リスクマネジメントフレームワーク(RMF)は、NIST SP 800-37の『連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド:セキュリティライフサイクルによるアプローチ』でよく知られています。この文書は、2004年からのFISMA(米国連邦情報セキュリティ管理法)への準拠に向けて提供されているものです。
同文書はJoint Task Force Transformation Initiative Interagency Working Group(省庁間作業グループ)によって作成されたものです。すべての連邦政府機関はこれに準拠し、各プロセスに統合することを義務付けられています。最近では米国防総省(DoD)指令に統合されており、現在多くの組織がRMFへの準拠のための新しいガイダンスを作成しています。
RMFには、ITシステムの安全確保、認可および管理を行うためにすべての連邦政府機関が従わなければならないプロセスが記述されています。また、ATO(Authorization to Operate)および継続的なリスク管理の統合(継続的監視)を通じてシステムの保護を最初に確保するために使用するプロセスサイクルを定義しています。
リスクマネジメントフレームワークのステップ
RMFは次に説明する6つのステップからなるプロセスで成り立っています。
ステップ1:情報システムの分類
このステップは、管理的な意味合いのものであり、組織について理解を得ることを目的としています。システムを分類する前に、システムの境界を定義する必要があります。そのシステム境界に基づいて、システムに関係するすべての情報タイプを特定します。組織とその使命、役割と責任に加え、システムの運用環境、使用目的、他のシステムとの接続に関する情報が、情報システムの最終的なセキュリティの影響度を左右する場合があります。
参考文書:FIPS Publication 199。NIST Special Publications 800-30、800-39、800-59、800-60。CNSS Instruction 1253
ステップ2:セキュリティ管理策の選択
セキュリティ管理策は、組織の情報システム内で使用される管理上、運用上、技術上の防衛手段または対策であり、システムとその情報の機密性、完全性および可用性を保護するものです。保証は、ある情報システムにおいて実施されたセキュリティ管理策を適用することが有効であるという信頼性を高めます。
参考文書:FIPS Publications 199、200。NIST Special Publications 800-30、800-53、800-53A。CNSS Instruction 1253。
ステップ3:セキュリティ管理策の実施
ステップ3では、組織はセキュリティ管理策を実施し、情報システムとその運用環境内での管理策の使用方法を記述する必要があります。ポリシーは、必要なセキュリティ文書に適合するようにデバイスごとに調整しなくてはなりません。
参考文書:FIPS Publication 200。NIST Special Publications 800-30、800-53、800-53A。CNSS Instruction 1253。Web: SCAP.NIST.GOV。
ステップ4:セキュリティ管理策のアセスメント
セキュリティ管理策をアセスメントするには、適切なアセスメント手順を用いて、セキュリティ管理策がどの程度正しく導入されているか、どの程度意図した通りに運用されているか、システムのセキュリティ要求事項に対する適合性の観点から所望の結果をどの程度産出しているかを判断する必要があります。
参考文書:NIST Special Publication 800-53A、800-30、800-70。
ステップ5:情報システムの運用認可
情報システムの運用は、情報システムの運用から生じる組織の業務や資産、個人、他の組織、および国家に対するリスクを評価し、そのリスクを受容できると判断した場合に認可されます。レポートは行動計画とマイルストーン(POA&M)と連動させて使用するよう設計されています。これにより、失敗した管理策の追跡とステータスが提供されます。
参考文書:OMB Memorandum 02-01。NIST Special Publications 800-30、800-39、800-53A。
ステップ6:セキュリティ管理策の監視
継続的な監視プログラムを実施することによって、組織は、脅威、脆弱性、テクノロジー、および任務/業務機能の変化にシステムが適応することを強いられる非常に動的な運用環境において、情報システムのセキュリティ運用認可を長期にわたって維持することができます。自動化支援ツールは要求されてはいないものの、自動化ツールを用いることによって、情報システムに対するリアルタイムに近いリスクマネジメントが容易になります。自動化ツールは、さまざまな中核的なコンポーネントやそれらの構成上の予期しない変更に伴う構成の逸脱の発生時や、その他の潜在的なセキュリティインシデントの発生時に役立つとともに、ATOの標準レポートも提供できます。
参考文書:NIST Special Publications 800-30、800-39、800-53A、800-53、800-137。CNSS Instruction 1253。
その他のNISTリスクマネジメント・フレームワーク・リソース
まとめると、リスクマネジメントフレームワークとは、管理策と言語を調整し、互恵契約を促進させることによって、政府全体に対する基準を設定するものであると言えます。また、リスクに焦点を当て、コンポーネント、システムおよびカスタム環境の多様性に対応することを可能にします。さらに、セキュリティをシステムに組み込み、セキュリティ上の問題により早く対処できるようにします。総合的には、連邦政府機関のサイバーセキュリティは、継続的な監視とより良いロールアップレポートによって達成されると言えるでしょう。
RMFについての詳細と、御社のプログラムに適用する方法については、当社のホワイトペーパーを参照してください。“Adjusting to the reality of the RMF(RMFの現実に適応する)”
追加のリソース:
P.S.ー この記事の執筆に際して、リスクマネジメントフレームワークの資料のまとめを手伝ってくださったSean Sherman氏に感謝いたします。
