「Risk Management Framework (RMF) 中小企業向けクイックスタートガイド」(NIST SP 1314)を公表 NIST

掲載:2024年08月16日

サイバー速報

         
目次

米国立標準技術研究所(NIST)はこのほど、「Risk Management Framework(RMF)中小企業向けクイックスタートガイド」(NIST SP 1314、以下、クイックスタートガイド)を公表しました。小規模企業などがRMFを導入しようとする際の取っ掛かりとして参考になる文書となります。

RMFとは、NISTが2018年に策定したガイドライン(SP800-37 Rev2)であり、情報システムや組織におけるセキュリティとプライバシーリスクを管理するための体系的なプロセスを示しています。プロセスは、組織がリスクを特定し、評価、対応、モニタリングするための7つのステップで構成されています。これにより、情報セキュリティおよびプライバシーリスクを効果的に管理することが期待できます。

クイックスタートガイドは、このRMFの活用を考えている組織の中でも、とりわけ小規模な企業やリソースが限られている組織を対象に発行されたものです。必要な力量を持った人材が十分におらずRMFの本格的な導入をすぐに実施することが難しい小規模企業であっても、リスクマネジメントを始められるように設計されています。

小規模企業向けであるという狙いは、実践のしやすさと読みやすさという2点に表れています。実践のしやすさという観点では、RMFを支える7つのステップそれぞれの解説を必要最小限の実施事項に留めていることからもわかります。例えばステップの1つである「モニタリング」では、本来は7つのタスクがありますが、クイックスタートガイドでは「リスク管理文書を継続的なモニタリング活動に基づいて更新する」など相対的に優先度の低い3つのタスクが省かれています(下表参照)。読みやすさは、ガイドラインの分量に現れています。RMFは80ページを超えていますが、クイックスタートガイドでは企業が取り組むべき活動についての要点のみが10ページの中に明瞭簡潔にまとめられており、何をすべきかがすぐにわかるようになっています。

【表:RMFとクイックスタートガイドが示す「モニタリング」におけるタスクの違い
(網掛けされた項目はクイックスタートガイドでは省かれたもの)】
タスク 結果
タスク M-1
システムと環境の変更
情報システムと運用環境が継続的モニタリング戦略に従って監視される。
【サイバーセキュリティフレームワーク: DE.CM; ID.GV】
タスク M-2
継続的な評価
コントロールの有効性に関する継続的な評価が、継続的モニタリング戦略に従って実施される。
【サイバーセキュリティフレームワーク: ID.SC-4】
タスク M-3
継続的なリスク対応
継続的モニタリング活動の結果が分析され、適切に対応される。
【サイバーセキュリティフレームワーク: RS.AN】
タスク M-4
認可パッケージの更新
リスク管理文書が継続的モニタリング活動に基づいて更新される。
【サイバーセキュリティフレームワーク: RS.IM】
タスク M-5
セキュリティとプライバシーの報告
認可担当者や他の上級リーダーおよび経営陣に対して、セキュリティとプライバシーの状況を報告するためのプロセスが整備される。
タスク M-6
継続的な認可
認可担当者は、継続的モニタリング活動の結果を使用して継続的な認可を実施し、リスクの決定や受容に関する変更を伝達する。
タスク M-7
システム廃棄
必要に応じて、システム廃棄戦略が策定され、実施される。

 

ただ、クイックスタートガイドはRMFそのものを完全に置き換えることを想定したものではないことに注意が必要です。つまり、組織の体力や成熟度が上がれば、最終的に参照・活用すべきはRMFとなります。また、クイックスタートガイドは大幅に分量が削減されているとはいえ、NISTの他のガイドラインなどを多く参照しており、クイックスタートガイドを理解することは容易でありつつも、組織が実際に行動に移すのにはそれ相応の準備時間を要する可能性があるという点も留意しておくべきでしょう。

RMF関連のドキュメントは以下のサイトからダウンロードできます。
https://csrc.nist.gov/projects/risk-management