SP 800-37とは
NIST SP 800-37 Rev.2「Risk Management Framework for Information Systems and Organizations」(2018年公開)は、情報システムのリスク管理を体系的に実施するためのフレームワーク(RMF)を定義した文書です。
RMFは米国連邦政府のシステムに対するセキュリティ認可(ATO: Authority to Operate)のプロセスを規定するものですが、その構造化されたアプローチは民間企業のセキュリティマネジメントにも広く応用されています。Rev.2では「準備(Prepare)」ステップが新たに追加され、7ステップ構成になりました。
RMFの7ステップ
| ステップ | 名称 | 概要 | 関連SP |
|---|---|---|---|
| 1 | Prepare(準備) | RMF実施の前提条件を整備。組織のリスク管理戦略、役割の定義 | SP 800-39 |
| 2 | Categorize(分類) | 情報システムをセキュリティ影響度(低/中/高)で分類 | FIPS 199 |
| 3 | Select(選定) | 分類に基づき、適用するセキュリティ管理策を選定 | SP 800-53 |
| 4 | Implement(実装) | 選定した管理策をシステムに実装 | SP 800-53 |
| 5 | Assess(評価) | 実装した管理策が適切に機能しているか評価 | SP 800-53A |
| 6 | Authorize(認可) | リスクを受容し、システムの運用を認可(ATO発行) | — |
| 7 | Monitor(監視) | 継続的に管理策の有効性を監視し、リスク状況を更新 | SP 800-137 |
💡 RMFは「一度きり」ではない
RMFは7ステップのサイクルであり、認可(ATO)を取得して終わりではありません。Step 7の「監視」で脅威環境や管理策の状況変化を継続的に追跡し、必要に応じてStep 2〜6を反復します。
他のSPとの関係
| RMFステップ | 参照すべきSP | 内容 |
|---|---|---|
| 準備・分類 | SP 800-39, FIPS 199 | 組織レベルのリスク管理戦略、システム分類基準 |
| 選定・実装 | SP 800-53 Rev.5 | 20ファミリー・1,000以上の管理策カタログから選定 |
| 評価 | SP 800-53A Rev.5 | 管理策の評価手順・テスト方法 |
| リスク評価 | SP 800-30 Rev.1 | 脅威・脆弱性の特定、リスクレベルの算出 |
まとめ
SP 800-37のRMFは「準備→分類→選定→実装→評価→認可→監視」の7ステップでシステムのリスク管理をサイクル化するフレームワークです。SP 800-53(管理策)、SP 800-30(リスク評価)、SP 800-53A(評価手順)と組み合わせて運用します。