NIST SP 800-171

  • [アーティクル]

NIST SP 800-171 について

米国国立標準技術研究所(NIST)は、連邦政府機関の情報と情報システムを保護するために、測定基準とガイドラインを促進し、維持しています。 管理された未分類情報 (CUI) の管理に関する行政命令 13556 に応答して、 NIST SP 800-171、非統合 情報システムおよび組織の未分類情報の保護を公開しました。 CUI は、デジタルと物理的の両方の情報として定義され、政府 (またはその代わりにエンティティ) によって作成され、分類されていないが、まだ機密性が高く、保護が必要です。

NIST SP 800-171 は、もともと 2015 年 6 月に公開され、進化するサイバー脅威に対応して、それ以来数回更新されています。 これは、非安全な情報システムおよび組織に安全にアクセスし、送信し、保存する方法に関するガイドラインを提供します。その要件は、次の 4 つのメイン カテゴリに分類されます。

  • 管理と保護のための制御とプロセス
  • IT システムの監視と管理
  • エンド ユーザーの明確なプラクティスと手順
  • 技術的及び物理的なセキュリティ対策の実施

Microsoft および NIST SP 800-171

認定されたサード パーティの評価組織である Kratos Secureinfo と Coalfire は、MICROSOFT と提携し、スコープ内のクラウド サービスが、CUI を処理する際に NIST SP 800-171、 Nonfederal Information Systems and Organization の未分類情報 (CUI) の保護の基準を満たしていることを証明しました。 FedRAMP 要件の Microsoft 実装は、Microsoft のスコープ内クラウド サービスが、既に実施されているシステムとプラクティスを使用して、NIST SP 800-171 の要件を満たすか、それを超えるのに役立ちます。

NIST SP 800-171 の要件は、FedRAMP が使用する標準である NIST SP 800-53 のサブセットです。 NIST SP 800-171 の付録 D は、スコープ内のクラウド サービスが FedRAMP プログラムの下で既に評価および承認されている NIST SP 800-53 の関連するセキュリティ 制御に対する、そのCUIセキュリティ要件の直接マッピングを提供します。

米国政府機関のCUIを処理または保管するエンティティ (研究機関、コンサルティング会社、製造請負業者) は、NIST SP 800-171 の厳格な要件に準拠している必要があります。 この構成証明は、Microsoft のスコープ内クラウド サービスが、MICROSOFT が完全に準拠していることを保証して、CUI ワークロードのデプロイを検討しているお客様に対応できることを意味します。 たとえば、情報システムでスコープ内の Microsoft クラウド サービスを使用して "対象となる防御情報" を処理、保存、または送信するすべての DoD 請負業者は、NIST SP 800-171 のセキュリティ要件に準拠する必要がある米国国防総省 DFARS 条項を満たしています。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure Commercial、Azure Government
  • 米国政府Dynamics 365
  • Intune
  • Office 365米国政府機関コミュニティ クラウド (GCC)、Office 365 GCC High、DoD
    • Office 365コマーシャルは、NIST 800-171 に対して実施された第三者監査には含まれず、スコープ内にありません。

Azure、Dynamics 365、NIST SP 800-171

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure NIST SP 800-171 オファリングを参照してください。

Office 365および NIST SP 800-171

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
GCC アクティビティ フィード サービス、Bing サービス、Delve、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink
GCC High アクティビティ フィード サービス、Bing サービス、Exchange Online、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink
DoD アクティビティ フィード サービス、Bing サービス、Exchange Online、インテリジェント サービス、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People カード、Microsoft Teams、SharePoint Online、Skype for Business、Windows Ink

よく寄せられる質問

NIST SP 800-171 に対する Microsoft コンプライアンスをorganizationに使用できますか?

はい。 Microsoft のお客様は、FedRAMP および NIST のリスク分析と認定の取り組みの一環として、FedRAMP 標準に関する独立したサード パーティ評価機関 (3PAO) からのレポートに記載されている監査されたコントロールを使用できます。 これらのレポートは、Microsoft がスコープ内のクラウド サービスに実装したコントロールの有効性を証明します。 お客様は、自分のCUIワークロードがNIST SP 800-171ガイドラインに準拠していることを確認する責任があります。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース