NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
こんにちは、丸山満彦です。
NISTが、SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)を公開し、意見募集をしていますね。。。
● NIST
| SP 800-161 Rev. 1 (Draft) Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (2nd Draft) | SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト) |
| Announcement | 発表内容 |
| NIST has just released the second public draft of Special Publication (SP) 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, for public comment. We listened to your comments from earlier this year about the first version, we’ve made new changes, and we are hoping to get your feedback again on our new draft. | NISTは、Special Publication (SP) 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践の第2次ドラフトをパブリックコメント用に公開しました。今年初めにいただいた第1版についての意見に耳を傾け、新たな変更を加え、今回のドラフトでも皆様の意見をいただきたいと考えています。 |
| The initial public draft was published in April of 2021 and preceded the release of the President’s Executive Order (EO) 14028 on Improving the Nation’s Cybersecurity issued on May 12, 2021. This EO charged multiple agencies—including NIST—with enhancing cybersecurity through a variety of initiatives, but with a specific focus on the security and integrity of the software supply chain. | 最初の公開草案は2021年4月に発表され、それに先立って2021年5月12日に発表された「国家のサイバーセキュリティの向上に関する大統領の大統領令(EO)14028」が発表されました。このEOは、NISTを含む複数の機関に対して、さまざまな取り組みを通じてサイバーセキュリティを強化することを求めていますが、特にソフトウェアのサプライチェーンのセキュリティと整合性に焦点を当てています。 |
| What is different about this second version? | 今回の第2版では何が違うのですか? |
| We worked on making the implementation guidance more consumable by different audiences by revising the structure of the document and adding Audience Profiles. We also added two NEW appendices focused more specifically on Federal departments and agencies: | 実施ガイダンスの構成を見直し、想定読者を追加することで、さまざまな人が利用できるようにしました。また、連邦政府の省庁に特化した新たな附属書を2つ追加しました。 |
| APPENDIX E: A Federal Acquisition Supply Chain Security Act of 2018 (FASCSA) appendix, which provides additional guidance tailored to federal executive agencies related to supply chain risk assessment factors, assessment documentation, risk severity levels, and risk response. | 附属書E:2018年連邦調達サプライチェーンセキュリティ法(FASCSA)の附属書であり、サプライチェーンのリスク評価要因、評価文書、リスクの深刻度レベル、リスク対応に関連する連邦行政機関に合わせた追加ガイダンスを提供しています。 |
| APPENDIX F: A Response to Executive Order 14028’s Call to Publish Preliminary Guidelines or Enhancing Software Supply Chain Security appendix, which seeks to provide a response to the directives outlined within Section 4(c) of the EO by outlining existing industry standards, tools, and recommended practices within the context of SP 800-161 Revision 1, as well as any new standards, tools, and recommended practices stemming from the EO and recent developments in the discipline. | 附属書F:大統領令14028の予備ガイドラインの公開またはソフトウェアサプライチェーンセキュリティの強化に関する附属書への対応。これは、大統領令の第4章(c)に概説されている指令への対応を、既存の業界標準、ツール、および SP 800-161 Rev.1 のコンテキスト、および大統領令とこの分野の最近の開発に由来する新しい標準、ツール、および推奨されるプラクティスに対応することを目的としています。 |
| See the "Note to Reviewers" on page iii of the draft for a summary of changes and questions for reviewers to consider. | ドラフトの3ページ目にある「レビュアーへの注意事項」には、レビュアーが検討すべき変更点と質問の概要が記載されています。 |
