NIST SP800-171の準拠を求められたら？ 担当者が期限内にやるべき「最短」4ステップ

1. 今、この記事を読んでいるあなたは、「取引先から『NIST SP800-171に準拠してください』といった要請を受け、情報を探していませんか？」

「NIST SP800-171」という聞き慣れない単語、そして110項目にも及ぶ膨大な要求事項を前に、一体どこから手をつければよいのか途方に暮れているかもしれません。

この記事を読めば、「なぜ今、NIST SP800-171への対応が必要なのか」「もし対応しなかったらどうなるのか」そして最も重要な「期限内に何をすべきか」という現実的な対応策まで、すべてを理解することができます。

1．NIST SP800-171とは？ CUIを守るセキュリティの基準

(1)NIST SP800-171とは

NIST SP800-171とは、米国の国立標準技術研究所（NIST）が発行したセキュリティガイドライン（SP = Special Publication）の一つです。

NIST SP800-171の正式名称は「Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」で、「非連邦政府システムおよび組織における管理対象非機密情報の保護」と訳されます。

簡単に言えば、「政府機関ではない一般企業（非連邦組織）が、政府から預かった重要情報（CUI）を自社のシステムで扱う際に、守るべきセキュリティ基準」を定めたものです。

この基準は、14の管理策ファミリー（分野）と、合計110項目の具体的なセキュリティ要求事項で構成されています。

(2)CUIとは

CUI（Controlled Unclassified Information）とは、「管理対象非機密情報」と訳されます。

これは、国家機密レベルの「機密情報（Classified Information）」ではないものの、政府が管理する必要があると判断した「保護すべき重要な非公開情報」全般を指します。

具体的には、以下のような情報がCUIに該当します。

技術情報

仕様書、設計図面、研究データ、製造プロセスに関する情報

契約・法務

政府との契約書、法務関連文書

調達情報

調達計画、価格設定、サプライヤーリスト

運用情報

システム構成図、セキュリティ計画書

個人情報

政府職員や関連する個人の情報（PII）

もし貴社が、取引先から支給された図面や仕様書に基づいて製品を製造・納入している場合、それらの情報はCUIに該当する可能性が非常に高いと言えます。

2．なぜ日本企業にSP800-171の準拠が求められるのか？

(1)理由1：「サプライチェーン攻撃」への対策

一つ目の理由は、現代のサイバー攻撃の主流が「サプライチェーン攻撃」へと移行しているためです。

サプライチェーン攻撃とは、セキュリティ対策が強固な大企業（発注元）を直接狙うのではなく、その取引先であるセキュリティ対策が手薄な中小企業（受注先）を踏み台として侵入し、最終的に大企業の情報を盗み出す攻撃手法です。

発注元の大企業から見れば、いくら自社のセキュリティを固めても、重要な図面（CUI）を渡している取引先がサイバー攻撃で情報を盗まれてしまっては元も子もありません。

そのため、発注元は自社だけでなく、自社と繋がる全ての取引先（サプライチェーン全体）に対して、同等のセキュリティレベルを求めるようになってきています。その「共通の物差し」として、NIST SP800-171が採用されることが増えています。

(2)理由2：発注元（米国政府・大手企業）による「義務化」

二つ目の理由が、「義務化」の動きです。

最も強力な動きは、米国国防総省（DoD）です。DoDは、取引先企業に対して「DFARS（国防連邦調達規則補遺）」という契約条項の中で、NIST SP800-171への準拠を契約上の義務として課しています。

この影響は、DoDと直接取引する米国の防衛産業業界だけに留まりません。これらの企業に部品を納入する日本の大手製造業（Tier 1）、さらにその下請け企業（Tier 2）、孫請け企業（Tier 3）へと、サプライチェーンを遡って準拠要請が波及しています。

貴社が直接DoDと取引していなくても、取引先が「米国企業と取引している企業」や「防衛産業に関連する企業」であれば、その流れの末端として準拠を求められるのはマストになってくるでしょう。

さらに近年では、この基準の有効性が認められ、防衛産業以外の大手グローバル製造業やハイテク企業も、取引先を選定する際のセキュリティ基準としてNIST SP800-171を採用するケースが増えてきています。

3．もし期限までに対応しないとどうなる？

この要請を「単なるお願い」と捉え、もし期限までに対応しなかった場合、どうなるでしょうか。

想定される最大のリスクは、「取引の停止」または「新規取引の対象からの除外」です。

発注元から見れば、「NIST SP800-171に準拠していない企業」は、「セキュリティ管理が不十分で、CUIを預けるにはリスクが高い企業」と見なされます。コンプライアンスの観点から、そのようなリスクのある企業とは契約を継続・締結できない、という経営判断が下される可能性は十分にあります。

実際に、取引先に対してNIST SP800-171への準拠状況を報告させ、一定の基準に満たない企業との取引を見直す動きも出てきています。

4．NIST SP800-171 準拠への「最短」4ステップ

「対応の必要性は分かった。しかし、多くの要求事項のどこから手を付ければいいのか…」

期限もある中でやみくもに対策しようとしても、時間とコストがいくらあっても足りません。最も現実的かつ効率的な準拠への道筋は、以下の4つのステップを踏むことです。

1. 1. 1. ステップ1：現状把握（ギャップ分析）
      2. ステップ2：SSP（システムセキュリティ計画書）の作成
      3. ステップ3：PoA&M（行動計画書）の作成
      4. ステップ4：対策の実施と継続的改善

