NIST RMF ユースケースアクセラレーター ダッシュボードおよびレポート
NIST RMF ユースケースアクセラレーター には、さまざまなダッシュボードに表示されるさまざまなレポートが含まれており、分類、選択、実装、評価、認可、監視といった、NIST RMF プロセスの各セクションで使用できます。
注:
バージョン 10.1.0 以降、NIST RMF ユースケースアクセラレーター は現在製品を使用している顧客に対してのみサポートされます。新規および既存のお客様は、GRC: Continuous Authorization Monitoring アプリケーションの使用を検討してください。詳細については、「継続的な承認とモニタリング」を参照してください。
| レポート | 目的 |
|---|---|
| セキュリティコンプライアンスの概要 | セキュリティポリシーの全体的なコンプライアンスサマリーを提供します。 |
| プロファイルコンプライアンスの概要 | セキュリティコントロールを実装しているプロファイルの全体的なコンプライアンスサマリーを提供します。 |
| セキュリティコンプライアンスの詳細 | セキュリティポリシーの詳細なコンプライアンスサマリーを提供します。 |
| 固有のセキュリティリスクヒートマップ | リスクの固有の定性的結果に基づくセキュリティリスクのヒートマップ。 |
| 残存セキュリティリスクヒートマップ | リスクの残存する定性的結果に基づくセキュリティリスクのヒートマップ。 |
| 固有セキュリティリスク | リスクの固有の定量的結果の平均に基づくセキュリティリスクのバブルチャート。 |
| 残存セキュリティリスク | リスクの固有の定量的結果の平均に基づくセキュリティリスクのバブルチャート。 |
| 固有の年次損失エクスポージャーセキュリティリスク | さまざまなセキュリティリスクの固有の年間損失予測 (ALE) に関するインサイトを提供します。 |
| 残存年次損失エクスポージャーセキュリティリスク | さまざまなセキュリティリスクの残存する年間損失予測 (ALE) に関するインサイトを提供します。 |
| 問題サマリー | 週単位で 1 週間にセキュリティポリシーに関して記録された問題をプロットします。 |
| ベースラインコントロールのないターゲット | ベースラインコントロールが生成されていないが、セキュリティ影響分析が完了したターゲット。ベースラインコントロールは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロールであり、実装され、有効であると判断された場合、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。実装するベースラインコントロールは、ターゲットの推奨ベースラインポリシーステートメントから決定できます。 |
| 影響分析処理待ちのターゲット | 組織により実施された場合のセキュリティ影響分析では、ターゲットまたはその運用環境に対する提案された変更または実際の変更がターゲットのセキュリティステータスにどの程度影響を与えたかを判断します。ターゲットまたはその運用環境への変更は、現在配置されているセキュリティコントロール (システム固有、ハイブリッド、および共通コントロールを含む) に影響を与えたり、ターゲットに新しい脆弱性が生じたり、以前は必要なかった新しいセキュリティコントロールの要件が生成されたりする可能性があります。 |
| ターゲットステータス | リスク管理プロセスの現在のステータス別に整理されたターゲット。リスク管理プロセスは、米国国立標準技術研究所 (NIST) によって提供されています。 Risk Management Framework (RMF) は、情報セキュリティとリスク管理アクティビティを統合する、統制の取れた構造化されたプロセスです。 |
| 機密性に及ぼす影響度 | 機密性評価値ごとにグループ化されたターゲット。米国国立標準技術研究所 (NIST) では、機密性を、個人のプライバシーと機密情報を保護する手段を含む、情報のアクセスと開示に対する認可された制限を維持する行為として定義しています。機密性は、高、中、低の値で表されます。 |
| 完全性に及ぼす影響度 | 完全性評価値ごとにグループ化されたターゲット。米国国立標準技術研究所 (NIST) は、完全性を、不適切な情報の変更または破壊に対して保護する行為として定義し、情報の否認防止と信頼性の確保を含めています。完全性は、高、中、低の値で表されます。 |
| 可用性に及ぼす影響度 | 可用性評価値ごとにグループ化されたターゲット。米国国立標準技術研究所 (NIST) は、可用性を情報へのタイムリーで信頼性の高いアクセスと使用の確保として定義しています。可用性は、高、中、低の値で表されます。 |
