米国政府のセキュリティ基準FISMAとその強化について
セキュリティを知りたい
先生、『FISMA』ってなんですか? アメリカの法律と関係があるみたいなのですが…
セキュリティ研究家
よくぞ聞いてくれました! FISMAは、アメリカ連邦政府の情報セキュリティに関する法律です。簡単に言うと、国の大切な情報を守るためのルールなんだ。2002年にできて、その後2014年に改正されたんだよ。
セキュリティを知りたい
国の情報を守るためのルール…具体的にはどんなことをするの?
セキュリティ研究家
例えば、政府機関はFISMAに基づいて、情報システムに適切なセキュリティ対策を講じなければいけないんだ。情報を漏らしたり、改ざんされたりしないように、厳重に管理する必要があるんだよ。
FISMAとは。
アメリカの国の機関が情報を守るための決まりとして、『FISMA(フィズマ)』というものがあります。これは、2002年にできた『連邦情報セキュリティマネジメント法』と、それを2014年に新しくした『連邦情報セキュリティ近代化法』の両方をまとめて指す言葉です。
2002年のFISMAでは、国の機関は情報を守るための対策をしっかりとして、情報の機密性・完全性・可用性を確保することが義務付けられました。そのためのシステムや手順は、FIPSやNISTガイダンスといった基準や、プライバシーに関する法律のルールに従う必要があります。
2014年のFISMAでは、2002年のFISMAの内容に加えて、さらに強化された対策が追加されました。
ちなみに、『FedRAMP(フェドランプ)』は、国の機関が使うクラウドサービスを提供する会社に対するセキュリティのルールで、国の機関のセキュリティ体制をより良くするためのものです。
FISMAとは
– FISMAとはFISMAは、Federal Information Security Management Actの略称で、日本語では連邦情報セキュリティマネジメント法と訳されます。この法律は2002年に初めて制定され、その後2014年に「連邦情報セキュリティ近代化法」として改正されました。FISMAは、米国連邦政府機関における情報セキュリティの重要性を明確化し、機密性、完全性、可用性といった情報のCIAを守ることを目的としています。FISMAが定める情報セキュリティ対策は、政府機関だけに留まりません。政府機関と契約する企業や団体、さらには国民の重要な情報を取り扱うあらゆる組織にとって、極めて重要な指針となります。FISMAでは、政府機関に対して情報セキュリティリスクを適切に管理し、適切なセキュリティ対策を実施するための包括的な枠組みを提供しています。具体的には、情報システムの包括的なセキュリティ計画の策定、セキュリティ統制の実施、定期的なリスク評価の実施、セキュリティインシデントへの対応などが義務付けられています。FISMAの遵守は、政府機関にとって法的義務であるだけでなく、国民の信頼を維持し、国の安全を守る上でも不可欠です。そのため、FISMAは米国における情報セキュリティ対策の基礎として、重要な役割を担っています。
| 法律名 | 目的 | 対象 | 義務付け |
|---|---|---|---|
| FISMA (Federal Information Security Management Act) 連邦情報セキュリティマネジメント法 |
米国連邦政府機関における情報セキュリティの重要性を明確化し、機密性、完全性、可用性といった情報のCIAを守る。 | – 政府機関 – 政府機関と契約する企業や団体 – 国民の重要な情報を取り扱うあらゆる組織 |
– 情報システムの包括的なセキュリティ計画の策定 – セキュリティ統制の実施 – 定期的なリスク評価の実施 – セキュリティインシデントへの対応 |
2002年FISMAの主な内容
– 2002年FISMAの主な内容
2002年に制定されたFISMA(連邦情報セキュリティマネジメント法)は、国民の重要な情報を扱う連邦政府機関の情報システムを守るため、そのセキュリティ対策を強化することを目的としています。この法律によって、連邦政府機関は、情報システムのセキュリティ確保について、具体的な行動を求められるようになりました。
具体的には、まず、各政府機関は組織全体の情報セキュリティを確保するための包括的なプログラムを策定することが義務付けられました。これは、リスク管理、セキュリティ管理、セキュリティ対策の実施、システムの監視、そして問題発生時の対応など、多岐にわたる要素を含む包括的な計画です。
