NIST SP 800-216 (ドラフト) 連邦政府の脆弱性情報開示ガイドラインの推奨事項

こんにちは、丸山満彦です。

NISTがSP 800-216 (ドラフト) 連邦政府の脆弱性開示ガイドラインの推奨事項を公表し、意見募集をしていますね。。。

● NIST - ITL - Computer Security Resource Center

・SP 800-216 (Draft) Recommendations for Federal Vulnerability Disclosure Guidelines

 

Announcement	発表
Not all security vulnerabilities can be found through automated processes or testing. Internal and external reporting of security vulnerabilities in software and information systems owned or utilized by the Federal Government is critical to mitigating risk, establishing a robust security posture, and maintaining transparency and trust with the public. In 2020 alone, more than 18,000 vulnerabilities were publicly listed in the National Vulnerability Database (NVD).	すべてのセキュリティ脆弱性が、自動化されたプロセスやテストによって発見されるわけではありません。連邦政府が所有または利用するソフトウェアや情報システムのセキュリティ脆弱性を内部および外部に報告することは、リスクを軽減し、強固なセキュリティ態勢を確立し、国民に対する透明性と信頼性を維持するために不可欠です。2020年だけでも、18,000件以上の脆弱性がNational Vulnerability Database（NVD）に公開されています。
NIST is inviting comments on this Draft NIST Special Publication, which establishes a flexible, unified framework for establishing policies and implementing procedures for reporting, assessing, and managing vulnerability disclosures for systems within the Federal Government. Per the Internet of Things Cybersecurity Improvement Act of 2020, Public Law 116-207, and in alignment with ISO/IEC 29147 and ISO/IEC30111, these guidelines address:	NISTは、連邦政府内のシステムに対する脆弱性開示の報告、評価、管理のためのポリシー確立と実施手順の柔軟で統一されたフレームワークを確立する、このNIST特別刊行物ドラフトに対するコメントを募集しています。2020年モノのインターネット・サイバーセキュリティ改善法（Public Law 116-207）に従い、また、ISO/IEC 29147およびISO/IEC30111との整合性を考慮して、本ガイドラインは以下の事項を規定しています。
・The establishment of a federal vulnerability disclosure framework, including the Federal Coordination Board (FCB) and Vulnerability Disclosure Program Offices (VDPOs)	・連邦調整委員会（FCB）や脆弱性開示プログラムオフィス（VDPO）を含む、連邦政府の脆弱性開示フレームワークの確立
・The receipt of information about potential security vulnerabilities in information systems owned or controlled by a government agency	・政府機関が所有または管理する情報システムの潜在的なセキュリティ脆弱性に関する情報の受領
・The dissemination of information about security vulnerability resolutions to government agencies and the public	・セキュリティ脆弱性の解消に関する情報を、政府機関や一般市民に向けて発信すること
NIST is leading this government-wide effort in coordination with other agencies, including the Office of Management and Budget (OMB), the Department of Defense (DoD), and the Department of Homeland Security (DHS).	NISTは、行政管理予算局(OMB)、国防総省(DoD)、国土安全保障省(DHS)などの他の機関と連携して、この政府全体の取り組みを主導しています。
Abstract	概要
Reporting known or suspected security vulnerabilities in digital products is one of the best ways for developers and services to become aware of issues. Formalizing actions to accept, assess, and manage vulnerability disclosure reports can help reduce known security vulnerabilities. This document recommends guidance for establishing a federal vulnerability disclosure framework and highlights the importance of proper handling of vulnerability reports and communicating the minimization or elimination of vulnerabilities. The framework allows for local resolution support while providing federal oversight and should be applied to all software, hardware, and digital services under federal control.	デジタル製品に存在する既知または疑わしいセキュリティ脆弱性を報告することは、開発者やサービス側が問題を認識するための最良の方法の一つです。脆弱性開示報告書の受理、評価、管理を正式に行うことで、既知のセキュリティ脆弱性を減らすことができます。本文書は、連邦政府の脆弱性開示フレームワークを確立するためのガイダンスを推奨し、脆弱性レポートの適切な取り扱いと、脆弱性の最小化または排除を伝えることの重要性を強調しています。この枠組みは、連邦政府の監督を行いつつ、地域での解決支援を可能にするものであり、連邦政府の管理下にあるすべてのソフトウェア、ハードウェア、およびデジタルサービスに適用されるべきものです。

