政府機関のセキュリティ管理 第1回「米国情報管理法(FISMA)」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

政府機関のセキュリティ管理 第1回「米国情報管理法(FISMA)」

特集 特集

検察庁における情報改ざん、警察機密情報の漏えい、海上保安庁のビデオ流出、など、このところ米国を含め政府機関における情報セキュリティの重要問題が相次で発生しており、電子化が急速に進展する中、重要情報への脅威が増すばかりです。さらに一旦情報が漏えいすると、瞬時にインターネットを通じて全世界に流れ、回収・消去すら不可能になります。特に個人情報や公的な戦略情報、国家機密情報となると一組織に止まらず広範に甚大な影響を与え、国家的な安全保障問題にも発展しかねません。本コラムでは、情報セキュリティの先進国でもある米国政府機関の施策について鳥瞰していきます。

1. セキュリティ統一基準

(1)米国情報管理法(FISMA)

2001年9月11日のテロ以降、米国政府のセキュリティに関する取組は大きく変わりました。連邦情報セキュリティ管理法(Federal Information Security Management Act:FISMA)(参考1)は、連邦政府が2002年12月に電子政府法の一環として成立させたもので、各省庁は年に一度、情報セキュリティを見直し、行政管理予算局(OMB)にセキュリティ報告書を提出するように義務付けられたものです。この法律の対象となるのは、連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先です。

FISMAでは、この他、(a)新システムにおけるセキュリティ計画についての明記、(b)セキュリティ監査の実施、(c)既存ITシステムについてセキュリティについての認証取得、(d)標準技術局(NIST)におけるITの適切なセキュリティレベルを定めるガイドラインの作成、(e)各省庁における情報セキュリティ責任者(Chief Security Officer、CSO)の設置、などを求めています。FISMAにより2003年12月には、NISTがセキュリティガイドラインのドラフトを発表しています。

参考1:FISMA
http://www.ipa.go.jp/security/publications/nist/fisma.html

(2)連邦コンピュータセキュリティの評価(成績表)

2003年12月FISMAに基づいて連邦コンピュータセキュリティ成績表(Computer Security Report Card)が公表されました。成績表によると、当初、政府機関におけるセキュリティ対策の遅れが目立っていましたが(参考2)、2007年度になると政府全体の総合評価は、改善されてきているようです(参考3)。司法省と環境保護庁を含む4つの機関は「A+」で、「A」もしくは「A-」の機関も4つありました。一方、原子力規制委員会や国防省、農務省、労働省、退役軍人省など、9つの機関が「F(不可)」の評価が下されています。 この成績表は、各省庁が行政管理予算局(OMB)に提出した報告書に基づき、(a)IT資産の棚卸し実施の有無、(b)セキュリティインシデントの対応手順等について決められているか、(c)データへのアクセス制限などのセキュリティポリシーが構築されているか、(d)脆弱性を改善するための手順が準備されているか、(e)職員へのセキュリティ研修、などの観点から評価しています。

参考2:連邦コンピュータセキュリティ成績表
FEDERAL COMPUTER SECURITY REPORT CARD(December9,2003)
GOVERNMENTWIDE GRAD 2003:D
csrc


参考3:政府全体の情報セキュリティレベルが向上したFISMAスコアカード
http://e-public.nttdata.co.jp/f/repo/551_m080529/m080529.aspx#1

(林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×