2015年6月28日日曜日

米国サイバーセキュリティ対策の転換点

FISMA(連邦情報セキュリティマネジメント法)

米国の情報システムセキュリティ対策(サイバーセキュリティ対策は)、2001年9月11日にアメリカ合衆国で発生した、米国同時多発テロ事件(9.11)の以前と以後では大きく変貌しました。もちろん、2001年以前から情報セキュリティ対策に関しての規格等の策定を行っていたのですが、9.11以後に質と量を伴い加速しました。

これは米国政府がFISMA(FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)と呼ばれる法律を策定し、連邦政府機関とその納入業者に情報セキュリティを順守することを義務づけたためです。この法律にしたがいNIST(米国国立標準技術研究所: National Institute of Standards and Technology)が情報セキュリティに関連する様々な標準規格(FIPS)、ガイドライン(SP800シリーズ)の策定を行いました。
“Each federal agency shall develop, document, and implement an agency-wide information security program to provide information security for the information and information systems that support the operations and assets of the agency, including those provided or managed by another agency, contractor, or other source…” --- Federal Information Security Management Act of 2002 (Title III of the E-Government Act)

FISMA導入プロジェクト

NISTでは2003年1月に「FISMA導入プロジェクト (The FISMA Implementation Project)」 を立ち上げ、情報システムのセキュリティを強化し安全に運用するための様々な規格やガイドラインを策定
目的:連邦政府の情報セキュリティ強化に寄与する(FISMAへの準拠)
フェーズI :FISMA関連のセキュリティ規格(FIPS: Federal Information Processing Standardization)およびガイドライン(SP-800シリーズ(Special Publication-800))の開発・策定、FIPS, NIST SP800シリーズ2007年8月おいてFISMA導入プロジェクト関連文書は、ほぼ策定済み。(2003-2007)
フェーズII : セキュリティ評価機関を認定するプログラムの開発(2007-2009)
ISAP, SCAP
フェーズIII: セキュリティ評価ツール検証プログラムの開発(2007-2009)
(フェーズIIIは,単独のフェーズとしてではなく,フェーズIIに組み込まれ、既存のIT製品のテスト,評価や検証プログラムを利用します)

FISMA(Federal Information Security Management Act):
http://www.dhs.gov/federal-information-security-management-act-fisma
NIST:
http://www.nist.gov/
NIST FIPS:
http://csrc.nist.gov/publications/PubsFIPS.html
NIST SP800シリーズ:
http://csrc.nist.gov/publications/PubsSPs.html

IPA 独立行政法人情報処理推進機構へのリンク
情報セキュリティ向上のための米国の取り組み


---