「Federal Information Security Management Act (FISMA)」レポート
このレポートには、サイトで見つかった FISMA に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
問題点
連邦情報セキュリティー・マネジメント法 (FISMA) は、米国連邦議会を通過し、電子政府法 (2002) の一部として大統領の署名によって法制化されました。これは、連邦政府の情報および資産を保護する包括的な方法を確実に行うためのフレームワークを提供します。FISMA コンプライアンスは、国家安全保障の問題であるため、政府の最高レベルで精査されます。この法令は、政府機関、請負業者、およびその他の組織が使用する情報および情報システムに適用されるため、従来のセキュリティー法よりも適用可能な範囲が広くなっています。政府機関の IT セキュリティー・プログラムは、連邦政府の情報を所有または使用するすべての組織に適用されます。言い換えれば、連邦政府機関の代理として連邦政府の情報システムを操作、使用、またはアクセスする組織であり、これには、請負業者、許可された者、州政府や地方自治政府、および産業パートナーが含まれます。したがって、連邦政府のセキュリティー要件を継続して適用する必要があり、政府機関には適切なセキュリティー管理を行う責任が生じます。連邦政府機関は、IT セキュリティー要件のコンプライアンスについて、年次レポートを毎年 10 月までに行政管理予算局 (OMB: Office of Management and Budget) に送信する必要があります。OMB は、このレポートを参考にして政府全体のセキュリティー・パフォーマンスを評価し、このレポートを連邦議会に提出する年次セキュリティー・レポートに発展させます。このようにして、政府機関のセキュリティー・パフォーマンスを向上させ、十分なレベルを維持させるのに役立ちます。また、大統領行政管理アジェンダ (President Management Agenda) で電子政府のスコアカードの作成を通知します。このレポートは、システムおよびプログラムの IT セキュリティーに関する年次レビューの結果、および政府機関が FISMA の掲げる目標およびマイルストーンを達成するために成し遂げた進捗について、要約している必要があります。
FISMA コンプライアンスでは、修復プランおよび既存リスクの両方について、政府機関のサイバー・セキュリティーに関する詳細なレポート作成および測定が必要です。組織内のすべての IT システムにおけるコンプライアンスを検証するには、政府機関の責任者が現在の FISMA コンプライアンス・ステータスについて正確なレポートを作成できるように、組織的なレポート作成および情報フローに加えて、包括的な妥当性テストおよび修復プランが必要です。
さまざまな IT システムについてのテストおよびレポート作成に必要な、集中型の IT 機能、および基本的なプロセスや手順を持たない組織は、このインフラストラクチャーを、時間という厳しいプレッシャーの下で、言い換えればわずかなミスも許されない状況下で、最初から構築しなければいけません。ほとんどの政府機関が、何千とまではいかなくとも、何百という IT/IS インフラストラクチャーから成るシステムを所有しています。この数が、コンプライアンスについてのレポート作成要件を厳しくさせ、最終的に FISMA コンプライアンスの違反の原因となります。制限された資金、および要件の誤った解釈と相まって、政府機関の多くは、悲惨なコンプライアンス状況に陥ってしまいます。