NIST 白書 NISTサイバーセキュリティフレームワークと北米電力信頼度協議会 (NERC) 重要インフラ保護基準の最新マッピングの利点
こんにちは、丸山満彦です。
NISTがNISTサイバーセキュリティフレームワークと北米電力信頼度協議会 (NERC) の最新マッピングの利点についての白書を公表していますね。。。
マッピングなので、ページ数は8ページです。。。
● NIST - ITL
White Paper Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards | 白書 NISTサイバーセキュリティフレームワークとNERC重要インフラ保護基準の最新マッピングの利点 |
Abstract | 概要 |
This white paper highlights a recent mapping effort between the North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) standards and the NIST Cybersecurity Framework. Mappings of these two frameworks have been performed in the past; this effort updated the mapping to reflect the currently enforceable NERC CIP Standards and the NIST Cybersecurity Framework v1.1. This white paper helps organizations understand how they can use the mapping to achieve a more mature CIP requirement compliance program while improving their security posture and potentially reducing the organization's security and business risk. | 本白書では、北米電力信頼度協議会(NERC)の重要インフラ保護(CIP)規格と、NISTのサイバーセキュリティフレームワークとの間の最近のマッピング作業を紹介しています。この2つのフレームワークのマッピングはこれまでにも行われてきましたが、今回の作業では、現在施行されているNERC CIP規格とNIST Cybersecurity Framework v1.1を反映させるためにマッピングを更新しました。このホワイトペーパーでは、マッピングを利用して、より成熟したCIP要求事項のコンプライアンスプログラムを実現する方法を理解していただくとともに、セキュリティ態勢を改善し、組織のセキュリティリスクとビジネスリスクを低減できる可能性があります。 |
文字部分だけ...
NERC CIP and the Cybersecurity Framework | NERC CIPとサイバーセキュリティ・フレームワーク |
Every organization in the electricity sector knows that cybersecurity is already a major challenge. | 電力セクターのすべての組織は、サイバーセキュリティがすでに大きな課題であることを知っています。 |
There are a variety of standards and resources that organizations are either required or encouraged to use in managing their unique cybersecurity-related risks. A recent mapping initiative between two major cybersecurity guidance documents can help organizations mature and align their compliance and security programs and better manage risks. | サイバーセキュリティ関連のリスクを管理する上で、組織が使用を義務付けられている、あるいは推奨されている様々な基準やリソースがあります。最近、2つの主要なサイバーセキュリティガイダンス文書の間で行われたマッピングの取り組みは、組織がコンプライアンスとセキュリティプログラムを成熟させ、調整し、リスクをよりよく管理するのに役立ちます。 |
The North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) Reliability Standards [NERC CIP] are a set of requirements designed to mitigate the risk of a compromise that could lead to misoperation or instability in the Bulk Electric System (BES). The scope of the CIP Cyber Security Standards is restricted to BES Cyber Systems that would impact the reliable operation of the BES. The Reliability Standards cover topics like the identification and protection of BES Cyber Assets, defining logical isolation perimeters, personnel and training, BES Cyber System security management, disaster recovery planning, physical security, and supply chain risk management. | 北米電力信頼度協議会(NERC)の重要インフラ保護(CIP)信頼性基準[NERC CIP]は、バルク電気システム(BES)の誤動作や不安定性につながる危害のリスクを軽減するために設計された一連の要件です。CIPサイバーセキュリティ基準の適用範囲は、BESの信頼性の高い運用に影響を与えるBESサイバーシステムに限定されています。信頼性基準は、BESサイバー資産の識別と保護、論理的分離境界の定義、人員とトレーニング、BESサイバーシステムのセキュリティ管理、災害復旧計画、物理的セキュリティ、サプライチェーンのリスク管理などのトピックを扱っています。 |
The Framework for Improving Critical Infrastructure Cybersecurity – commonly referred to as the Cybersecurity Framework [NIST CSF] – is a risk-based approach to help owners and operators of critical infrastructure manage cybersecurity-related risk in a manner complementary to an organization’s existing cybersecurity and risk management processes. The CSF was developed by the National Institute of Standards and Technology (NIST) in close collaboration with the private sector. It is used by organizations of all sizes, in a variety of sectors, and globally. The Framework Core (Core) uses common language to provide a catalog of desired cybersecurity activities and outcomes. Using five concurrent and continuous