| Abstract | 概要 |
| Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. | 企業は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバー・サプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。 |
| This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. | 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。 |
・[PDF] SP 800-161 Rev. 1 (Draft)
| 1. INTRODUCTION | 1. 序論 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Target Audience | 1.2. 想定読者 |
| 1.3. Audience Profiles and Document Use Guidance | 1.3. 対象者のプロファイルと文書使用の手引き |
| 1.3.1. Enterprise Risk Management and C-SCRM Owners and Operators | 1.3.1. エンタープライズリスク管理及びC-SCRMのオーナー及び運営者 |
| 1.3.2. Enterprise, Agency, Mission and Business Process Owners and Operators | 1.3.2. エンタープライス、省庁、ミッション及びビジネスプロセスのオーナー及び運営者 |
| 1.3.3. Acquisition and Procurement Owners and Operators | 1.3.3. 取得及び調達のオーナー及び運営者 |
| 1.3.4. Information Security, Privacy, or Cybersecurity operators | 1.3.4. 情報セキュリティ、プライバシー、またはサイバーセキュリティのオペレータ |
| 1.3.5. Systems development, system engineering, and system implementation personnel | 1.3.5. システム開発、システムエンジニアリング、およびシステム実装の担当者 |
| 1.4. Background | 1.4. 背景 |
| 1.4.1. Enterprise’s Supply Chain | 1.4.1. 組織体のサプライチェーン |
| 1.4.2. Supplier Relationships within Enterprises | 1.4.2. 組織体におけるサプライヤーとの関係 |
| 1.5. Relationship to Other Publications and Publication Summary | 1.5. 他の出版物との関係および出版物の概要 |
| 2. INTEGRATION OF C-SCRM INTO ENTERPRISE-WIDE RISK MANAGEMENT | 2. 組織体全体のリスクマネジメントへのC-SCRMの統合 |
| 2.1. The Business Case for C-SCRM | 2.1. C-SCRMのビジネスケース |
| 2.2. Cybersecurity Risk in Supply Chains | 2.2. サプライチェーンにおけるサイバーセキュリティリスク |
| 2.3. Multi-level Risk Management | 2.3. マルチレベルのリスクマネジメント |
| 2.3.1. Roles and Responsibilities Across the Three Levels | 2.3.1. 3つのレベルにまたがる役割と責任 |
| 2.3.2. Level 1—Enterprise | 2.3.2. レベル1-組織体 |
| 2.3.3. Level 2—Mission/Business Process | 2.3.3. レベル2-ミッション/ビジネスプロセス |
| 2.3.4. Level 3—Operational | 2.3.4. レベル3-オペレーション |
| 2.3.5. C-SCRM PMO | 2.3.5. C-SCRM PMO |
| 3. CRITICAL SUCCESS FACTORS | 3. 重要成功要因 |
| 3.1. C-SCRM in Acquisition | 3.1. 取得における C-SCRM |
| 3.1.1. Acquisition in the C-SCRM Strategy and Implementation Plan | 3.1.1. C-SCRM 戦略及び実施計画における取得 |
| 3.1.2. The Role of C-SCRM in the Acquisition Process | 3.1.2. 獲得プロセスにおけるC-SCRMの役割 |
| 3.2. Supply Chain Information Sharing | 3.2. サプライチェーンの情報共有 |
| 3.3. C-SCRM Training and Awareness | 3.3. C-SCRM のトレーニングと意識向上 |
| 3.4. C-SCRM KEY PRACTICES | 3.4. C-SCRMのキー・プラクティス |
| 3.4.1. Foundational Practices | 3.4.1. 基礎的な実践 |
| 3.4.2. Sustaining Practices | 3.4.2. 持続的実践 |
| 3.4.3. Enhancing Practices | 3.4.3. 強化のための施策 |
| 3.5. Capability Implementation Measurement and C-SCRM Measures | 3.5. 能力実装の測定およびC-SCRMの測定 |
| 3.5.1. Measuring C-SCRM Through Performance Measures | 3.5.1. パフォーマンス指標によるC-SCRMの測定 |
| 3.6. Dedicated Resources | 3.6. 専用リソース |
| APPENDIX A: C-SCRM SECURITY CONTROLS | 附属書A:C-SCRMのセキュリティ対策 |
| C-SCRM CONTROLS INTRODUCTION | C-SCRMコントロールの紹介 |
