「Risk Management Framework (RMF) 中小企業向けクイックスタートガイド」(NIST SP 1314)を公表 NIST
掲載:2024年08月16日
サイバー速報
目次
米国立標準技術研究所(NIST)はこのほど、「Risk Management Framework(RMF)中小企業向けクイックスタートガイド」(NIST SP 1314、以下、クイックスタートガイド)を公表しました。小規模企業などがRMFを導入しようとする際の取っ掛かりとして参考になる文書となります。
RMFとは、NISTが2018年に策定したガイドライン(SP800-37 Rev2)であり、情報システムや組織におけるセキュリティとプライバシーリスクを管理するための体系的なプロセスを示しています。プロセスは、組織がリスクを特定し、評価、対応、モニタリングするための7つのステップで構成されています。これにより、情報セキュリティおよびプライバシーリスクを効果的に管理することが期待できます。
クイックスタートガイドは、このRMFの活用を考えている組織の中でも、とりわけ小規模な企業やリソースが限られている組織を対象に発行されたものです。必要な力量を持った人材が十分におらずRMFの本格的な導入をすぐに実施することが難しい小規模企業であっても、リスクマネジメントを始められるように設計されています。
小規模企業向けであるという狙いは、実践のしやすさと読みやすさという2点に表れています。実践のしやすさという観点では、RMFを支える7つのステップそれぞれの解説を必要最小限の実施事項に留めていることからもわかります。例えばステップの1つである「モニタリング」では、本来は7つのタスクがありますが、クイックスタートガイドでは「リスク管理文書を継続的なモニタリング活動に基づいて更新する」など相対的に優先度の低い3つのタスクが省かれています(下表参照)。読みやすさは、ガイドラインの分量に現れています。RMFは80ページを超えていますが、クイックスタートガイドでは企業が取り組むべき活動についての要点のみが10ページの中に明瞭簡潔にまとめられており、何をすべきかがすぐにわかるようになっています。
タスク | 結果 |
---|---|
タスク M-1 システムと環境の変更 |
情報システムと運用環境が継続的モニタリング戦略に従って監視される。 【サイバーセキュリティフレームワーク: DE.CM; ID.GV】 |
タスク M-2 継続的な評価 |
コントロールの有効性に関する継続的な評価が、継続的モニタリング戦略に従って実施される。 【サイバーセキュリティフレームワーク: ID.SC-4】 |
タスク M-3 継続的なリスク対応 |
継続的モニタリング活動の結果が分析され、適切に対応される。 【サイバーセキュリティフレームワーク: RS.AN】 |
タスク M-4 認可パッケージの更新 |
リスク管理文書が継続的モニタリング活動に基づいて更新される。 【サイバーセキュリティフレームワーク: RS.IM】 |
タスク M-5 セキュリティとプライバシーの報告 |
認可担当者や他の上級リーダーおよび経営陣に対して、セキュリティとプライバシーの状況を報告するためのプロセスが整備される。 |
タスク M-6 継続的な認可 |
認可担当者は、継続的モニタリング活動の結果を使用して継続的な認可を実施し、リスクの決定や受容に関する変更を伝達する。 |
タスク M-7 システム廃棄 |
必要に応じて、システム廃棄戦略が策定され、実施される。 |
ただ、クイックスタートガイドはRMFそのものを完全に置き換えることを想定したものではないことに注意が必要です。つまり、組織の体力や成熟度が上がれば、最終的に参照・活用すべきはRMFとなります。また、クイックスタートガイドは大幅に分量が削減されているとはいえ、NISTの他のガイドラインなどを多く参照しており、クイックスタートガイドを理解することは容易でありつつも、組織が実際に行動に移すのにはそれ相応の準備時間を要する可能性があるという点も留意しておくべきでしょう。
RMF関連のドキュメントは以下のサイトからダウンロードできます。
https://csrc.nist.gov/projects/risk-management
おすすめ記事
- 2024年のセキュリティ動向
- 【2024年4月】個人情報保護法 関連法令改正(Webスキミング対応)を解説
- LINE社の個人情報セキュリティ問題に学べること
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- セキュリティ・バイ・デザイン、セキュア・バイ・デザイン
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- NIST CSF 2.0版~改訂のポイント~
- 事業者による個人情報漏えい事案は約1.6倍に、令和5年度「年次報告」を公開 個人情報保護委員会
- 上位は今年もランサムウェアとサプライチェーン攻撃、「情報セキュリティ10大脅威 2024」を公表 IPA
- 注目トピックは虚偽情報拡散の脅威とAIセキュリティ、「情報セキュリティ白書2024」を公表 IPA
- 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC