NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
こんにちは、丸山満彦です。
NISTがNISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)を公表し、意見募集をしていますね。。
NISTは2020年10月に「NISTIR 8286 サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」を公表しています。今回はこのNISTIR8286の詳細版となりますね。。。
この後、8286B, 8286C も公開されていくことになります。。。
● NIST - ITL
・[PDF] NISTIR 8286A (Draft)
NISTIR 8286A (Draft) | NISTIR 8286A (ドラフト) |
Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) (2nd Draft) | エンタープライズ・リスク・マネジメント(ERM)のためのサイバーセキュリティ・リスクの識別と推定(第2次ドラフト |
Announcement | 発表内容 |
This report provides a more in-depth discussion of the concepts introduced in NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This IR8286 series document is intended to help organizations better implement cybersecurity risk management (CSRM) as an integral part of ERM – both taking its direction from ERM and informing it. The increasing frequency, creativity, and severity of cybersecurity attacks mean that all enterprises should ensure that cybersecurity risk is receiving appropriate attention within their ERM programs and that the CSRM program is anchored within the context of ERM. | 本文書は、NISTIR 8286「サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」で紹介されている概念をより詳細に説明しています。このIR8286シリーズは、サイバーセキュリティ・リスク・マネジメント(CSRM)をERMの重要な一部として、ERMから方向性を得て、また、ERMに情報を提供しながら、組織がよりよく実施できるようにすることを目的としています。 サイバーセキュリティ攻撃の頻度、創造性、深刻さが増していることから、すべての企業はERMプログラムの中でサイバーセキュリティリスクに適切な注意を払い、ERMの文脈の中でCSRMプログラムを定着させる必要があります。 |
This second draft specifically incorporates feedback received during the first public comment period and provides improved editorial updates and graphics to better illustrate the intersection of cybersecurity and enterprise risk management. With the inclusion of an example risk detail report (RDR) template, this draft more clearly demonstrates how risks are summarized in the risk register using methods for populating the RDR. The language surrounding activities – including metrics and communication at each level of the enterprise – has also been updated, and the topics of privacy and supply chain have been introduced for planned future treatment. | 今回の第2次ドラフトでは、第1次パブリックコメント期間中に寄せられた意見を具体的に反映し、サイバーセキュリティと企業のリスク管理の接点をより分かりやすく示すために、編集上の更新や図表を改善しました。リスク詳細報告書(RDR)のテンプレートの例を含めることで、本ドラフトでは、RDRの作成方法を用いて、リスクがどのようにリスクレジスタにまとめられるかをより明確に示している。また、企業の各レベルにおける測定基準やコミュニケーションを含む活動に関する表現も更新されており、プライバシーやサプライチェーンのトピックも今後の予定として紹介されています。 |
A companion document, NISTIR 8286B: Prioritizing Cybersecurity Risk for Enterprise Risk Management, will be available for review and comment in the coming weeks. | 関連文書であるNISTIR 8286B: エンタープライズ・リスク・マネジメントにおけるサイバーセキュリティ・リスクの優先順位付けは、今後数週間のうちにレビューとコメントが可能になります。 |
Also, see the related publications: | また、関連出版物もご覧ください。 |
NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) | NISTIR 8286, サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 |
NISTIR 8170, Approaches for Federal Agencies to Use the Cybersecurity Framework | NISTIR 8170, 連邦機関がサイバーセキュリティフレームワークを使用するためのアプローチ |
Abstract | 概要 |
