FISMAコンプライアンスの歴史と要件

FISMAは連邦機関にとって必要不可欠ですが、連邦機関の業務を行う場合、あなたのビジネスにも影響を与える可能性があります。

FISMAとは何の略ですか？ FISMAは、2002年に議会で可決され、2014年に改正された連邦情報セキュリティ管理法の略です。この法律は、連邦機関が市民の個人データを保護するために特定のセキュリティ基準を満たすことを要求しています。

FISMAとは何ですか？

2002年、議会は電子政府法を可決し、デジタル時代における政府機関の情報の取り扱い、保存、伝達を改善するための広範な法律を制定しました。具体的には、政府情報の電子管理を促進し、インターネットを利用して市民の参加を促進し、これらの機関が他の機関と協力してデジタル技術を活用する方法を改善することに焦点を当てています。

この法律の最も重要な部分（または、少なくとも最もよく知られている部分）は、連邦情報セキュリティ管理法（FISMA）です。FISMAの下では、連邦機関は「他の機関、請負業者、または他の情報源によって提供または管理されるものを含む、機関の運用および資産をサポートする情報およびシステムの情報セキュリティを提供するための機関全体のプログラムを開発、文書化、および実施すること」が求められています。

この定義は少し広範に見えるかもしれませんが、実際にはそうです。しかし、その重要性は、連邦法として初めて、機関がデジタル技術を運用の一部として活用することを期待されるだけでなく、独自の情報セキュリティシステムを構築し、機密データを保護するためのセキュリティ対策を実施することを厳格に遵守する必要があると明示的に述べたことにあります。

2002年に可決された元の法律は、ITの近代化に向けた公式の連邦努力の監視を実施しました。技術インフラストラクチャに対する管轄権は、管理予算局（OMB）に完全に置かれました。FISMAの下では、サイバーセキュリティ規制は、政府機関や請負業者を指導する仕様と更新を発行する国家標準技術研究所（NIST）によって設定されます。これらの仕様は、FedRAMP、CMMC、およびリスク管理フレームワークのような広範なセキュリティフレームワークを情報提供します。

2014年、議会はより高度な脅威と技術を考慮して法律を改正しました。2014年の更新では、いくつかの新しいガイドラインが追加されました：

• 国土安全保障省の役割を非国家安全保障連邦行政部門システムのセキュリティポリシーを管理する上での役割を明文化
• 連邦セキュリティ機関とそのITセキュリティ慣行の監視に関するOMBの権限を明確化
• 非効率的な報告に関する法律のセクションの変更

FISMAコンプライアンスとは何ですか？

組織がFISMAコンプライアンスを達成するために取ることができる具体的なステップがあります：

• 国家標準技術研究所特別出版物に記載されたコントロールを使用する: FISMAは、機関のインフラストラクチャまたはパートナー請負業者のインフラストラクチャ内でのセキュリティコントロールの実施を前提としています。主要な文書には、NIST SP 800-53（連邦機関のセキュリティコントロール）、NIST SP 800-171（制御されていない分類情報の保護）、NIST SP 800-37（リスク管理フレームワーク）、FIPS 199（連邦システムの分類基準）、およびFIPS 200（連邦システムの最低セキュリティ要件）が含まれます。
• ITシステムのインベントリ: FISMAコンプライアンスの核心は、機関または請負業者が使用するすべてのITシステムのカタログを作成することです。これには、統合された技術とベンダー技術が含まれます。
• システムのリスクを分類する: FIPS 199に従い、機関や企業はシステムをFIPS 199のカテゴリに沿って分類することが期待されており、システムセキュリティ要件を低、中、高の影響度に基づいてランク付けします。各レベルは通常、機関に異なる要件を課します。
• システムセキュリティ計画の作成: セキュリティ計画は、セキュリティコントロールとメンテナンス、アップグレード、評価のアプローチをマッピングするための包括的な計画です。CMMCやFedRAMPのようなフレームワークには、FISMA規制を満たすためのセキュリティ計画要件が含まれています。
• 認証と認定: OMBによって管理される認定プロセスを通じてFISMAコンプライアンスを追求します。OMBは3年ごとに新しい認証評価を要求します。

これらの要件に加えて、NISTはコンプライアンスを追求する組織がリスク管理フレームワークの下で概説された7ステッププロセスに従うことを提案しています。これらのステップは次のとおりです：

• 準備: リスク管理のために、組織のリソースと優先順位をリスクの評価と文書化、リスク管理計画の準備、リスク管理プログラムの設計に合わせます。
• 分類: 組織内のすべてのITシステムをFIPS 199で定義されたカテゴリ（低、中、高）に沿って分類します。
• 選択: リスク評価に基づいてNIST 800-53から必要なコントロールを選択します（FISMAコンプライアンスを超えて必要なコントロールを含む）。
• 実施: これらのコントロールを実施し、将来の監視と最適化のために実施を文書化します。
• 評価: コントロールと実施を評価し、適切な機能を確認し、その実施の結果と成果を測定します。
• 承認: 組織のリスクプロファイルとサイバーセキュリティの姿勢を理解している上級管理者とITマネージャーによるシステム運用の承認。
• すべてのコントロールを継続的に監視し、運用やリスクの変化やアップグレードの準備を行います。