 

パブコメの対象は、

Publication: 
・[PDF] SP 800-216 (Draft)

Executive Summary	エグゼクティブ・サマリー
1. U.S. Government Vulnerability Disclosure	1. 米国政府による脆弱性情報開示
1.1. Usage of Document Terminology	1.1. 用語の使い方
2. Federal Vulnerability Disclosure Coordination Body	2. 連邦政府の脆弱性情報開示の調整機関
2.1. Preparation	2.1. 準備
2.1.1. Create Vulnerability Report Receipt Capability	2.1.1. 脆弱性報告受理機能の策定
2.1.2. Determine Scope and Obtain Contacts	2.1.2. 範囲の決定と連絡先の入手
2.1.3. Develop Technical Analysis Capability	2.1.3. 技術的分析能力の開発
2.2. Receipt	2.2. 受理
2.3. Triage and Prioritization	2.3. トリアージと優先順位付け
2.4. Determination of the Alleged Vulnerable System	2.4. 脆弱性が疑われるシステムの判定
2.5. Identification of Alleged Vulnerable Software	2.5. 脆弱性が指摘されているソフトウェアの特定
2.6. Vulnerability Verification and Remediation	2.6. 脆弱性の検証及び修正
2.7. Advisory Publication	2.7. アドバイザリーの発行
2.7.1. Determination of Public Disclosure	2.7.1. 公表の可否の判断
2.7.2. Production of Advisories	2.7.2. アドバイザリーの作成
2.7.3. Government Advisory Services	2.7.3. 政府助言サービス
2.8. Stakeholders in Federal Vulnerability Disclosure Coordination	2.8. 連邦政府の脆弱性開示の調整に関わるステークホルダー
2.8.1. Department of Defense	2.8.1. 米国国防総省
2.8.2. Department of Homeland Security and the Cybersecurity and Infrastructure Security Agency	2.8.2. 国土安全保障省とサイバーセキュリティ・インフラストラクチャセキュリティ庁
2.9. Technical Approaches and Resources	2.9. 技術的アプローチとリソース
3. Vulnerability Disclosure Program Offices	3. 脆弱性開示プログラムオフィス
3.1. Vulnerability Disclosure Program Office Description	3.1. 脆弱性情報開示プログラム事務局の説明
3.2. Vulnerability Disclosure Program Office Duties	3.2. 脆弱性情報開示プログラム事務局の任務
3.2.1. Development of Vulnerability Disclosure Report Acceptance Policies	3.2.1. 脆弱性情報開示報告書受理方針の策定
3.2.2. Monitoring of Vulnerability Reports	3.2.2. 脆弱性報告のモニタリング
3.2.3. Development of the Capability to Receive Vulnerability Disclosure Reports	3.2.3. 脆弱性情報開示報告の受理機能の開発
3.2.4. Development of Vulnerability Disclosure Handling Policies	3.2.4. 脆弱性情報開示の取り扱い方針の策定
3.2.5. Processing and Resolution of Received Vulnerability Disclosure Reports	3.2.5. 受理した脆弱性開示報告の処理と解決
3.3. Management Considerations	3.3. 管理上の留意点
3.3.1. Leadership Support	3.3.1. リーダーシップのサポート
3.3.2. Staffing Needs	3.3.2. スタッフの必要性
3.3.3. Leveraging Existing Processes	3.3.3. 既存のプロセスの活用
3.3.4. Integration of Contractor Support into the VDPO	3.3.4. コントラクターサポートのVDPOへの統合
3.3.5. Customer Support and Public Relations	3.3.5. カスタマーサポートと広報活動
References	参考文献

