NIST SP 800-47 Rev.1 情報交換におけるセキュリティ管理 Managing the Security of Information Exchanges

こんにちは、丸山満彦です。

今年の1月にドラフトが発表され、意見募集がされていたNIST SP 800-47 Managing the Security of Information Exchangesが確定していますね。。。18年ぶりの改訂で、名称が「ITシステム相互接続セキュリティガイド」から「情報交換におけるセキュリティ管理」に変わっていますね。。。

日本もこういうガイドをつくればよいのにね。。。とか。。。

● NIST - ITL

・2021.07.20 SP 800-47 Rev. 1 Managing the Security of Information Exchanges

・[PDF] SP 800-47 Rev. 1

Abstract	概要
An organization often has mission and business-based needs to exchange (share) information with one or more other internal or external organizations via various information exchange channels; however, it is recognized that the information being exchanged also requires the same or similar level of protection as it moves from one organization to another (protection commensurate with risk).	組織は、さまざまな情報交換チャネルを介して、社内外の複数の組織と情報交換（共有）したいと いうミッションや事業上の必要性がしばしばあり、その場合、交換される情報は、ある組織から別の組織に移る際には、同程度の保護 （リスクに見合った保護）が必要であると理解されている。
This publication focuses managing the protection of the information being exchanged or accessed before, during, and after the exchange rather than on any particular type of technology-based connection or information access or exchange method and thus provides guidance on identifying information exchanges, considerations for protecting exchanged information, and the agreement(s) needed to help manage protection of the exchanged information. Organizations are expected to tailor the guidance to meet specific organizational needs and requirements regarding the information exchange.	本書では、技術ベースの特定の接続や情報アクセス、交換方法ではなく、交換前、交換中、交換後の情報の保護管理に焦点を当て、情報交換の特定、交換された情報を保護するための考慮事項、および交換された情報の保護管理を支援するために必要な契約についてのガイダンスを提供する。組織は、情報交換に関する特定の組織の必要性や要求事項を満たすために、ガイダンスを適宜修正して利用するべきと考えている。

 

概要は、

Executive Summary	エグゼクティブサマリー
Managing the Security of Information Exchanges provides guidance for planning, establishing, maintaining, and discontinuing information exchange and access between systems that are owned and operated by different organizations (internal or external) or that cross authorization boundaries. The guidance is consistent with the requirements specified in the Office of Management and Budget (OMB) Circular A-130 for the secure management of information exchanges.	「情報交換のセキュリティ管理」は、異なる組織（内部または外部）が所有・運営するシステム間の情報交換やアクセスを計画、確立、維持、中止するためのガイダンスです。このガイダンスは、情報交換を安全に管理するために、行政管理予算局（OMB）のCircular A-130に規定されている要件と一致しています。
This guidance defines the scope of information exchange, describes the benefits of the secure management of information exchange, identifies types of information exchanges, discusses potential security risks associated with information exchange, and discusses several types of agreements that may be applied by organizations with a mission or business need to exchange information.	このガイダンスでは、情報交換の範囲を定義し、情報交換を安全に管理することの利点を説明し、情報交換の種類を特定し、情報交換に関連する潜在的なセキュリティリスクを議論し、情報交換のミッションやビジネスニーズを持つ組織が適用できるいくつかのタイプの契約について説明しています。
An approach for securely managing information exchange between systems and organizations is presented. The following four phases of information exchange management are addressed:	システムや組織間の情報交換を安全に管理するためのアプローチが示されています。情報交換管理の以下の4つのフェーズを取り上げています。
1. Planning the information exchange: The participating organizations perform preliminary activities; examine all relevant technical, security, and administrative issues; and develop an appropriate agreement to govern the management and use of the information and how it is to be exchanged (e.g., via a dedicated circuit or virtual private network, database sharing, cloud- or web-based services, or simple file exchange).	1. 情報交換の計画：参加組織は、予備活動を行い、関連するすべての技術、セキュリティ、および管理上の問題を検討し、情報の管理と使用、および情報交換の方法（専用回線や仮想プライベートネットワーク、データベースの共有、クラウドやウェブベースのサービス、または単純なファイル交換など）を管理するための適切な契約を締結する。
2. Establishing the information exchange: The organizations develop and execute a plan for establishing the information exchange, including implementing or configuring appropriate security controls and developing and signing appropriate agreements.	2. 情報交換の確立：組織は、情報交換を確立するための計画を策定し、実行する。この計画には、適切なセキュリティ管理の実施または設定、および適切な契約の作成と締結が含まれる。
3. Maintaining the exchange and associated agreements: The organizations actively maintain the security of the information exchange after it is established and ensure that the terms of the associated agreements are met and remain relevant, including reviewing and renewing the agreements at an agreed-upon frequency.	3. 情報交換および関連契約の維持：情報交換が確立された後、組織は積極的にそのセキュリティを維持し、合意された頻度で契約を見直し、更新することを含め、関連する契約の条件が満たされ、適切であり続けることを保証する。
4. Discontinuing the information exchange: Information exchange may be temporary, or at some point, the organizations may need to discontinue the information exchange. Whether the exchange was temporary or long-term, the conclusion of an information exchange is conducted in a manner that avoids disrupting any other party’s system. In response to an incident or other emergency, however, the organizations may decide to discontinue the information exchange immediately.	4. 情報交換の中止：情報交換は一時的な場合もあれば、ある時点で組織が情報交換を中止しなければならない場合もあります。情報交換が一時的なものであっても長期的なものであっても、情報交換の終了は、他の当事者のシステムを混乱させない方法で行われる。しかし、事件やその他の緊急事態に対応するために、組織は情報交換を直ちに中止することを決定する場合がある。
This publication provides recommended steps for completing each phase with an emphasis on the security measures necessary to protect the shared data.	本書では、共有データを保護するために必要なセキュリティ対策に重点を置いて、各フェーズを完了するための推奨手順を説明しています。
Also included is information for selecting and developing appropriate information exchange agreements and agreement templates. Agreements specify the responsibilities of participating organizations and the technical and security requirements for the information exchange.	また、適切な情報交換契約書および契約書テンプレートの選択と作成に関する情報も含まれています。契約書には、参加組織の責任、情報交換のための技術的およびセキュリティ上の要件が明記されています。

