NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
こんにちは、丸山満彦です。
NISTがSP 800-161 Rev. 1 (ドラフト) 「システムと組織のためのサイバー・サプライチェーン・リスク管理の実践」を公表し、意見募集をしておりますね。。。
6月14日に締め切った後、9月に第2次ドラフトを公開する予定ですね。。。ボストンコンサルティングの方がメンバーですね。。。
● NIST - ITL - Computer Security Resource Center
・2021.04.29 SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations
パブコメの対象は、
Publication:
・[PDF] SP 800-161 Rev. 1 (Draft)
その他参考情報は
・NIST’s Cyber Supply Chain Risk Management Program (other)
現在の文書
| Announcement | 発表 |
| More than ever, organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks can decrease an enterprise’s visibility into and understanding of how the technology that they acquire is developed, integrated, and deployed. They can also affect and be affected by the processes, procedures, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of products and services. | 企業はこれまで以上に、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバーサプライチェーン内での不適切な製造・開発行為による脆弱性に関連するリスクを懸念しています。これらのリスクは、企業が取得したテクノロジーがどのように開発、統合、展開されているかについて、企業の可視性や理解を低下させる可能性があります。また、製品やサービスのセキュリティ、耐障害性、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、実践にも影響を与え、影響を受ける可能性があります。 |
| That is why NIST is inviting comments on a major revision to Cyber Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161). The updates are designed to better help organizations identify, assess, and respond to cyber supply chain risks while still aligning with other fundamental NIST cybersecurity risk management guidance. | そのため、NISTは、「システムと組織のためのサイバーサプライチェーンリスクマネジメントの実践」(SP 800-161)の大幅な改訂についてコメントを募集しています。今回の改訂は、NISTの他の基本的なサイバーセキュリティ・リスク管理ガイダンスとの整合性を保ちつつ、組織がサイバー・サプライチェーン・リスクを特定し、評価し、対応するのに役立つように設計されています。 |
| The revision to this foundational NIST publication represents a 1-year effort to incorporate next generation cyber supply chain risk management (C-SCRM) controls, strategies, policies, plans, and risk assessments into broader enterprise risk management activities by applying a multi-level approach. The changes focus on making implementation guidance more modular and consumable for acquirers, suppliers, developers, system integrators, external system service providers, and other information and communications technology (ICT)/operational technology (OT)-related service providers. Additionally, the references have been updated and expanded. | このNISTの基本的な出版物の改訂は、次世代のサイバーサプライチェーンリスク管理(C-SCRM)の統制、戦略、方針、計画、リスク評価を、マルチレベルのアプローチを適用することで、より広範な企業のリスク管理活動に組み込むための1年間の取り組みを表しています。今回の変更点は、買収者、供給者、開発者、システムインテグレーター、外部システムサービスプロバイダー、その他の情報通信技術(ICT)/運用技術(OT)関連のサービスプロバイダー向けに、実施ガイダンスをよりモジュール化し、消費可能にすることに重点を置いています。さらに、参考文献も更新・拡充されています。 |
| ..... | ..... |
| Abstract | 概要 |
| Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. | 企業は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバー・サプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。 |
| This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. | 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。 |
目次 ↓
| 1. INTRODUCTION | 1. 序論 |
| 1.1. PURPOSE | 1.1. 目的 |
| 1.2. TARGET AUDIENCE | 1.2. 対象者 |