FISMAコンプライアンスの利点

FISMAコンプライアンスは政府機関にとって必須であり、FISMAコンプライアンスの利点は豊富です。FISMAが推奨するセキュリティコントロールを実施し維持することで、組織は情報システムとそれに保存されたデータを不正アクセス、改ざん、または破壊から保護することができます。

適切なセキュリティ対策が整っていることで、FISMA準拠の組織はデータが安全であるというより大きな自信を持つことができ、セキュリティを心配することなく、コア業務と使命に集中することができます。FISMAは、セキュリティプロセスを合理化し、より構造化され、繰り返し可能なプロセスを提供し、システム全体でより一貫したセキュリティコントロールを提供することで、組織をより効率的にします。最後に、コンプライアンスプロセス自体は比較的簡単で費用対効果が高いため、組織はしばしば迅速かつ容易にFISMAに準拠することができます。

FISMAとFedRAMPの違いは何ですか？

連邦リスクおよび認証管理プログラム（FedRAMP）は、政府機関に製品やサービスを提供するクラウドサービスプロバイダーを対象とした連邦サイバーセキュリティコンプライアンスフレームワークです。

FISMAと同様に、FedRAMPはコンプライアンスに必要なセキュリティコントロールを定義するためにNIST 800-53に依存しています。また、FIPS 199とFIPS 200を活用して、暗号化や暗号技術のようなセキュリティレベルと適切なセキュリティ技術を定義します。FedRAMPは時折「クラウドのためのFISMA」と呼ばれることがあります。

しかし、FedRAMPはFISMAを超えていくつかの異なる要件を導入しています。以下を含みます：

• 機関のスポンサーシップ: FedRAMPの核心は、機関自体ではなく、機関と協力するクラウドプロバイダー（ベンダー）にFISMAに似たコンプライアンス基準を適用することです。そのため、これらの要件は機関が使用するクラウド製品に適用され、これらの連邦機関は技術ニーズに基づいてFedRAMP運用認可のためにクラウドサービスプロバイダーをスポンサーする必要があります。
• 第三者評価: FedRAMPは、FISMAとは異なり、クラウドソリューションプロバイダー（CSP）が第三者評価機関を通じて定期的な監査を受けることを要求します。これらの認定されたセキュリティ企業は、CSPの規制遵守を確保するために客観的で公正なセキュリティ評価を提供します。
• ガバナンス: FedRAMPとFISMAはどちらもOMBの管轄下にあります。しかし、FedRAMPはそのガバナンス構造の一部としてより多くの組織を含んでいます。FedRAMPプロジェクト管理オフィスと共同認可委員会には、OMB、国土安全保障省（DHS）、NIST、国防総省を含むいくつかの機関の代表が含まれています。

したがって、FedRAMPは、政府市場で急速に拡大しているクラウド製品とサービスがFISMA要件を遵守することを確保する上で重要な役割を果たしています。

FISMAとNISTのサイバーセキュリティフレームワークの統合

組織は、NISTのサイバーセキュリティフレームワークを利用して、FISMAを統合することができます。FISMAは、連邦機関に包括的なサイバーセキュリティプログラムを確立、実施、管理する方法についてのガイダンスを提供します。FISMAの重要な要素であるリスク管理、情報セキュリティ、セキュリティテストと評価、報告要件を組み込むことで、組織は独自のビジネス要件に合った包括的なサイバーセキュリティプログラムを開発することができます。

次に、NISTサイバーセキュリティフレームワークを使用して、各コンポーネントの標準化されたパフォーマンス目標を提供し、セキュリティの姿勢をベンチマークし、進捗を追跡することができます。最後に、NISTサイバーセキュリティフレームワークを参照点として使用することで、組織はFISMA要件の遵守を監視することができます。この統合アプローチにより、組織はシステムとデータを悪意のある活動から保護するために必要な要件を満たすことができます。

FISMAコンプライアンス違反の罰則

FISMAコンプライアンス違反は、罰金、制裁、または刑事訴追などの厳しい罰則と結果をもたらす可能性があります。基準の違反は連邦犯罪と見なされ、連邦機関は民事罰金、刑事罰、およびその他の行政執行措置を含むさまざまな制裁を課すことができます。

罰則の可能性は、違反の重大性に応じて、正式な叱責や金銭的罰則から投獄までさまざまです。組織は、FISMA規制を遵守して、非遵守に関連する高額な罰則を回避する必要があります。さらに、FISMAコンプライアンス違反につながる問題に対処する際の過失に対して、追加の法的措置を受ける可能性があります。

FISMA基準を満たし、国家サービスに貢献する

FISMA（およびFedRAMP）のような基準の最も重要な部分は、政府機関の重要な運用情報や米国市民に関連する個人情報を取り扱う機関に高いレベルのセキュリティを提供することです。したがって、政府機関と協力することは、請負業者がそのような情報を取り扱う可能性があり、それを保護する義務があります。

Kiteworksプラットフォームは、エンタープライズグレードの機能を損なうことなくコンプライアンス基準を満たすことを可能にするクラウドベースのコンテンツ管理およびガバナンスシステムです。これには、FISMAやFedRAMPのような複雑な規制の遵守が含まれます。

Kiteworksについて詳しく知りたい方は、あなたの業務に合わせた無料デモをご依頼ください。

リスクとコンプライアンス用語集に戻る