FISMAコンプライアンスとは？要件とベストプラクティス

FISMAとは何か？

FISMAは、2002年連邦情報法（Federal Information Security Management Act of 2002）とも呼ばれ、連邦政府が使用するデータと情報システムのセキュリティ強化を目的とした米国の重要な法律である。この法律は、情報技術への依存の高まりと、それに応じて連邦情報システムの完全性、可用性、機密性を損なう脅威から連邦情報システムを保護する必要性に対応して成立した。

FISMA は、連邦政府機関とそのパートナーが強固な情報セキュリティ管理を実施することを保証するために、米国国立標準技術研究所（NIST）によって開発された一連のガイドラインと基準を定めるものである。セキュリティに対するリスクベースのアプローチを重視することにより、FISMAは、政府機関によって、または政府機関を代表して収集または維持される情報に対するセキュリティ保護を提供することを含む、情報セキュリティプログラムを開発、文書化、および実施することを各機関に要求している。

FISMAへの準拠は、すべての連邦政府機関および連邦政府機関とそのデータを扱う組織にとって必須である。FISMAの要件に準拠することで、これらの機関や組織は、取り扱うデータや情報を保護するために必要な対策を実施していることを保証します。FISMAの遵守は、米国連邦政府のデータと情報の完全性、機密性、可用性を維持する上で極めて重要な役割を果たしています。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

FISMAに準拠しなければならないのは誰か？

以下のカテゴリーの組織は、FISMA規制に準拠する必要がある：

• 規模や扱うデータや情報の性質にかかわらず、すべての連邦政府機関。
• 連邦政府機関と契約する組織または連邦政府機関のデータを取り扱う。これには、民間組織、州および地方政府組織、非営利組織が含まれる。その目的は、誰が連邦政府のデータを扱っても、その安全性が保たれるようにすることである。
• 連邦政府機関のデータを扱う第三者サービス・プロバイダーもFISMAに準拠しなければならない。これには、クラウド・サービス・プロバイダーやITサービス・プロバイダーも含まれる。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験では、FISMA コンプライアンスを達成し維持するには、積極的かつ構造的なアプローチが必要です。ここでは、組織がコンプライアンスへの取り組みを効率化し、セキュリティ体制を向上させるための高度な戦略を紹介します：

継続的診断と緩和（CDM）ツールの使用

CDM ツールを活用して、脆弱性、設定の問題、不正アクセスをリアルタイムで監視します。これらのツールは、システム・セキュリティとコンプライアンス・ギャップに関する実用的な洞察を提供し、FISMA の継続的な監視要件を満たす能力を強化します。

セキュリティ・コントロール・アセスメント（SCA）の自動化

自動化ツールを使用して、セキュリティ管理の有効性を定期的にテストする。SCA を自動化することで、一貫性のある評価が保証され、コンプライアンス報告に必要な手作業が削減される。

NIST 800-53 Rev.5の機能強化の活用

プライバシー管理、サプライチェーンリスク管理、クラウドセキュリティに重点を置いたNIST SP 800-53 Rev.5の最新アップデートを組み込みます。これにより、システムが最新のFISMA要件に適合するようになります。

役割ベースのアクセス制御（RBAC）の実装

RBACを実施し、ユーザーの役割と責任に基づいて機密データやシステムへのアクセスを制限する。これにより、内部脅威のリスクを最小限に抑え、FISMAの「最小特権」原則をサポートする。

動的なシステム・セキュリティ計画（SSP）の策定

システムの変更、新たな脅威、新たなコンプライアンス要件に合わせて SSP を常に更新します。自動化されたワークフローを使用して更新をリアルタイムで文書化し、信頼性の高いコンプライアンス成果物として SSP を維持します。

FISMAコンプライアンスの3つのレベル

FISMAのコンプライアンスには3つのレベルがあり、セキュリティ侵害が連邦機関の業務、資産、または個人に与える潜在的な影響に基づいて決定される：

• 低影響：セキュリティ侵害の潜在的影響が限定的である場合、システムは低影響に分類される。このようなシステムでは、情報の不正な開示、変更、または利用不能が、組織の運営、資産、または個人に及ぼす悪影響は限定的である。影響度の低いシステムについては、FISMA は基本的なレベルのセキュリティ管理を義務付けており、これには通常、基本的なユーザー認証やアクセス制御などの標準的なセキュリティ対策が含まれる。
• 中程度の影響：セキュリティ侵害の潜在的影響がより深刻であるが、深刻ではない場合、システムは中程度の影響とみなされる。このような場合、情報の不正な開示、変更、または利用不能は、組織の運営、資産、または個人に重大な悪影響を及ぼす。影響が中程度のシステムには、認証の強化、より厳格なアクセス制御ポリシー、サイバー脅威に対するより強力な保護など、より包括的なセキュリティ制御のセットが必要となる。
• 高影響レベル：セキュリティ侵害の潜在的影響が深刻または壊滅的である場合、システムは高影響レベルに分類される。このようなシステムでは、情報の不正な開示、変更、または利用不能が、組織の運営、資産、または個人に深刻または壊滅的な悪影響を及ぼす。これには、人命への脅威、深刻な経済的損害、国家安全保障への重大な損害が含まれる。影響が大きいシステムには、高度な持続的脅威のような最も巧妙な脅威からも保護するように設計された、最も厳格なセキュリティ管理が要求される。これには、高度な暗号化、多要素認証、継続的な監視、インシデント対応機能などが含まれる。

