リスクマネジメントフレームワークとは
リスクマネジメントフレームワーク(RMF、Risk Management Framework)とは、組織や情報システムにおける情報セキュリティリスクの管理方法を示したものです。NIST(米国国立標準技術研究所)からSP800-37 Revision 2が公開されています。
Revision 1:連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド-セキュリティライフサイクルによるアプローチでは、米国連邦政府の情報システムを対象とします。システム開発や運用保守のプロセスにおけるセキュリティリスクの評価・対策・実装・監査を行うためのガイドラインです。
Revision 2:情報システムおよび組織のためのリスクマネジメントフレームワーク-セキュリティとプライバシーのためのシステムライフサイクルアプローチでは、対象が米国連邦政府の情報システムだけではなく、すべての組織を対象とします。ここでは、プライバシーリスクも明示的に取り扱います。
リスクマネジメントのプロセス
ステップ1 リスクマネジメントの準備(PREPARE)
組織のリスクマネジメント戦略を策定する。組織全体に対するリスク評価を行い、別々のシステムに対しても共通可能な管理策を特定する。
ステップ2 情報システムの分類(CATEGORIZE)
システムに求められるセキュリティ分類を機密性、完全性、可用性の観点でそれぞれ高、中、低に決定する。
ステップ3 セキュリティ管理策の選択(SELECT)
セキュリティ管理策を、ベースラインの中から選択し、必要な場合はその内容を調整します。
ステップ4 セキュリティ管理策の実装(IMPLEMENT)
対象システムのセキュリティ管理策を実装します。
ステップ5 セキュリティ管理策のアセスメント(ASSESS)
対象システムのセキュリティ管理策が、実際にセキュリティの要件を満たしているかを評価する。
ステップ6 情報システムの運用認可(AUTHORIZE)
運用責任者に、対象システムの運用認可を申請し、リスクが受容可能であれば運用が認可されます。
ステップ7 セキュリティ管理策の監視(MONITOR)
対象システムのセキュリティ管理策の有効性を継続的に評価します。運用認可の申請と認可も継続的に行われます。また、対象システムを廃止する段階では、廃止に必要な作業を行います。
