情報セキュリティ測定の新指針 NISTが特別刊行物の最終版を発行：セキュリティニュースアラート

NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。

[後藤大地，有限会社オングス]

　米国立標準技術研究所（NIST）は2024年12月4日（現地時間）、情報セキュリティ測定に関する包括的なガイド「Measurement Guide for Information Security（情報セキュリティ測定ガイド）」の最終版となる特別刊行物（SP）を公開した。

　SP 800-55v1およびSP 800-55v2と名付けられたこれらのガイドは組織が実施する情報セキュリティ施策の成果を評価し、データに基づく意思決定を支援することを目的としている。

情報セキュリティ施策の評価および優先順位付けのガイドラインをNISTが公開

　SP 800-55v1では情報セキュリティ対策の選定や優先順位付けに向けた柔軟なアプローチを提示している。定量的および定性的な評価を基にした対策選定を支援し、データ分析手法や影響と可能性のモデリングについての基本的なガイダンスが提供されている。

　対策の開発やテスト、検証、優先順位付けを通じて、リソースの最適な配分を目指す組織に向けた指針が示されている。主な更新内容には統計分析の基礎知識や情報技術の測定および分析に関連する新たな用語の解説、情報セキュリティ対策の選択と優先順位付けに関する詳細情報がある。

　SP 800-55v2では情報セキュリティ測定プログラムの設計および実装に向けた柔軟な方法論が提供されている。具体的には測定プログラムの開発に必要なワークフローやプログラムの基盤となる役割・責任、データ管理の懸念事項などが詳述されている。

　組織が測定基準を内部プロセスの見直しや施策の効果検証に活用し、セキュリティ施策を業務目標に結び付けるためのガイドとなっている。主な更新内容として、測定プログラムの範囲や利点、プログラムの管理性に関するセクションが拡張されている。

　政府機関や民間企業を含む幅広いユーザー層に向けて公開されたこれらのガイドは、情報セキュリティ分野の向上に向けた新たな基準を提供し、セキュリティリスクの効率的な管理を目指す組織にとって貴重なリソースとなる。