| C-SCRM CONTROLS SUMMARY | C-SCRMコントロールの概要 |
| C-SCRM CONTROLS THROUGHOUT THE ENTERPRISE | 組織体全体におけるC-SCRMの統制 |
| APPLYING C-SCRM CONTROLS TO ACQUIRING PRODUCTS & SERVICES | 製品およびサービスの取得への C-SCRM 規制の適用 |
| SELECTING AND TAILORING IMPLEMENTING C-SCRM SECURITY CONTROLS | C-SCRMのセキュリティ管理を実施するための選択と調整 |
| C-SCRM SECURITY CONTROLS | C-SCRMのセキュリティ対策 |
| FAMILY: ACCESS CONTROL | ファミリー: アクセスコントロール |
| FAMILY: AWARENESS AND TRAINING | ファミリー: 認識とトレーニング |
| FAMILY: AUDIT AND ACCOUNTABILITY | ファミリー: 監査と説明責任 |
| FAMILY: ASSESSMENT, AUTHORIZATION, AND MONITORING | ファミリー: 評価、承認、および監視 |
| FAMILY: CONFIGURATION MANAGEMENT | ファミリー: 構成管理 |
| FAMILY: CONTINGENCY PLANNING | ファミリー: コンティンジェンシー・プランニング |
| FAMILY: IDENTIFICATION AND AUTHENTICATION | ファミリー: 識別と認証 |
| FAMILY: INCIDENT RESPONSE | ファミリー: インシデント対応 |
| FAMILY: MAINTENANCE | ファミリー: メンテナンス |
| FAMILY: MEDIA PROTECTION | ファミリー: メディア保護 |
| FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION | ファミリー: 物理的および環境的保護 |
| FAMILY: PLANNING | ファミリー: 計画 |
| FAMILY: PROGRAM MANAGEMENT | ファミリー: プログラム管理 |
| FAMILY: PERSONNEL SECURITY | ファミリー: 人事セキュリティ |
| FAMILY: PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND | ファミリー: 個人を特定できる情報の処理と透明性 |
| FAMILY: RISK ASSESSMENT | ファミリー: リスクアセスメント |
| FAMILY: SYSTEM AND SERVICES ACQUISITION | ファミリー: システム・サービス取得 |
| FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION | ファミリー: システムと通信の保護 |
| FAMILY: SYSTEM AND INFORMATION INTEGRITY | ファミリー: システムと情報の完全性 |
| FAMILY: SUPPLY CHAIN RISK MANAGEMENT | ファミリー: サプライチェーン・リスクマネジメント |
| APPENDIX B: C-SCRM CONTROL SUMMARY | 附属書B:C-SCRMコントロールの概要 |
| APPENDIX C: RISK EXPOSURE FRAMEWORK | 附属書C:リスクエクスポージャーフレームワーク |
| SAMPLE SCENARIOS | サンプルシナリオ |
| SCENARIO 1: Influence or Control by Foreign Governments Over Suppliers | シナリオ 1:外国政府によるサプライヤーへの影響・支配 |
| SCENARIO 2: Telecommunications Counterfeits | シナリオ 2:電気通信の偽造 |
| SCENARIO 3: Industrial Espionage | シナリオ 3:産業スパイ |
| SCENARIO 4: Malicious Code Insertion | シナリオ 4: 悪意のあるコードの挿入 |
| SCENARIO 5: Unintentional Compromise | シナリオ 5: 意図しないコンプロマイズ |
| SCENARIO 6: Vulnerable Reused Components Within Systems | シナリオ 6:システム内の脆弱な再利用コンポーネント |
| APPENDIX D: C-SCRM TEMPLATES | 附属書D: C-SCRM テンプレート |
| 1. C-SCRM STRATEGY & IMPLEMENTATION PLAN | 1. C-SCRM戦略及び実施計画 |
| 1.1. C-SCRM Strategy & Implementation Plan Template | 1.1. C-SCRM 戦略及び実施計画のテンプレート |
| 2. C-SCRM POLICY | 2. C-SCRM ポリシー |
| 2.1. C-SCRM Policy Template | 2.1. C-SCRM 方針のテンプレート |
| 3. C-SCRM PLAN | 3. C-SCRMプラン |
| 3.1. C-SCRM Plan Template | 3.1. C-SCRM プランテンプレート |
| 4. SUPPLY CHAIN CYBERSECURITY RISK ASSESSMENT TEMPLATE | 4. サプライチェーン・サイバーセキュリティ・リスク評価テンプレート |
| 4.1. C-SCRM Template | 4.1. C-SCRM テンプレート |
| APPENDIX E: FASCSA | 附属書E:FASCSA |
| INTRODUCTION | 序論 |
| Purpose, Audience, and Background | 目的、対象者、および背景 |
| Scope | 対象範囲 |
| Relationship to SP 800-161 Revision 1, Cybersecurity Supply Chain Risk Management | SP 800-161 改訂 1 版との関係 システム及び組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメ ントの実践 |
| Practices for Systems and Organizations | システム及び組織のための実践 |