 

目次は、、、

Executive Summary	エグゼクティブ・サマリー
1  Introduction	1 はじめに
1.1  Purpose and Applicability	1.1 目的と適用性
1.2 Target Audience	1.2 想定読者
1.3 Organization of this Publication	1.3 本書の構成
2  The Fundamentals	2 基本的事項
2.1 Information Exchange	2.1 情報交換
2.1.1 System Interconnections	2.1.1 システムの相互接続
2.1.2 Methods of Information Exchange	2.1.2 情報交換の方法
2.2 Information Exchange: Accessing or Transferring the Information	2.2 情報交換：情報へのアクセスまたは情報の転送
3  Information Exchange Security Management	3 情報交換のセキュリティ管理
3.1. Planning an Information Exchange	3.1. 情報交換の計画
3.1.1 Step 1: Establish a Joint Planning Team	3.1.1 ステップ1：共同企画チームの設立
3.1.2  Step 2: Define the Business Case	3.1.2 ステップ2: ビジネスケースの定義
3.1.3  Step 3: Apply the NIST Risk Management Framework	3.1.3 ステップ3: NISTリスクマネジメントフレームワークの適用
3.1.4  Step 4: Identify Specific Protection Requirements	3.1.4 ステップ4：特定保護要件の特定
3.1.5  Step 5: Document Appropriate Agreements	3.1.5 ステップ5: 適切な合意の文書化
3.1.6 Step 6: Approve or Reject the Information Exchange	3.1.6 ステップ6：情報交換の承認または否認
3.1.7 Emergency Information Exchange	3.1.7 緊急時の情報交換
3.2 Establishing the Information Exchange	3.2 情報交換の確立
3.2.1 Step 1: Develop an Implementation Plan	3.2.1 ステップ1：実施計画の策定
3.2.2 Step 2: Execute the Implementation Plan	3.2.2 ステップ2：実施計画の実行
3.2.3 Step 3: Activate the Information Exchange	3.2.3 ステップ3：情報交換の有効化
3.3 Maintaining the Information Exchange	3.3 情報交換の維持
3.3.1 Maintain Clear Lines of Communication	3.3.1 明確なコミュニケーションラインの維持
3.3.2 Maintain Systems and System Components	3.3.2 システムおよびシステムコンポーネントの維持
3.3.3 Manage User Accounts	3.3.3 ユーザーアカウントの管理
3.3.4 Conduct Security Assessments	3.3.4 セキュリティ評価の実施
3.3.5 Analyze Event Logs	3.3.5 イベントログの分析
3.3.6 Report and Respond to Security Incidents	3.3.6 セキュリティインシデントの報告と対応
3.3.7 Coordinate Contingency Planning Activities	3.3.7 緊急時計画活動の調整
3.3.8 Manage Configuration Changes	3.3.8 設定変更の管理
3.3.9 Review and Maintain System Security Plans and Applicable Agreements	3.3.9 システムセキュリティ計画および適用協定の見直しと維持
3.3.10 Review the Continued Need for the Information Exchange	3.3.10 情報交換を継続する必要性の見直し
3.4 Discontinuing the Information Exchange	3.4 情報交換の中止
3.4.1 Planned Discontinuance	3.4.1 計画的中止
3.4.2 Emergency Discontinuance	3.4.2 緊急中止
3.4.3 Resumption of Interconnection	3.4.3 相互接続の再開
References	参考文献