NISTについて

NIST（National Institute of Standards and Technology：米国国立標準技術研究所）は、科学技術分野における計測と標準に関する研究を行う米国商務省に属する政府機関。

NIST内には、情報技術に関する研究を行っているITL（Information Technology Laboratory）があり、6つの分野の研究をおこなっている。

1. Security
2. Information Access
3. Mathematics and Computational Science
4. Software Testing
5. Networking Research
6. Statistical Engineering

ITLの中でコンピュータセキュリティに関して研究を行い各種文書を発行しているのがCSD（Computer Security Division）と呼ばれる部門で、主に以下の4種類 の文書を発行している。

1. Special Publications
2. FIPS（Federal Information Processing Standards）
3. ITL Security Bulletins
4. NIST IRs(NIST Interagency Reports)

Special Publications

Special Publicationsは、SPシリーズとして知られており、NISTのサイトに以下の説明がある。

Guidelines, technical specifications, recommendations and reference materials, comprising multiple sub-series:

• SP 800   Computer security
• SP 1800   Cybersecurity practice guides
• SP 500   Information technology (relevant documents)

引用：https://csrc.nist.gov/publications

NISTのサイトでSPを検索すると、237件ほどある。

csrc.nist.gov

IPAのサイトでは、一部の文書が翻訳されて掲載されている。

www.ipa.go.jp

SP800-53をよく目にする。

こちらのサイトに詳しい説明があった。

www.manageengine.jp

2006年3月に発行されたFIPS Publication 200（連邦政府の情報、および連邦政府の情報システムに対する最低限のセキュリティ要求事項）に準拠するための具体的な指針を示す文書として発行されたのが、NIST SP 800-53。

NIST SP 800-53と関連の深い文書としてNIST SP 800-171があり、NIST SP 800-53から民間企業・組織向けに要件を抽出したもの。

NIST SP 800-53は基本的なフレーㇺワークとして、ISO27001と同様の機能を提供している。

引用：https://www.cisa.gov/sites/default/files/publications/4_CRR_4.0_Self_Assessment-NIST_CSF_v1.1_Crosswalk-April_2020.pdf

NIST SP 800-53とISO27001の違いは、その対応範囲にある。

後者は、「特定・防御」に重点が置かれ、

前者は、「特定・防御・検知・対応・復旧」の全段階をカバーしている。

具体策について、各フェーズでのSPが用意されており、SP相互に関連している。

引用：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r1.pdf

サイバーレジリエンスの観点から、ISMSとして、NISTを採用するところも増えているようです。