ENISA 相互運用可能なEUのリスク管理フレームワーク
こんにちは、丸山満彦です。
ENISAが相互運用可能なEUのリスク管理フレームワークという文書を公表していますね。。。リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。
1. ISO/IEC 27005:2018
2. NIST SP 800-37
3. NIST SP 800-30
4. NIST SP 800-39
5. BSI STANDARD 200-2
6. OCTAVE-S
7. OCTAVE ALLEGRO
8. OCTAVE FORTE
9. ETSI TS 102 165-1 (TVRA)
10. MONARC
11. EBIOS RM
12. MAGERIT v.3
13. ITSRM²
14. MEHARI
15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0
16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS
NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきませんね。。。
● ENISA
・2022.01.13 How to achieve the Interoperability of EU Risk Management Frameworks
| How to achieve the Interoperability of EU Risk Management Frameworks | EUのリスク管理フレームワークの相互運用性を実現するには |
| The European Union Agency for Cybersecurity (ENISA) issues an analysis of the interoperability potential of cybersecurity risk management frameworks and methodologies to improve decision-making. | 欧州連合サイバーセキュリティ機関(ENISA)は、意思決定を改善するために、サイバーセキュリティのリスク管理フレームワークと方法論の相互運用性の可能性についての分析を発行しています。 |
| The report (Interoperable EU Risk Management Framework) published today is primarily designed to assess the existing risk management frameworks and methodologies in order to identify those with the most prominent interoperable features. | 本日発行された報告書「相互運用可能なEUのリスク管理フレームワーク」は、既存のリスク管理フレームワークと方法論を評価し、最も顕著な相互運用性を持つフレームワークを特定することを主な目的としています。 |
| What is security risk management? | セキュリティリスクマネジメントとは? |
| Information security risk management consists of the coordinated activities of an organisation in order to control information security risks. These activities are inscribed in a process allowing to: | 情報セキュリティ・リスク管理は、情報セキュリティ・リスクをコントロールするための組織の調整された活動で構成されています。これらの活動は、以下を可能にするプロセスに組み込まれています。 |
| ・establish the external and internal context; | ・外部および内部の状況を確立する。 |
| ・assess the risks and decide whether to address the risks; | ・リスクを評価し、そのリスクに対処するかどうかを決定する。 |
| ・draw a plan to implement decisions made on how to manage the risks. | ・リスクを管理する方法についての決定を実行するための計画を策定する。 |
| In order to reduce the risks to an acceptable level, the process includes an analysis of the likelihood of potential security breaches prior to making the decision on solutions to implement. | リスクを許容範囲内に抑えるために、このプロセスでは、実施すべきソリューションを決定する前に、潜在的なセキュリティ侵害の可能性を分析します。 |
| About the report | 本報告書について |
| A systematic survey of risk management approaches was performed in different contexts such as industry, business, government, academia, etc. The process included a variety of inclusion criteria ranging from best practices, methodologies proposed as standards and guidelines by international and national standardisation bodies, etc. | 産業界、企業、政府、学界など、さまざまな文脈において、リスクマネジメントのアプローチに関する体系的な調査を行いました。この調査では、ベストプラクティス、国際的な標準化団体や国内の標準化団体が標準やガイドラインとして提案している方法論など、さまざまな基準が盛り込まれています。 |
| Key European stakeholders interviewed could share their views which were considered in the process and shaped the analysis of the outcomes. This resulted in: | インタビューを行った欧州の主要なステークホルダーは、それぞれの意見を共有することができ、それらはプロセスで考慮され、結果の分析に反映されました。その結果、以下のような成果が得られた。 |
| 1. A new ENISA inventory of risk management frameworks and methodologies; | 1. リスク管理のフレームワークと方法論に関するENISAの新しいリスト |
| 2. A study on the way to evaluate and categorise European Risk Management Frameworks based on their interoperability potential including a baseline of an EU-wide interoperability framework. | 2. EU全体の相互運用性フレームワークのベースラインを含む、相互運用性の可能性に基づいて欧州のリスク管理フレームワークを評価し分類する方法に関する研究。 |