| SUPPLY CHAIN RISK ASSESSMENTS (SCRAs) | サプライチェーンリスクアセスメント(SCRA)について |
| General Information | 一般的な情報 |
| Baseline Risk Factors (Common, Minimal) | ベースラインリスク要因(共通、最小) |
| Risk Severity Schema | リスク深刻度スキーマ |
| Risk Response Guidance | リスク対応ガイダンス |
| ASSESSMENT DOCUMENTATION AND RECORDS MANAGEMENT | アセスメントの文書化と記録管理 |
| Content Documentation Guidance | コンテンツ文書化のガイダンス |
| Assessment Record | 評価記録 |
| APPENDIX F: RESPONSE TO EXECUTIVE ORDER 14028’s CALL TO PUBLISH PRELIMINARY GUIDELINES FOR ENHANCING SOFTWARE SUPPLY CHAIN | 附属書 F: 大統領令14028の「ソフトウェア・サプライチェーンを強化するための予備ガイド」の発行要請に対する回答 |
| SECURITY | セキュリティ |
| INTRODUCTION | 序論 |
| Purpose | 目的 |
| Scope | 対象範囲 |
| Audience | 聴衆 |
| Relationship to SP 800-161 Rev. 1 | SP 800-161 Rev.1との関係 |
| THE EO THROUGH THE LENS OF SP 800-161 Rev. 1 | SP 800-161 Rev. 1のレンズを通してみた大統領令 |
| EO-Critical Software | 大統領令-クリティカル・ソフトウェア |
| Software Verification | ソフトウェアの検証 |
| Cybersecurity Labeling for Consumers: Internet of Things (IoT) Devices and Software | 消費者のためのサイバーセキュリティ・ラベリング モノのインターネット(IoT)デバイスとソフトウェア |
| Emerging software supply chain concepts | ソフトウェアサプライチェーンの新しいコンセプト |
| Software Bill of Materials (SBOM) | ソフトウェア部品表(SBOM) |
| Enhanced vendor risk assessments | ベンダーリスク評価の強化 |
| Open source software controls | オープンソースソフトウェアの管理 |
| Vulnerability management practices | 脆弱性管理の実践 |
| Additional existing industry standards, tools, and recommended practices | その他の既存の業界標準、ツール、推奨事例 |
| APPENDIX G: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS | 附属書G:リスクマネジメントプロセスにおけるC-Scrm活動 |
| TARGET AUDIENCE | 対象者 |
| ENTERPRISE-WIDE RISK MANAGEMENT & THE RMF | 企業全体のリスク管理とRMF |
| Frame | フレーム |
| Assess | 評価 |
| Respond | 対応 |
| Monitor | モニタリング |
| APPENDIX H: GLOSSARY | 附属書H:用語集 |
| APPENDIX I: ACRONYMS | 附属書I: 用語集(ACRONYMS |
| APPENDIX J: REFERENCES | 附属書J:参考文献 |
| RELATIONSHIP TO OTHER PROGRAMS AND PUBLICATIONS | 他のプログラムや出版物との関係 |
| NIST Publications | NISTの出版物 |
| Regulatory and Legislative Guidance | 規制・立法ガイダンス |
| Other U.S. Government Reports | その他の米国政府報告書 |
| Standards, Guidelines, and Best Practices | 規格、ガイドライン、ベストプラクティス |
| Guidance for Cloud Service Providers | クラウドサービス事業者向けガイダンス |
| METHODOLOGY FOR BUILDING C-SCRM GUIDANCE USING SP 800-39, SP 800-37 REVISION 2, AND NIST SP 800-53 REVISION 5 | SP800-39、SP800-37リビジョン2、NIST SP800-53リビジョン5を用いたC-SCMガイダンス構築の方法論 |
| Integration into Risk Management Process | リスクマネジメントプロセスへの統合 |
| Implementing C-SCRM in the Context of SP 800-37 Revision 2 | SP 800-37 改訂 2 版の文脈における C-SCRM の導入 |
| Enhanced C-SCRM Overlay | 強化されたC-SCRMオーバーレイ |
| FULL LIST OF REFERENCES | 参考文献一覧 |
・[Web] NIST’s Cyber Supply Chain Risk Management Program
関連
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する(暫定ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2021.02.13 NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察
・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
« 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド | Main | ロシア 通信・IT・マスメディア監督連邦サービス(Roskomnadzor) が「Googleが禁止された映像等の削除を繰り返し怠った」として行政上の責任を問うたと公表していますね。。。 »
Comments