| 影響 | 影響の評価値ごとにグループ化されたターゲット。米国国立標準技術研究所 (NIST) では、影響を、機密性、完全性、または可用性の損失であり、(i) 限定的な悪影響、(ii) 重大な悪影響、(iii) 組織の運用、組織の資産、または個人に対する重大または壊滅的な悪影響を及ぼすことが予測されるものとして定義しています。一方、セキュリティ影響分析は、セキュリティステータスがどの程度影響を受けるかを組織が判断するものとして定義されています。影響は、高、中、低の値で表されます。 |
| ベースラインコントロールのレビュー (Review Baseline Controls) | ベースラインポリシーステートメントとコントロールのレビューを容易にするために、フレームワークの NIST Risk Management 選択ステップの概要を示します。[NIST RMF] > [選択] > [ベースラインコントロールのレビュー (Review Baseline Controls)] により、このダッシュボードが起動します。 |
| ベースラインセキュリティポリシーステートメント | ベースラインセキュリティポリシーステートメントは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロール定義であり、実装され、有効であると判断された場合、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。 |
| ベースラインセキュリティコントロール | ベースラインセキュリティコントロールは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロールであり、実装され、有効であると判断された場合、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。 |
| レポート | 目的 |
|---|---|
| ベースラインセキュリティポリシーステートメント | ベースラインセキュリティポリシーステートメントは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロール定義であり、実装され、有効であると判断された場合、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。 |
| ベースラインセキュリティコントロール | ベースラインセキュリティコントロールは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロールであり、実装され、有効であると判断された場合、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。 |
| レポート | 目的 |
|---|---|
| ベースライン保証ポリシーステートメント | ベースラインセキュリティ保証ポリシーステートメントは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロール定義で、保証コントロール定義として指定されるものであり、実装された場合、セキュリティの強度と、機能の正しさ、完全さ、および一貫性に対する信頼度の両方を高め、セキュリティ要件に準拠しながらセキュリティリスクを軽減します。 |
| ベースライン保証コントロール | ベースラインセキュリティ保証コントロールは、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティコントロール定義で、保証コントロールとして指定されるものであり、セキュリティの強度と、機能の正しさ、完全さ、および一貫性に対する信頼度の両方を高め、セキュリティ要件に準拠しながらセキュリティリスクを軽減することを目的として実装されます。 |
| ベースライン共通ポリシーステートメント | ベースラインセキュリティ共通ポリシーステートメントは、米国国立標準技術研究所 (NIST) の一連のセキュリティコントロール定義であり、組織によって共通コントロール定義として指定された場合、1 つ以上の組織ターゲットによって継承可能であることが示されます。 |
| ベースライン共通コントロール | ベースラインセキュリティ共通コントロールは、米国国立標準技術研究所 (NIST) の一連のセキュリティコントロール定義であり、実装され、組織によって共通コントロールとして指定された場合、1 つ以上の組織ターゲットによって継承可能であることが示されます。 |
| ベースライン補完ポリシーステートメント | ベースラインセキュリティ補完ポリシーステートメントは、米国国立標準技術研究所 (NIST) の一連のセキュリティコントロール定義であり、組織によって補完コントロール定義として指定された場合、他のセキュリティコントロ-ルの代わりに採用することができ、組織ターゲットのための等価または同等な保護を提供します。 |
| ベースライン補完コントロール | ベースラインセキュリティ補完コントロールは、米国国立標準技術研究所 (NIST) の一連のセキュリティコントロール定義であり、実装され、組織によって補完コントロールとして指定された場合、他のセキュリティコントロ-ルの代わりに採用することができ、組織ターゲットのための等価または同等な保護を提供します。 |
