Zenn
🔖

リスク管理フレームワーク(RMF)を学ぼう!リスクと上手に付き合う手順書

に公開
CISSP
domain1
idea

リスク管理フレームワーク(RMF)を学ぼう

皆さん、こんにちは!今回はCISSPの学習をしているとよく出てくるリスク管理フレームワーク(RMF) について自分なりにまとめた内容を記載したいと思います。

日常生活の中でも、無意識のうちに色々なリスク管理をしていますよね。「明日は雨が降りそうだから、傘を持っていこう」「この道は車が多いから、注意して渡ろう」などこれらも立派なリスク管理です。

会社や組織においても、様々なリスクが存在しますが、特にITシステムには、サイバー攻撃、システム障害、情報漏洩など、たくさんのリスクが潜んでいます。これらのリスクに対して、場当たり的に対応するのではなく、きちんと計画的かつ体系的に管理していくための「公式な手順書」があるのをご存知でしょうか?

それが、今回ご紹介するリスク管理フレームワーク(RMF: Risk Management Framework) です! 今日は、このRMFとは何か、なぜ必要なのか、そして代表的なRMFである「NIST RMF」の具体的な進め方について、一緒に学んでいきましょう!

リスク管理フレームワーク(RMF)って、そもそも何?

リスク管理フレームワーク(RMF)とは、組織が、情報システムや組織自身が抱えるリスクを、効果的かつ体系的に管理(特定、評価、対応、監視)するための一連の手順、ルール、考え方をまとめた枠組み(フレームワーク) のことです。

例えば…

  • リスクという見えない敵と戦うための公式作戦マニュアル
  • リスク管理という複雑な道のりで迷わないためのナビゲーションシステム

のようなものです。

RMFの目的は、勘や経験だけに頼るのではなく、一貫性のある、繰り返し可能な、文書化されたアプローチでリスクに向き合い、組織全体として、より賢明なリスク判断と対応ができるようにすることです。

なぜRMFが必要なの?

しっかりとしたRMFを導入し、運用することには、多くのメリットがあります。

  • 一貫性と効率性の向上: 誰が担当しても、どのシステムに対しても、ある程度標準化された手順でリスク管理を進められるため、効率が良く、品質も安定します。
  • コンプライアンス要件への対応: 多くの法律(個人情報保護法など)や業界規制では、組織に対して適切なリスク管理体制の構築・運用を求めています。RMFは、これらの要求に応えるための基盤となります。
  • 組織内での共通認識の醸成: リスクに対する考え方や評価基準、対応方針などを組織内で統一し、関係者間のコミュニケーションを円滑にします。
  • 説明責任の遂行: なぜそのセキュリティ対策を実施したのか(あるいは実施しなかったのか)、どのようなリスク評価に基づいて判断したのかを、経営層や監査人、顧客などに対して、客観的な根拠をもって説明できるようになります。

代表的なRMFの紹介

リスク管理のためのフレームワークはいくつか存在しますが、特に有名なものを二つご紹介します。

  • NIST SP 800-37 RMF (Risk Management Framework):
    • アメリカの国立標準技術研究所(NIST)が開発したフレームワークです。元々は米国連邦政府機関向けに作られましたが、その網羅性や具体性から、現在では世界中の民間企業でも情報システムのセキュリティリスク管理の標準的な手法として広く参照されています。今回は、CISSPでもよく取り上げられるこのNIST RMFを中心に詳しく見ていきます!
  • ISO 31000:
    • リスクマネジメントに関する国際規格です。ITセキュリティに特化しているわけではなく、財務リスク、事業継続リスク、環境リスクなど、組織が直面するあらゆる種類のリスクに適用可能な、リスクマネジメントの原則と一般的なガイドラインを提供しています。継続的な改善を重視する点が特徴です。

(その他にも、企業全体の広範なリスク管理を対象とした COSO ERM というフレームワークなどもあります。)

NIST RMF の6ステップを見てみよう!

ここからは、本題の情報システムセキュリティの分野で非常に重要な NIST RMF (SP 800-37 Rev. 2) の具体的な進め方を見ていきましょう。このフレームワークは、以下の6つの主要なステップで構成されています。
(※厳密には、最新版のRev. 2では「監視(Monitor)」は7番目のステップではなく、他の全てのステップと連携する継続的な活動として位置づけられていますが、流れとして理解するために含めて説明します。)

ステップ1: 準備 (Prepare) 🛠️

  • 目的: 本格的なリスク管理活動に入る前の準備段階です。組織全体の方針と、個別のシステム、両方のレベルで準備を行います。
  • 主な活動: 組織としてリスクをどう捉え、どう管理していくかの全体戦略を決めます。組織共通で利用するセキュリティ対策(例えば、全社共通の認証システムなど)を特定します。どのシステムにRMFを適用していくか計画を立てます。

ステップ2: 分類 (Categorize) 🏷️

  • 目的: 管理対象となる情報システムと、それが扱う情報重要度をランク付けします。もしその情報が漏洩・改ざんされたり、システムが停止したりした場合に、組織や個人にどれくらい深刻な影響(損害) が出るかを評価し、「高」「中」「低」などのカテゴリに分類します。
  • 具体例: 顧客のクレジットカード情報や個人の医療情報などを扱うシステムは影響度が「高」、社内向けの掲示板システムは「低」、一般的な業務システムは「中」といった具合に分類します。

