「NIST SP800-171」とは、アメリカの機関が定めた情報セキュリティの統一基準です。
特に、政府と取引する民間企業や研究機関などが守るべき「情報の取り扱いルール」を明確にしたものです。

---

🔒 NIST SP800-171 実践ガイド（14項目 × 3段階の具体例）

---

① アクセス管理

目的：誰がどの情報にアクセスできるかを厳密に管理する。

• ログイン試行回数を制限する

  • 5回以上失敗したら自動ロック。

  • ロック解除は管理者のみ対応。

  • ログイン履歴を週1で確認する。

• 不要なアカウントを削除・無効化する

  • 退職・異動者は即時削除。

  • 長期未使用（90日以上）のアカウントは無効化。

  • 削除前に所属部署へ確認する手順を定義。

• 最小権限の原則を徹底する

  • 権限は職務に必要な範囲のみ付与。

  • 管理者権限は定期的に棚卸し。

  • 権限変更は上長承認を必須化。

---

② 意識向上および訓練

目的：全社員がセキュリティ意識を高く持つ文化を作る。

• 定期的な教育を実施する

  • 新入社員研修にセキュリティ講座を組み込む。

  • 年1回のオンライン研修を義務化。

  • 受講記録を人事システムで管理。

• フィッシング対策訓練を行う

  • 月1で模擬フィッシングメールを送付。

  • 結果を可視化して部門別に共有。

  • 再教育プログラムを用意。

• 事故報告ルートを明確化する

  • 「〇〇@security.co.jp」など専用窓口を設置。

  • 24時間以内に初報提出をルール化。

  • 報告書テンプレートを共有。

---

③ 監査および説明責任

目的：記録と証跡で「何が起きたか」を説明できる状態にする。

• 操作ログを保存・確認

  • ログ保存期間は最低1年間。

  • 自動転送で改ざん防止サーバーに保存。

  • 月次で不正操作を点検。

• 不審操作を自動検知

  • SIEMツールでアクセス異常を検出。

  • 通知はセキュリティ担当へ即時送信。

  • アラート対応フローを定義。

• ログの改ざん防止

  • 外部ストレージに定期バックアップ。

  • 書き換え防止（WORM）機能を利用。

  • 保守担当以外の削除権限を禁止。

---

④ 構成管理

目的：システムやソフトの変更を正しく記録・制御する。

• 変更履歴を文書化

  • 変更申請書を提出して承認後に実施。

  • 日時・担当者・理由を記録。

  • 週次でレビュー会を実施。

• ソフトウェアインストール制御

  • USB・外部媒体の利用制限。

  • 未承認アプリを自動削除。

  • 権限分離で一般ユーザーのインストール不可。

• パッチ・更新を徹底

  • OS・アプリの更新スケジュールを策定。

  • 脆弱性情報を監視（JVN, NVD）。

  • テスト環境で動作確認後に適用。

---

⑤ 識別および認証

目的：本人確認と不正アクセス防止のための強固な認証。

• 強力なパスワードルール

  • 12文字以上・英数字記号混在。

  • 90日ごとに変更。

  • 過去5回分は再利用禁止。

• 多要素認証（MFA）導入

  • 社内VPN・クラウドへMFA必須。

  • SMSやAuthenticatorアプリを利用。

  • 緊急時は一時コードで対応。

• 休眠アカウントの無効化

  • 90日未使用で自動ロック。

  • 再有効化は申請制。

  • 管理者が月1で棚卸し。

---

⑥ インシデント対応

目的：セキュリティ事故に迅速・的確に対応できる体制を作る。

• 対応手順書の作成

  • 検知～報告～復旧の流れを明文化。

  • インシデントレベルを3段階で分類。

  • 対応責任者を明確化。

• 模擬訓練の実施

  • 年2回の机上演習＋技術演習。

  • 過去事例を使ったシナリオ訓練。

  • 訓練結果を報告書にまとめる。

• 報告体制の整備

  • 内部通報チャネルを専用化。

  • 経営層への報告期限を24時間以内。

  • 外部機関（IPAなど）への報告ルールも準備。

---

⑦ メンテナンス

目的：システムの健康状態を維持し、脆弱性を早期に修正。

• 定期点検

  • サーバー負荷やログ容量を週次で確認。

  • OSパッチ状況を月次レビュー。