米国国立標準技術研究所（NIST）は、その一連の出版物、特にNIST Special Publication 800-53「情報システム及び組織のためのセキュリティ及びプライバシー管理（Security and Privacy Controls for Information Systems and Organizations）」において、各レベルのガイドラインと最低要件を提供している。

各連邦機関は、これらの潜在的影響レベルに従って情報および情報システムを分類し、適切なレベルのセキュリティ管理を適用する責任を負う。運用の変更や新たな脅威によってシステムの影響レベルが変わる可能性があるため、分類は定期的に見直さなければならない。

FISMAコンプライアンス要件

情報システム・インベントリー

FISMAの下では、組織は、機関内で使用されるすべての情報システムのインベントリを維持することが義務付けられている。このインベントリは、各システムの目的、運用環境、処理する情報などの詳細を含む包括的なリストとして機能する。

インベントリは、各システムのセキュリティ・ステータスを追跡するために重要であり、さらなる FISMA コンプライアンス活動の基礎を形成する。インベントリの定期的な更新と監査により、新しいシステムが組み込まれ、廃止されたシステムが削除されるため、インベントリの正確性と妥当性が維持される。

リスクとデータタイプの分類

FISMAの下では、組織は適切なセキュリティ対策を確立するために、自社のリスクと取り扱うデータの種類を分類しなければならない。この分類プロセスでは、情報の機密性と価値を評価し、必要な保護レベルを決定する。分類には通常、機密情報、制限付き情報、公開情報が含まれる。

個人識別情報や国家安全保障データなどの機密情報は、機密性の低い情報と比較して、より高度なセキュリティ管理が必要となります。データの種類を分類することで、効率的で費用対効果の高いセキュリティ対策を適用し、重要度の低い情報を過剰に保護することなく、強固な保護を確保することができます。このプロセスは、セキュリティ対策とリソースの効果的な優先順位付けに不可欠である。

システム・セキュリティ計画

システム・セキュリティ計画（SSP）は、組織が情報システムに必要なセキュリティ管理をどのように実施し、維持するかをまとめた正式な文書である。FISMAの下では、SSPの作成は重要な要件である。SSPは、システムのセキュリティ要件の詳細な概要を提供し、それらの要件を満たすために実施中または計画中の管理策を記述する必要がある。

SSP には、システムに関連する役割と責任、セキュリティ・ポリシー、手順も含まれる。SSP は生きている文書であり、システムまたは運用環境の変化を反映するために定期的な更新が 必要であることを意味する。

セキュリティ・コントロール

セキュリティ管理とは、組織が情報システムの機密性、完全性、可用性を保護するために採用する保護措置や対策である。

FISMAは、連邦政府機関に対し、情報システムのリスク分類に基づき、適切なセキュリ ティ管理策を実施することを求めている。これらの管理策は、管理的、運用的、または技術的な性質のものであり、NIST Special Publication 800-53 のような管理策の標準カタログから選択される。

これらの管理策の実施は文書化されなければならず、その有効性は定期的にテストされ評価されなければならない。これらの管理策の目標は、特定されたリスクを許容可能なレベルまで軽減し、情報システムのセキュリティと回復力を確保することである。

リスク評価

リスク評価は、情報システムの機密性、完全性、可用性に対する潜在的なリスクを徹底的に分析することであり、FISMAコンプライアンスの中核をなす要素である。このプロセスには、潜在的な脅威と脆弱性の特定、発生の可能性の評価、およびそのような事象の潜在的な影響の判断が含まれる。

リスクアセスメントの結果は、システムに対するリスクの程度を理解し、これらのリスクを軽減するために必要なセキュリティ管理策に関する意思決定に役立つ。定期的なリスクアセスメントは、変化する脅威の状況に対応し、セキュリティ対策が長期にわたって有効であることを保証するために必要である。

認証と認定

認証と認定（C&A）は、FISMAコンプライアンス・プロセスの重要な構成要素であり、情報システムの稼動前とその後の定期的なセキュリティの正式な評価と認可を目的としている。認証プロセスでは、情報システムの技術的および非技術的なセキュリティ機能を包括的に評価し、それらが要求されるセキュリティ基準を満たしていることを確認する。この評価には、セキュリティ管理の有効性のテスト、脆弱性の特定、潜在的脅威がもたらすリスクの評価などが含まれる。

