サプライチェーンセキュリティの国際基準(NIST SP800-161)とは?自分ごと体験で覚えるITパスポート対策
🎬 こんなシーン、想像してみて
政府IT調達担当の自分。「調達先ベンダーや部品メーカーのサイバーリスクを評価する枠組み」をNIST準拠で。SP800-53?
❓ 2問問題:あなたならどっち?
次の状況に当てはまるのは?
- ✅ NIST SP800-161。ICTサプライチェーンリスク管理(C-SCRM)のフレームワークで、調達先の評価・契約要件・継続的モニタリングを体系化する
- ❌ NIST SP800-53。連邦政府情報システムのセキュリティ管理策カタログ(アクセス制御・インシデント対応等の統制項目集)→ SP800-53は組織内統制。「サプライチェーンリスク管理」がSP800-161
✅ 正解:NIST SP800-161。ICTサプライチェーンリスク管理(C-SCRM)のフレームワークで、調達先の評価・契約要件・継続的モニタリングを体系化する
📘 サプライチェーンセキュリティの国際基準(NIST SP800-161)とは何か
サプライチェーンリスク管理=SCRM・調達段階からセキュリティ評価NIST SP800-161はC-SCRM(Cyber Supply Chain Risk Management)の指針。製品・コンポーネント・ソフトウェアの調達段階から廃棄まで、サプライヤーのリスクを識別・評価・対応・監視するプロセスを提供。オープンソースソフトウェア(OSS)やクラウドサービスのサプライチェーンリスクも対象。
🎯 試験のキモ
試験では「NIST SP800-161=サプライチェーンリスク管理の指針」「SP800-53=セキュリティ統制カタログ」の区別が問われる。SolarWinds事件(2020年)がサプライチェーン攻撃の代表事例として言及される。 **覚え方** 🎯 **NIST SP800-161(C-SCRM)/SP800-53(統制カタログ)**。SolarWinds事件(2020)がきっかけ。
⚠️ 間違いやすいポイント
混同注意:SP800-161はサプライチェーン(調達段階からのリスク管理)、SP800-53はセキュリティ統制カタログ(システム内部の統制)。「調達先ベンダーのリスク評価=161」「システム統制一覧=53」で区別。SolarWinds事件を思い出せば161の意義がわかる。
🧠 覚え方
**NIST SP800-161(C-SCRM)/SP800-53(統制カタログ)**。SolarWinds事件(2020)がきっかけ。
📚 ITパスポートの試験対策・勉強方法
サプライチェーンセキュリティの国際基準(NIST SP800-161)はITパスポートのIT全般分野で頻出(mid)。ITパスポート 過去問・勉強方法・独学・何時間に取り組むなら、自分ごとシナリオで一度体験してから問題を解くのが定着の鍵。何度も繰り返して覚え方フレーズを口に出すと記憶に残りやすい。
知識をクイズで確認しよう!
🏆 用語4択チャレンジ →