NIST SP 800-171

2016年10月、米国国防総省（DoD）は、政府請負業者によるDoDの管理対象非機密情報（CUI）の送信、保管、処理に関連するクラウドコンピューティングサービスの継続的な利用を考慮し、より具体的なガイダンスを提供するため、調達要件を更新しました。CUIを含むクラウドサービスが米国政府に代わって運用されるシステムの一部である場合、それらのクラウドサービスはDoD Cloud Computing Security Requirements Guide（SRG）に定義された要件に準拠する必要があります。クラウドサービスが米国政府に代わって運用されていないシステムの一部である場合、それらのクラウドサービスは Federal Risk and Authorization Management Program（FedRAMP）で定義された中程度の影響の要件に準拠することが期待されます。