« 総務省 AIネットワーク社会推進会議 「報告書2021」の公表 | Main | NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御 »

2021.08.07

SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

こんにちは、丸山満彦です。

NISTが「SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ」を公表し、意見募集をしていますね。。。

変更点として、SP800-53 Rev.5との整合性を図り、ATT&CKを利用した対策の検討ができるようにしていますね。そして、境界防御ではなく、内部からの攻撃にも対応できるような考え方を取り入れていますね。。。

編集者によると5つの重要な変更があるということです。。。

1. NIST SP 800-53, Revision 5 [SP 800-53]との整合性を図るため、サイバーレジリエンシーをサポートするコントロールを更新する。

2. 単一の脅威分類法(すなわち、Adversarial Tactics, Techniques, and Common Knowledge [ATT&CK]フレームワーク)の標準化 [MITRE18]。

3. ATT&CK フレームワークのテクニック、ミティゲーション、ミティゲーション候補への、サイバー・レジリエンシーの実施アプローチとサポートするコントロールの詳細なマッピングと分析を提供する。

4. システムライフサイクルにおけるサイバーレジリエンシーに関する附属書Fを廃止し、NIST SP 800-160 Volume 1の更新に反映させる[SP 800-160 v1]。

5. 附属書 I 、J のサイバーレジリエンスのユースケースと事例を、NIST SP 800-160 第 2 巻のウェブサイト(https://csrc.nist.gov/publications/detail/sp/800-160/vol95 2/final)に移動する(最終的な発行時に利用可能)。

これからブラッシュアップされていくようです。。。

NIST - ITL

・2021.08.05 (press) Developing Cyber-Resilient Systems: Draft SP 800-160 Volume 2 Revision 1 is Available for Comment

・2021.08.05 SP 800-160 Vol. 2 Rev. 1 (Draft) Developing Cyber-Resilient Systems: A Systems Security Engineering Approach

 

