Table of Contents

FISMA101:連邦情報セキュリティ近代化法の概要

Home

#はじめに

連邦情報セキュリティ近代化法(FISMA)は2002年に制定された米国の法律であり、連邦政府機関に対し、その情報と情報システムを保護するための情報セキュリティ・プログラムの確立と維持を義務付けている。この法律は、連邦政府における情報セキュリティ向上の必要性の高まりを受けて制定され、その後、脅威の変化に対応するために何度か更新されている。

FISMAとは何か?

FISMAは、連邦政府機関とその請負業者に適用される情報セキュリティに関する一連の基準とガイドラインである。FISMAの目的は、機密情報を不正なアクセス、使用、開示、破壊、改ざん、破壊から確実に保護することである。FISMAは、連邦政府機関に対し、潜在的なセキュリティ・リスクの特定と評価、それらのリスクを軽減するためのセキュリティ管理策の導入、およびそれらの管理策の有効性の継続的な監視を含む、情報セキュリティに対するリスク・ベースのアプローチを実施することを求めている。

FISMA の主要な構成要素

FISMAの主要な構成要素には、以下のようなものがある:

  • リスク管理**:リスク管理**:連邦政府機関は、潜在的なセキュリティリスクを特定するために定期的なリスク評価を実施し、それらのリスクを軽減するためのセキュリティ管理を実施しなければならない。

  • セキュリティ管理評価**:連邦機関は、セキュリティ管理策が意図したとおりに機能していることを確認し、改善が必要な分野を特定するために、その有効性を評価しなければならない。

  • 継続的モニタリング連邦機関は、情報システムの安全性を確保し、発生したセキュリティ・インシデントに対応するため、情報システムを継続的に監視しなければならない。

  • インシデント対応連邦機関は、セキュリティ・インシデントに対応するための計画を策定し、セキュリティ・インシデントを迅速に特定、封じ込め、解決できなければならない。

  • 認可と認定**:連邦機関は、情報システムを運用するために適切な当局から認可を得なければならず、また、それらのシステムが安全であることを保証するために、定期的に評価し、再認定しなければならない。

リスク管理

FISMA は、連邦政府機関に対し、潜在的なセキュリティリスクを特定し、それらのリスクを軽減するためのセキュリティ管理を実施するために、定期的なリスク評価を実施することを求めている。リスク管理プロセスには以下のステップが含まれる:

1.資産の特定:連邦機関はまず、機密情報や情報システムなど、保護すべき資産を特定しなければならない。

2.脅威と脆弱性の評価:脅威と脆弱性の評価**:次に、連邦機関は、その資産に影響を及ぼす可能性のある脅威と脆弱性を評価し、それらの脅威の可能性と影響を判断しなければならない。

3.**リスクの決定脅威と脆弱性のアセスメントの結果に基づいて、連邦政府機関は、その資産に対するリスクレベルを決定し、最初に対処する必要があるリスクに優先順位を付けなければならない。

4.**緩和計画次に、連邦機関は、アクセス制御、暗号化、ファイアウォールなどのセキュリ ティ制御の実施を含め、特定されたリスクを軽減する計画を策定しなければならない。

5.実施実施:連邦機関は、資産に対するリスクを軽減するために必要であると特定したセキュリ ティ管理策を実施しなければならない。

6.モニタリングと評価:連邦機関は、セキュリティ管理策が意図したとおりに機能していることを確認し、改善が必要な分野を特定するために、情報システムを継続的に監視しなければならない。

セキュリティ管理評価

連邦機関は、セキュリティ管理が意図したとおりに機能していることを確認し、改善が必要な分野を特定するために、セキュリティ管理の有効性を評価しなければならない。これには以下のステップが含まれる:

1.テスト:テスト**:連邦機関は、セキュリティ管理策が正しく機能していることを確認し、対処が必要な脆弱性を特定するために、セキュリティ管理策をテストしなければならない。

2.**評価連邦機関は、セキュリティ管理の有効性を判断し、改善が必要な分野を特定するために、テス トの結果を評価しなければならない。

3.是正:評価結果に基づき、連邦機関は、脆弱性または改善すべき分野に対処する計画を策定し、必要な是正措置を実施しなければならない。

4.**継続的改善連邦機関は、セキュリティ管理策の有効性を継続的に監視・評価し、必要に応じて改善を行い、資産の適切な保護を確保しなければならない。

継続的モニタリング

連邦機関は、情報システムの安全性を確保し、発生したセキュリティインシデントに対応す るために、情報システムを継続的に監視しなければならない。これには以下の手順が含まれる:

