RMF

 リスク管理を「(目的・機能・評判を含めた)組織の業務や資産、個人、その他の組織、および国家に対する情報セキュリティリスクを管理するプログラムと支援プロセス」と情報セキュリティリスクの管理に関するガイドラインで定義している。組織全体にわたってリスク管理プロセスを統合し、組織の目的と懸念事項に取り組むために、3層(ティア)のアプローチが採用されている。リスク管理プロセスは、組織のリスク関連活動を継続的に改善し、層間で利害関係者が互いに効率的にコミュニケーションを取れることを目的として、3層をまたいで実施される。下図は、リスク管理における3層のアプローチを示す。

 NIST SP800-37改訂第1版「Guide for Applying the Risk Management Framework to Federal Information Systems: a Security Life Cycle Approach」に記載されるNISTのRMFは、情報システムの層でリスク管理を実装する方法です。RMFは、情報セキュリティのリスク管理活動をシステム開発ライフサイクルに統合する、規律ある構造化されたプロセスを提供する6つの異なるステップで特定します。リスク管理フレームワークは、情報システムとシステムの運用環境の設計、開発、実装、運用、及び破棄に関連ています、組織のセキュリティ上の懸念に対応します。

 本ガイドラインのセキュリティ管理策は、RMFのステップ2をサポートし、附録Fにはセキュリティ管理策詳細なカタログが提供されます。セキュリティ管理策を選択し設定するプロセスにおいて使用を容易にするために、管理策は18 のファミリーに分類され、各ファミリーには、ファミリーの一般的なセキュリティのトピックに関連するセキュリティ管理策が含まれます。セキュリティ管理策には、情報システムと装置により実装されるポリシー、監視、監督、手動プロセス、個々のアクション、又は自動メカニズムの側面を含みます。セキュリティ管理策の構造は、次の要素から構成されています。

  1. セキュリティ管理策
  2. 補足ガイダンス
  3. セキュリティ管理強化策
  4. 参考資料
  5. 優先事項とベースラインの割り当て

2 管理策のベースラインと調整

 情報システムのためのセキュリティ管理策を適切に選択するうえで組織を支援するために、セキュリティ管理策のベースラインというコンセプトが導入されます。セキュリティ管理策のベースラインは、セキュリティ管理策を選択するプロセスの開始点であり、FIPS 199とFIPS-200各々に則り決定される情報システムのセキュリティ分類と関連の影響レベルに基づき選択されます(リスク管理フレームワークのステップ1)。

 本ガイドラインには、「最初のベースラインに記載されるセキュリティ管理策と管理強化策は必要最低限ではなく、管理策と管理強化策を削除又は追加する開始点の提案である」と記載されています。附録Dは、FIPS-200に規定されるハイウォーター・マークを使用した、低・中・高影響の情報システムに相応するベースラインのセキュリティ管理策の一覧を提供します。セキュリティ管理策のベースラインは、広範で多様な顧客層のセキュリティのニーズに対応し、環境・運用・機能上の共通の検討事項を含む、多数の一般的な前提を基に作成されています。ベースラインはまた、共通の情報システムが直面する一般的な脅威を想定しています。基となる想定を明確にすることは、NIST SP800-39に記載されるリスク管理プロセスの最初のリスク構成ステップにおける重要な要素です。適切な一連の管理策を特定してリスクに相応するセキュリティを設けるために、組織は、特定のセキュリティの必要性に応じて管理策を調整(tailoring)します。組織による調整は、すべての情報システムに対して組織レベル、特定の事業分野や目的・ビジネスプロセスを支援して個々の情報システムレベル、またはこの2つの組み合わせを使用して行うことができます。調整プロセスは、本ガイドライン第3.2節に明記された、複数のステップから構成されます。これらの活動には以下が含まれます。

  • 一つ以上の情報システムが継承する可能性のある共通の管理策を特定し指定する。情報システムが、データセンターの環境管理策のような共通管理策を継承する場合、該当システムは管理策を明示的に実装する必要はありません。
  • リスク管理ガイダンスと共に適用される場合、検討すべき事項は、最初のセキュリティ管理策のベースラインから不要なセキュリティ管理策を削除し、組織が、情報システムのための適切な保護レベルの提供に必要な管理策のみを選択できるように保証します。この場合、セキュリティ要件を達成するための代替手段を提供するために、代替管理策を選択しなければならない場合があります。
  • ベースラインの補足 – 特定の脅威と脆弱性に対応する必要がある場合、追加のセキュリティ管理策と管理強化策が選択されます。

3 管理選択プロセスの文書化

 レビュー活動、セキュリティ計画、及びリスク評価を補助するために、組織は、セキュリティ管理策の選択プロセス中になされた決定事項を文書化し、それらの決定事項に対する正当な根拠を提供します。この文書化は、組織の目的と事業への潜在的な影響に関して、組織の情報システムのセキュリティ懸念事項を検討する際に必要不可欠です。

 一連のセキュリティ管理策の調整済みベースラインの結果と(組織が求める情報システムの使用制限を含めた)選択した決定事項を裏付ける根拠は、システムセキュリティ計画に文書化されます。承認権限者が、組織情報システムを承認するための決定に必要な情報へアクセスできるように、セキュリティ管理策の選択プロセスにおいてなされたリスク管理の重要な決定事項を文書化することは必須です。

« Back to Glossary Index

前の記事

SP 800-37

次の記事

FISMA