This document supplements NIST Interagency or Internal Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information to illustrate risk tolerance, risk appetite, and methods for determining risks in that context. To support the development of an Enterprise Risk Register, this report describes documentation of various scenarios based on the potential impact of threats and vulnerabilities on enterprise assets. Documenting the likelihood and impact of various threat events through cybersecurity risk registers integrated into an enterprise risk profile helps to later prioritize and communicate enterprise cybersecurity risk response and monitoring. | 本文書は、NIST Interagency or Internal Report 8286「Iサイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」を補足するもので、リスクのガイダンス、識別、分析に関する追加の詳細を提供しています。本報告書では、リスク許容度、リスクアペタイト、およびその文脈におけるリスクの決定方法を説明するための例や情報を提供している。企業リスク登録簿の作成を支援するために、本報告書では、脅威や脆弱性が企業資産に与える潜在的な影響に基づく様々なシナリオの文書化について説明しています。企業リスクプロファイルに統合されたサイバーセキュリティリスクレジスターを通じて、様々な脅威事象の可能性と影響を文書化することは、後に企業のサイバーセキュリティリスク対応とモニタリングの優先順位付けと伝達に役立ちます。 |
Executive Summary | 要約 |
All organizations face a broad array of risks, including cyber security risk. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives.” An organization’s mission and business objectives can be impacted by such effects and must be managed at various levels within the organization. | すべての組織は、サイバーセキュリティ・リスクを含む広範なリスクに直面しています。連邦政府機関の場合、行政管理予算局(OMB)のCircular A-11では、リスクを "不確実性が目的に及ぼす影響 "と定義しています。組織のミッションや事業目標は、このような影響を受ける可能性があり、組織内の様々なレベルで管理しなければなりません。 |
This report highlights aspects of cybersecurity risk management (CSRM) inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; however, without an understanding of organizational structure, effective risk management is impossible. For the purposes of this document, an organization is defined as an entity of any size, complexity, or position within a larger organizational structure. The enterprise exists at the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems.1 | 本レポートでは、企業、組織、システムに固有のサイバーセキュリティ・リスク管理(CSRM)の側面に焦点を当てています。組織と企業という言葉はしばしば同じ意味で使われますが、組織構造を理解しなければ、効果的なリスク管理は不可能です。この文書では、組織とは、より大きな組織構造の中で、あらゆる規模、複雑さ、または地位を持つ事業体と定義します。企業は、シニアリーダーが固有のリスクガバナンス責任を有する階層の最上位に存在する。企業や政府機関などの各企業は、システムに支えられた組織で構成されています1。 |
Enterprise risk management (ERM) calls for understanding the core (i.e., significant) risks that an organization faces, and this document provides supplemental guidance for aligning cyber security risks within an organization’s overall ERM program. Lessons learned from historical cybersecurity incidents demonstrate the importance of collaboration among CSRM and ERM. This document helps enterprises to apply, improve, and monitor the quality of that cooperation and communication. | エンタープライズ・リスク・マネジメント(ERM)では、組織が直面する中核的な(すなわち重要な)リスクを理解することが求められます。本文書は、組織のERMプログラム全体の中でサイバーセキュリティ・リスクを調整するための補足的なガイダンスを提供します。過去のサイバーセキュリティ事件から得られた教訓は、CSRMとERMの連携の重要性を示しています。この文書は、企業がその協力とコミュニケーションの質を適用し、改善し、監視するのに役立ちます。 |
This NIST Interagency/Internal Report (NISTIR) is part of a series of publications supporting NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). Each publication in the series, illustrated in Figure 1, provides additional detail and guidance to supplement topics in that document: | このNIST Interagency/Internal Report(NISTIR)は、NISTIR 8286「サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」をサポートする一連の出版物の一部です。このシリーズの各出版物は、図1に示すように、その文書のトピックを補足するための追加の詳細とガイダンスを提供しています。 |
• NISTIR 8286A (this report) provides additional detail regarding risk context, scenario identification, and analysis of likelihood and impact. It also includes methods to convey risk information, such as through cybersecurity risk registers (CSRRs) and risk detail records (RDRs). Similar processes and the uses of the Risk Register and RDRs are helpful to identify and manage other types of risk, including those for Cyber Supply Chain and Privacy. | - NISTIR 8286A(本文書)では、リスクの背景、シナリオの特定、可能性と影響の分析について詳細に説明しています。また、サイバーセキュリティ・リスク・レジスタ(CSRR)やリスク詳細記録(RDR)など、リスク情報を伝達する方法も記載されています。同様のプロセスや、リスクレジスターとRDRの用途は、サイバーサプライチェーンやプライバシーに関するものなど、他の種類のリスクを特定し管理するのに役立ちます。 |
