NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル(初期ドラフト)
こんにちは、丸山満彦です。
NISTがNISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル(初期ドラフト)を公表し、意見募集をしていますね。。。
サイバーセキュリティフレームワークに沿って検討されています。
● NIST - ITL
・2021.06.09 NISTIR 8374 (Draft) Cybersecurity Framework Profile for Ransomware Risk Management (Preliminary Draft
Announcement | 発表 |
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. In some instances, attackers may also steal an organization’s information and demand additional payment in return for not disclosing the information to authorities, competitors, or the public. Ransomware can disrupt or halt organizations’ operations. This report defines a Ransomware Profile, which identifies security objectives from the NIST Cybersecurity Framework that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization's level of readiness to mitigate ransomware threats and to react to the potential impact of events. | ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するための支払いを要求する悪意のある攻撃の一種です。場合によっては、攻撃者が組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことの見返りとして、追加の支払いを要求することもあります。ランサムウェアは、企業の業務を妨害、停止させる可能性があります。本報告書では、ランサムウェアのプロファイルを定義しています。このプロファイルは、ランサムウェアのイベントの防止、対応、回復をサポートするNIST Cybersecurity Frameworkのセキュリティ目標を特定するものです。このプロファイルは、ランサムウェアのリスクを管理するための指針として使用することができます。これには、ランサムウェアの脅威を軽減し、イベントの潜在的な影響に対応するための組織の準備レベルを評価することも含まれます。 |
For additional information, visit our Ransomware Protection and Response page. | 詳細については、ランサムウェアの保護と対応のページをご覧ください。 |
Abstract | 概要 |
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. In some instances, attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Ransomware Profile identifies the Cybersecurity Framework Version 1.1 security objectives that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization's level of readiness to counter ransomware threats and to deal with the potential consequences of events. | ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するための支払いを要求する悪意のある攻撃の一種です。場合によっては、攻撃者が組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことを条件に、追加の支払いを要求することもあります。このランサムウェアのプロファイルは、ランサムウェアの発生を防ぎ、対応し、回復するためのサイバーセキュリティフレームワーク バージョン1.1のセキュリティ目標を示しています。このプロファイルは、ランサムウェアのイベントのリスクを管理するためのガイドとして使用できます。これには、ランサムウェアの脅威に対抗するための組織の準備レベルの測定や、イベントの潜在的な影響への対処が含まれます。 |
・[PDF] Preliminary Draft NISTIR 8374
1 Introduction | 1 序文 |
1.1 The Ransomware Challenge | 1.1 ランサムウェアの課題 |
1.2 Audience | 1.2 想定読者 |
1.3 Additional Resources | 1.3 追加リソース |
2 The Ransomware Profile | 2 ランサムウェアのプロファイル |
References | 参考文献 |
序文はこちら↓
1 Introduction | 1 はじめに |
The Ransomware Profile defined in this report maps security objectives from the Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1 [1] (also known as the Cybersecurity Framework) to security capabilities and measures that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization's level of readiness to mitigate ransomware threats and to react to the potential impact of events. The profile can also be used to identify opportunities for improving cybersecurity to help thwart ransomware. | 本報告書で定義されているランサムウェアのプロファイルは、「Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1 [1]」(別名「Cybersecurity Framework」)のセキュリティ目標を、ランサムウェアの発生を防止、対応、回復するためのセキュリティ能力と対策にマッピングしたものです。このプロファイルは、ランサムウェアのリスクを管理するための指針として使用することができます。これには、ランサムウェアの脅威を軽減し、イベントの潜在的な影響に対応するための組織の準備レベルを測定することが含まれます。また、このプロファイルは、ランサムウェアを阻止するためにサイバーセキュリティを改善する機会を特定するためにも使用できます。 |
1.1 The Ransomware Challenge | 1.1 ランサムウェアの課題 |
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. In some instances, attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. Ransomware disrupts or halts an organization’s operations and poses a dilemma for management: pay the ransom and hope that the attackers keep their word about restoring access and not disclosing data, or do not pay the ransom and restore operations themselves. The methods used to gain access to an organization’s information and systems are common to cyberattacks more broadly, but they are aimed at forcing a ransom to be paid. Ransomware attacks target the organization’s data. | ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するために支払いを要求する悪意のある攻撃の一種です。場合によっては、攻撃者が組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことの見返りとして、追加の支払いを要求することもあります。ランサムウェアは組織の業務を中断または停止させるため、経営陣には、身代金を支払って攻撃者がアクセス権の回復とデータの開示について約束を守ってくれることを期待するか、身代金を支払わずに自らの手で業務を復旧させるかというジレンマが生じます。組織の情報やシステムにアクセスする方法は、一般的なサイバー攻撃と同じですが、身代金の支払いを強制することが目的です。ランサムウェアの攻撃対象は、組織のデータです。 |
