NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
こんにちは、丸山満彦です。
NISTは、エンタープライズ・リスク・マネジメント (ERM) の枠組みでサイバーセキュリティリスクを捉えていますよね。。。要は、組織が対応すべきリスクの一つとしてサイバーセキュリティリスクがあり、サイバーセキュリティリスクだけを取り上げるのではなく、全体の中でサイバーセキュリティリスクも捉えるべきということなんですよね。。。
● NIST -ITL
・2021.09.01 NISTIR 8286B (Draft) Prioritizing Cybersecurity Risk for Enterprise Risk Management
NISTIR 8286B (Draft) Prioritizing Cybersecurity Risk for Enterprise Risk Management | NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメントのためのサイバーセキュリティ・リスクの優先順位付け |
Announcement | 発表 |
This report continues an in-depth discussion of the concepts introduced in NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), with a focus on the use of enterprise objectives to prioritize, optimize, and respond to cybersecurity risks. | 本報告書は、NISTIR 8286「サイバーセキュリティとエンタプライズ・リスク。マネジメント(ERM)の統合」で紹介された概念を、サイバーセキュリティ・リスクに優先順位をつけ、最適化し、対応するための組織体の目標の利用に焦点を当てて、詳しく説明しています。 |
The NISTIR 8286 series of documents is intended to help organizations better implement cybersecurity risk management (CSRM) as an integral part of ERM – both taking its direction from ERM and informing it. The increasing frequency, creativity, and severity of cybersecurity attacks mean that all enterprises should ensure that cybersecurity risk is receiving appropriate attention within their ERM programs and that the CSRM program is anchored within the context of ERM. | NISTIR 8286シリーズは、ERMの一環として、サイバーセキュリティ・リスク管理(CSRM)をより効果的に実施できるようにすることを目的としており、ERMから方向性を得ると同時に、ERMに情報を提供しています。サイバーセキュリティ攻撃の頻度、創造性、深刻さが増していることから、すべての組織体はERMプログラムの中でサイバーセキュリティリスクに適切な注意を払い、ERMの文脈の中でCSRMプログラムを定着させる必要があります。 |
This publication draws upon processes and templates described in NISTIR 8286A, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM), and on feedback received on public comment drafts of that report. Draft NISTIR 8286B extends the use of stakeholders’ risk appetite and risk tolerance statements to define risk expectations. It further describes the use of the risk register and risk detail report templates to communicate and coordinate activity. | 本報告書は、NISTIR 8286A「Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM)」に記載されているプロセスとテンプレート、および同報告書のパブリックコメント用ドラフトに寄せられた意見を参考にしています。ドラフトNISTIR 8286Bでは、ステークホルダーのリスクアペタイトやリスクトレランス・ステートメントの使用を拡張して、リスクの期待値を定義しています。さらに、リスクレジスタとリスク詳細報告書のテンプレートを使用して、活動の伝達と調整を行うことが記載されています。 |
Since enterprise resources are nearly always limited, and must also fund other enterprise risks, it is vital that CSRM work at all levels be coordinated and prioritized to maximize effectiveness and to ensure that the most critical needs are adequately addressed. Risk prioritization, risk response, and risk aggregation should be aggregated and optimized to help guide enterprise risk communication and decision-making. Through effective prioritization and response, based on accurate risk analysis in light of business objectives, managers throughout the enterprise will be able to navigate a changing risk landscape and take advantage of innovation opportunities. | 組織体のリソースはほぼ常に限られており、他のエンタープライズリスクにも資金を提供しなければならないため、効果を最大化し、最も重要なニーズに適切に対応するためには、あらゆるレベルのCSRM活動を調整し、優先順位をつけることが不可欠です。リスクの優先順位付け、リスクへの対応、およびリスクの集約は、組織体のリスクコミュニケーションと意思決定の指針となるように集約・最適化されなければなりません。事業目的に照らした正確なリスク分析に基づき、効果的な優先順位付けと対応を行うことで、組織体全体の管理者は、変化するリスクの状況を把握し、イノベーションの機会を活用することができるようになります。 |