| ベースライン補完ポリシーステートメント | ベースラインセキュリティ補完ポリシーステートメントは、米国国立標準技術研究所 (NIST) の一連のセキュリティコントロール定義であり、組織によって補完コントロール定義として指定された場合、組織ターゲットのリスク管理上のニーズを十分に満たすためにセキュリティコントロールに追加できることが示されます。 |
| ベースライン補完コントロール | ベースラインセキュリティ補完コントロールは、米国国立標準技術研究所 (NIST) の一連のセキュリティコントロール定義であり、実装され、組織によって補完コントロールとして指定された場合、組織ターゲットのリスク管理上のニーズを十分に満たすためにセキュリティコントロールに追加できることが示されます。 |
| レポート | 目的 |
|---|---|
| 完了したコントロール証明書 | 完了した NIST Risk Management コントロール証明書の数を表示します。 |
| 期日の近いコントロール証明書 | 期日が 7 日以内の NIST リスク管理コントロール証明書の数を表示します。 |
| 期日が 7 日先以降のコントロール証明書 | 期日が 7 日先以降の NIST Risk Management コントロール証明書の数を表示します。 |
| 期日に間に合わないコントロール証明書 | 期日に間に合わない NIST Risk Management コントロール証明書の数を表示します。 |
| プロファイル別のコントロール証明書 | プロファイルごとにグループ化された NIST Risk Management コントロール証明書の概要を提供します。 |
| 期限切れのコントロール証明書 | 期日ごとにグループ化された NIST Risk Management コントロール証明書の概要を提供します。 |
| 完了したリスクアセスメント | 完了した NIST Risk Management リスク証明書の数を表示します。 |
| 期日の近いリスクアセスメント | 期日が 7 日以内の NIST Risk Management リスクアセスメントの数を表示します。 |
| 期日が 7 日先以降のリスクアセスメント | 期日が 7 日先以降の NIST Risk Management リスクアセスメントの数を表示します。 |
| 期日に間に合わないリスクアセスメント | 期日に間に合わない NIST Risk Management リスクアセスメントの数を表示します。 |
| プロファイル別のリスクアセスメント | プロファイルごとにグループ化された NIST Risk Management リスクアセスメントの概要を提供します。 |
| 期限切れのリスクアセスメント | 期日ごとにグループ化された NIST Risk Management リスクアセスメントの概要を提供します。 |
| レポート | 目的 |
|---|---|
| ターゲット承認ステータス | ターゲットの現在の承認ステータスの概要を提供します。 |
| リスク担当役員の承認者 | リスク担当役員の承認者にアサインされたターゲットの概要を提供します。 |
| 認定担当の承認者 | 認定担当の承認者にアサインされたターゲットの概要を提供します。 |
| レポート | 目的 |
|---|---|
| 無効なプロファイル | 無効としてフラグが付けられたセキュリティコントロールのコントロールテストを少なくとも 1 つ含むプロファイルの合計数。 |
| 無効なコントロール | 無効としてフラグが付けられたコントロールテストを少なくとも 1 つ含むセキュリティコントロールの合計数。 |
| 無効なテストプラン | 無効としてフラグが付けられたセキュリティコントロールのコントロールテストを少なくとも 1 つ含むテストプランの合計数。 |
| 非準拠コントロール | ステータスが非準拠のセキュリティコントロールの合計数。 |
| リスク | セキュリティコントロールに関連付けられているリスクの合計数。 |
| 問題 | セキュリティコントロールとリスクに関連する問題の合計数。 |
| コンプライアンスのコントロール | セキュリティコントロールのコンプライアンスの概要を提供します。 |
| プロファイル有効性 | 関連付けられたコントロールテストの有効性に基づいて、セキュリティコントロールを持つプロファイルの有効性の概要を提供します。 |
| コントロール有効性 | 関連付けられたコントロールテストの有効性に基づいて、セキュリティコントロールのコントロールの有効性の概要を提供します。 |
| テスト計画の有効性 | 関連付けられたコントロールテストの有効性に基づいて、セキュリティコントロールのテストプランの有効性の概要を提供します。 |
| リスク | プロファイル別にグループ化され、セキュリティコントロールに関連付けられているリスクのリスト。 |