| Key outcomes of the report | 報告書の主な成果 |
| The analysis and research performed resulted in the compilation of the following information: | 分析・調査の結果、以下のような情報が得られました。 |
| the identification of fully developed national and sectorial risk management frameworks and methodologies and their components; | 完全に開発された国家および部門別のリスク管理フレームワークと方法論、およびそれらの構成要素の特定。 |
| the identification of specific features such as national or international scope, target sectors, size of target audience, maturity, compliance with relevant standards, compatibility with EU regulation and legislation, etc. | 国内または国際的な範囲、対象部門、対象者の規模、成熟度、関連規格への準拠、EU規制・法律との互換性など、具体的な特徴の特定。 |
| the development of a methodology for the assessment of the interoperability potential of the identified frameworks based on a set of factors such as risk identification, risk assessment and risk treatment; | リスクの特定、リスクの評価、リスクの処理などの一連の要素に基づいて、特定されたフレームワークの相互運用性の可能性を評価するための方法論の開発。 |
| the application of the methodology to identify frameworks with a higher interoperability potential. | より高い相互運用性を持つフレームワークを特定するための方法論の適用。 |
| The elements gathered in the study serve the purpose of providing keys to potentially form a more coherent EU-wide risk management framework. | 本研究で収集された要素は、より首尾一貫したEU全体のリスク管理フレームワークを形成する可能性の鍵を提供することを目的としている。 |
| Besides, the report includes a proposal for a new ENISA inventory of risk management frameworks and methodologies: the Compendium of Risk Management Frameworks with Potential Interoperability. | また、本報告書には、リスク管理フレームワークと方法論に関するENISAの新しいインベントリー「相互運用性のあるリスク管理フレームワークの概要」の提案が含まれている。 |
| Background | 背景 |
| Risk management is the process of identifying, quantifying, and managing the risks an organisation faces. The process aims to reach an efficient balance between the opportunities available to enhance prevention of cyber risks and reducing the vulnerabilities and losses. As an integral part of management practices and an essential element of good governance, risk management needs to be seeking to support organisational improvement, performance and decision-making. | リスク管理とは、組織が直面するリスクを特定し、定量化し、管理するプロセスである。このプロセスは、サイバーリスクの防止を強化するために利用可能な機会と、脆弱性や損失の低減との間で、効率的なバランスをとることを目的としている。経営慣行の不可欠な部分であり、優れたガバナンスの不可欠な要素であるリスク管理は、組織の改善、パフォーマンス、意思決定を支援するために求める必要がある。 |
| ENISA contributes to risk management by collecting, analysing and classifying information in the area of emerging and current risks and the evolving cyber threat environment. | ENISAは、新たなリスクや現行のリスク、進化するサイバー脅威環境の分野で情報を収集、分析、分類することで、リスク管理に貢献している。 |
| The aim of this work was not to build yet another risk management framework from scratch. It rather serves the purpose to exploit parts of existing schemes, based on the inventory work done in the introductory step of this project. | この作業の目的は、ゼロから新たなリスク管理フレームワークを構築することではない。むしろ、本プロジェクトの導入段階で行った棚卸し作業に基づいて、既存の枠組みの一部を利用することを目的としている。 |
| As next steps ENISA is planning to: | 次のステップとして、ENISAは以下を計画している。 |
| ・Define interoperable terms between EU risk management frameworks & regulatory frameworks; | ・EUのリスク管理フレームワークと規制フレームワークの間で相互運用可能な用語を定義する。 |
| ・Develop common/comparative risk; | ・共通/比較リスクの開発 |
| ・Create a Methodology & Protocol that helps Member States with the uptake of interoperability of proposed risk management framework. | ・提案されているリスク管理フレームワークの相互運用性を加盟国が導入する際に役立つ方法論とプロトコルを作成する。 |
| Further information | その他の情報 |