ステップごとに見ていきましょう。

(1)ステップ1：現状把握（ギャップ分析）

準拠への第一歩は、「要求事項」と「自社の現状」を知ることから始まります。これを「ギャップ分析と呼びます。

具体的には、以下の作業を行います。

1. 1. • CUIの特定
        まず、自社のどこに、どのようなCUIが存在するのか（ファイルサーバー、PC、メールなど）を全て洗い出します。
      • 現状の評価
        要求事項（例：「多要素認証を導入しているか？」「ログを監視しているか？」）に対し、自社が「○：対応済み」「△：一部対応」「×：未対応」なのかを一つずつ評価します。
      • ギャップの可視化
        「未対応（×）」や「一部対応（△）」といった項目が、準拠のために埋めるべき「差（ギャップ）」です。

ここでCUIの特定が漏れたり、要求事項の解釈を間違えて「×」を「○」と評価してしまったりすると、必要な対策が抜け落ち、後で「準拠できていなかった」という事態を招いてしまいます。逆に、過剰な対策を見積もってしまい、不要なコストをかけることにも繋がります。

このステップこそ、NIST SP800-171の要求事項を理解した専門家の知見が最も必要とされる領域です。

当社では、コンサルタントがお客様の現状をヒアリングし、110項目との差を正確に可視化する「NIST SP800-171 ギャップ分析サポート」を行っております。ぜひISO NEXTへご相談ください。

(2)ステップ2：SSP（システムセキュリティ計画書）の作成

ギャップ分析の結果に基づき、自社がCUIをどう守るかを文書化するものがSSP(システムセキュリティ計画書)です。

SSPには、「ギャップ分析の結果、当社は110の要求事項に対し、『このように対策している（あるいは、する予定である）』」という内容を記載します。

(3)ステップ3：PoA&M（行動計画書）の作成

PoA&M（Plan of Action & Milestones）は「未対応項目をどう改善していくか」を示す行動計画書（ロードマップ）です。

ギャップ分析で見つかった「×（未対応）」や「△（一部対応）」の項目を一覧にし、それぞれに対して、以下のような具体的な計画を策定します。

1. 1. • どのような対策を実施するのか（例：多要素認証ツールの導入）
      • 誰が担当するのか（例：情報システム部）
      • いつまでに完了させるのか（例：202X年Y月Z日）

(4)ステップ4：対策の実施と継続的改善

SSPとPoA&Mが完成したら、いよいよ「実行」です。

PoA&Mに基づき、多要素認証（MFA）の導入、アクセス制御の見直し、ログ監視体制の構築、従業員教育といった具体的なセキュリティ対策を実施していきます。

重要なのは、「一度やったら終わり」ではないということです。セキュリティ領域において新たな脅威は日々生まれており、一度構築した体制が適切に運用されているかを継続的に監視・改善していく（PDCAサイクルを回す）必要があります。

5．対応への課題と、解決できるサービス

(1)対応への課題

上記の4ステップにはリソースの限られる中小企業にとって、3つの課題が立ちはだかります。

課題1：専門知識の壁

「要求事項の正確な解釈は？」「自社のこの対策で要求を満たせているか？」 これらを判断するには、NIST SP800-171と自社の両方に精通した専門知識が必要です。

課題2：リソースの壁

多くの場合、この対応は情報システム部門の担当者が本業と兼務して行うことになることが多いでしょう。要求事項の分析、SSP/PoA&Mの作成、そして実際の対策の実行まで、その工数は膨大であり、片手間で対応できる量ではありません。

課題3：期限の壁

取引先からは「202X年まで」といった形で、具体的な期限を提示されます。専門知識の習得やリソースの確保を一から行っている時間的猶予はありません。

期限が迫る中、これらすべてを自社で行うのは現実的ではありません。

(2)解決できるサービス

ISO NEXTでは、これらの課題を解決する「NIST SP800-171 準拠サポート」をご提供しています。

【サービス内容】

1. 1. • GAP分析支援
        ヒアリングにより、要求事項に対しての現状評価を実施し、可視化します。
      • SSP/PoA&M作成支援
        分析結果に基づき、SSPおよび現実的なPoA&Mの作成を代行します。
      • 対策の導入・運用支援
        PoA&Mの実行フェーズにおいて、必要なツール（MFA、ログ監視、デバイス制御など）の選定・導入から、運用体制の構築までをサポートします。
      • 教育・監査支援
        従業員向けのセキュリティ教育や、準拠後の内部監査の実施も支援し、継続的な改善サイクルを定着させます。

【GAP分析表の（簡易的な）例】

ギャップ分析では、以下のような評価シートを用いて、現状を可視化します。

まとめ

NIST SP800-171への対応は、ISOやプライバシーマークと同様、サプライチェーンでビジネスを継続するための「取引パスポート」となりつつあります。

期限が迫る中、膨大な要求事項を前に、やみくもな対策は時間とコストの無駄になりかねません。

まず行うべきは、専門家による「ギャップ分析」で現在地を把握し、そこから逆算して現実的なロードマップを描くことです。また関係性の強いISO27001との統合も可能です。

NIST準拠を検討の際は、ぜひISO NEXTへご相談ください。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する