1.リアルタイム・モニタリングリアルタイム・モニタリング:連邦政府機関は、セキュリティ・インシデントが発生した場合、リアルタイム・モニタリング・ツールを使用して検知し、対応しなければならない。

2.ログ分析ログ分析:連邦機関は、情報システムのログを定期的に確認し、異常または不審な活動を検出し、セキュリ ティインシデントに対応しなければならない。

3.**脆弱性スキャン連邦機関は、情報システムの脆弱性スキャンを定期的に実施し、対処が必要な脆弱性を特定しなければならない。

4.**インシデント対応連邦機関は、セキュリティ・インシデントに対応するための計画を策定し、セキュリティ・インシデントを迅速に特定、封じ込め、解決できなければならない。

認可と認定

連邦機関は、その情報システムを運用するために適切な当局から認可を得なければならず、また、それらのシステムが安全であることを保証するために、定期的に評価および再認定を受けなければならない。これには以下のステップが含まれる:

1.システムの認可システムの承認:連邦政府機関は、情報システムを運用するために、適切な当局から承認を得なければならない。

2.**セキュリティ評価連邦機関は、情報システムのセキュリティ評価を実施し、セキュリティリスクと脆弱性を特定しなければならない。

3.緩和計画:セキュリティ・アセスメントの結果に基づき、連邦機関はセキュリティ・リスクと脆弱性を軽減するための計画を策定し、必要なセキュリティ管理を実施しなければならない。

4.認定:連邦機関は、情報システムが必要なセキュリティ基準を満たし、運用が許可されていることを保証するために、適切な機関から認定を受けなければならない。

5.再認証:再認証**:連邦機関は、情報システムが必要なセキュリティ基準を継続的に満たし、改善すべき分野を特定するために、定期的に評価し、再認証を受けなければならない。

#FISMAのメリット

FISMAには以下のような利点がある:

情報セキュリティの向上

FISMAの主な利点の一つは、連邦機関の情報セキュリティの向上である。連邦政府機関に強力な情報セキュリティ・プログラムの確立と維持を義務付けることで、FISMAは機密情報を不正なアクセス、使用、開示から保護するのに役立つ。さらにFISMAは、連邦政府機関に対し、定期的なリスク評価、セキュリティ管理評価、および継続的な監視を実施することを義務付けており、これにより情報システムの安全性が長期にわたって維持される。

より良いリスク管理

FISMAはまた、定期的なリスク評価の実施と、それらのリスクを軽減するためのセキュリティ管理の実施を連邦機関に義務付けることで、連邦機関がセキュリティリスクをより適切に管理できるよう支援している。これは、連邦機関がセキュリティ・リスクを特定し、優先順位を付け、それらのリスクをどのように軽減するのが最善かについて、情報に基づいた意思決定を行うのに役立つ。さらに、FISMA は連邦政府機関に対し、情報システムを継続的に監視することを義務付けており、これによってセキュリティ・リスクが適時に検出され、対処されることを保証している。

透明性の向上

FISMAは、連邦政府機関に対して情報セキュリティ・プログラムの報告を義務付けており、透明性と説明責任の向上に役立っている。これにより、連邦議会などの利害関係者は、連邦機関がどのように情報セキュリティ・リスクを管理しているかを確認することができ、セキュリティ・インシデントが発生した場合の責任を追及することができる。

コラボレーションの強化

FISMAはまた、連邦政府機関とその請負業者およびその他の利害関係者が同じ情報セキュリティ基準に従うことを義務付けることによって、連邦政府機関間の協力と協調を強化するのにも役立つ。これにより、機密情報を保護するために全員が協力し、連邦政府のあらゆるレベルで情報セキュリティ・リスクが効果的に管理されるようになる。

結論

結論として、FISMAは米国連邦政府における情報セキュリティの重要な要素である。連邦政府機関に情報セキュリティ・プログラムの策定と維持を義務付けることで、FISMAは機密情報が不正なアクセス、使用、開示から確実に保護されるよう支援する。定期的なリスク評価、継続的な監視、インシデント対応を義務付けることで、FISMAは連邦機関のセキュリティリスク管理とセキュリティインシデントへの迅速な対応を支援している。全体として、FISMAは連邦政府の情報セキュリティを改善し、機密情報を保護するための重要なツールである。