| Interoperable EU Risk Management Framework | 相互運用可能なEUリスク管理フレームワーク |
| Compendium of Risk Management Frameworks | リスク管理フレームワームの概要 |
| Inventory of risk management frameworks and methodologies | リスク管理のフレームワークと方法論の目録 |
| ENISA risk management/risk assessment (RM/RA) framework: Guidelines on assessing Digital Service Providers (DSP) security and Operators of Essential Services (OES) compliance with the NISD security requirements | ENISAリスク管理/リスクアセスメント(RM/RA)フレームワーク デジタルサービスプロバイダ(DSP)のセキュリティと、基幹サービス事業者(OES)のNISDセキュリティ要件への準拠を評価するためのガイドライン |
| Risk Management topic | リスク管理に関するトピック |
・2022.01.13 Interoperable EU Risk Management Framework
| Interoperable EU Risk Management Framework | 相互運用可能なEUのリスク管理フレームワーク |
| This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. | 本報告書は、リスク管理(RM)のフレームワークと方法論の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するために用いた方法論は、文献の広範な調査に基づいており、その結果、この目的のために特定のRMフレームワークの特徴を使用している。相互運用性の評価に関連するものとして特定されたこれらの機能は、各フレームワーク/メソドロジーについて徹底的に説明、分析されている。具体的には、特定の機能について、4段階の尺度を用いて、各手法および組み合わせた機能の各セットの相互運用性レベルを評価しています。 |
・[PDF]
| TABLE OF CONTENTS | 目次 |
| 1. INTRODUCTION | 1. 序論 |
| 1.1 PURPOSE AND SCOPE | 1.1 目的と範囲 |
| 1.2 DEFINITION OF ACRONYMS | 1.2 頭字語の定義 |
| 2. METHODOLOGY | 2. 方法論 |
| 2.1 FEATURES OF INTEROPERABILITY | 2.1 相互運用性の特徴 |
| 2.2 INTEROPERABILITY EVALUATION MODEL | 2.2 相互運用性評価モデル |
| 2.2.1 Methodology and levels of interoperability | 2.2.1 方法論と相互運用性のレベル |
| 2.2.2 Scoring model for potential interoperability | 2.2.2 潜在的な相互運用性の採点モデル |
| 3. RESULTS | 3. 結果 |
| 3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK AND FEATURE | 3.1 各リスクマネジメントフレームワークおよび機能の相互運用性のレベルの分析 |
| 3.2 ANALYSIS OF POTENTIAL INTEROPERABILITY OF RISK MANAGEMENT FRAMEWORKS | 3.2 リスクマネジメントフレームワークの潜在的な相互運用性の分析 |
| 4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES BASED ON ITSRM2 | 4. ITSRM2 に基づく RM プロセスにおける相互運用性の統合 |
| 4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION | 4.1 プロセス P1 システムセキュリティの特性評価 |
| 4.1.1 Description of process | 4.1.1 プロセスの説明 |
| 4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS | 4.2 プロセス P2 主要資産及び P3 補助資産 |
| 4.2.1 Description of processes | 4.2.1 プロセスの説明 |
| 4.2.2 Recommendations and integration of interoperability features | 4.2.2 相互運用性機能の推奨と統合 |
| 4.3 PROCESS P4 SYSTEM MODELLING | 4.3 プロセスP4 システムモデリング |
| 4.3.1 Description of process | 4.3.1 プロセスの説明 |
| 4.3.2 Recommendations and integration of interoperability features | 4.3.2 相互運用性機能の推奨および統合 |
| 4.4 PROCESS P5 RISK IDENTIFICATION | 4.4 プロセスP5 リスクの特定 |
| 4.4.1 Description of process | 4.4.1 プロセスの記述 |
| 4.4.2 Recommendations and integration of interoperability features | 4.4.2 相互運用性機能の推奨と統合 |
| 4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION | 4.5 プロセスP6 リスク分析および評価 |
| 4.5.1 Description of process | 4.5.1 プロセスの記述 |
| 4.5.2 Recommendations and integration of interoperability features | 4.5.2 相互運用性機能に関する推奨事項とその統合 |
| 4.6 PROCESS P7 RISK TREATMENT | 4.6 プロセスP7 リスク処理 |
| 4.6.1 Description of process | 4.6.1 プロセスの説明 |
| 4.6.2 Recommendations and integration of interoperability features | 4.6.2 推奨事項と相互運用性機能の統合 |
| 5. SYNOPSIS | 5. SYNOPSIS |
| 6. BIBLIOGRAPHY | 6. 参考文献 |
| 7. APPENDIX – INTERVIEWS WITH NLOS | 7. 附属書:NLSへのインタビュー |
| 7.1 EVALUATING POTENTIAL INTEROPERABILITY | 7.1 潜在的な相互運用性の評価 |
| 7.2 SUGGESTIONS FOR AN INTEROPERABLE EU RM FRAMEWORK | 7.2 相互運用可能なEUのREMフレームワークに関する提案 |
| 7.3 NEXT STEPS TOWARDS AN INTEROPERABLE FRAMEWORK | 7.3 相互運用可能なフレームワークに向けた次のステップ |
分析結果...
