RMF対応支援

防衛省におけるリスク管理フレームワーク（Risk Management Framework、以下、RMF）は、防衛省が運用する情報システムのライフサイクル全体において、継続的に脅威を監視し、適切に対応するための取組みであり、2023年度に防衛省の「情報保証に関する訓令」が改正され、対応が義務化されました。それに伴い、防衛省では、利用する情報システムに対するリスク評価、分析、証跡管理等のRMF対応が求められています。

KPMGは、防衛省RMFの要求事項への対応を支援します。

防衛省におけるRMFでは、NIST（米国国立標準技術研究所）が策定するリスクマネジメントのフレームワークを定めたガイドラインであるNIST SP800-37を基に策定したリスク管理に係る枠組みです。

該当する製品を保有する防衛省では、防衛省に納入する製品や製品の利用環境等を踏まえた脅威に基づき、リスクレベルの特定および対応の優先順位を決定した後、「機密性・完全性・可用性」の観点に適した情報システムのリスク評価を行います（「リスク評価報告書の作成」）。

また、リスク評価結果に応じたセキュリティ対策要件に対する具体的な対策内容、監視方法、是正対応計画の検討および文書化に加え、証跡管理等の対応を行います（セキュリティ計画書、継続監視計画書、将来対応計画書の作成）。

作成した文書類は、認証・審査のステップにおいて、検討結果の妥当性から文書の校正といった詳細かつ独自の観点での確認が行われることから、防衛省RMFに対応するためには深い知見が求められます。

防衛省RMFに対応するためには、防衛省が定める情報システムの分類基準に従い、「機密性・完全性・可用性」の観点で情報システムのリスク評価を実施します。次に、リスク評価結果に応じて選定されたセキュリティ管理策（NIST SP800-53を基に防衛省が独自に定めるもの）すべてに対して具体的な対策内容・監視方法・是正対応計画の検討および文書化したうえで、証跡を管理することが求められ、これらの要件を情報システムに適用する際には、セキュリティに関する専門性だけではく、防衛省の各種訓令やRMFへの深い知見が不可欠です。

KPMGでは、IT・OT等を問わず、防衛省RMF対応をはじめとした国内外のさまざまな企業向けにNIST SP800シリーズに基づくリスクアセスメントから、セキュリティ対策設計・導入・運用・監査といった一連のセキュリティフレームワーク確立までの豊富なアドバイザリー実績を有しています。

防衛産業企業および関連企業等の状況に応じて、効果的かつ効率的な防衛省RMF対応支援を実施します。