Fortunately, organizations can follow recommended steps to prepare for and reduce the potential for successful ransomware attacks. This includes identifying and protecting critical data, systems, and devices from ransomware, and preparing to respond to any ransomware attacks that succeed. There are many resources available to assist organizations in these efforts. They include information from the National Institute of Standards and Technology (NIST), the Federal Bureau of Investigation (FBI), and the Department of Homeland Security (DHS). | 幸いなことに、組織は推奨される手順に従って、ランサムウェア攻撃の成功に備え、その可能性を減らすことができます。これには、重要なデータ、システム、デバイスを特定してランサムウェアから保護することや、ランサムウェア攻撃が成功した場合の対応を準備することなどが含まれます。このような取り組みを支援するために、多くのリソースが用意されています。米国国立標準技術研究所(NIST)、米国連邦捜査局(FBI)、米国国土安全保障省(DHS)などの情報があります。 |
The security capabilities and measures provided in this profile support a detailed approach to preventing and mitigating ransomware events. Even without undertaking all of these measures, there are some basic preventative steps that an organization can take now to protect against the ransomware threat. These include: | このプロファイルに記載されているセキュリティ機能と対策は、ランサムウェアの発生を防止・軽減するための詳細なアプローチをサポートするものです。これらの対策をすべて実施しなくても、ランサムウェアの脅威から身を守るために、組織が今すぐできる基本的な予防策がいくつかあります。それは以下の通りです。 |
• Use antivirus software at all times. Set your software to automatically scan emails and flash drives. | •アンチウイルスソフトウェアの常時利用。電子メールやフラッシュドライブを自動的にスキャンするように設定する。 |
• Keep computers fully patched. Run scheduled checks to keep everything up-to-date. | • コンピュータへの完全なパッチ適用。定期的にチェックを行い、すべてを最新の状態に保つ。 |
• Block access to ransomware sites. Use security products or services that block access to known ransomware sites. | • ランサムウェアのサイトへのアクセスブロック。既知のランサムウェアサイトへのアクセスをブロックするセキュリティ製品やサービスを使用する。 |
• Allow only authorized apps. Configure operating systems or use third-party software to allow only authorized applications on computers. | • 許可されたアプリケーションのみの許可。オペレーティングシステムを設定するか、サードパーティのソフトウェアを使用して、許可されたアプリケーションのみをコンピュータで使用できるようにする。 |
• Restrict personally owned devices on work networks. | • 職場のネットワーク上での個人所有のデバイスの制限。 |
• Use standard user accounts versus accounts with administrative privileges whenever possible. | • 可能な限り、管理者権限のあるアカウントではなく、標準的なユーザーアカウントの利用。 |
• Avoid using personal apps—like email, chat, and social media—from work computers. | • 職場のコンピュータから電子メール、チャット、ソーシャルメディアなどの個人用アプリの利用禁止。 |
• Beware of unknown sources. Don’t open files or click on links from unknown sources unless you first run an antivirus scan or look at links carefully. | • 未知のソースへの注意。ウイルス対策スキャンを実行したり、リンク先をよく確認したりしない限り、不明な送信元からのファイルを開いたり、リンクをクリックしたりしないでください。 |
Steps that organizations can take now to help recover from a future ransomware event include: | 将来のランサムウェアからの回復のために、組織が今できることは以下の通りです。 |
• Make an incident recovery plan. Develop and implement an incident recovery plan with defined roles and strategies for decision making. This can be part of a continuity of operations plan. | • インシデントリカバリープランの作成。意思決定のための役割と戦略を定めたインシデントリカバリープランを作成し、実施する。これは、運用継続計画の一部とすることができる。 |
• Backup and restore. Carefully plan, implement, and test a data backup and restoration strategy—and secure and isolate backups of important data. | • バックアップと復旧。データのバックアップと復元の戦略を慎重に計画、実施、テストし、重要なデータのバックアップを安全に分離する。 |
• Keep your contacts. Maintain an up-to-date list of internal and external contacts for ransomware attacks, including law enforcement. | • 連絡先の確保。法執行機関を含む、ランサムウェア攻撃に関する社内外の最新の連絡先リストを維持する。 |
« NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景 | Main | U.S. White House サプライチェーンの途絶に対処するための取り組み... »
Comments