さらに、FISMAは、システムやデータに対するリスクを特定し、その深刻度を評価する「リスク評価」の実施も義務付けています。これは、限られた資源を最も効果的に活用するために、脅威、脆弱性、影響の度合いを分析し、システムにとってどのリスクが最も重要かを判断するプロセスです。
そして、特定されたリスクに対応するため、FISMAは、アクセス制御、暗号化、セキュリティ監査などの技術的な対策を含む「セキュリティコントロール」をシステムに実装することを求めています。これらの対策は、連邦情報処理標準(FIPS)や国立標準技術研究所(NIST)のガイダンスなどの技術標準に準拠していなければなりません。
FISMAは、策定した対策が有効に機能しているかを確認するために、システムの監視と評価も義務付けています。これは、セキュリティプログラムの有効性を継続的に改善していくための重要なプロセスです。
| 項目 | 内容 |
|---|---|
| 目的 | 国民の重要な情報を扱う連邦政府機関の情報システムのセキュリティ対策強化 |
| 対象 | 連邦政府機関 |
| 主な義務 | – 組織全体の情報セキュリティ確保のための包括的なプログラム策定 – システムやデータに対するリスク特定と深刻度評価(リスク評価) – 特定されたリスクに対応するためのセキュリティコントロール実装 – システムの監視と評価 |
| プログラムの内容 | リスク管理、セキュリティ管理、セキュリティ対策の実施、システムの監視、問題発生時の対応など |
| リスク評価の内容 | 脅威、脆弱性、影響の度合いを分析し、システムにとってどのリスクが最も重要かを判断 |
| セキュリティコントロールの内容と準拠すべき標準 | アクセス制御、暗号化、セキュリティ監査などの技術的な対策。 連邦情報処理標準(FIPS)や国立標準技術研究所(NIST)のガイダンスなどの技術標準に準拠 |
2014年FISMAの強化点
– 2014年FISMAの強化点2014年に改正されたFISMA(連邦情報セキュリティマネジメント法)は、目まぐるしく進化する技術や、複雑化・巧妙化するセキュリティ上の脅威への対策強化を目的としています。この改正では、政府機関が機密情報や重要なシステムをより効果的に保護できるよう、幾つかの重要な強化点が盛り込まれました。まず、セキュリティ上の問題が発生した場合の対応が強化されました。改正FISMAでは、インシデント発生時の対応手順を明確化し、関係機関への迅速な報告を義務付けることで、被害の拡大防止と迅速な復旧を目指しています。次に、政府機関全体の情報共有と連携の強化が図られました。サイバー攻撃は年々高度化しており、単独の組織で対処することは困難です。改正FISMAでは、各政府機関が持つセキュリティに関する情報を共有し、互いに連携して脅威に対処する体制作りが強化されました。さらに、クラウドコンピューティングのような新しい技術利用に伴うセキュリティリスクへの対応も強化されました。近年、多くの政府機関でクラウドサービスの利用が進んでいます。改正FISMAでは、クラウドサービス利用に関するセキュリティ基準を明確化し、政府機関が安全にクラウドサービスを利用できるよう配慮されています。これらの強化により、政府機関は変化する脅威から重要な情報を保護し、国民の安全と信頼を守るために、より効果的に情報セキュリティリスクを管理することが期待されています。
| 改正のポイント | 詳細 |
|---|---|
| インシデント対応の強化 | インシデント発生時の対応手順を明確化し、関係機関への迅速な報告を義務付け |
| 情報共有と連携の強化 | 政府機関全体でセキュリティ情報を共有し、連携して脅威に対処する体制を強化 |
| クラウドセキュリティの強化 | クラウドサービス利用に関するセキュリティ基準を明確化し、安全な利用を促進 |
FedRAMPとの関係