Functions as an organizing structure—Identify, Protect, Detect, Respond, and Recover—the Core provides a high-level, strategic view of an organization’s management lifecycle for cybersecurity risk. Underlying the five concurrent Functions, the Core identifies 23 Categories (as shown in Table 1) and 108 Subcategories that describe discrete cybersecurity outcomes. The Core also presents informative references for each of the Subcategories that include industry standards, guidelines, and practices. | 重要インフラのサイバーセキュリティ向上のためのフレームワーク(通称:サイバーセキュリティ・フレームワーク(NIST CSF))は、重要インフラの所有者および運営者が、組織の既存のサイバーセキュリティおよびリスク管理プロセスを補完する形で、サイバーセキュリティ関連のリスクを管理するためのリスクベースのアプローチです。CSFは、米国国立標準技術研究所(NIST)が民間企業との緊密な協力のもとに開発したものです。CSFは、あらゆる規模の組織が、さまざまな分野で、世界中で使用しています。フレームワーク・コア(Core)は、共通言語を用いて、望ましいサイバーセキュリティの活動と成果のカタログを提供します。コアは、「識別」「保護」「検知」「対応」「復旧」という5つの同時かつ継続的な機能を組織構造として用いており、サイバーセキュリティリスクに対する組織の管理ライフサイクルをハイレベルかつ戦略的に捉えています。5つの機能の下には、23のカテゴリー(表1に示す)と108のサブカテゴリーがあり、サイバーセキュリティの個別の成果を示しています。また、各サブカテゴリーには、業界標準、ガイドライン、プラクティスなどの参考文献が掲載されています。 |
These informative references provide practical suggestions for how organizations can achieve the desired outcome of each Subcategory. An example of two Subcategories within the Supply Chain Risk Management Category is shown in Table 2. A dynamic set of informative references is available through the NIST Online Informative References (OLIR) Program [OLIR]. | これらの参考文献は、組織が各小分類の望ましい結果を達成するための実践的な提案を提供しています。サプライチェーンリスクマネジメント」カテゴリーの2つのサブカテゴリーの例を表2に示す。参考文献の動的なセットは、NIST Online Informative References (OLIR) Program [OLIR]を通じて利用できます。 |
These two approaches to cybersecurity—NERC’s Standards-driven cybersecurity requirements and NIST’s framework for assessing and mitigating cybersecurity risk—are complementary. A recent International Energy Agency report [IEA] on cyber resilience in electricity systems emphasizes the need to combine requirements-driven regulatory approaches with frameworkbased management strategies to ensure power grid cybersecurity. NERC and NIST personnel have partnered to update the mapping between NERC CIP and the CSF to provide confidence to organizations seeking to secure their electric system infrastructure and operations. | サイバーセキュリティに対するこれら2つのアプローチ-NERCの基準に基づくサイバーセキュリティ要件とNISTのサイバーセキュリティリスクの評価と軽減のためのフレームワーク-は補完的なものです。電力システムにおけるサイバーレジリエンスに関する国際エネルギー機関(IEA)の最近の報告書では、電力網のサイバーセキュリティを確保するために、要求事項に基づく規制アプローチとフレームワークに基づく管理戦略を組み合わせる必要性が強調されています。NERCとNISTは共同でNERC CIPとCSFのマッピングを更新し、電力システムのインフラと運用の安全性を確保しようとする組織に信頼性を提供しています。 |
The Mapping | マッピング |
An initial mapping between the CSF v1.0 and NERC CIP Standards (both Versions 3 and 5) was completed in late 2014 by the NERC Control Systems Security Working Group, which was part of the former NERC Critical Infrastructure Protection Committee. Since that time, both the NERC CIP Standards and the CSF have been updated, and a new mapping was needed. Building on the 2014 effort, NERC and NIST updated the mapping to reflect the CSF v1.1 and latest NERC CIP Reliability Standards. In the spring of 2020, the NERC Compliance Input Working | CSF v1.0とNERC CIP規格(バージョン3と5の両方)の間の最初のマッピングは、旧NERC重要インフラ保護委員会の一部であったNERC Control Systems Security Working Groupによって2014年後半に完了しました。その時以来、NERC CIP規格とCSFの両方が更新され、新しいマッピングが必要になりました。2014年の取り組みを基に、NERCとNISTはマッピングを更新し、CSF v1.1と最新のNERC CIP信頼性基準を反映させました。2020年の春、NERCコンプライアンス入力作業部会 |
Group—now known as the Security Working Group (SWG) that is a part of the Reliability and Security Technical Committee—reviewed the mapping and provided recommendations for improving the resource. | グループ(現在はReliability and Security Technical Committeの一部であるSecurity Working Group(SWG))がマッピングをレビューし、リソースを改善するための推奨事項を提供しました。 |