  • ハードウェア劣化を監視。

• 不要ソフトの削除

  • 半年に1回、利用状況を棚卸し。

  • 使用停止アプリは即アンインストール。

  • ライセンスの期限管理。

• 外部委託管理

  • 契約書にセキュリティ義務条項を記載。

  • 業者のアクセス権を一時発行。

  • 作業後のログ確認を義務化。

---

⑧ 媒体保護

目的：情報が入った紙・USB・外付けHDDなどを安全に扱う。

• 暗号化の徹底

  • 全USBをBitLockerで暗号化。

  • 持ち出し前に管理者承認。

  • 紛失時の報告を義務化。

• 印刷物の管理

  • 機密資料には透かし印刷。

  • 印刷ログをプリンタサーバーで管理。

  • 廃棄時は溶解業者に依頼。

• 不要媒体の廃棄

  • HDDは物理破壊またはDoD消去。

  • 廃棄証明書を保存。

  • 外部廃棄業者の認証確認。

---

⑨ 職員のセキュリティー

目的：人為的リスクを低減するための管理と信頼性確認。

• 採用時チェック

  • 経歴・資格の真偽確認。

  • 機密取扱い誓約書を署名。

  • 背景調査を外部委託。

• 退職時処理

  • 退職届受理日にアクセス停止。

  • 貸与機器・ICカードを即回収。

  • メール転送設定を確認。

• 権限の限定

  • 部署異動時に権限再評価。

  • 特権IDの利用はログ監査対象。

  • 機密情報アクセスは職務範囲内のみ。

---

⑩ 物理的保護

目的：施設・設備・デバイスを不正侵入から守る。

• 入退室管理

  • ICカードで自動記録。

  • 来訪者は受付台帳へ記入。

  • 夜間は入室制限。

• 監視体制

  • 防犯カメラを24時間稼働。

  • 映像データは90日間保存。

  • 異常時は自動通報。

• 設備保護

  • サーバー室は耐火構造。

  • UPSで停電対策。

  • 火災報知器を設置。

---

⑪ リスクアセスメント

目的：脆弱性を見つけ、重大リスクを優先的に対策する。

• 定期リスク評価

  • 半年ごとにリスク洗い出し。

  • 発生確率×影響度でスコア化。

  • 上位10件を重点管理。

• リスク対応計画

  • 対策・担当者・期限を明確化。

  • 対応後の残留リスクを評価。

  • 結果を経営層に報告。

• 改善サイクル

  • PDCA（Plan-Do-Check-Act）を適用。

  • 教訓を次回評価に反映。

  • ドキュメントを更新。

---

⑫ セキュリティーアセスメント

目的：システムの安全性を第三者視点で検証する。

• 外部監査の実施

  • 年1回、外部専門家に依頼。

  • 監査報告を経営層に提出。

  • 指摘事項は即対応。

• 改善計画の策定

  • 優先順位と実施期限を設定。

  • 担当部署を明確化。

  • 完了報告書を作成。

• モニタリング

  • 四半期ごとに進捗確認。

  • 新たな脅威があれば再評価。

  • 改善効果を数値化。

---

⑬ システムおよび通信の保護

目的：通信経路やネットワークを安全に保つ。

• 通信の暗号化

  • HTTPS（TLS1.3）必須化。

  • 社内VPNで外部接続制御。

  • 暗号鍵を安全なHSMで保管。

• 無線LANの安全化

  • WPA3利用・SSID非公開。

  • MACアドレス認証。

  • 定期的にパスワード変更。

• 通信監視

  • IDS/IPSで不正通信を検知。

  • 帯域利用を可視化。

  • 異常な転送量を即報告。

---

⑭ システムおよび情報の完全性

目的：システムの改ざんや誤作動を防ぎ、信頼性を維持する。

• 検知システム導入

  • ウイルス対策ソフト常駐。

  • EDRで端末挙動を監視。

  • アラートをSOCへ自動転送。

• 脆弱性修正

  • セキュリティパッチを月1で適用。

  • 公開ゼロデイ情報を監視。

  • 修正履歴を台帳管理。

• 不正変更の監視

  • ファイル改ざん検知システム導入。

  • バージョン管理で履歴保存。

  • 不審変更を報告書に記録。

---

✅ まとめ

NIST SP800-171は「見える化 → 実践 → 改善」の繰り返しが肝心。
このリストを使えば、自社のセキュリティ成熟度を可視化できます。