A third companion document, NISTIR 8286C, which will detail processes for enterprise-level aggregation and oversight of cybersecurity risks, is being developed and will be available for review and comment in the coming months. | なお、3つ目の付属文書であるNISTIR 8286Cは、組織体レベルでのサイバーセキュリティリスクの集約と監視のためのプロセスを詳細に説明するもので、現在作成中であり、今後数ヶ月のうちにレビューとコメントが可能になる予定です。 |
Abstract | 概要 |
This document is the second in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional detail regarding the enterprise application of cybersecurity risk information; the previous document, NISTIR 8286A, provided detail regarding stakeholder risk guidance and risk identification and analysis. This second publication describes the need for determining the priorities of each of those risks in light of their potential impact on enterprise objectives, as well as options for properly treating that risk. This report describes how risk priorities and risk response information are added to the cybersecurity risk register (CSRR) in support of an overall enterprise risk register. Information about the selection of and projected cost of risk response will be used to maintain a composite view of cybersecurity risks throughout the enterprise, which may be used to confirm and, if necessary, adjust risk strategy to ensure mission success. | 本報告書は,NIST Interagency/Internal Report (NISTIR) 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM)」を補足するシリーズの第2弾です。本シリーズでは、サイバーセキュリティのリスク情報の組織体への適用について、さらに詳しく説明しています。前作のNISTIR 8286Aでは、ステークホルダーのリスクガイダンスやリスクの識別と分析について詳しく説明しました。この第2弾では、組織体目的への潜在的な影響を考慮して、それぞれのリスクの優先順位を決定する必要性と、そのリスクを適切に処理するための選択肢について説明しています。本報告書では、組織体全体のリスク登録を支援するために、リスクの優先順位とリスク対応情報をサイバーセキュリティ・リスク登録(CSRR)に追加する方法を説明しています。リスク対応策の選択と予測コストに関する情報は、組織体全体のサイバーセキュリティリスクの複合的な見解を維持するために使用され、ミッションの成功を確実にするためのリスク戦略を確認し、必要に応じて調整するために使用される可能性があります。 |
・[PDF] NISTIR 8286B (Draft)
Executive Summary | エグゼクティブ・サマリー |
1 Introduction | 1 はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 Supporting the Risk Management Cycle | 1.2 リスクマネジメントサイクルの支援 |
1.3 Supporting the Enterprise Cybersecurity Risk Life Cycle | 1.3 エンタープライズ・サイバーセキュリティ・リスク・ライフサイクルの支援 |
1.4 Document Structure | 1.4 文書構造 |
2 Cybersecurity Risk Considerations | 2 サイバーセキュリティリスクの考慮事項 |
2.1 Assessment, Response, and Monitoring Across Enterprise Levels | 2.1 企業レベルを超えた評価、対応、及び監視 |
2.2 Prioritizing Cybersecurity Risks | 2.2 サイバーセキュリティ・リスクの優先順位付け |
2.2.1 Factors Influencing Prioritization | 2.2.1 優先順位付けに影響を与える要因 |
2.2.2 Cybersecurity Risk Optimization | 2.2.2 サイバーセキュリティリスクの最適化 |
2.2.3 Cybersecurity Risk Priorities at Each Enterprise Level | 2.2.3 各企業レベルにおけるサイバーセキュリティ・リスクの優先順位 |
2.2.4 Considerations of Positive Risks as an Input to ERM | 2.2.4 ERMへのインプットとしてのポジティブリスクの検討 |
2.2.5 Visualizing Risk Priority | 2.2.5 リスク優先度の可視化 |
2.3 Selection of Risk Response Types | 2.3 リスク対応タイプの選択 |
2.3.1 Risk Acceptance | 2.3.1 リスクの受容 |
2.3.2 Risk Avoidance | 2.3.2 リスクの回避 |
2.3.3 Risk Transfer | 2.3.3 リスクの移転 |
2.3.4 Risk Mitigation | 2.3.4 リスクの軽減 |
