NIST800 FISMA

セキュリティ事業部

NIST800 FISMA

 2001年9月11日のテロ以降、米国政府のセキュリティに関する取組は大きく変わったと言われています。 米国NIST(国立標準技術研究所: National Institute of Standards and Technology)では、情報セキュリティに関する様々な規格、標準、ガイドラインを策定していますが、 その背景も9.11前と9.11後では大きな変化が見られます。
NISTの活動に大きな変化をもたらした法律は、FISMA(フィスマ)という法律です。 この法律では、連邦政府機関が情報セキュリティを強化することを義務付け、NISTに対しては、そのための規格やガイドラインの開発を義務付けています。
(注)FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)

 

FISMAの規定

 200212月に制定された「電子政府法」のタイトルIII 「連邦情報セキュリティマネジメント法(FISMA)」 は、各連邦政府機関に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けています。 また、同法は、NIST(米国国立標準技術研究所)に対しては、連邦政府がFISMAに準拠するための支援をすることを義務付けています。

 

NISTリスクマネジメントフレームワーク(NIST Risk Management Framework


図1.FISMA リスクマネジメントフレームワーク

 

解説文書

1.連邦政府の情報セキュリティを飛躍的に向上させる新たなFISMA規格およびガイドライン

 NISTの研究者自身によるFISMAリスクマネジメントフレームワークの説明や、NISTのFISMA導入プロジェクト関連の規格およびガイドラインについての解説が記載されています。

 

2.NIST SP800シリーズに見る情報セキュリティと事業継続計画

 事業継続計画と情報セキュリティの関係を、NIST SP800シリーズから眺めて解説した文書です。
NIST発行の文書には、FIPSやSP800シリーズ文書があります。
連邦政府機関にとり、FIPS(Federal Information Processing Standards:連邦情報処理規格)への準拠は必須ですが、SP800シリーズ文書は、FIPSに準拠するためにはどのようにすれば良いかを示したガイドラインです。 SP800シリーズ文書の中にはIT緊急時対応計画について記したSP800-34があります。
この解説文書では、情報セキュリティの管理策集であるSP800-53とSP800-34の関連、SP800-53とISO/IEC17799との比較も交えて、情報セキュリティと事業継計画について論じています。

 

参照HP:IPA 情報処理推進機構