SP 800-100とは
NIST SP 800-100「Information Security Handbook: A Guide for Managers」(2006年公開)は、CISO(最高情報セキュリティ責任者)やセキュリティ管理者向けの実務ハンドブックです。情報セキュリティの「マネジメント」に焦点を当て、技術的な詳細ではなく管理者が意思決定するために必要な知識を体系化しています。
公開から年数が経っていますが、セキュリティマネジメントの基本的な枠組みと考え方は現在も有効です。中小企業でCIO代行やIT責任者として活動する際のリファレンスとして価値があります。
13のマネジメント領域
| # | 領域 | 概要 |
|---|---|---|
| 1 | ガバナンス | セキュリティプログラムの組織体制、役割、報告ライン |
| 2 | システム開発ライフサイクル | 設計・開発・運用・廃棄の各段階でのセキュリティ統合 |
| 3 | 意識向上・研修 | 従業員のセキュリティ意識向上プログラム |
| 4 | 資本計画・投資管理 | セキュリティ投資の予算策定・ROI評価 |
| 5 | 相互接続 | 外部組織とのシステム相互接続に関するセキュリティ |
| 6 | パフォーマンス測定 | セキュリティプログラムの有効性を測定する指標 |
| 7 | セキュリティ計画 | システムセキュリティ計画書の策定と維持 |
| 8 | 情報技術のセキュリティサービス | 暗号化、認証、アクセス制御等のセキュリティサービス |
| 9 | インシデント対応 | インシデントの検知・対応・復旧の体制構築 |
| 10 | リスク管理 | 脅威・脆弱性の評価とリスクベースの意思決定 |
| 11 | 認証・認定 | システムのセキュリティ評価と運用認可 |
| 12 | 構成管理・パッチ管理 | システム構成の管理と脆弱性パッチの適用 |
| 13 | 事業継続計画 | 災害・障害からのIT環境の復旧計画 |
ガバナンスとリスク管理
SP 800-100が特に強調しているのは、セキュリティは技術部門だけの問題ではなく、経営レベルのガバナンスが不可欠という点です。
- セキュリティプログラムの責任者:CISOまたは同等の役職を設置し、経営層への直接報告ラインを確保
- 予算の確保:IT予算の10〜15%をセキュリティに割り当てることが推奨
- パフォーマンス測定:セキュリティの有効性を「インシデント件数」「パッチ適用率」「研修受講率」等の指標で定量的に評価
まとめ
SP 800-100は「セキュリティマネジメントの全体マップ」です。13のマネジメント領域を一覧でき、管理者が何を意思決定すべきかを把握できます。セキュリティ投資の計画や組織体制の設計を行う際のフレームワークとして活用しましょう。