| 1.3. BACKGROUND | 1.3. 背景 |
| 1.3.1. The Business Case for C-SCRM | 1.3.1. C-SCRMのビジネスケース |
| 1.3.2. Organization’s Cyber Supply Chain | 1.3.2. 組織のサイバーサプライチェーン |
| 1.3.3. Cyber Supply Chain Risk | 1.3.3. サイバーサプライチェーンのリスク |
| 1.3.4. Supplier Relationships within Organizations | 1.3.4. 組織内のサプライヤーとの関係 |
| 1.4. C-SCRM KEY PRACTICES | 1.4. C-SCRMキープラクティス |
| 1.4.1. Foundational Practices | 1.4.1. 基礎的な実践 |
| 1.4.2. Sustaining Practices | 1.4.2. 持続的実践 |
| 1.4.3. Enhancing Practices | 1.4.3. 強化のための施策 |
| 1.5. RELATIONSHIP TO OTHER PROGRAMS AND PUBLICATIONS | 1.5. 他のプログラムおよび出版物との関係 |
| 1.5.1. NIST Publications | 1.5.1. NISTの出版物 |
| 1.5.2. Regulatory and Legislative Guidance | 1.5.2. 規制及び法律上のガイダンス |
| 1.5.3. Other U.S. Government Reports | 1.5.3. その他の米国政府報告書 |
| 1.5.4. Standards, Guidelines, and Best Practices | 1.5.4. 標準、ガイドライン、およびベストプラクティス |
| 1.5.5. Guidance for Cloud Service Providers | 1.5.5. クラウドサービス事業者向けガイダンス |
| 1.6. METHODOLOGY FOR BUILDING C-SCRM GUIDANCE USING SP 800-39, SP800-37 REVISION 2, AND NIST SP 800-53 REVISION 5 | 1.6. SP800-39、SP800-37 改訂 2 版、および NIST SP800-53 改訂 5 版を使用した C-SCM ガイダンスの構築方法 |
| 1.6.1. Integration into Risk Management Process | 1.6.1. リスク管理プロセスへの統合 |
| 1.6.2. Implementing C-SCRM in the Context of SP 800-37 Revision 2 | 1.6.2. SP800-37 改訂 2 版の文脈における C-SCRM の実施 |
| 1.6.3. Enhanced C-SCRM Overlay | 1.6.3. 強化された C-SCRM オーバーレイ |
| 1.7. ORGANIZATION OF THIS SPECIAL PUBLICATION | 1.7. 本特別出版物の構成 |
| 2. INTEGRATION OF C-SCRM INTO ENTERPRISE-WIDE RISK MANAGEMENT | 2. 企業全体のリスクマネジメントへのC-SCRMの統合 |
| 2.1. Multi-Level Risk Management | 2.1. マルチレベルのリスクマネジメント |
| 2.1.1. Roles and Responsibilities Across the Three Levels | 2.1.1. 3つのレベルにまたがる役割と責任 |
| 2.1.2. Level 1—Enterprise | 2.1.2. レベル1-企業 |
| 2.1.3. Level 2—Mission/Business Process | 2.1.3. レベル2-ミッション/ビジネスプロセス |
| 2.1.4. Level 3—Operational | 2.1.4. レベル3-オペレーション |
| 2.1.5. C-SCRM PMO | 2.1.5. C-SCRM PMO |
| 3. CRITICAL SUCCESS FACTORS | 3. 重要成功要因 |
| 3.1. C-SCRM in Acquisition | 3.1. 取得における C-SCRM |
| 3.1.1. Acquisition in the C-SCRM Strategy and Implementation Plan | 3.1.1. C-SCRM 戦略及び実施計画における取得 |
| 3.1.2. The Role of C-SCRM in the Acquisition Process | 3.1.2. 獲得プロセスにおけるC-SCRMの役割 |
| 3.2. Supply Chain Information Sharing | 3.2. サプライチェーンの情報共有 |
| 3.3. C-SCRM Training and Awareness | 3.3. C-SCRM のトレーニングと意識向上 |
| 3.4. Capability Implementation Measurement and C-SCRM Metrics | 3.4. 能力実装の測定及び C-SCRM の評価基準 |
| 3.4.1. Measuring C-SCRM Efficacy, Efficiency, and Compliance | 3.4.1. C-SCRM の有効性、効率性、及びコンプライアンスの測定 |
| 3.5. Dedicated Resources | 3.5. 専用リソース |
| 4. C-SCRM CONTROLS | 4. C-SCRM統制 |
| 4.1 C-SCRM CONTROLS SUMMARY | 4.1 C-SCRM統制の概要 |
| 4.2 C-SCRM CONTROLS THROUGHOUT THE ORGANIZATION | 4.2 組織全体におけるC-SCRM統制 |
| 4.3 APPLYING C-SCRM CONTROLS TO ACQUIRING PRODUCTS AND SERVICES | 4.3 製品およびサービスの取得におけるC-SCRM統制の適用 |
| 4.3.1 Suppliers | 4.3.1 サプライヤー |
| 4.3.2 Developers | 4.3.2 開発者 |
| 4.3.3 System Integrators | 4.3.3 システムインテグレータ |
| 4.3.4 External System Service Providers of Information System Services | 4.3.4 情報システムサービスを提供する外部システムサービス事業者 |
