NIST RMF サポートの概念
NIST RMF ガイダンスから開発されたこれらの概念を理解してください。
注:
バージョン 10.1.0 以降、NIST RMF Use Case Accelerator は現在製品を使用している顧客に対してのみサポートされます。新規および既存のお客様は、GRC: Continuous Authorization Monitoring アプリケーションの使用を検討してください。詳細については、「継続的な承認とモニタリング」を参照してください。
| 概念 | 説明 |
|---|---|
| ターゲット | ターゲットは、NIST RMF Use Case Accelerator および関連するすべての概念の基盤です。 ターゲットは、ServiceNow® GRC 製品といくつかのユースケースアクセラレーターの間で共有されるテーブルです。これらは、コア GRC アプリケーションのプロファイルの概念に似ています。オプションでプロファイルにリンクされますが、ユースケースアクセラレーターに固有の属性に使用されます。 注: 各 NIST RMF ターゲットは、その RMF ライフサイクルを通じて単一のプロファイルを一意に表します。 |
| 機密性 (C) | 機密性は、ターゲットのセキュリティ目標であり、個人のプライバシーと機密情報を保護する手段を含む、情報のアクセスと開示に対する認可された制限を維持する行為として定義されます。機密性は、高、中、低の値で表されます。 |
| 完全性 (I) | 完全性は、ターゲットのセキュリティ目標であり、不適切な情報の変更または破壊に対して保護する行為として定義され、情報の否認防止と信頼性の確保が含まれます。完全性は、高、中、低の値で表されます。 |
| 可用性 (A) | 可用性は、ターゲットのセキュリティ目標であり、情報へのタイムリーかつ信頼性の高いアクセスと使用を保証する行為として定義されます。可用性は、高、中、低の値で表されます。 |
| ベースラインコントロール | ベースラインコントロールは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロールであり、実装され、有効であると判断された場合、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。ベースラインコントロールには指定された影響度の値があり、これは高、中、または低の値の組み合わせとなります。 |
| 影響分析 | 影響分析は、ターゲットまたはその運用環境に対する提案された変更または実際の変更がターゲットのセキュリティステータスにどの程度影響を与える可能性があるか、または影響を与えたかを判断します。3 つの CIA セキュリティ目標がすべて「低」と評価されたターゲットは、「低」影響と見なされ、「低」の影響度値としてタグ付けされたセキュリティコントロールのいずれかを使用します。3 つの CIA セキュリティ目標がのいずれかが「中」と評価されたターゲットは、「中」影響と見なされ、「中」の影響度値としてタグ付けされたセキュリティコントロールのいずれかを使用します。同様に、3 つの CIA セキュリティ目標のいずれかが「高」と評価されたターゲットは、「高」影響と見なされ、「高」の影響度値としてタグ付けされたセキュリティコントロールのいずれかを使用します。 |
| 保証 | 保証コントロールにより、ターゲットの機能が正しく、完全で、一貫しており、セキュリティリスクを軽減し、セキュリティ要件への準拠を支援するというセキュリティの強度と信頼度の両方が向上します |
| 共通 | 共通コントロールは、1 つ以上のターゲットによって継承可能なコントロールです |
| 補完 | 補完コントロールは、推奨されるベースラインセキュリティコントロールの代わりに使用できるコントロールであり、ターゲットに等価または同等の保護を提供します |
| 補足 | 補足コントロールは、ターゲットのリスク管理のニーズを十分に満たす追加のセキュリティコントロールとして使用できるコントロールです。 |
| 調整 | 調整とは、以下に基づいてセキュリティコントロールのベースラインを変更するプロセスです:(i) ターゲットスコーピングガイダンス、(ii) セキュリティコントロールの仕様 (必要な場合の補完など)、(iii) 組織の仕様 - 明示的なアサインおよび選択ステートメントによるセキュリティコントロールの定義済みパラメーター |