米国国立標準技術研究所(NIST)は12月4日、NIST SP800-55の最新バージョンとなるRev.2を正式に発行しました。2008年7月に公表されたRev.1では文書は1つでしたが、Rev.2では全2巻に分冊されました。SP800-55は、情報セキュリティ測定プログラムに関する文書であり、測定基準と指標の選択、評価、および管理に対する柔軟なアプローチの開発を通じて、情報セキュリティリスクを組織が目的に沿って効果的に管理できるようにすることを目指しています。
公表されたSP800-55は「Measurement Guide for Information Security」(情報セキュリティの測定ガイド)と題され、全2巻で構成されています。第1巻は「Identifying and Selecting Measures」(対策の特定と選択)、第2巻は「Developing an Information Security Measurement Program」(情報セキュリティ測定プログラムの開発)です。SP800-55では、「quantitative assessment(定量的評価)」と「measurement (測定)」は同義語として使用していると記されています。
第1巻は情報セキュリティ対策の開発、選択、優先順位付けに対する柔軟なアプローチを提供し、特に測定基準の特定と選択に焦点が当てられています。定量的評価と定性評価の両方について検討し、データ分析手法、影響と可能性のモデリングに関する基本的なガイダンスも掲載されています。例えば、組織がサイバーセキュリティに関する意識向上トレーニングを実施し、それを評価する場合には、受講率を「低・中・高」などと評価するのではなくトレーニングの修了率や復習クイズの結果を考慮するよう提案しています。
第2巻は情報セキュリティ測定プログラムを開発および実装するための柔軟な方法論とワークフローを示しています。具体的には、情報セキュリティ測定プログラムを実施するためのワークフローは、既存のセキュリティ・プログラムの評価と定義▽対策の特定と優先順位付け▽データ収集と分析▽是正措置の特定▽是正措置の適用――といった5つの活動で構成されると説明しています。 Rev.2は2020年9月、改訂に向けて最初の意見公募が始まり、2022年11月にドラフト(草案)、2024年1月には分冊化された第1巻、第2巻のドラフトが公開されていました。