FISMA

FISMA（Federal Information Security Modernization Act：連邦情報セキュリティ近代化法）とは、米国連邦政府機関に対して情報セキュリティプログラムの策定・実施・維持を義務付ける連邦法です。2002年に制定されたFISMA（Federal Information Security Management Act）を2014年に近代化したもので、サイバー脅威の進化に対応するため、継続的モニタリングやリアルタイムなリスク管理を重視する内容に改正されました。

FISMAは、OMB（行政管理予算局）が政策の策定と監督を行い、NIST（米国国立標準技術研究所）がセキュリティ基準やガイドラインを策定し、DHS（国土安全保障省）が運用面での支援を行うという三層構造で運用されています。各連邦機関はNISTが策定したFIPS（連邦情報処理規格）やSP 800シリーズに基づいてセキュリティ対策を実施し、その有効性を定期的に報告する義務があります。

FISMAの遵守は、連邦政府機関だけでなく、連邦政府と契約する民間企業やクラウドサービスプロバイダーにも求められます。特にFedRAMP（Federal Risk and Authorization Management Program）は、FISMA準拠を前提としたクラウドサービスの認証プログラムであり、連邦機関にクラウドサービスを提供するためにはFedRAMP認証の取得が必要です。FISMAはサイバーセキュリティの法的枠組みとして、米国の情報セキュリティ政策の根幹を成しています。

NIST SP 800-53とセキュリティコントロール

NIST SP 800-53は、FISMAの実施において最も重要なガイドラインであり、連邦情報システムに適用すべきセキュリティコントロール（管理策）を体系的に定義しています。最新版のRevision 5では、アクセス制御（AC）、監査と説明責任（AU）、構成管理（CM）、インシデント対応（IR）、リスクアセスメント（RA）など、20のコントロールファミリーに分類された数百のセキュリティコントロールが規定されています。

各コントロールには低（Low）・中（Moderate）・高（High）の3段階のベースラインが設定されており、システムが処理する情報の機密性・完全性・可用性への影響度に基づいて適切なベースラインを選択します。連邦機関はFIPS 199に従ってシステムのセキュリティカテゴリを分類し、対応するコントロールベースラインを実装する必要があります。

ATO（Authority to Operate）プロセス

ATO（運用認可）は、情報システムが適切なセキュリティ対策を実装していることを公式に認証し、運用を許可するプロセスです。ATOを取得するためには、セキュリティカテゴリ分類 → コントロール選択 → コントロール実装 → セキュリティアセスメント → 認可決定という一連のプロセスを経る必要があります。

認可権限者（Authorizing Official：AO）がセキュリティアセスメントの結果と残存リスクを評価し、組織のリスク許容度に基づいてATOの発行を判断します。ATOは通常3年間の有効期間が設定されますが、継続的モニタリングにより有効期間中もセキュリティ状態が維持されていることを確認する必要があります。

継続的モニタリング（Continuous Monitoring）

2014年のFISMA改正では、従来の3年ごとのペーパーベースのセキュリティ認証から、継続的モニタリングへのパラダイムシフトが行われました。NIST SP 800-137に基づく継続的モニタリングプログラムでは、セキュリティコントロールの有効性をリアルタイムまたは定期的に評価し、組織のセキュリティ状態を常時把握することが求められます。

CDM（Continuous Diagnostics and Mitigation）プログラムは、DHSが主導する継続的モニタリングの実装イニシアチブであり、連邦機関のネットワーク資産、脆弱性、設定状態を自動的に監視するツールとサービスを提供しています。CDMにより、各機関はリアルタイムでセキュリティリスクを可視化し、優先的に対処すべき脆弱性を特定できます。

FedRAMPとクラウドセキュリティ

FedRAMPは、クラウドサービスプロバイダー（CSP）がFISMA準拠のセキュリティ要件を満たしていることを認証するプログラムです。CSPはNIST SP 800-53のコントロールに基づくセキュリティ対策を実装し、3PAO（Third Party Assessment Organization：第三者評価機関）による独立した評価を受ける必要があります。

FedRAMPにはJAB（Joint Authorization Board）認可とAgency認可の2つの認可パスがあります。JAB認可はより厳格な審査を経て政府全体で再利用可能な認証を取得するもので、Agency認可は特定の連邦機関がスポンサーとなって認証を取得するものです。FedRAMPの「Do Once, Use Many」の原則により、一度取得した認証は他の機関でも再利用でき、重複した評価作業を削減できます。

OMBの監督とFISMAレポーティング

OMB（行政管理予算局）は、FISMAに基づく連邦政府全体のセキュリティ政策を策定し、各機関のセキュリティプログラムの有効性を監督する役割を担います。OMBは毎年、各連邦機関のCIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）に対して、セキュリティプログラムの状況報告を求めます。

各機関は、セキュリティインシデントの発生状況、セキュリティコントロールの実装状況、リスクアセスメントの結果、人材育成の取り組みなどをCyberScopeシステムを通じて報告します。OMBはこれらの報告を集約し、連邦政府全体のサイバーセキュリティの状態を評価するとともに、予算配分やポリシーの見直しに活用します。

• 01
  FIPS 199に基づくシステム分類の適切な実施：情報システムが処理・保存・伝送するデータの機密性・完全性・可用性への影響度を正確に評価し、適切なセキュリティカテゴリ（Low/Moderate/High）を決定してください。過小評価はセキュリティ対策の不足を招き、過大評価は不必要なコストを発生させます。
• 02
  NIST SP 800-53コントロールの体系的な実装：システムのセキュリティカテゴリに対応するコントロールベースラインを出発点として、組織固有のリスクに基づいたテーラリング（調整）を行ってください。コントロールの実装状況はSSP（System Security Plan）に文書化し、常に最新の状態を維持しましょう。
• 03
  継続的モニタリングプログラムの確立：セキュリティコントロールの有効性を定期的に評価するための継続的モニタリング戦略を策定してください。自動化ツールを活用してリアルタイムの脆弱性スキャン、構成管理、ログ分析を実施し、セキュリティ状態の可視化と迅速な異常検知を実現しましょう。
• 04
  POA&M（Plan of Action and Milestones）の管理：セキュリティアセスメントで検出された脆弱性や不備に対して、是正計画（POA&M）を作成し、責任者、対応期限、必要なリソースを明確にしてください。POA&Mの進捗状況を定期的にレビューし、認可権限者に報告しましょう。
• 05
  インシデント対応計画の整備と訓練：NIST SP 800-61に基づくインシデント対応計画を策定し、US-CERTへの報告義務を含むインシデント対応手順を確立してください。定期的なインシデント対応訓練やテーブルトップ演習を実施し、対応能力を維持・向上させましょう。
• 06
  セキュリティ意識向上と専門人材の育成：全職員を対象としたセキュリティ意識向上トレーニングを年次で実施し、役割に応じた専門トレーニングを提供してください。FISMA報告で求められるサイバーセキュリティ人材の確保状況を把握し、スキルギャップの解消に取り組みましょう。