米国FISMA最新動向と情報セキュリティ

2002年に制定された米国連邦情報セキュリティマネジメント法(FISMA)は、連邦政府機関の情報システムのセキュリティ管理を強化することを目的としています。本資料では、特に2009年のFISMAプロジェクトにおける重要な動きに焦点を当てています。2009年は、NIST（国立標準技術研究所）が主導する標準化とフレームワークの改善が大きく進展した年であり、政府機関における情報セキュリティ対策のレベル向上に大きな影響を与えました。具体的には、NISTが開発したガイドラインや標準に基づき、情報システムと情報の分類、必要最小限のセキュリティ要件の規定、そして、それらを実現するための具体的なセキュリティコントロールの導入などが推進されました。FISMAの実施状況は毎年OMB（行政管理予算局）に報告され、2009年からは自動化ツールの導入も開始されました。これは、効率的なセキュリティ管理とコンプライアンス達成への取り組みを象徴する出来事です。 FISMAは、情報セキュリティレベルの向上に大きな効果を上げているとされていますが、その運用方法については、ペーパーワーク化といった課題も指摘されており、改善が求められています。

NISTは、FISMAの実装とコンプライアンスをサポートするため、セキュリティ標準とガイドラインの開発を推進しています。特に、NIST SP 800-53 Rev.3は、歴史的な改訂として注目されており、リスクマネジメントフレームワークの簡素化、セキュリティコントロールの推奨プライオリティの明確化、そしてISMSとの整合性強化といった重要な変更が含まれています。この改訂版では、リスクを評価し、許容可能なリスクであれば情報システムの運用を承認するというリスクベースのアプローチが強調されています。また、セキュリティコントロールの優先順位付け（HIGH, MOD, LOW）により、リソースの有効活用と効率的なセキュリティ対策の実施を可能にしています。さらに、NIST SP 800-53 Rev.3は、情報システムの分類（FIPS 199/SP800-60）やセキュリティコントロールの選択（FIPS 200/SP800-53）に関する指針も提供しており、連邦政府機関の情報システムセキュリティ対策の基盤として重要な役割を果たしています。 これらの標準は、民間企業でも活用されており、情報セキュリティ対策のベストプラクティスとして広く認知されています。

FISMAフレームワークの運用におけるペーパーワーク化の問題点を解消するため、2009年11月にはConsensus Audit Guideline Ver2.3が発表されました。これは、FISMAフレームワークを大幅に改善するガイドラインであり、セキュリティ管理策の継続的な一貫性のある運用と、有効性における継続的な見直し機能を管理策に持たせることを重視しています。具体的には、セキュリティ管理策が正しく導入され、意図した通りに運用されているか、そして、セキュリティ要件に見合う成果を上げているかを評価する仕組みを強化しています。 このガイドラインでは、コントロール（管理策）のプライオリティ分類（Rev.3 2009年）も導入され、リスクに基づいた優先順位付けによる効率的なセキュリティ対策が促進されています。 また、このガイドラインは、選択された20のコントロールと自動化ツール（例えば、許可されたおよび許可されていない装置やソフトウェアの台帳作成ツールなど）の活用も推奨しており、自動化による効率化と正確性の向上を目指しています。

NIST SP 800-53 Rev.3は、リスクマネジメントフレームワークの簡素化を図った重要な改訂版です。この改訂により、政府機関は、法令、方針、戦略目標、情報セキュリティ要件の優先順位、そしてリソースの可用性といった組織のインプットに基づき、情報システムを保護するための最小限のセキュリティ管理策を選択できるようになりました。 具体的には、情報システムを保護するためのセキュリティ管理策を、HIGH、MOD、LOWの３段階の優先順位で分類し、リスクレベルに応じて適切な対策を選択する仕組みが導入されています。また、情報システム及び環境の変化、進行中のセキュリティ管理策評価、進行中の教育活動、緊急アップデートといった要素も考慮し、継続的にセキュリティ管理策の有効性を評価し、必要に応じて見直しを行うプロセスが強調されています。 このフレームワークは、新旧の情報システムの両方で適用可能であり、役割、ビジネスプロセス、FEA参照モデル、情報システム境界のセグメントとソリューションアーキテクチャといった詳細なアーキテクチャ記述も考慮する必要があります。 情報システムの分類にはFIPS 199/SP800-60、セキュリティ管理策の選択にはFIPS 200/SP800-53が利用されます。

NIST SP 800-53 Rev.3では、セキュリティコントロールの推奨プライオリティが明確化され、米国における優先順位付けの動きが示されています。 セキュリティ管理策の有効性を評価する際には、セキュリティ管理策が正しく導入され、意図した通りに運用されているか、そしてセキュリティ要件に見合う成果を上げているかが重要なポイントとなります。 例えば、情報フローの制御（AC-4）、職務の分離（AC-5）、特権の最小化（AC-6）、不成功のログイン試行への対処（AC-7）といったコントロールは、優先度が高いとされています。 さらに、Consensus Audit Guideline Ver2.3（2009年11月）では、セキュリティ管理策が継続的に一貫性をもって運用されていること、そして管理策の有効性における継続的な見直し機能が管理策に備わっていることが求められています。 このガイドラインは、セキュリティ管理策の有効性評価において、エラーの有無、適切な実行、意図通りの運用といった観点からの評価基準を提供しており、より厳格なセキュリティ体制の構築を目指しています。 評価レベルはLow、Moderate、Highの３段階で示されています。