2.3.5 Relationship of Risk Response to Risk Strategy | 2.3.5 リスク対応とリスク戦略の関係 |
2.3.6 Implicit Acceptance | 2.3.6 暗黙の了解 |
2.3.7 Responding to Positive Risk Scenarios | 2.3.7 肯定的なリスクシナリオへの対応 |
2.4 Finalizing the Cybersecurity Risk Register | 2.4 サイバーセキュリティ・リスク・レジスターの最終決定 |
2.4.1 Risk Response Cost | 2.4.1 リスク対応のコスト |
2.4.2 Risk Response Description | 2.4.2 リスク対応の説明 |
2.4.3 Risk Owner | 2.4.3 リスクオーナー |
2.4.4 Status | 2.4.4 ステータス |
2.5 Conditioning Cybersecurity Risk Register for Enterprise Risk Rollup | 2.5 企業リスクロールアップのためのサイバーセキュリティ・リスク登録の調整 |
Conclusion | まとめ |
References | 参考文献 |
List of Appendices | 附属書リスト |
Appendix A— Acronyms | 附属書A-頭字語 |
List of Figures | 図一覧 |
Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration | 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されています。 |
Figure 2: NISTIR 8286B Activities as part of CSRM/ERM Integration | 図2:NISTIR 8286B CSRM/ERM統合の一環としての活動 |
Figure 3: Inputs to Risk Scenario Identification | 図3:リスクシナリオ特定のためのインプット |
Figure 4: Notional Cybersecurity Risk Register Template | 図4:概念的なサイバーセキュリティ・リスク・レジスターのテンプレート |
Figure 5: ERM and CSRM Actions Apply Common Terms Differently | 図5:ERMとCSRMの活動は、共通の用語を異なって適用する |
Figure 6: Excerpt from a Notional Cybersecurity Risk Register (from NISTIR 8286) | 図6:想定されるサイバーセキュリティ・リスク・レジスターからの抜粋(NISTIR 8286より |
Figure 7: Example Risk Map Illustrating Prioritization of the Risks in Figure 6 | 図7:図6のリスクの優先順位を示したリスクマップの例 |
Figure 8: Alternative Risk Map with Separate Risk and Opportunity Mapping | 図8:リスクとオポチュニティを別々にマッピングした代替リスクマップ |
Figure 9: Risk Response Workflow | 図9:リスク対応のワークフロー |
Figure 10: Example Risk Responses in the CSRR | 図10:CSRRにおけるリスク対応の例 |
Figure 11: RDR Excerpt – Example for an Acceptable Risk | 図11:RDRの抜粋-受容可能なリスクの例 |
Figure 12: RDR Excerpt – Example of Risk Avoidance | 図12:RDRの抜粋-リスク回避の例 |
Figure 13: RDR Excerpt – Example of Risk Transfer | 図13:RDRの抜粋-リスク移転の例 |
Figure 14: RDR Excerpt – Risk Mitigation | 図14:RDRの抜粋-リスクの軽減 |
Figure 15: Monitor-Evaluate-Adjust Management Cycle | 図15:監視-評価-調整のマネジメントサイクル |
Figure 16: RDR Excerpt – Risk Mitigation (Example 2) | 図16:RDRの抜粋-リスクの軽減(例2 |
Figure 17: Notional CSRR Excerpt Showing Risk Response Cost Column | 図17:リスク対応コスト欄を示した想定的なCSRRの抜粋 |
Figure 18: Notional CSRR Excerpt Showing Risk Response Description Column | 図18:リスク対応の説明欄を示した想定上のCSRRの抜粋 |
Figure 19: Notional CSRR Excerpt Showing Risk Owner Column | 図19:想定される CSRR の抜粋 リスクオーナーの欄の表示 |
Figure 20: Notional CSRR Excerpt Showing Risk Status Column | 図20:リスクステータス欄を表示した想定上のCSRR抜粋 |
List of Tables | 表一覧 |
Table 1: Response Types for Negative Cybersecurity Risks | 表1: ネガティブなサイバーセキュリティ・リスクに対する対応タイプ |
Table 2: Response Types for Positive Cybersecurity Risks | 表2: ポジティブなサイバーセキュリティ・リスクに対する対応タイプ |
参考
・[PDF] NISTIR 8286
・[PDF] NISTIR 8286A (Draft)
・[web] NISTIR 8286 Supplemental Material
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286(ドラフト)サイバーセキュリティとエンタープライズリスク管理(ERM)の統合(第2ドラフト)
・2020.06.23 GAOグリーンブックとOMBサーキュラーNo.A-123
・2020.03.20 NISTIR 8286(ドラフト)サイバーセキュリティとエンタープライズリスク管理(ERM)の統合
・2020.03.20 連邦政府機関がサイバーセキュリティフレームワークを使用するためのNISTIR8170アプローチ
・2020.01.21 NIST Releases Version 1.0 of Privacy Framework
古い記事ですが...
・2006.07.30 内部統制の構成要素比較
Comments