MENU
ITの専門用語を、わかりやすく。
  1. ホーム
  2. セキュリティ・認証
  3. NISTとは|米国立標準技術研究所が定める情報セキュリティ規格

NISTとは|米国立標準技術研究所が定める情報セキュリティ規格

セキュリティ・認証
NIST アイキャッチ
NIST

NIST(National Institute of Standards and Technology、米国立標準技術研究所)は1901年に商務省傘下の標準局として設立され、1988年に現在の名称へ改称された連邦機関である。物理計測から暗号アルゴリズムまで幅広い標準化を担い、情報セキュリティ分野ではSP 800シリーズやFIPS、Cybersecurity Frameworkを通じて世界の規範づくりを牽引してきた。本稿ではNISTの組織的役割、SP 800文書群の構造、暗号標準化プロセス、そして産業界での適用実態を整理する。

目次

この記事の目次

  1. NISTの組織と役割の全体像
  2. SP 800シリーズの構造と代表文書
  3. 暗号標準化とFIPSの役割
  4. Cybersecurity Frameworkと産業適用
  5. まとめ

NISTの組織と役割の全体像

NISTの組織と役割の全体像

NISTはメリーランド州ゲイザースバーグに本部を構え、コロラド州ボルダーにも研究拠点を持つ。総予算は2023年度で約12億ドル規模で、計測科学、材料、製造技術、サイバーセキュリティの四つを柱に研究を進めている。サイバー領域を統括するのはITL(Information Technology Laboratory)で、その中のCSD(Computer Security Division)とACD(Applied Cybersecurity Division)が主要な文書とリファレンス実装を生み出している。

FISMA法(2002年成立、2014年改正)により、米連邦政府機関はNISTが定めるセキュリティ管理策を実装する義務がある。この強制力が標準化の質と更新頻度を担保し、結果として民間企業や他国の規制当局もNIST文書を参照する構造が形成された。ISO/IEC JTC 1やIETFとも積極的に協調しており、暗号アルゴリズムや認証規格の多くはNISTを起点に国際標準化が進む。

SP 800シリーズの構造と代表文書

SP 800シリーズの構造と代表文書

SP 800シリーズはコンピュータセキュリティに関する技術文書の総称で、1990年代から発行が続く。代表的なのはSP 800-53(連邦情報システム向けの統制カタログ)、SP 800-37(リスクマネジメントフレームワーク:RMF)、SP 800-63(デジタルアイデンティティガイドライン)、SP 800-171(CUI保護要件)などである。番号は発行順で意味的な階層を持たないが、相互参照によって体系を成している。

たとえばSP 800-53 Rev.5は20系列にわたる約1000の統制を提示し、組織は機密度に応じてLow、Moderate、Highのベースラインを選ぶ。SP 800-63B は認証保証レベルAAL1〜3を定義し、パスワード単独はAAL2以上に不適格であることを明記している。SP 800-171は防衛調達における契約要件として広く知られ、日本でも防衛省の調達基準に取り込まれた。更新は不定期だが、Revisionと公開ドラフト(Initial Public Draft)の二段階で意見公募が行われる。

暗号標準化とFIPSの役割

暗号標準化とFIPSの役割

NISTはFIPS(Federal Information Processing Standards)の発行元でもあり、暗号アルゴリズムの公的標準としてFIPS 197(AES、2001年)、FIPS 180-4(SHA-2)、FIPS 202(SHA-3、2015年)、FIPS 186-5(ECDSA、Ed25519を含む2023年版)などが定められている。選定プロセスは国際公募と数年単位の暗号解析を経るのが特徴で、AESは1997年の公募から2001年のRijndael採択まで4年を要した。

近年は耐量子暗号(PQC)の標準化が大きな焦点である。2016年に始まったPQCコンペティションでは69候補が応募され、2022年7月にCRYSTALS-Kyber(鍵カプセル化)、CRYSTALS-Dilithium、FALCON、SPHINCS+(署名)が一次選定された。2024年にはFIPS 203(ML-KEM)、204(ML-DSA)、205(SLH-DSA)として正式公開され、商用製品への移行作業が世界規模で始まっている。

Cybersecurity Frameworkと産業適用

Cybersecurity Frameworkと産業適用

NIST Cybersecurity Framework(CSF)は2014年にバージョン1.0が発表され、2024年2月に2.0へ更新された。Identify、Protect、Detect、Respond、Recoverの5機能に加えて2.0ではGovernが追加され、計6機能・約100サブカテゴリがリスクベースで整理されている。重要インフラ事業者を主対象としつつ、規模や業種を問わず適用できるよう抽象度が調整されている点が普及を後押しした。

ISO/IEC 27001がISMSとしてマネジメント体系を要求するのに対し、CSFは成熟度評価と通信の共通語彙を提供する点で補完関係にある。金融分野ではNY州DFS規則、医療分野ではHIPAAセキュリティ規則、防衛分野ではCMMCがCSFやSP 800-171を参照しており、NIST文書を理解しておくと複数の規制対応を横串で進めやすい。日本企業でも防衛・自動車・半導体を中心に活用が広がっている。

まとめ

NISTは連邦政府の標準化機関でありながら、その文書群は事実上の国際規範として通用してきた。SP 800、FIPS、CSFの三系統を地図のように使い分け、自社の規制要件と技術選定を整理することが、セキュリティ投資の根拠を説明する近道となる。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。

Post Views: 1
セキュリティ・認証
IT用語集 N 基礎知識
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

編集長のアバター 編集長

関連記事

コメント

コメントする

目次