The final mapping [Mapping] includes three distinctive spreadsheet tabs, described as follows: | 最終的なマッピング[Mapping]には、以下の3つの特徴的なスプレッドシートのタブが含まれています。 |
• NIST CSF 1.1 to CIP v5 is oriented toward the CSF Subcategories. This tab shows the NERC CIP Standards that map to each Subcategory of the CSF Core. A row is included for each unique mapping between a NERC CIP Standard and a CSF Subcategory. For that reason, a Subcategory may appear in consecutive rows. For example, the Subcategory ID.AM-1 has two rows because two NERC CIP Standards map to that Subcategory. Each row also includes a justification for the mapping, provides mappings to relevant Cybersecurity Capability Maturity Model (C2M2) practices [C2M2], and lists industry recommended implementation guidance. | ・ NIST CSF 1.1 to CIP v5」は、「CSFサブカテゴリー」を示しています。このタブには、CSFコアの各サブカテゴリに対応するNERC CIP規格が表示されます。NERC CIPスタンダードとCSFサブカテゴリーの間のユニークなマッピングには、それぞれ行が含まれています。そのため、サブカテゴリーは連続した行に表示されることがある。例えば、サブカテゴリーID.AM-1は、2つのNERC CIP規格がそのサブカテゴリーにマッピングされているため、2行ある。また、各行にはマッピングの正当性を示し、関連するサイバーセキュリティ能力成熟度モデル(C2M2)のプラクティス[C2M2]へのマッピングを提供し、業界が推奨する実装ガイダンスを記載している。 |
• CIPv5 to CSF 1.1 XREF reverses the mapping (i.e., focusing on NERC CIP Standards) and lists the CSF Subcategories that align with each NERC CIP Standard requirement. A NERC CIP Standard (e.g., CIP-002-5.1a-R1) may span multiple rows if it contains multiple requirements (e.g., CIP-002-5.1a-R1-1.1). | ・ CIPv5からCSF 1.1へのXREFでは、マッピングを逆にして(つまりNERC CIP規格に焦点を当てて)、各NERC CIP規格の要件に整合するCSFサブカテゴリーをリストアップしています。NERC CIP規格(例:CIP-002-5.1a-R1)が複数の要件(例:CIP-002-5.1a-R1-1.1)を含む場合、複数の行にまたがることがある。 |
• Pivot shows the same information as the “CIPv5 to CSF 1.1 XREF” tab but is configurable. Users can expand or minimize each NERC CIP Standard. They can also choose additional information to view, including Function, Category, and Subcategory information from the Cybersecurity Framework; C2M2 maturity indicator levels for each Subcategory; or guidance from the first tab. | ・ Pivotは、"CIPv5 to CSF 1.1 XREF "タブと同じ情報を表示しますが、設定が可能です。ユーザーは各NERC CIP Standardを拡大または縮小することができます。また、Cybersecurity FrameworkのFunction、Category、Subcategoryの情報、各SubcategoryのC2M2成熟度指標レベル、最初のタブのガイダンスなど、表示する追加情報を選択することができます。 |
Compliance and Security | コンプライアンスとセキュリティ |
The mapping spreadsheets show which Subcategories—and the informative references by extension—can help organizations achieve a more mature CIP requirement compliance program. Along with the compliance maturity, the user gains additional resources on how to improve their security posture and potentially reduce their organization’s security and business risks. The OLIR program can help users find additional informative references for each CIP Requirement, making the compliance programs more efficient and effective. | マッピングスプレッドシートは、どのサブカテゴリーと、それに付随する参考文献が、組織がより成熟したCIP要件のコンプライアンスプログラムを達成するのに役立つかを示しています。コンプライアンスの成熟度とともに、ユーザはセキュリティ体制を改善し、組織のセキュリティおよびビジネスリスクを低減するための追加リソースを得ることができます。OLIRプログラムでは、各CIP要求事項に関する追加の参考資料を見つけることができ、コンプライアンスプログラムをより効率的かつ効果的にすることができます。 |
To gain a quick understanding of a Subcategory and how it could apply to the CIP program, a user can look at the Guidance column in the “NIST CSF 1.1 to CIP v5” tab. Industry subject matter experts developed this guidance; however, this guidance is limited to a generic, low level of detail. | サブカテゴリーとそれがCIPプログラムにどのように適用されるかを簡単に理解するには、「NIST CSF 1.1 to CIP v5」タブの「ガイダンス」欄を見るとよいでしょう。業界の専門家がこのガイダンスを作成しましたが、このガイダンスは一般的で低レベルのものに限られています。 |
