米国標準技術局(NIST) が企業のサイバーセキュリティプログラムの測定と改善に関するガイダンスを策定
2024/02/07
米国標準技術局(NIST)は、情報セキュリティ測定プログラムのガイダンスを改訂。
NIST Special Publication (SP) 800-55 Revision 2: Measurement Guide for Information Security(NIST特別刊行物(SP) 800-55 改訂2版:情報セキュリティ測定ガイド)」は、効果的な情報セキュリティ測定プログラムを開発するためのガイダンスと、組織のパフォーマンス目標を満たす情報セキュリティ対策を開発するための柔軟なアプローチを規定する2巻の文書である。NISTは、2024年3月18日までにこの最初のパブリックドラフトに対するパブリックコメントを募集している。
本書は、NISTのサイバーセキュリティフレームワークやリスクマネジメントフレームワークなど、あらゆるリスクマネジメントフレームワークと併用できるように設計されている。改訂にあたったチームは、この新しいガイダンスの草案を、一般からの要望や、草案作成前の意見募集からのフィードバックに応えて作成。そのフィードバックの多くは、セキュリティ関連データの利用可能性の増加と、このデータをどのように有効活用するかについての不確実性を挙げていた。
この2冊は、組織内の異なる読者を対象としている。1冊目は、主に情報セキュリティの専門家向けに書かれたもので、組織が、すでに実施されているセキュリティの妥当性を判断するために、どのように優先順位を付け、具体的な対策を選択し、評価するかについてのガイダンスを提供している。2つ目は、主にC-suiteを対象としており、組織が情報セキュリティ測定プログラムをどのように策定できるかを概説し、それを長期的に実施するための多段階のワークフローを提供している。
執筆にあたった著者らは、状況によっては定性的な記述も適切であり、組織によっては定性的なアプローチと定量的なアプローチを混合して使用したい場合もあることなどを指摘している。
NISTは、査読者への注意事項の情報セキュリティ測定に関心のある人々が、専門知識を共有し、知識体系とリソースを洗練させ、成長と改善の機会を特定するために協力するための”コミュニティ・オブ・インタレスト(COI)”を築くことを提案している。
シェア
ツイート
noteで書く
