SP 800-12とは
NIST SP 800-12 Rev.1「An Introduction to Information Security」(2017年公開)は、情報セキュリティの基本概念を体系的に学ぶための入門ガイドラインです。NISTの他のSP 800シリーズを読み解くための「教科書」的な位置づけであり、セキュリティ担当者が最初に読むべき文書として推奨されています。
SP 800-53(セキュリティ管理策)やSP 800-37(リスク管理フレームワーク)は実務向けの詳細な文書ですが、SP 800-12はそれらの前提知識を整理した概論です。
8つのセキュリティ原則
SP 800-12は情報セキュリティの基盤となる8つの原則を示しています。
| # | 原則 | 内容 |
|---|---|---|
| 1 | セキュリティは組織のミッションを支援する | セキュリティはビジネス目標の達成を支えるためにある。制約ではなく「推進力」 |
| 2 | セキュリティは経営層の責任 | セキュリティの最終責任は経営層にある。IT部門だけの問題ではない |
| 3 | セキュリティはコスト効率を考慮すべき | リスクに見合った投資を行う。過剰な対策も不足も避ける |
| 4 | セキュリティの責任は明確に | 役割・責任を明確に割り当て、アカウンタビリティを確保する |
| 5 | セキュリティにはライフサイクル全体の視点が必要 | システムの企画・設計・運用・廃棄のすべての段階でセキュリティを考慮 |
| 6 | セキュリティは定期的に評価・改善する | 脅威は変化するため、継続的なモニタリングと改善が必要 |
| 7 | セキュリティは社会的要因に制約される | 法律、倫理、プライバシーの枠内でセキュリティを実施する |
| 8 | セキュリティは統合的なアプローチが必要 | 技術だけでなく、人・プロセス・物理的対策を組み合わせる |
セキュリティプログラムの構成
SP 800-12は、組織全体の情報セキュリティプログラムを構築するための要素を整理しています。
- セキュリティポリシー:組織の情報セキュリティに関する基本方針・規程
- リスク管理:脅威と脆弱性を特定し、リスクに基づいた対策を実施(→ SP 800-30、SP 800-39で詳述)
- セキュリティ計画:システムごとのセキュリティ計画書の策定(→ SP 800-37で詳述)
- セキュリティ教育・意識向上:従業員へのセキュリティ教育・訓練プログラム
- インシデント対応:セキュリティインシデントの検知・対応・復旧(→ SP 800-61で詳述)
- 事業継続計画:ITシステムの障害や災害からの復旧計画(→ SP 800-34で詳述)
管理策・運用策・技術策
SP 800-12はセキュリティ管理策(コントロール)を3つのカテゴリに分類しています。
| カテゴリ | 内容 | 例 |
|---|---|---|
| 管理的管理策 | ポリシー、手続き、リスク評価、セキュリティ計画 | セキュリティポリシーの策定、リスクアセスメントの実施 |
| 運用的管理策 | 人が実行する対策。教育、物理セキュリティ、インシデント対応 | セキュリティ研修、入退室管理、バックアップ運用 |
| 技術的管理策 | システムで実施する対策。アクセス制御、暗号化、監査ログ | MFA、ファイアウォール、IDS/IPS、暗号化 |
まとめ
SP 800-12はNISTセキュリティガイドラインの「入口」です。8つのセキュリティ原則と管理策の3分類を理解した上で、リスク管理(SP 800-30/39)、管理フレームワーク(SP 800-37)、具体的な管理策(SP 800-53)へと学びを深めていくのが効果的です。