In contrast to the high-level guidance, an organization can utilize the mapping, along with the informative references, to develop an in-depth program to reduce risks across the board. The wealth of information in the Core’s informative references is immense; this mapping offers a good first step for users unsure of where to start. For example, if the goal is to implement a more mature baseline program, the pivot table can be used to look for CIP-010-2 Requirement R1; eight Subcategories that map to that CIP Requirement are shown. Consider two of these Subcategories: Protect (PR) Data Security (DS) Subcategories 6 and 7. PR.DS-6 states, “Integrity checking mechanisms are used to verify software, firmware, and information integrity,” and PR.DS-7 states, “the development and testing environment(s) are separate from the production environment.” These outcomes sound desirable, but it is not immediately clear from this description how an organization could achieve that goal. The Core’s list of informative references can help users understand the steps their organization can take to realize the outcomes. For PR.DS-6, the Core lists these informative references: | 高レベルのガイダンスとは対照的に、組織はマッピングと参考文献を活用して、全体的なリスクを低減するための詳細なプログラムを開発することができます。コアの参考文献には膨大な情報が掲載されていますが、このマッピングは、どこから手をつけてよいかわからないユーザーにとって、よい第一歩となります。例えば、より成熟したベースラインプログラムを実施することが目的であれば、ピボットテーブルを使ってCIP-010-2の要件R1を探し、そのCIP要件に対応する8つのサブカテゴリーを表示します。これらのサブカテゴリーのうち2つを考えてみましょう。PR(Protect)データセキュリティ(DS)のサブカテゴリー6と7です。PR.DS-6 は、「ソフトウェア、ファームウェア、および情報の完全性を検証するために、完全性チェックメカニズムが使用されている」とし、PR.DS-7 は、「開発およびテスト環境が本番環境から分離されている」としています。これらの結果は望ましいことのように聞こえますが、組織がどのようにしてその目標を達成できるのか、この記述からはすぐにはわかりません。Coreの参考文献リストは、ユーザーが成果を実現するために組織が取ることのできるステップを理解するのに役立ちます。PR.DS-6では、以下の参考文献を掲載しています。 |
• Center for Internet Security (CIS) Controls [CIS] o 2 and 3 | ・ Center for Internet Security (CIS) Controls [CIS] o 2 and 3 |
• Control Objectives for Information and Related Technologies (COBIT) 5 [COBIT] o API01.06, BAI06-01, and DSS06-02 | ・ Control Objectives for Information and Related Technologies (COBIT) 5 [COBIT] o API01.06, BAI06-01, and DSS06-02 |
• International Society of Automation (ISA) 62443-3-3:2013 [ISA] o SR 3.1, SR 3.3, SR 3.4, and SR 3.8 | ・ 国際自動化学会 (ISA) 62443-3-3:2013 [ISA] o SR 3.1, SR 3.3, SR 3.4, and SR 3.8 |
• International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 27001:2013 [ISO] o A.12.2.1, A.12.5.1, A.14.1.2, A.14.1.3, and A.14.2.4 | ・ 国際標準化機構(ISO)/国際電気標準会議(IEC) 27001:2013 [ISO] o A.12.2.1、A.12.5.1、A.14.1.2、A.14.1.3、および A.14.2.4 |
• NIST Special Publication (SP) 800-53 Rev 4 [SP800-53] o SC-16 and SI-17 | ・ NIST Special Publication (SP) 800-53 Rev 4 [SP800-53] o SC-16 及び SI-17 |
With these informative references, an organization will be able to develop an action plan. An organization could add even more depth by looking at NIST’s OLIR program for additional informative references. The mapping is intended to help an organization mature its compliance and security programs, as they should be aligned. Subject matter experts are developing a companion tool to facilitate industry use of the NERC CIP-to-CSF mapping. The tool uses the mapping to help organizations self-assess their current security and compliance posture and develop an improvement plan for addressing identified gaps. The tool is the result of a collaborative effort by industry volunteers from NERC’s Reliability and Security Technical Committee Security Working Group and representatives from NERC and NIST. |
これらの参考資料があれば、組織はアクションプランを策定することができます。また、NISTのOLIRプログラムを参考にすることで、より詳細な情報を得ることができます。このマッピングは、組織がコンプライアンスプログラムとセキュリティプログラムを連携させて成熟させることを目的としています。NERC CIPとCSFのマッピングを業界で利用するために、専門家がコンパニオンツールを開発しています。このツールは、マッピングを利用して、組織が現在のセキュリティとコンプライアンスの態勢を自己評価し、特定されたギャップに対処するための改善計画を策定するのに役立ちます。このツールは、NERCのReliability and Security Technical Committee Security Working Groupに所属する業界ボランティアと、NERCおよびNISTの代表者が共同で開発したものです。 |
« NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施 | Main | NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項 »
Comments