– FedRAMPとの関係FedRAMP(Federal Risk and Authorization Management Program連邦リスク・認証管理プログラム)は、クラウドサービスのセキュリティを確保するための、アメリカ政府全体で取り組むプログラムです。これは、アメリカ合衆国連邦政府機関が利用するクラウドサービスのセキュリティ評価、認証、継続的なモニタリングのための標準化されたアプローチを提供します。従来の情報システムのセキュリティ対策を定めたFISMA(Federal Information Security Management Act連邦情報セキュリティマネジメント法)の要件を満たすために、クラウドサービスを提供する事業者は、FedRAMPの認証を取得することが必須となっています。FedRAMPは、政府機関がクラウドサービスを安心して利用できるように、セキュリティリスクを評価するための共通の枠組みを提供します。これにより、政府機関はクラウドサービスのセキュリティレベルを容易に理解し、調達プロセスを効率化することができます。また、クラウドサービス事業者にとっては、一度FedRAMP認証を取得することで、複数の政府機関に対してサービスを提供することが可能になります。FedRAMPは、アメリカの政府機関におけるクラウドサービスの利用拡大に伴い、その重要性を増しています。セキュリティ対策の標準化を進めることで、政府機関と国民の安全を守るための重要な役割を担っています。
| 項目 | 内容 |
|---|---|
| FedRAMPの定義 | クラウドサービスのセキュリティを確保するためのアメリカ政府全体のプログラム。連邦政府機関が利用するクラウドサービスのセキュリティ評価、認証、継続的なモニタリングのための標準化されたアプローチを提供。 |
| FedRAMPの目的 | FISMAの要件を満たし、政府機関がクラウドサービスを安心して利用できるようにすること。セキュリティリスクを評価するための共通の枠組みを提供し、政府機関の調達プロセスを効率化。 |
| FedRAMPのメリット | クラウドサービス事業者は一度認証を取得すれば複数の政府機関にサービスを提供可能。政府機関はクラウドサービスのセキュリティレベルを容易に理解し、安心して利用可能。 |
| FedRAMPの重要性 | アメリカ政府機関におけるクラウドサービスの利用拡大に伴い重要性を増しており、セキュリティ対策の標準化を進めることで政府機関と国民の安全を守るための重要な役割を担う。 |
FISMAの重要性
– FISMAの重要性FISMA(連邦情報セキュリティマネジメント法)は、アメリカの連邦政府機関における情報セキュリティの強化を目的とした重要な法律です。この法律は、政府機関が保有する重要な情報資産を様々な脅威から保護し、国民の信頼を維持し、国の安全を確保するために制定されました。FISMAは、政府機関に対して、情報セキュリティを単なる技術的な問題としてではなく、組織全体で取り組むべき重要な政府業務として認識することを促しています。具体的には、機密性の高い情報資産を特定し、それら資産に対するリスクを評価し、リスクを軽減するための適切なセキュリティ対策を講じることを義務付けています。さらに、FISMAは、包括的なリスク管理アプローチの採用を促進しています。これは、脅威や脆弱性の変化に応じて、継続的にセキュリティ対策を見直し、改善していくことを意味します。また、政府機関は、定期的にセキュリティ監査を実施し、 FISMAの要件を満たしていることを証明する必要があります。FISMAの遵守は、政府機関にとって大きな責任を伴いますが、同時に多くの利益をもたらします。FISMAの要件を満たすことで、政府機関は、サイバー攻撃やデータ漏洩などのセキュリティインシデントのリスクを低減し、貴重な情報資産を保護することができます。また、国民からの信頼を高め、政府の透明性を向上させることも期待できます。そして、最終的には、国の安全保障に貢献することにつながります。
| FISMAの目的 | FISMAの義務付け | FISMAの促進 | FISMAの遵守による利益 |
|---|---|---|---|
| – アメリカの連邦政府機関における情報セキュリティの強化 – 政府機関が保有する重要な情報資産の保護 – 国民の信頼の維持 – 国の安全の確保 |
– 機密性の高い情報資産の特定 – 資産に対するリスク評価 – リスクを軽減するための適切なセキュリティ対策の実施 – 定期的なセキュリティ監査の実施 – FISMAの要件を満たしていることの証明 |
– 組織全体で情報セキュリティに取り組むこと – 包括的なリスク管理アプローチの採用 – セキュリティ対策の継続的な見直しと改善 |
– サイバー攻撃やデータ漏洩などのセキュリティインシデントのリスクの低減 – 貴重な情報資産の保護 – 国民からの信頼の高まり – 政府の透明性の向上 – 国の安全保障への貢献 |