情報セキュリティ

情報セキュリティ向上のための米国の取り組み

公開日:2006年5月16日

最終更新日:2007年8月24日

独立行政法人情報処理推進機構
セキュリティセンター

はじめに

2001年9月11日のテロ以降、米国政府のセキュリティに関する取組は大きく変わったと言われています。 米国NIST(国立標準技術研究所: National Institute of Standards and Technology)では、情報セキュリティに関する様々な規格、標準、ガイドラインを策定していますが、 その背景も9.11前と9.11後では大きな変化が見られます。
NISTの活動に大きな変化をもたらした法律は、FISMA(フィスマ)という法律です。 この法律では、連邦政府機関が情報セキュリティを強化することを義務付け、NISTに対しては、そのための規格やガイドラインの開発を義務付けています。
(注)FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)

米国では、このように、情報セキュリティ対策の実施を法律で義務付けています。 この法律の対象となるのは、連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先です。
NISTでは、FISMAの規定を受けて、「FISMA導入プロジェクト (The FISMA Implementation Project)」 を立ち上げ、FISMAリスクマネジメントフレームワークという、 情報セキュリティを継続的に改善・向上させる枠組みや多くの規格、ガイドラインを開発しました。
これらNISTの文書群は、その内容を見ると、政府機関だけではなく、企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させるために役立つ資料と言えます。

そこで、このページでは米国政府の情報セキュリティを向上させるための、FISMA導入プロジェクトについて解説します。

FISMAの規定

2002年12月に制定された「電子政府法」のタイトルIII 「連邦情報セキュリティマネジメント法(FISMA)」 は、各連邦政府機関に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けています。 また、同法は、NIST(米国国立標準技術研究所)に対しては、連邦政府がFISMAに準拠するための支援をすることを義務付けています。

  1. (注)
    FISMAの規定は、各連邦政府機関より業務委託を受けている外部委託先にも適用されます。

“Each federal agency shall develop, document, and implement an agency-wide information security program to provide information security for the information and information systems that support the operations and assets of the agency, including those provided or managed by another agency, contractor, or other source…” --- Federal Information Security Management Act of 2002 (Title III of the E-Government Act)

NISTのFISMA導入プロジェクト

NISTでは2003年1月に「FISMA導入プロジェクト (The FISMA Implementation Project)」 を立ち上げ、情報システムのセキュリティを強化し安全に運用するための様々な規格やガイドラインを策定しています。

目的:連邦政府の情報セキュリティ強化に寄与する(FISMAへの準拠)
フェーズI :FISMA関連のセキュリティ規格(FIPS)およびガイドライン(SPシリーズ)の開発・策定
2007年8月現在FISMA導入プロジェクト関連文書は、ほぼ策定済み。(2003-2007)
フェーズII : セキュリティ評価機関を認定するプログラムの開発(2007-2009)
フェーズIII: セキュリティ評価ツール検証プログラムの開発(2007-2009)
(フェーズIIIは、単独のフェーズとしてではなく、フェーズIIに組み込まれ、既存のIT製品のテスト、評価や検証プログラムを利用します)

NISTリスクマネジメントフレームワーク(NIST Risk Management Framework)

解説文書

1.連邦政府の情報セキュリティを飛躍的に向上させる新たなFISMA規格およびガイドライン

NISTの研究者自身によるFISMAリスクマネジメントフレームワークの説明や、NISTのFISMA導入プロジェクト関連の規格およびガイドラインについての解説が記載されています。

2.FISMA導入プロジェクトやFISMA関連文書に関する説明

FISMA導入を推進する様々な取り組み (仮題、後日掲載)

FISMA導入プロジェクトの背景と目的、NISTの役割、プロジェクトへの評価と課題について解説します。

FISMAリスクマネジメントフレームワークとISMS (仮題、後日掲載)

FISMAリスクマネジメントフレームワークをISO/IEC27001/27002 との比較もまじえ解説します。

3.NIST SP800シリーズに見る情報セキュリティと事業継続計画

事業継続計画と情報セキュリティの関係を、NIST SP800シリーズから眺めて解説した文書です。
NIST発行の文書には、FIPSやSP800シリーズ文書があります。
連邦政府機関にとり、FIPS(Federal Information Processing Standards:連邦情報処理規格)への準拠は必須ですが、SP800シリーズ文書は、FIPSに準拠するためにはどのようにすれば良いかを示したガイドラインです。 SP800シリーズ文書の中にはIT緊急時対応計画について記したSP800-34があります。
この解説文書では、情報セキュリティの管理策集であるSP800-53とSP800-34の関連、SP800-53とISO/IEC17799との比較も交えて、情報セキュリティと事業継計画について論じています。

NIST SP800シリーズに見るBCPとContingency Planning (プレゼンテーション資料)

NIST SP800-34などのNISTのガイドラインを引用しながら、BCPとContingency Planningについて説明した際のプレゼンテーション資料です。
このプレゼンテーション資料は、JIPDEC主催の情報セキュリティ総合的普及啓発シンポジウムで使用したものです。(一部修正)

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    isec-infoアットマークipa.go.jp