| 4.3.5 Other ICT/OT-related Service Providers | 4.3.5 その他のICT/OT関連サービス提供者 |
| 4.4 SELECTING AND TAILORING IMPLEMENTING C-SCRM SECURITY CONTROLS | 4.4 C-SCRMセキュリティ対策を実施するための選択と調整 |
| 4.4.2 Using C-SCRM Controls in this Publication | 4.4.2 本出版物におけるC-SCRMコントロールの使用 |
| 4.5 C-SCRM SECURITY CONTROLS | 4.5 C-SCRMセキュリティ対策 |
| FAMILY: ACCESS CONTROL | ファミリー:アクセス制御 |
| FAMILY: AWARENESS AND TRAINING | ファミリー:意識向上とトレーニング |
| FAMILY: AUDIT AND ACCOUNTABILITY | ファミリー:監査と説明責任 |
| FAMILY: ASSESSMENT, AUTHORIZATION, AND MONITORING | ファミリー:評価、承認、及び監視 |
| FAMILY: CONFIGURATION MANAGEMENT | ファミリー:構成管理 |
| FAMILY: CONTINGENCY PLANNING | ファミリー:コンティンジェンシー・プランニング |
| FAMILY: IDENTIFICATION AND AUTHENTICATION | ファミリー:識別と認証 |
| FAMILY: INCIDENT RESPONSE | ファミリー:インシデント対応 |
| FAMILY: MAINTENANCE | ファミリー:メンテナンス |
| FAMILY: MEDIA PROTECTION | ファミリー:メディア保護 |
| FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION | ファミリー:物理的および環境的保護 |
| FAMILY: PLANNING | ファミリー:計画 |
| FAMILY: PROGRAM MANAGEMENT | ファミリー:プログラム管理 |
| FAMILY: PERSONNEL SECURITY | ファミリー:人事セキュリティ |
| FAMILY: PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY | ファミリー:個人識別情報の処理と透明性 |
| FAMILY: RISK ASSESSMENT | ファミリー:リスクアセスメント |
| FAMILY: SYSTEM AND SERVICES ACQUISITION | ファミリー:システムおよびサービスの取得 |
| FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION | ファミリー:システム・通信保護 |
| FAMILY: SYSTEM AND INFORMATION INTEGRITY | ファミリー:システムと情報の完全性 |
| FAMILY: SUPPLY CHAIN RISK MANAGEMENT | サプライチェーン・リスクマネジメント |
| APPENDIX A: C-SCRM CONTROL SUMMARY | 附属書A:C-SCRMコントロールの概要 |
| APPENDIX B: RISK EXPOSURE FRAMEWORK | 附属書B:リスクエクスポージャーフレームワーク |
| SAMPLE SCENARIOS | シナリオ例 |
| SCENARIO 1: Influence or Control by Foreign Governments Over Suppliers | シナリオ1:外国政府によるサプライヤーへの影響・支配 |
| SCENARIO 2: Telecommunications Counterfeits | シナリオ2:電気通信の偽造品 |
| SCENARIO 3: Industrial Espionage | シナリオ3:インダストリアル・エスピオナージ |
| SCENARIO 4: Malicious Code Insertion | シナリオ4:悪意のあるコードの挿入 |
| SCENARIO 5: Unintentional Compromise | シナリオ5:意図しないコンプロマイズ |
| APPENDIX C: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS | 附属書C:リスクマネジメントプロセスにおけるC-Scrm活動 |
| Target Audience | 対象となる人 |
| Organization-wide Risk Management & the RMF | 組織全体のリスクマネジメントとRMF |
| FRAME | フレーム |
| ASSESS | 評価 |
| RESPOND | 対応 |
| MONITOR | 監視 |
| APPENDIX D: C-SCRM TEMPLATES | 附属書D:C-SCRMテンプレート |
| 1. C-SCRM STRATEGY & IMPLEMENTATION PLAN | 1. C-SCRM戦略および実施計画 |
| 1.1. C-SCRM Strategy & Implementation Plan Template | 1.1. C-SCRM 戦略及び実施計画のテンプレート |
| 2. C-SCRM POLICY | 2. C-SCRM ポリシー |
| 2.1. C-SCRM Policy Template | 2.1. C-SCRM 方針のテンプレート |
| 3. C-SCRM PLAN | 3. C-SCRM計画 |
| 3.1. C-SCRM Plan Template | 3.1. C-SCRM 計画テンプレート |
| 4. CYBER SUPPLY CHAIN RISK ASSESSMENT | 4. サイバー・サプライチェーン・リスク評価 |
| 4.1. C SCRM Template | 4.1. C-SCRM テンプレート |
| APPENDIX E: GLOSSARY | 附属書E:用語集 |
| APPENDIX F: ACRONYMS | 附属書F:頭字語 |
| APPENDIX G: REFERENCES | 附属書G:参考文献 |
| List of Figures | 図の一覧 |
| Fig. 1-1: Dimensions of C-SCRM | 図1-1:C-SCRMの構成要素 |
| Fig. 1-2: Cyber Supply Chain Risk | 図1-2:サイバー・サプライ・チェーン・リスク |