• NISTIR 8286B describes ways to apply risk analysis to prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy. | - NISTIR 8286Bでは、企業のCSRM戦略の一環として、サイバーセキュリティリスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動の伝達にリスク分析を適用する方法を説明しています。 |
• NISTIR 8286C describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor achievement of risk objectives, consider any changes to risk strategy, and use the combined information to maintain awareness of risk factors and positive risks (or opportunities). | - NISTIR 8286Cでは、企業全体のCSRM活動から得られる情報を集約するためのプロセスを説明しています。これらの情報が統合され、調和されることで、組織や企業のリーダーは、リスク目標の達成状況を監視し、リスク戦略の変更を検討し、統合された情報を用いて、リスク要因やポジティブなリスク(または機会)に対する認識を維持します。 |
A key CSRM success factor is setting leadership expectations, such as through risk appetite and risk tolerance. Section 2.1 of this report provides examples of setting and communicating those expectations and provides input into Section 2.2, which describes methods for identifying CSRM scenarios. Each of the potential risk scenarios are analyzed, as described in Section 2.3, to consider specific likelihood and impact on the organization. Throughout these processes, risk data is developed and recorded in cybersecurity risk registers (and risk detail records) in support of ongoing risk communication. This information becomes the input to risk prioritization and response, which is described in NISTIR 8286B. | CSRMの重要な成功要因は、リスク選好度やリスク許容度など、リーダーの期待値を設定することである。本報告書のセクション2.1では、これらの期待値の設定とコミュニケーションの例を示し、CSRMシナリオの特定方法を説明したセクション2.2へのインプットとしています。2.3項に記載されているように、潜在的なリスクシナリオはそれぞれ分析され、具体的な可能性と組織への影響が検討されます。これらのプロセスを通じて、リスクデータが作成され、継続的なリスクコミュニケーションを支援するために、サイバーセキュリティリスクレジスター(およびリスク詳細記録)に記録される。この情報は、NISTIR 8286Bに記載されているリスクの優先順位付けと対応のための情報となります。 |
■ 参考
Supplemental Material:
・ See NISTIR 8286 details for JSON files in Open Risk Register Format (ORRF) (web)
Other Parts of this Publication:
・2020.10.13 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・[PDF] NISTIR 8286
Document History:
・2020.12.24 NISTIR 8286A (Draft)
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286(ドラフト)サイバーセキュリティとエンタープライズリスク管理(ERM)の統合(第2ドラフト)
・2020.03.20 NISTIR 8286(ドラフト)サイバーセキュリティとエンタープライズリスク管理(ERM)の統合
Executive Summary | エグゼクティブ・サマリー |
1 Introduction | 1 はじめに |
1.1 Supporting CSRM as an Integrated Component of ERM | 1.1 ERM の統合コンポーネントとしての CSRM の支援 |
1.2 Purpose and Scope | 1.2 目的と範囲 |
1.3 Document Structure | 1.3 文書構造 |
2 Cybersecurity Risk Considerations Throughout the ERM Process | 2 ERMプロセスを通じたサイバーセキュリティリスクへの配慮 |
2.1 Risk Scope, Context, and Criteria | 2.1 リスクの範囲、文脈、および基準 |
2.1.1 Risk Appetite and Risk Tolerance | 2.1.1 リスクアペタイトとリスク許容度 |
2.1.2 Enterprise Strategy for Cybersecurity Risk Coordination | 2.1.2 サイバーセキュリティリスクを調整するための企業戦略 |
2.1.3 Detailed Risk Integration Strategy | 2.1.3 詳細なリスク統合戦略 |
2.1.4 Enterprise Strategy for Cybersecurity Risk Reporting | 2.1.4 サイバーセキュリティリスクの報告のための企業戦略 |
2.2 Risk Identification | 2.2 リスクの特定 |
2.2.1 Inventory and Valuation of Assets | 2.2.1 資産の棚卸しと評価 |
2.2.2 Determination of Potential Threats | 2.2.2 潜在的脅威の決定 |
2.2.3 Vulnerability Identification | 2.2.3 脆弱性の特定 |
2.2.4 Determining Potential Impact | 2.2.4 潜在的な影響の判断 |
2.2.5 Recording Identified Risks | 2.2.5 特定したリスクの記録 |