本資料では、FISMAフレームワークとISMS（ISO/IEC 27001）との整合性確保に向けた具体的な取り組みが解説されています。 NIST SP 800-53 Rev.3で定義されているセキュリティ管理策（Controls）とISMS管理策の詳細な対応関係を明らかにすることで、両者の連携強化を目指しています。この対応関係の把握は、個々の管理策レベル（ステップ１）で行われ、NIST SP 800-53 Rev.3の各コントロールとISMSの対応する管理策が明確に示されています。例えば、NIST SP 800-53 Rev.3のAC-7（ログイン試行の失敗）は、ISMSのA11.4.1（ネットワークサービスの利用について）に対応するなど、具体的な例が示されています。さらに、フレームワークレベル（ステップ２）では、両者の組織レベルのリスク管理の対応表を作成することで、組織全体での整合性を図ることを目指しています。そして、認証レベル（ステップ３）では、NISTの標準とガイドラインがISO/IEC 27001とどのように整合性を保っているかを検討しています。これらのステップを通して、FISMAとISMSの両方の要件を満たすための効果的なセキュリティ対策の策定が期待されています。

リスクアセスメントフレームワークの運用においては、自動化（Automation）が不可欠であるとされています。 文書では、フレームワーク全体を可能な限り自動化し、自動化ツールも標準化することで、効率性と正確性の向上を目指すべきだと主張しています。具体例として、ウイルス対策ソフト、Windowsアップデート、ISMS構築支援ツール、サーバ設定検査ツール、脆弱性検査ツールなどが挙げられています。 特に、2008年2月からは、米国政府機関のCIOにこれらの自動化ツールの適用が義務化されました。NIST、Microsoftなどが協力して作成したSCAP（Security Content Automation Protocol）のチェックリストを使用することで、Windows Vistaなどのデスクトップ環境におけるセキュリティ設定の自動化と標準化が進められています。 また、MyJVNバージョンチェッカやMyJVNセキュリティ設定チェッカーといったツールは、利用者のPCにインストールされているソフトウェア製品のバージョンや設定を自動チェックするもので、国内における脆弱性対策情報データベースとの連携も図られています。これらの自動化ツールは、手作業による設定から自動化への移行を促進し、セキュリティ管理の効率化に大きく貢献すると期待されています。

このセクションでは、NIST（国立標準技術研究所）が政府機関と産業界におけるクラウドコンピューティングの効果的で安全な利用を推進するための取り組みが解説されています。NISTは、技術的ガイダンスの提供と標準化の推進を通じて、クラウドコンピューティングの信頼性、マルチテナンシー、暗号化、コンプライアンスを支援しています。 NISTは、2009年10月7日時点でNIST Definition of Cloud Computing v15を公開しており、クラウドコンピューティングの定義、セキュリティに関する考慮事項、標準化への取り組みなどを示しています。 NISTの役割は、クラウド関連の標準策定と管理のためのガイドを提供することにより、連邦政府と産業界の各組織がクラウドコンピューティングの価値を最大限に引き出すことを支援することです。クラウドセキュリティの利点として、データフラグメンテーションと分散、専任セキュリティチーム、セキュリティ投資の増加、中立組織によるデータ保管、低コストの災害復旧とデータストレージソリューション、オンデマンドセキュリティ管理などが挙げられています。一方、課題としては、データ分散と各国の個人情報保護法令（EUデータ保護指令と米国セーフハーバープログラムなど）、ハッカーの標的となること、仮想OSのセキュリティ、大規模なサービス停止の可能性、クラウドコンピューティングのための暗号化ニーズなどが挙げられています。

NISTは、セキュリティが確保されたクラウド構築、アプリケーションポータビリティ、データポータビリティを可能にするための必要最小限のクラウド標準を作成することを目指しています。 このロードマップには、パフォーマンス値（稼動時間、スループット、応答時間など）、障害管理、文書化されたセキュリティ管理、ペナルティといった要素も含まれています。 具体的な事例として、2009年1月にオバマ大統領のWebサイトChange.govで国民の声を集約するために、Salesforce CRM IdeasというSaaSアプリケーションが採用されたことが挙げられています。この事例は、クラウドサービスの情報セキュリティ第３者認証のニーズの高さを示唆しており、情報セキュリティ監査が有効な手段として注目されています。 しかし、クラウドサービスの情報セキュリティ監査の方法と内容は今後の課題として残されています。 NISTのクラウド標準化のミッションは、連邦政府と産業界の各組織でクラウドコンピューティングの価値を最大限に引き出すクラウド関連の標準の策定と管理のためのガイドを提供することにあります。