Doctor Web Pacific 江川です。
ITmediaで表記の情報が公開されましたので、ご紹介します。
NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が情報セキュリティの測定ガイドであるSP800-55の改訂版を2024年12月4日に公表しました。
今回の改訂で、分冊になりました。
第1巻であるSP 800-55v1は、「対策の特定と選択」では、情報セキュリティ対策の開発、選択、優先順位付けに対する柔軟なアプローチが提供されます。この巻では、定量的評価と定性評価の両方について検討し、データ分析手法、影響と可能性のモデリングに関する基本的なガイダンスを提供します。
SP 800-55v1の主な更新内容は次のとおりです。
統計分析入門
情報技術の測定と分析に関連する用語の探求
対策文書、報告、データ品質、不確実性に関する新しい情報
対策の開発、テスト、検証、対策と評価結果の比較、対策の優先順位付け、可能性と影響のモデリングの使用、計量スケール、継続的な改善をサポートするための方法の評価に関する情報を含む、対策の選択と優先順位付けに関する詳細情報
第 2 巻であるSP 800-55v2は、「情報セキュリティ測定プログラムの開発」では、柔軟な方法論とワークフローが提供されています。
SP 800-55v2の主な更新内容は次のとおりです。
情報セキュリティ測定プログラムの開発と実装のための新しいワークフロー
測定プログラムの利点、プログラムの範囲、成功するプログラムの基礎、役割と責任、測定基準のプログラム的価値、測定のコミュニケーション、組織上の考慮事項、管理性、データ管理の懸念事項に関するセクションを拡張しました。
詳しくはニュース本文をご確認ください。
(ニュース本文は以下をご覧ください)
https://www.itmedia.co.jp/enterprise/articles/2412/10/news080.html
「Measurement Guide for Information Security(情報セキュリティ測定ガイド)」の原文は以下よりご覧頂けます。
SP 800-55 Vol. 1 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-55v1.pdf
SP 800-55 Vol. 2 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-55v2.pdf
IPAが2024年11月18日に公開した同文書に関する書面は以下よりご覧頂けます。
https://www.ipa.go.jp/security/reports/oversea/nist/about.html