SP 800-160 Vol. 2 Rev. 1 (Draft) SP 800-160 Vol.2 Rev.1 (ドラフト)
Developing Cyber-Resilient Systems: A Systems Security Engineering Approach サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ
Announcement 発表
Cyber attacks are a reality. Sometimes even with the best protective measures in place, adversaries can breach perimeter defenses and find their way into systems.  サイバー攻撃は現実のものです。最善の防御策を講じていても、敵対者は境界線の防御を突破し、システムに侵入することがあります。
Draft NIST Special Publication (SP) 800-160, Volume 2, Revision 1, Developing Cyber-Resilient Systems: A Systems Security Engineering Approach, turns the traditional perimeter defense strategy on its head and moves organizations toward a cyber resiliency strategy that facilitates defending systems from the inside out instead of from the outside in. This guidance helps organizations anticipate, withstand, recover from, and adapt to adverse conditions, stresses, or compromises on systems – including hostile and increasingly destructive cyber attacks from nation states, criminal gangs, and disgruntled individuals. ドラフト版NIST Special Publication (SP) 800-160, Volume 2, Revision 1, サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ」は、従来の境界防御戦略を覆し、外部からではなく内部からシステムを防御するためのサイバーレジリエンス戦略へと組織を移行させます。このガイダンスは、国家、犯罪組織、個人による敵対的で破壊的なサイバー攻撃を含む、システムの悪条件、ストレス、侵害を予測し、それに耐え、回復し、適応するために役立ちます。
This major update to NIST’s flagship cyber resiliency publication offers significant new content and support tools for organizations to defend against cyber attacks, including ever-growing and destructive ransomware attacks. The document provides suggestions on how to limit the damage that adversaries can inflict by impeding their lateral movement, increasing their work factor, and reducing their time on target. NISTの代表的なサイバー回復力に関する出版物を大幅に更新したこの文書では、増え続ける破壊的なランサムウェア攻撃を含むサイバー攻撃から組織を守るために、重要な新コンテンツとサポートツールを提供しています。本文書では、敵対者の横方向の動きを妨げ、作業要素を増やし、標的に到達するまでの時間を短縮することで、敵対者が与えるダメージを制限する方法を提案しています。
In particular, the draft publication: 特に、この出版物の草稿では
・Updates the controls that support cyber resiliency to be consistent with NIST SP 800-53, Revision 5 ・NIST SP 800-53, Revision 5との整合性を図るため、サイバーレジリエンシーをサポートするコントロールを更新
・Standardizes a single threat taxonomy (i.e., Adversarial Tactics, Techniques, and Common Knowledge [ATT&CK] framework) ・単一の脅威分類法(Adversarial Tactics, Techniques, and Common Knowledge [ATT&CK]フレームワーク)の標準化
・Provides a detailed mapping and analysis of cyber resiliency implementation approaches and supporting NIST SP 800-53 controls to the ATT&CK framework techniques, mitigations, and candidate mitigations ・ATT&CKフレームワークの技術、緩和策、緩和策候補に対するサイバーレジリエンシーの実装アプローチとNIST SP 800-53のコントロールの詳細なマッピングと分析の提供
Abstract 概要
This publication is used in conjunction with ISO/IEC/IEEE 15288:2015, Systems and software engineering – Systems life cycle processes; NIST Special Publication (SP) 800-160, Volume 1, Systems Security Engineering – Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems; and NIST SP 800-37, Risk Management Framework for Information Systems and Organizations – A System Life Cycle Approach for Security and Privacy. It can be viewed as a handbook for achieving the identified cyber resiliency outcomes based on a systems engineering perspective on system life cycle processes in conjunction with risk management processes, allowing the experience and expertise of the organization to help determine what is correct for its purpose. Organizations can select, adapt, and use some or all of the cyber resiliency constructs (i.e., objectives, techniques, approaches, and design principles) described in this publication and apply the constructs to the technical, operational, and threat environments for which systems need to be engineered. 本書は,ISO/IEC/IEEE 15288:2015「システムおよびソフトウェアエンジニアリング - システム・ライフサイクル・プロセス」,NIST Special Publication (SP) 800-160, Volume 1「システム・セキュリティ・エンジニアリング - 信頼できる安全なシステムのエンジニアリングにおける学際的アプローチのための考慮」,NIST SP 800-37「情報システムと組織のためのリスクマネジメントフレームワーク - セキュリティとプライバシーのためのシステムライフサイクルアプローチ」と併せて使用してください。これは、リスク管理プロセスと連動したシステムライフサイクルプロセスに関するシステム工学の視点に基づいて、特定されたサイバーレジリエンスの成果を達成するためのハンドブックと見なすことができ、組織の経験と専門知識が、その目的に対して何が正しいのかを判断するのに役立ちます。組織は、本書に記載されているサイバーレジリエンスの構成要素(目的、技術、アプローチ、設計原則など)の一部またはすべてを選択、適応、使用し、システムを設計する必要のある技術、運用、脅威の環境に構成要素を適用することができます。


・[PDF] SP 800-160 Vol. 2 Rev. 1 (Draft)

20210807-73655

 

Supplemental Material: Systems Security Engineering (SSE) Project (web)

 


