SP 800-53Aとは
NIST SP 800-53A Rev.5「Assessing Security and Privacy Controls in Information Systems and Organizations」(2022年公開)は、SP 800-53で選定・実装した管理策が適切に機能しているかを評価するための手順書です。RMF(SP 800-37)のStep 5「Assess(評価)」に該当し、管理策の有効性を客観的に確認するプロセスを定義しています。
3つの評価方法
| 方法 | 内容 | 具体例 |
|---|---|---|
| Examine(検査) | 文書・記録・設定を確認し、管理策が文書化・設定されているかを検証 | セキュリティポリシーの存在確認、ファイアウォールルールの設定確認、アクセス権一覧の確認 |
| Interview(インタビュー) | 担当者にヒアリングし、管理策の理解度・実施状況を確認 | 情シス担当者へのインシデント対応手順のヒアリング、従業員へのセキュリティ教育の受講状況確認 |
| Test(テスト) | 実際に操作・テストを行い、管理策が技術的に機能していることを検証 | MFAの動作テスト、バックアップからのリストアテスト、脆弱性スキャンの実施 |
各管理策に対して、どの評価方法(Examine/Interview/Test)を使い、何を確認すべきかが管理策ごとに詳細に定義されています。
評価の深さ(Depth)と範囲(Coverage)
| レベル | 深さ | 範囲 | 用途 |
|---|---|---|---|
| 基本(Basic) | 概要レベルの確認 | 代表的なサンプルを確認 | 自己評価、簡易監査 |
| 重点(Focused) | 中程度の詳細確認 | 重要な要素を重点的に確認 | 内部監査 |
| 包括(Comprehensive) | 詳細かつ網羅的な確認 | 全要素を確認 | 第三者認証、ATO取得 |
評価計画の策定
- 評価対象:評価するシステムと管理策の範囲を定義
- 評価方法:各管理策に対するExamine/Interview/Testの組み合わせ
- 評価者:内部監査チームまたは外部の評価者(第三者認証の場合)
- スケジュール:評価の実施期間、報告期限
- 成果物:SAR(Security Assessment Report / セキュリティ評価報告書)
まとめ
SP 800-53AはSP 800-53の管理策が「絵に描いた餅」になっていないかを検証するための評価手順書です。Examine(文書確認)・Interview(ヒアリング)・Test(技術テスト)の3手法で管理策の実効性を評価し、SARとして文書化します。