| フレームワークやメソドロジーの総合評価/相互運用性の特徴 | リスクの特定 | 残留リスクの算出 | 総合的な相互運用可能性 | ||||
| リスク アセスメント |
リスク対応 | ||||||
| 資産 タクソノミー |
資産評価 | 脅威カタログ | 脆弱性カタログ | リスク計算方法 | メジャーカタログと残留リスクの算出 | ||
| 1.ISO/IEC 27005:2018 | 2.7 | 3.0 | 3.0 | 2.9 | |||
| 2.NIST SP 800-37 | 3.0 | 3.0 | 3.0 | 3.0 | |||
| 3.NIST SP 800-30 | 1.6 | 2.0 | 3.0 | 2.2 | |||
| 4.NIST SP 800-39 | 2.0 | 3.0 | 3.0 | 2.7 | |||
| 5. BSI STANDARD 200-2 | 2.0 | 3.0 | 3.0 | 2.7 | |||
| 6.OCTAVE-S | 3.0 | 3.0 | 3.0 | 3.0 | |||
| 7.OCTAVE ALLEGRO | 3.0 | 3.0 | 3.0 | 3.0 | |||
| 8.OCTAVE FORTE | 2.7 | 3.0 | 3.0 | 2.9 | |||
| 9.ETSI TS 102 165-1 (TVRA) | 2.7 | 2.0 | 3.0 | 2.6 | |||
| 10.MONARC | 2.7 | 3.0 | 3.0 | 2.9 | |||
| 11.EBIOS RM | 2.9 | 2.0 | 3.0 | 2.6 | |||
| 12.MAGERIT v.3 | 2.4 | 2.0 | 3.0 | 2.5 | |||
| 13.ITSRM² | 1.9 | 2.0 | 3.0 | 2.3 | |||
| 14.MEHARI | 2.0 | 1.0 | 3.0 | 2.0 | |||
| 15.THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0 | 2.1 | 3.0 | 3.0 | 2.7 | |||
| 16.GUIDELINES ON CYBER SECURITY ONBOARD SHIPS | 3.0 | 2.0 | 3.0 | 2.7 | |||
こっちには、COSO-ERMが紹介されていますね。。。
・2022.01.13 Compendium of Risk Management Frameworks with Potential Interoperability
| Compendium of Risk Management Frameworks with Potential Interoperability | 相互運用性のあるリス管理フレームワークの概要 |
| This report presents the results of desktop research and the analysis of currently used cybersecurity Risk Management (RM) frameworks and methodologies with the potential for interoperability. The identification of the most prominent RM frameworks and methodologies was based on a systematic survey of related risk management approaches adopted in different contexts (including industry, business, government, academia, etc), at national, international and sectoral levels. This collection of identified frameworks and methodologies includes well known and widely used RM standards that provide high level guidelines for risk management processes that can be applied in all types of organisations. This report also describes the main characteristics and features of each one of the RM frameworks and methodologies identified. Based on this analysis, a basic set of interoperability features is derived. | 本報告書は、現在使用されているサイバーセキュリティのリスク管理(RM)のフレームワークと方法論について、デスクトップリサーチと分析を行い、相互運用性の可能性を示したものである。最も著名なRMフレームワークと方法論の特定は、異なる文脈(産業、企業、政府、学界など)で採用されている、国内、国際、部門レベルでの関連するリスク管理アプローチの体系的な調査に基づいている。特定されたフレームワークと方法論のコレクションには、あらゆる種類の組織に適用可能な リスク管理プロセスのハイレベルなガイドラインを提供する、よく知られ、広く使用されている RM 基準が含まれています。また、本報告書では、特定されたRMのフレームワークと方法論のそれぞれの主な特徴と特色を説明しています。この分析に基づいて、相互運用性の基本的な特徴を導き出します。 |
・[PDF]
| 1. INTRODUCTION | 1. 序論 |
| 1.1 PURPOSE AND SCOPE | 1.1 目的と範囲 |
| 1.2 REPORT STRUCTURE | 1.2 報告書の構成 |
| 2. METHOD OF WORK | 2. 作業方法 |
| 2.1 BASIC CONCEPTS AND TERMS | 2.1 基本的な概念と用語 |
| 2.2 SURVEY METHODOLOGY | 2.2 調査方法 |