目次です。。。

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用範囲
1.2 TARGET AUDIENCE 1.2 想定読者
1.3 HOW TO USE THIS PUBLICATION 1.3 本書の使用方法
1.4 PUBLICATION ORGANIZATION 1.4 本書の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基本事項
2.1 CYBER RESILIENCY ENGINEERING FRAMEWORK 2.1 サイバーレジリエンス・エンジニアリングの枠組み
2.1.1 Cyber Resiliency Goals 2.1.1 サイバーレジリエンスの目標
2.1.2 Cyber Resiliency Objectives 2.1.2 サイバーレジリエンスの目的
2.1.3 Cyber Resiliency Techniques and Approaches 2.1.3 サイバーレジリエンスの技術とアプローチ
2.1.4 Cyber Resiliency Design Principles 2.1.4 サイバーレジリエンスの設計原則
2.1.5 Relationship Among Cyber Resiliency Constructs 2.1.5 サイバーレジリエンスの構成要素間の関係
2.2 CYBER RESILIENCY IN THE SYSTEM LIFE CYCLE 2.2 システム・ライフサイクルにおけるサイバーレジリエンス
2.3 RISK MANAGEMENT AND CYBER RESILIENCY 2.3 リスク管理とサイバーレジリエンス
CHAPTER THREE CYBER RESILIENCY IN PRACTICE 第3章 サイバーレジリエンスの実践
3.1 SELECTING AND PRIORITIZING CYBER RESILIENCY CONSTRUCTS 3.1 サイバーレジリエンス構成要素の選択と優先順位付け
3.1.1 Achievement of Goals and Objectives 3.1.1 目標・目的の達成
3.1.2 Cyber Risk Management Strategy 3.1.2 サイバーリスクマネジメント戦略
3.1.3 System Type 3.1.3 システムの種類
3.1.4 Cyber Resiliency Conflicts and Synergies 3.1.4 サイバーレジリエンスのコンフリクトとシナジー効果
3.1.5 Other Disciplines and Existing Investments 3.1.5 他の学問分野と既存の投資
3.1.6 Architectural Locations 3.1.6 アーキテクチャの位置
3.1.7 Effects on Adversaries, Threats, and Risks 3.1.7 敵対者、脅威、およびリスクに対する効果
3.1.8 Maturity and Potential Adoption 3.1.8 成熟度と採用の可能性
3.2 ANALYTIC PRACTICES AND PROCESSES 3.2 分析の手法とプロセス
3.2.1 Understand the Context 3.2.1 コンテキストの理解
3.2.2 Develop the Cyber Resiliency Baseline 3.2.2 サイバーレジリエンス・ベースラインの構築
3.2.3 Analyze the System 3.2.3 システムを分析する
3.2.4 Define and Analyze Specific Alternatives 3.2.4 特定の代替案の定義と分析
3.2.5 Develop Recommendations 3.2.5 提言の作成
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 頭字語
APPENDIX C BACKGROUND 附属書C 背景
C.1 DEFINING CYBER RESILIENCY C.1 サイバーレジリエンスの定義
C.2 DISTINGUISHING CHARACTERISTICS OF CYBER RESILIENCY C.2 サイバーレジリエンスの際立った特徴
C.3 RELATIONSHIP WITH OTHER SPECIALITY ENGINEERING DISCIPLINES C.3 他の専門的な工学分野との関係
C.4 RELATIONSHIP BETWEEN CYBER RESILIENCY AND RISK C.4 サイバーレジリエンスとリスクとの関係
APPENDIX D CYBER RESILIENCY CONSTRUCTS 附属書D サイバーレジリエンスの構成要素
D.1 CYBER RESILIENCY GOALS D.1 サイバーレジリエンスの目標
D.2 CYBER RESILIENCY OBJECTIVES D.2 サイバーレジリエンスの目的
D.3 CYBER RESILIENCY TECHNIQUES D.3 サイバーレジリエンスの技術
D.4 CYBER RESILIENCY IMPLEMENTATION APPROACHES D.4 サイバーレジリエンスの導入アプローチ
D.5 CYBER RESILIENCY DESIGN PRINCIPLES D.5 サイバーレジリエンスの設計原則
D.5.1 Strategic Design Principles D.5.1 戦略的設計原則
D.5.2 Structural Design Principles D.5.2 構造設計の原則
D.6 RELATIONSHIPS AMONG CYBER RESILIENCY CONSTRUCTS D.6 サイバーレジリエンスの構成要素の関係
D.7 APPLICATION OF CYBER RESILIENCY CONSTRUCTS D.7 サイバーレジリエンスの構成要素の適用
APPENDIX E CONTROLS SUPPORTING CYBER RESILIENCY 附属書E サイバーレジリエンスを支える統制
APPENDIX F ADVERSARY-ORIENTED ANALYSIS 附属書F 敵対者志向の分析
F.1 POTENTIAL EFFECTS ON THREAT EVENTS F.1 脅威事象に対する潜在的影響
F.2 ANALYSIS OF POTENTIAL EFFECTS OF CYBER RESILIENCY F.2 サイバーレジリエンスの潜在的影響の分析
F.2.1 Assumptions and Caveats F.2.1 前提条件と注意点
F.2.2 Potential Uses of Analysis F.2.2 分析の潜在的用途
F.2.3 Results of Analysis F.2.3 分析の結果
F.2.4 Candidate Mitigations F.2.4 緩和策の候補

 

|

« 総務省 AIネットワーク社会推進会議 「報告書2021」の公表 | Main | NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 総務省 AIネットワーク社会推進会議 「報告書2021」の公表 | Main | NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御 »