NISTのリスク管理フレームワーク入門コース
記事IT・テクノロジー
どうも。細々とココナラで活動しているスガ〜です。
ココナラのブログでどこまで書けるか試していきつつ、情報セキュリティに関する話題を出していこうと思います。
できるだけ分かり易く(と思い込んでいる)内容にしていきたいと思います。読み方が分かりにくいなぁと感じたIT系の用語は、角括弧[ ]内にカタカナで読み方を付けておりますので参考にしていただければと思います。
NISTのリスク管理フレームワーク入門コース
NIST[ニスト](National Institute of Standards and Technology)のサイト内、COMPUTER SECURITY RESOURCE CENTERに、リスク管理フレームワーク(RMF)の入門コースが公開されているのを見つけました。勉強になるなぁ、と思ったので紹介します。(※掲載している図は、NISTのRMF Online Introductory Coursesのページをトリミングしたものとなります。)
URLは、こちら
csrc.nist.gov/Projects/risk-management/rmf-courses
図1 NISTのRMFオンライン入門コースのページ
RMFは、セキュリティ、プライバシー、および、サイバーサプライチェーンのリスク管理活動について、システム開発ライフサイクルに統合するプロセスを提供しているドキュメントです。システム開発ライフサイクルを7つの主要なステップ{準備(Prepare)、カテゴリー化(Categorize)、選択(Select)、実装(Implement)、評価(Assess)、認可(Authorize)、モニタリング(Monitor)}に分類してまとめています。このドキュメントは、新しいシステムだけでなく、既存システムなどのあらゆる種類のシステムと技術(IoT、制御システムなど)を対象とし、規模や業界に関係なくすべての組織で適用できるものになっています。
RMF入門コースは、リスク管理に携わる初心者向けに、サイバーセキュリティとプライバシーのリスクを管理するRMFについて、概要と関連するドキュメントについて学べるものになっています。オンデマンドで無料です。
このブログ作成時点で用意されているコースを次に示します。
RMF Introductory Course
RMFの入門コースです。(約3時間のコース)
リスク管理の初心者に、NIST SP 800-37 Revision 2に準拠した組織リスク管理方法の概要を提供してくれます。組織全体のリスク管理プログラムを確立することの重要性、組織のリスク管理に関連する情報セキュリティの法、RMFの手順、および、各手順に関連するNISTのドキュメントについて概要を説明してくれます。
図2 RMF入門コースの入り口
Security and Privacy Controls Introductory Course
セキュリティとプライバシー管理の入門コースです。(約1時間のコース)
セキュリティとプライバシー管理の包括的なカタログを提供するNIST SP 800-53について説明してくれます。NIST SP 800-53は、あらゆるタイプや規模の組織、および、あらゆるタイプのシステムに実装できるもので、システムと情報の機密性、完全性、可用性を保護し、プライバシーリスクを管理するための安全手段を提供するドキュメントです。ドキュメントで示されているカタログのセキュリティとプライバシーの管理の構造と構成を紹介し、組織全体のリスク管理プログラムの一環としてコントロールを導入するための重要な考慮事項についても説明してくれます。
図3 セキュリティとプライバシー管理の入門コース入り口
Assessing Security and Privacy Controls Introductory Course
セキュリティとプライバシー管理の評価入門コースです。(約1時間のコース)
NIST SP 800-53Aの管理評価方法論と一連の評価手順を説明してくれます。評価手順の構造と構成を紹介し、効果的な評価計画を構築および調整するための方法論と、組織全体のリスク管理プログラムの一環として評価結果を報告、分析、管理する方法についても説明してくれます。
図4 セキュリティとプライバシー管理の評価入門コースの入り口
Control Baselines Introductory Course
コントロールベースライン入門コースです。(約45分のコース)
システムと組織のセキュリティとプライバシー管理のベースラインを確立し、それらのベースラインに合わせた調整のガイダンスを提供するNIST SP 800-53Bについて説明してくれます。セキュリティおよびプライバシー制御ベースラインの構造と構成、特定のコミュニティ、テクノロジ、および、運用環境に合わせて制御ベースラインのカスタマイズを容易にするための制御オーバーレイの調整と開発に関するガイダンスを紹介してくれます。
図5 コントロールベースライン入門コースの入り口
学習の進め方
ここでは、各コースの学習の進め方について説明します。
各コース(図2~5)に青色でハッチングされた「Launch ** Introductory Course」をクリックすることで開始されます(**には、各コースの名称が入ります)。
スライドが表示されると、解説の音声が流れます。英語です。右上の「Notes」と書かれているボタンをクリックすることで、解説音声のトランスクリプトが表示されます。また、左上にあるメガネの形をしたアイコンをクリックすることでアクセシビリティ・モードに切り替わり、スライド上のテキスト、また、解説音声のトランスクリプトを取得できます。
解説音声を最後まで聞くと、次スライドに進むことができます。
図6 学習中の画面
スライドの進捗はクッキーとして保存されるので、クッキーを保存して消さないようにしていれば、同じブラウザーで途中から再開することが可能です。そのため、ちょっとした隙間時間に学習を進めるようなことができます。
スライドを最後まで進めると、図7のような受講証が表示されます。プリントアウトやキャプチャーなどして、ご自身で名前と日付を記入するものとなっています。単にコースを閲覧したことを証明するもので、資格や知識、スキルを証明するものではありません。勉強したよ~と言える程度のものです。
図7 証明書を取得できました~!
おわりに
リスク管理について基礎的なことを学ぶことができるコースだと思いました。ご興味ある方は、アクセスして学習してみていただければと思います。
情報セキュリティに関するご相談を承ります!
