NIST SP800-171とは、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が発行するガイドラインの一つで、日本語では「連邦政府外のシステムと組織における管理された非格付け情報の保護」と題されています。
NIST SP 800-171は、連邦政府が取り扱う「一般情報(Unclassified)」のうち、一部を「保護すべき情報(CUI:Controlled Unclassified Information)」として管理することを目的に、2015年6月に発行されました。このガイドラインに記された要件は、ガバナンス体制の確立、管理体制の構築、システムへのセキュリティ対策の導入と運用、監査の実施など多岐にわたります。
米国防総省は全世界の取引先に対して、NIST SP800-171への準拠を求めており、日本の防衛省も、2019年5月にNIST SP800-171相当のセキュリティ要求事項を調達基準に盛り込みました。
NIST SP800-171の要件概要