認証後、認定プロセスでは、機関内の上級職員が認証文書とリスク評価結果をレビューし、リスクが許容できるかどうかを決定する。リスクが許容できると判断された場合、担当者はシステムの運用許可（ATO）を与える。この決定は、セキュリティ管理が当該機関の業務と資産を保護する上で適切かつ効果的であるかどうかに基づいて行われる。

認定は、合意された一連のセキュリティ管理の実施に基づき、機関の業務、資産、または個人に対するリスクを公式に受け入れることを意味するため、極めて重要なステップである。このプロセスにより、厳格なセキュリティ要件を満たすシステムのみが運用を許可される。

FISMAの不遵守に対する罰則は？

FISMAへの不遵守は、組織に深刻な結果をもたらす可能性がある。FISMAを遵守しない政府機関は、議会による問責や連邦政府からの資金提供の削減に直面する可能性がある。非政府組織は、風評被害や、将来政府との契約を結べなくなるといった問題に直面する。

FISMAコンプライアンスの維持

以下は、組織がFISMAコンプライアンスを達成するのに役立つベストプラクティスである。

データ活動と脅威検出のためのセキュリティ監視計画の実施

FISMA コンプライアンスを維持するために、組織は、データ活動の継続的な監視とセキュリティ脅威のタイムリーな検出を含む包括的なセキュリティ監視計画を実施する必要がある。この計画では、ネットワーク・トラフィック、ユーザ活動、アクセス・ログを監視し、セキュリ ティ侵害を示す可能性のある異常な活動や不正な活動を特定するための手順を概説する必要がある。

効果的なセキュリティ監視には、セキュリティ要員による定期的な手動チェックに加え、大量のデータを分析して潜在的な脅威を発見するための自動化ツールの利用が含まれる。また、検出された脅威の種類に応じた対応策を明記し、組織が迅速かつ効果的にリスクを軽減して、情報システムの完全性とセキュリティを維持できるようにする。

暗号化の実装機密データ

暗号化は、データを復号キーなしでは読めない形式に変換し、不正アクセスやデータ漏洩に対する強力な防御を提供する。

自動暗号化により、静止時または転送時にかかわらず、手動による介入を必要とせずにすべてのデータが暗号化されます。これにより、ヒューマンエラーのリスクを最小限に抑えるだけでなく、すべてのデータに対して一貫したレベルの保護を提供することができます。自動暗号化は、ネイティブのデータ暗号化をサポートするデータベースや、通過するデータを自動的に暗号化する暗号化ゲートウェイなど、さまざまなツールやテクノロジーを使って実現できます。

リスクに基づくアプローチの開発

FISMAへの準拠は、情報セキュリティに対するリスクベースのアプローチを開発することを組織に求めている。これは、潜在的な脅威と脆弱性を特定し、それらがもたらすリスクを評価し、それらを軽減するための管理策を導入することを意味する。

リスク評価プロセスでは、保護が必要な資産の特定、潜在的な脅威と脆弱性の特定、これらの脅威の影響と可能性の評価、潜在的な影響に基づくリスクの優先順位付けが行われる。リスクが評価されたら、組織は次に、リスクを軽減するための対策を実施することができる。

情報セキュリティシステムを定期的に監視し、エスカレーション経路を示すとともに、セキュリティ態勢の変化についてRCAを実施する。

FISMAへの継続的なコンプライアンスを確保するためには、情報セキュリティシステムの定期的なモニタリングが不可欠である。このモニタリングには、導入されたセキュリティ管理の有効性の継続的なチェック、セキュリティポリシーの遵守状況の検証、新しい脅威や進化する脅威に対抗するシステムの能力の評価などが含まれる。

セキュリティ監視計画では、セキュリティインシデントに対処するためのエスカレーション経路を詳述し、インシデントの各レベルにおける対応責任者を明確にする。さらに、セキュリティ態勢の変化の背後にある根本的な理由を理解するため の根本原因分析（RCA）の明確な方法論を提供する。この分析は、セキュリティ対策を強化し、将来の侵害を防止するために、情報に基づいた意思決定を行う上で役立つ。

セキュリティ管理の有効性の追跡

FISMAのコンプライアンスを確保するためには、単にセキュリティ管理策を導入するだけでは不十分である。これには、統制が意図したとおりに機能し、必要なレベルの保護が提供されていることを確認するための定期的な監査と評価が含まれる。

また、組織は、これらの評価で特定された欠陥に対処するためのプロセスも整備しておく必要がある。これには、セキュリティ管理の更新、スタッフの再教育、新技術の導入などが含まれる。

さらに、組織はこれらの評価の詳細な記録を保管する必要がある。これらの記録は、組織の情報セキュリティ態勢に関する貴重な洞察を提供し、FISMA要件への準拠を証明するのに役立つ。