2.2.6 Risk Categorization | 2.2.6 リスクのカテゴライズ |
2.3 Detailed Risk Analysis | 2.3 詳細なリスク分析 |
2.3.1 Selecting Risk Analysis Methodologies | 2.3.1 リスク分析手法の選択 |
2.3.2 Techniques for Estimating Likelihood and Impact | 2.3.2 可能性と影響を見積もるための手法 |
2.4 Determination and Documentation of Risk Exposure | 2.4 リスクエクスポージャーの決定と文書化 |
3 Conclusion | 3 まとめ |
References | 参考文献 |
List of Appendices | 附属書のリスト |
Appendix A— Acronyms | 附属書A- 頭字語 |
Appendix B— Notional Example of a Risk Detail Record (RDR) | 附属書B- リスク詳細記録(RDR)の概念的な例 |
List of Figures | 図のリスト |
Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration .iv | 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されている .iv |
Figure 2: NISTIR 8286A Activities as Part ofCSRM/ERM Integration. 1 | 図2:CSRM/ERM統合の一環としてのNISTIR 8286Aの活動。1 |
Figure 3: Integration of Various Risk Management Activities into the Enterprise Risk Register and Risk Profile | 図3:様々なリスクマネジメント活動の企業リスク登録とリスクプロファイルへの統合 |
Figure 4: Notional Cybersecurity Risk Register Template | 図4:想定されるサイバーセキュリティ・リスクレジスターのテンプレート |
Figure 5: Illustration of Enterprise Risk and Coordination | 図5:エンタープライズ・リスクとコーディネーションの図解 |
Figure 6: Continuous Interaction Between ERM and CSRM Using the Risk Register | 図6:リスクレジスターを用いたERMとCSRMの継続的な相互作用 |
Figure 7: CSRR Highlighting Risk Description Column | 図7:リスク記述欄を強調するCSRR |
Figure 8: Inputs to Risk Scenario Identification | 図8:リスクシナリオ特定のための入力事項 |
Figure 9: Threats as an Input to Risk Scenario Identification (Part B) | 図9:リスクシナリオ識別へのインプットとしての脅威(パートB |
Figure 10: Vulnerability Inputs to Risk Scenario Identification (Part C) | 図10:リスクシナリオ同定への入力(パートC)としての脆弱性 |
Figure 11: Adverse Impact Inclusion in Risk Scenario Identification (Part D) | 図11:リスクシナリオ同定への有害な影響の取り込み(パートD |
Figure 12: Example Risk Register with Sample Risk Descriptions | 図12:リスク記述のサンプルを含むリスク登録の例 |
Figure 13: CSRR Highlighting Risk Category and Current Assessment Columns | 図13:リスクカテゴリーと現在の評価欄を強調するCSRR |
Figure 14: Example Three-Point Estimate Graph (Triangle Distribution) | 図14: 三点推定グラフの例(三角分布) |
Figure 15: Example Three-Point Estimate Graph (Normal Distribution) | 図15:三点推定グラフの例(正規分布) |
Figure 16: Example Event Tree Analysis | 図16:イベントツリー分析の例 |
Figure 17: Illustration of a Histogram from a Monte Carlo Estimation Simulation | 図17:モンテカルロ推定シミュレーションによるヒストグラムの例 |
Figure 18: Example Quantitative Analysis Results | 図18:定量的分析結果の例 |
Figure 19: Example Qualitative Analysis Results | 図19:定性分析結果の例 |
Figure 20: Use of a Cybersecurity Risk Register Improves Risk Communications | 図20:サイバーセキュリティ・リスク・レジスターの使用によるリスクコミュニケーションの改善 |
Figure 21: Notional Risk Detail Record | 図21:想定されるリスク詳細記録 |
List of Tables | 表の一覧 |
Table 1: Examples of Risk Appetite and Risk Tolerance | 表1:リスクアペタイトとリスクトレランスの例 |
Table 2: Inputs and Outputs for ERM Governance and Integrated CSRM | 表2:ERMガバナンスと統合CSRMのインプットとアウトプット |
Table 3: Example Threat Modeling Analysis | 表3:脅威のモデル化分析の例 |
Table 4: Example Bias Issues to Avoid in Risk Management | 表4:リスクマネジメントで避けるべきバイアス問題の例 |
Table 5: Example SWOT Analysis | 表5:SWOT分析の例 |
Table 6: Cybersecurity Framework Current State Profiles Help Consider Threats | 表6:脅威の検討に役立つサイバーセキュリティフレームワークの現状のプロファイル |
Table 7: Example Sources of Threat Information | 表7:脅威の情報源の例 |
Table 8: Example Negative and Positive Impact Scenarios | 表8:ネガティブおよびポジティブな影響のシナリオの例 |
« IoT製品・システムを安全に実装するための国際規格 (ISO/IEC 30147) at 2021.06.21 | Main | 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。 »
Comments