 

Executive Summary	エグゼクティブ・サマリー
This document provides a guideline of how security vulnerability disclosure for digital products is managed within the Federal Government. The document follows the IOT Cybersecurity Improvement Act of 2020, Public Law 116-207, Section 5 [CYB IMPR ACT], which directs NIST to provide guidelines:	本文書は、デジタル製品のセキュリティ脆弱性の開示を連邦政府内でどのように管理するかについてのガイドラインを提供するものです。本文書は、NISTにガイドラインを提供するよう指示する「2020年IOTサイバーセキュリティ改善法」（Public Law 116-207, Section 5 [CYB IMPR ACT]）に準拠しています。
(1) for the reporting, coordinating, publishing, and receiving information about—	(1)以下の情報の報告、調整、公開、受信のためのもの
a. a security vulnerability relating to information systems owned or controlled by an agency (including Internet of Things devices owned or controlled by an agency); and	a. 機関が所有または管理する情報システム（機関が所有または管理するモノのインターネット機器を含む）に関連するセキュリティ脆弱性。
b. the resolution of such security vulnerability; and	b. 当該セキュリティ脆弱性の解決策。
(2) for a contractor providing to an agency an information system (including an Internet of Things device) and any subcontractor thereof at any tier providing such information system to such contractor, on—	(2) 機関に情報システム（モノのインターネットデバイスを含む）を提供する請負業者、および当該請負業者に当該情報システムを提供するあらゆる階層の下請業者について、以下のことを行う。
a. receiving information about a potential security vulnerability relating to the information system; and	a. 当該情報システムに関連する潜在的なセキュリティ脆弱性に関する情報を受け取ること。
b. disseminating information about the resolution of a security vulnerability relating to the information system.	b. 情報システムに関連するセキュリティ脆弱性の解決に関する情報を広めること。
The guidelines —	ガイドラインは
(1) to the maximum extent practicable, are aligned with industry best practices and Standards 29147 and 30111 of the International Standards Organization (or any successor standard) or any other appropriate, relevant, and widely used standard;	(1) 実行可能な最大限の範囲で、業界のベストプラクティス、ISO29147およびISO30111（またはその後継規格）、またはその他の適切で関連性のある広く使用されている規格に沿ったものであること。
(2) incorporate guidelines on—	(2) 以下に関するガイドラインを組み込む。
a. receiving information about a potential security vulnerability relating to an information system developed, owned or controlled by an agency (including an Internet of Things device); and	a. 機関が開発、所有、または管理する情報システム（モノのインターネットデバイスを含む）に関連する潜在的なセキュリティ脆弱性に関する情報を受け取ること。
b. disseminating information about the resolution of a security vulnerability relating to an information system developed, owned or controlled by an agency (including an Internet of Things device); and	b. 機関が開発、所有または管理する情報システム（モノのインターネット機器を含む）に関連するセキュリティ脆弱性の解決に関する情報を広めること；および
(3) consistent with the policies and procedures produced under section 2009(m) of the Homeland Security Act of 2002 (6 U.S.C. 659(m)).	(3) 2002年国土安全保障法2009(m)項（6 U.S.C. 659(m)）に基づいて作成された方針と手順に合致すること。
The document defines the Federal Coordination Board (FCB) as the primary interface for vulnerability disclosure reporting and oversight. It also defines Vulnerability Disclosure Program Offices (VDPOs) that are usually part of the Information Technology Security Offices (ITSOs).	この文書では、連邦調整委員会（FCB）を、脆弱性情報開示の報告と監視のための主要なインターフェイスとして定義しています。また、通常は情報技術セキュリティ局(ITSO)の一部である脆弱性開示プログラム局(VDPO)も定義されている。
The FCB and VDPOs work together to address vulnerability disclosure in the Federal Government.	FCBとVDPOは共同で連邦政府の脆弱性開示に対応する。