB)
- [掲載] 2011年12月

SP 800-146

クラウドコンピューティングの概要と推奨事項
Cloud Computing Synopsis and Recommendations

SP 800-146（2012年5月）(PDF:7.8 MB)
- [掲載] 2012年8月

SP 800-161 Rev. 1

システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス
Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations

SP 800-161 Rev. 1（2022年5月）(PDF:5.7 MB)
- [掲載] 2024年1月

SP 800-171 Rev.2

非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

SP 800-171 Rev.2（2020年2月）
- [掲載] 2021年2月

SP 800-172

管理対象非機密情報を保護するための拡張セキュリティ要件: NIST SP 800-171の補足
Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

SP 800-172（2021年2月）(PDF:1.5 MB)
- [掲載] 2021年8月

SP 800-175A

米国連邦政府での暗号標準利用のためのガイドライン : 指令、命令、及び方針
Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies

SP 800-175A（2016年8月）(PDF:986 KB)
- [掲載] 2021年5月

SP 800-175B Rev. 1

米国連邦政府での暗号標準利用のためのガイドライン : 暗号メカニズム
Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms

SP 800-175B Rev. 1（2020年3月）(PDF:1.5 MB)
- [掲載] 2021年5月

SP 800-190 Rev. 1

アプリケーションコンテナセキュリティガイド
Application Container Security Guide

SP 800-190 Rev. 1（2017年9月）(PDF:1.8 MB)
- [掲載] 2020年9月

SP 800-207

ゼロトラスト・アーキテクチャ
Zero Trust Architecture

SP800-207（2020年8月）
- [掲載] 2020年12月

注

SP800-26 は、廃止文書となりました。管理策のアセスメントに関しては、第三者によるアセスメント、セルフアセスメントのいずれも、参照文書は、SP800-53Aとなります。SP800-26に記載のあった、The system reporting についてはNIST SP800-53A に、The FITSAF Security Program Maturity Levels についてはSP800-100 に記載されています。
注2

SP800-33、SP800-42、SP800-65 は、廃止文書となりました。
注3

SP800-53 rev.2 Annex1, 2, 3 の掲載を終了しました。
注4

SP 800-82は、JPCERT/CCが翻訳・公開している資料です。同資料の掲載については、JPCERT/CCの許可を得ています。
注5

SP 800-171 rev.2は、株式会社エヴァアビエーションが翻訳・公開している資料です。同資料の掲載については、株式会社エヴァアビエーションの許可を得ています。
注6

SP 800-207は、PwCコンサルティング合同会社が翻訳・公開している資料です。同資料の掲載については、PwCコンサルティング合同会社の許可を得ています。

その他のNIST文書

Cybersecurity Framework (CSF)

The NIST Cybersecurity Framework (CSF) 2.0

米国国立標準技術研究所（NIST）サイバーセキュリティフレームワーク（CSF）2.0

The NIST Cybersecurity Framework (CSF) 2.0（2024年2月）(PDF:3.3 MB)
- [掲載] 2024年11月

クイックスタートガイド

Framework for Improving Critical Infrastructure Cybersecurity Version 1.1

重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版（2018年4月）
[掲載] 2019年1月

NIST CSD（Computer Security Division）ホームページ

免責事項

公開されている海外セキュリティ関連文書は、原文にできるだけ忠実に翻訳するよう努めていますが、完全性、正確性を保証するものではありません。
翻訳監修主体（IPA及びNRIセキュアテクノロジーズ（株））は、本翻訳物に記載されている情報より生じる損失または損害に対して、いかなる人物あるいは団体にも責任を負うものではありません。
原文のありのままの内容を理解する必要のある場合は、以下の原文をお読み下さい。

更新履歴

2024年12月24日

Cybersecurity Framework Version 2.0 のクイックスタートガイド（SP 1302、1303、1305）を掲載
2024年11月18日

Cybersecurity Framework Version 2.0 を掲載
2024年1月31日

SP 800-37 rev.2「連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド：セキュリティライフサイクルによるアプローチ」
SP 800-161 rev.1「システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」を掲載
2021年11月24日

SP800-88 rev.1「媒体のデータ抹消処理（サニタイズ）に関するガイドライン」を掲載
2021年8月20日

SP800-172「管理対象非機密情報を保護するための拡張セキュリティ要件: NIST SP 800-171の補足」を掲載
2021年7月19日

SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」を掲載
SP800-53B「組織と情報システムのための管理策ベースライン」を掲載
2021年5月17日

SP 800-57 Part 1 Rev.5「鍵管理における推奨事項第一部：一般事項」を掲載
SP 800-175A「米国連邦政府での暗号標準利用のためのガイドライン : 指令、命令、及び方針」を掲載
SP 800-175B rev.1「米国連邦政府での暗号標準利用のためのガイドライン : 暗号メカニズム」を掲載
2021年2月3日

SP 800-171 rev.2「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」を掲載
2020年12月18日

SP800-207「ゼロトラスト・アーキテクチャ Zero Trust Architecture」を掲載
2020年9月4日

SP800-190 rev.1「アプリケーションコンテナセキュリティガイド Application Container Security Guide」を掲載