| 3. PROMINENT RISK MANAGEMENT FRAMEWORKS AND METHODOLOGIES | 3. 著名なリスクマネジメントのフレームワークおよび方法論 |
| 3.1 ISO/IEC 27005:2018 | 3.1 ISO/IEC 27005:2018 |
| 3.2 NIST SP 800-37 REV. 2 | 3.2 NIST SP 800-37 REV. 2 |
| 3.3 NIST SP 800–30 REV.1 | 3.3 NIST SP 800-30 REV.1 |
| 3.4 NIST SP 800–39 | 3.4 ニストSP 800-39 |
| 3.5 NIST SP 800–82 REV. 2 | 3.5 NIST SP 800-82 REV. 2 |
| 3.6 BSI STANDARD 200-2 | 3.6 BSI規格200-2 |
| 3.7 OCTAVE-S | 3.7 オウターブ・S |
| 3.8 OCTAVE ALLEGRO | 3.8 オクターブ・アレグロ |
| 3.9 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) | 3.9 オクターブ・フォルテ(オクターブ・フォー・ザ・エンタープライズ) |
| 3.10 ISACA RISK IT FRAMEWORK, 2ND EDITION | 3.10 ISACAリスクITフレームワーク:第2版 |
| 3.11 INFORMATION RISK ASSESSMENT METHODOLOGY 2 (IRAM2) | 3.11 情報リスクアセスメント方法論 2 (IRAM2) |
| 3.12 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) | 3.12 ETSI TS 102 165-1、脅威の脆弱性とリスクの分析(TVRA) |
| 3.13 MONARC | 3.13 MONARC |
| 3.14 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ - EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) | 3.14 EBIOS リスクマネジャー (expression des besoins et identification des objectifs de sécurité - ニーズの表明とセキュリティ目標の特定) |
| 3.15 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT FOR INFORMATION SYSTEMS | 3.15 MAGERIT V.3: 情報システムの分析とリスク管理 |
| 3.16 EU ITSRM, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 | 3.16 EU ITSRM (IT セキュリティリスク管理方法論 v1.2) |
| 3.17 MEHARI | 3.17 MEHARI |
| 3.18 ENTERPRISE RISK MANAGEMENT – INTEGRATED FRAMEWORK | 3.18 企業のリスク管理 - 統合されたフレームワーク |
| 3.19 AUSTRALIAN ACSC SECURITY MANUAL | 3.19 オーストラリアのACSCセキュリティマニュアル |
| 3.20 ANSI/ISA-62443-3‑2-2020 | 3.20 アンシ/イサ-62443-3-2-2020 |
| 3.21 THE OPEN GROUP STANDARD FOR RISK ANALYSIS (O-RA), VERSION 2.0 | 3.21 リスク分析のためのオープングループ標準(O-RA)、バージョン 2.0 |
| 3.22 CORAS | 3.22 CORAS |
| 3.23 IS RISK ANALYSIS BASED ON A BUSINESS MODEL | 3.23 リスク分析はビジネスモデルに基づいているか? |
| 3.24 IMO MSC-FAL.1/CIRC.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT | 3.24 海上のサイバーリスク管理に関するIMOのMSC-FAL.1/Circ.3ガイドライン |
| 3.25 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS | 3.25 船舶のサイバーセキュリティに関するガイドライン |
| 3.26 HITRUST | 3.26 HITRUST |
| 3.27 ISRAM - INFORMATION SECURITY RISK ANALYSIS METHOD | 3.27 ISRAM - 情報セキュリティリスク分析手法 |
| 3.28 FAIR - FACTOR ANALYSIS OF INFORMATION RISK | 3.28 FAIR - 情報リスクの要因分析 |
| 3.29 GUIDE TO CONDUCTING CYBERSECURITY RISK ASSESSMENT FOR CRITICAL INFORMATION INFRASTRUCTURE | 3.29 重要情報インフラのためのサイバーセキュリティリスクアセスメント実施の手引き |
| 3.30 RISK MANAGEMENT TOOLS | 3.30 リスクマネジメントツール |
| 3.31 SYNOPSIS | 3.31 シノプシス |
| 4. CONCLUSIONS | 4. 結論 |
| 4.1 INTEROPERABILITY FEATURES | 4.1 相互運用性の特徴 |
| REFERENCES | 参考文献 |
« 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応 | Main | ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した? »
Comments