ステップ3: 選択 (Select) ✅

  • 目的: ステップ2で決定したシステムの分類(影響度)に基づいて、そのシステムに必要となるセキュリティ管理策(セキュリティ対策の具体的な項目)を選択します。NISTでは、SP 800-53という膨大なセキュリティ管理策のカタログを用意しており、影響度に応じた推奨セット(ベースライン)が示されています。これを元に、自社の状況に合わせて管理策を追加・削除・修正(テーラリング)します。
  • 具体例: 影響度「高」と分類されたシステムには、厳格なアクセス制御、強力な暗号化、頻繁な監査ログのレビューなど、多くの管理策が必要になります。一方、「低」のシステムであれば、基本的な対策に絞ることができます。

ステップ4: 実装 (Implement) ⚙️

  • 目的: ステップ3で選択(およびテーラリング)したセキュリティ管理策を、実際に情報システムに導入・設定します。そして、どのように実装したかを文書化します。
  • 具体例: ファイアウォールのルールを設定する、OSやソフトウェアにセキュリティパッチを適用する、データの暗号化機能を有効にする、アクセス権限を設定する、セキュリティ手順書を作成・配備するなど、具体的な対策作業を行います。

ステップ5: 評価 (Assess) 🧐

  • 目的: ステップ4で実装したセキュリティ管理策が、設計通りに正しく実装されているか、そして意図した通りに効果的に機能しているかを、独立した視点からテスト・検査・レビューします。
  • 具体例: 脆弱性スキャンツールでシステムを検査する、設定ファイルの内容を目視で確認する、実際に攻撃を試みるペネトレーションテストを行う、運用担当者にインタビューして手順が守られているか確認するなど、様々な方法で評価します。

ステップ6: 認可 (Authorize) 👍

  • 目的: ステップ5の評価結果を踏まえて、その情報システムを運用することに伴うリスク(残存リスク)が、組織として許容できるレベルにあるかどうかを、最終的な責任者(認可権者、Authorizing Official)が判断し、システムの運用を正式に「認可(承認)」 するプロセスです。
  • 具体例: 評価レポートやリスク分析結果を確認し、重要なリスクが残っていないか、あるいは残っていても対策が計画されているかなどを考慮した上で、システム運用責任者(例えば、会社の役員など)が「このリスクレベルであれば運用を開始して良い」と判断し、署名などを行います。もしリスクが高すぎると判断されれば、追加の対策が求められたり、運用開始が見送られたりすることもあります。

継続的活動: 監視 (Monitor) 👀

  • 目的: システムの運用が認可された後も、セキュリティの状態を継続的に見守り続ける活動です。システムの変更、新たな脅威や脆弱性の出現、組織の方針変更などに合わせて、リスクは常に変化するため、定期的にセキュリティ状況を確認し、必要に応じて上記のステップ(特に評価、選択、実装など)を再度実施して、リスク管理を維持・改善していきます。
  • 具体例: セキュリティログを常時監視する、定期的に脆弱性スキャンを実施する、セキュリティインシデントが発生したら対応し原因を分析する、年に一度セキュリティ管理策の有効性をレビューするなど、継続的な活動が求められます。

この一連のステップを繰り返すことで、組織は情報システムのリスクを効果的に管理し続けることができます。

RMFを使うメリットは?

NIST RMFのような体系的なフレームワークを活用することには、以下のようなメリットがあります。

  • リスク管理のプロセスが明確になり、効率化・標準化が進む。
  • 客観的な情報(分類結果、評価結果など)に基づいてリスクに関する意思決定ができるようになる。
  • 実施しているセキュリティ対策の有効性を具体的に示せるようになる。
  • 法律や規制で求められるコンプライアンス要件への対応がしやすくなる。
  • 組織全体でリスクに対する意識(リスクカルチャー) が高まり、より安全な組織運営につながる。

COBITとの関係は?

もしよく学習をしている方々COBITとの関係についても気になったり違いがわからなくなる人も多いのではないでしょうか。

  • COBIT: ITガバナンス全体の大きな枠組みを提供し、「何を達成すべきか(目標)」を示します。(戦略レベル)
  • NIST RMF: 特に情報システムのセキュリティリスク管理に焦点を当て、「どのようにリスク管理を進めるか(具体的な手順)」を提供します。(戦術・運用レベル)

つまり、COBITで設定されたITガバナンスの目標(例えば、リスク管理に関する目標やセキュリティに関する目標)を達成するための、具体的な実行プロセスとしてNIST RMFを活用する、という関係性と捉えることができます。両者は互いに補完し合う関係にあるのです。

COBITなんて初めて聞いたという人もいるかもですがこちらについても別の記事で詳しく説明する予定です!

まとめ

今回は、リスクと上手に付き合うための「リスク管理フレームワーク(RMF)」、特に情報システムセキュリティ分野で重要な「NIST RMF」について解説しました。

  • RMFは、リスクを体系的に管理するための手順書やルールブックです。
  • NIST RMFは、準備 → 分類 → 選択 → 実装 → 評価 → 認可 というステップで進められ、継続的な監視によって維持されます。
  • RMFを活用することで、リスク管理が効率的かつ効果的になり、コンプライアンス対応にも役立ちます。

また、すでに色々調べたり、学習している方々はおそらくこれまで学んできた具体的なセキュリティ対策や管理手法(アクセス制御、暗号化、パッチ管理、脆弱性診断、KRIによる監視など)も、このRMFというプロセスの中で、いつ、どのように計画され、実行され、評価されるのかが見えてきますね!

組織にとってリスクは避けられないものですが、RMFという指針があれば、それに適切に対処し、組織の目標達成を目指すことができます。ぜひ、この考え方を理解しておきましょう。

それでは、本日はここまでです。また次回の学びでお会いしましょう!

Discussion