| Fig. 1-3: An Organization’s Visibility, Understanding, and Control of its Cyber Supply Chain | 図1-3:組織のサイバー・サプライ・チェーンの可視性、理解、管理 |
| Fig. 1-4: C-SCRM Security Controls in NIST SP 800-161, Revision 1, Section 4.5 | 図1-4:NIST SP 800-161, Revision 1, Section 4.5におけるC-SCRMのセキュリティコントロール |
| Fig. 2-1: Risk Management Process | 図2-1:リスク管理プロセス |
| Fig. 2-2: Risk Appetite & Risk Tolerance | 図2-2:リスク許容度とリスクアペタイト |
| Fig. 2-3: Multileveled Organization-wide Risk Management | 図2-3:多階層の組織的リスクマネジメント |
| Fig. 2-4: C-SCRM Documents in Multi-Level Organization-wide Risk Management | 図2-4:多階層の組織的リスクマネジメントにおけるC-SCRM文書 |
| Fig. 4-1: C-SCRM Security Controls in NIST SP 800-161 Revision 1, Section 4.5 | 図4-1:NIST SP 800-161 Revision 1のセクション4.5におけるC-SCRMのセキュリティコントロール |
| Fig. C-1: Cyber Supply Chain Risk Management (C-SCRM) | 図C-1:サイバーサプライチェーンリスクマネジメント(C-SCRM) |
| Fig. C-2: C-SCRM Activities in The Risk Management Process | 図C-2:リスクマネジメントプロセスにおけるC-SCRM活動 |
| Fig. C-3: C-SCRM in the Assess Step | 図C-3:評価ステップにおけるC-SCRM |
| Fig. C-4: C-SCRM in the Respond Step | 図C-4:対応ステップにおけるC-SCRM |
| Fig. C-5: C-SCRM in the Monitor Step | 図C-5:監視ステップにおけるC-SCRM |
| List of Tables | 表の一覧 |
| Table 2-1: Cyber Supply Chain Risk Management Stakeholders | 表2-1:サイバー・サプライチェーン・リスク管理のステークホルダー |
| Table 3-1: C-SCRM in the Procurement Process | 表3-1:調達プロセスにおけるC-SCRM |
| Table 3-2: Cyber Supply Chain Characteristics and Risk Factors Associated with a Product, Service, or Source of Supply | 表3-2:製品、サービス、または供給源に関連するサイバーサプライチェーンの特性とリスク要因 |
| Table 3-3: Example C-SCRM Practice Implementation Model | 表3-3:C-SCRMの実践モデル例 |
| Table 3-4: Example Measurement Topics Across the Risk Management Levels | 表3-4:リスクマネジメントレベルを通じた測定項目の例 |
| Table 4-1: C-SCRM Control Format | 表4-1:C-SCRM統制フォーマット |
| Table A-1: C-SCRM Control Summary | 表A-1:C-SCRM統制の概要 |
| Table B-1: Sample Risk Exposure Framework | 表B-1:リスク暴露フレームワークの例 |
| Table B-2: Scenario 1 | 表B-2:シナリオ 1 |
| Table B-3: Scenario 2 | 表B-3:シナリオ 2 |
| Table B-4: Scenario 3 | 表B-4:シナリオ 3 |
| Table B-5: Scenario 4 | 表B-5:シナリオ 4 |
| Table B-6: Scenario 5 | 表B-6:シナリオ 5 |
| Table C-1: Examples of Cyber Supply Chain Threat Sources/Agents | 表C-1:サイバーサプライチェーンの脅威の情報源/エージェントの例 |
| Table C-2: Supply Chain Threat Considerations | 表C-2:サプライチェーンにおける脅威の検討事項 |
| Table C-3: Cyber Supply Chain Vulnerability Considerations | 表C-3:サイバー・サプライ・チェーンにおける脆弱性に関する考察 |
| Table C-4: Cyber Supply Chain Consequence & Impact Considerations | 表C-4:サイバー・サプライ・チェーンにおける結果と影響の考慮事項 |
| Table C-5: Cyber Supply Chain Likelihood Considerations | 表C-5:サイバー・サプライ・チェーンにおける可能性に関する考察 |
| Table C-6: Cyber Supply Chain Constraints | 表C-6:サイバー・サプライ・チェーンにおける制約条件 |
| Table C-7: Risk Appetite & Risk Tolerance | 表C-7:リスク選好とリスク許容度 |
| Table C-8: Examples of Cyber Supply Chain Vulnerabilities Mapped to the Organizational | 表C-8:組織レベルにマッピングされたサイバー・サプライ・チェーンの脆弱性の例 |
| Levels | レベル |
« 総務省 パブコメ 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集 | Main | U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。 »
Comments