NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。
こんにちは、丸山満彦です。
NISTが、サイバーセキュリティフレームワーク (CSF) の改善、サプライチェーンのサイバーリスクマネジメントに関連するイニシアティブ (National Initiative for Improving Cybersecurity in Supply Chains: NIICS) の立ち上げ等に関係して、サイバーセキュリティフレームワーク、サプライチェーンにおけるサイバーリスクマネジメントに関する情報要求をしていますね。。。
現在のサイバーセキュリティフレームワークV1.1は多くの言語に翻訳されていますが、2018年に最終改訂されていますから、最終改訂から若干の時間がたっていますね。。。
また、リスクマネジメントの分野においては、OMB Circular No. A-123、GAOのGreen Book (Standards for Internal Control in the Federal Government) 、COSO-ERM、ISO31000とリンクしたNISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)がありますが、これとの整合性等も重要となってくるのでしょうね。。。
NISTの発表
● NIST
官報に記載されているRFI
● Federal Register
Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management | NISTのサイバーセキュリティリソースの評価と改善。サイバーセキュリティフレームワークとサイバーセキュリティサプライチェーンリスク管理 |
SUMMARY: | 概要 |
The National Institute of Standards and Technology (NIST) is seeking information to assist in evaluating and improving its cybersecurity resources, including the “Framework for Improving Critical Infrastructure Cybersecurity” (the “NIST Cybersecurity Framework,” “CSF” or “Framework”) and a variety of existing and potential standards, guidelines, and other information, including those relating to improving cybersecurity in supply chains. NIST is considering updating the NIST Cybersecurity Framework to account for the changing landscape of cybersecurity risks, technologies, and resources. In addition, NIST recently announced it would launch the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) to address cybersecurity risks in supply chains. This wide-ranging public-private partnership will focus on identifying tools and guidance for technology developers and providers, as well as performance-oriented guidance for those acquiring such technology. To inform the direction of the NIICS, including how it might be aligned and integrated with the Cybersecurity Framework, NIST is requesting information that will support the identification and prioritization of supply chain-related cybersecurity needs across sectors. Responses to this RFI will inform a possible revision of the Cybersecurity Framework as well as the NIICS initiative. | 米国標準技術研究所(NIST)は、「重要インフラのサイバーセキュリティ向上のためのフレームワーク」(NISTサイバーセキュリティフレームワーク、以下「CSF」または「フレームワーク」)や、サプライチェーンのサイバーセキュリティ向上に関するものなど、既存および潜在的な様々な標準、ガイドライン、その他の情報を含むサイバーセキュリティ資源の評価と改善を支援する情報を求めています。NISTは、サイバーセキュリティのリスク、技術、リソースの変化を考慮し、NISTサイバーセキュリティフレームワークの更新を検討しています。さらに、NISTは最近、サプライチェーンにおけるサイバーセキュリティリスクに対処するため、「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」を立ち上げると発表しました。この広範な官民パートナーシップは、技術開発者やプロバイダー向けのツールやガイダンスの特定、およびそうした技術を取得する側のパフォーマンス指向のガイダンスに重点を置く予定です。NIICSの方向性(サイバーセキュリティフレームワークとどのように整合・統合させるかを含む)を伝えるため、NISTは、サプライチェーン関連のサイバーセキュリティニーズの特定と優先順位付けを支援する情報を要求しています。このRFIへの回答は、サイバーセキュリティフレームワークの改訂の可能性やNIICSの取り組みに反映されることになります。 |
SUPPLEMENTARY INFORMATION: | 補足情報 |
The NIST Cybersecurity Framework consists of standards, methodologies, procedures, and processes that align policy, business, and technological approaches to reduce cybersecurity risks. It is used widely by private and public sector organizations in and outside of the United States and has been translated into multiple languages, speaking to its success as a common resource. | NIST サイバーセキュリティフレームワークは、サイバーセキュリティのリスクを低減するために、政策、ビジネス、技術的アプローチを整合させる標準、方法論、手順、プロセスから構成されています。このフレームワークは、米国内外の民間および公的セクターの組織で広く使用されており、複数の言語に翻訳されていることから、共通のリソースとしての成功を物語っています。 |
The Cybersecurity Framework was last updated in April 2018. Much has changed in the cybersecurity landscape in terms of threats, capabilities, technologies, education and workforce, and the availability of resources to help organizations to better manage cybersecurity risk. That includes an increased awareness of and emphasis on cybersecurity risks in supply chains, including a decision to launch NIICS. With those changes in mind, NIST seeks to build on its efforts to cultivate trust by advancing cybersecurity and privacy standards and guidelines, technology, measurements, and practices by requesting information about the use, adequacy, and timeliness of the Cybersecurity Framework and the degree to which other NIST resources are used in conjunction with or instead of the Framework. Further, to inform the direction of the NIICS, including how it might be aligned and integrated with the Cybersecurity Framework, NIST is requesting information that will support the identification and prioritization of supply chain-related cybersecurity needs across sectors. | サイバーセキュリティフレームワークは、2018年4月に最終更新されました。脅威、能力、技術、教育、労働力、そして組織がサイバーセキュリティのリスクをよりよく管理するためのリソースの有無など、サイバーセキュリティを取り巻く状況は大きく変化しています。その中には、NIICSの立ち上げを決定するなど、サプライチェーンにおけるサイバーセキュリティリスクの認識と重視が高まっていることも含まれます。こうした変化を念頭に、NISTは、サイバーセキュリティフレームワークの利用、適切性、適時性、および他のNISTリソースがフレームワークと併用されている度合いやフレームワークの代わりに利用されている度合いに関する情報を求めることにより、サイバーセキュリティおよびプライバシーに関する標準やガイドライン、技術、測定、実践を進歩させ信頼を醸成する努力を積み重ねていこうとしています。さらに、NIICSがサイバーセキュリティフレームワークとどのように整合し統合されうるかを含め、NIICSの方向性を伝えるために、NISTは、セクター横断的にサプライチェーン関連のサイバーセキュリティニーズの特定と優先順位付けを支援する情報を要求しています。 |
Following is a non-exhaustive list of possible topics that may be addressed in any comments. Comments may address topics in the following list, or any other topic believed to have implications for the improvement of the NIST Cybersecurity Framework or NIST's cybersecurity guidance regarding supply chains. NIST will consider all relevant comments in the development of the revised Framework and guidance regarding supply chains. | 以下は、コメントで取り上げられる可能性があるトピックの非網羅的なリストです。コメントは、以下のリストにあるトピック、あるいは、NISTサイバーセキュリティフレームワークやサプライチェーンに関するNISTのサイバーセキュリティガイダンスの改善に影響を与えると考えられる他のトピックを扱うことができる。NISTは、改訂されたフレームワーク及びサプライチェーンに関するガイダンスの開発において、すべての関連するコメントを検討します。 |
Use of the NIST Cybersecurity Framework | NISTサイバーセキュリティフレームワークの利用について |
1. The usefulness of the NIST Cybersecurity Framework for aiding organizations in organizing cybersecurity efforts via the five functions in the Framework and actively managing risks using those five functions. | 1. NISTサイバーセキュリティフレームワークの有用性は、組織がフレームワークの5つの機能によってサイバーセキュリティの取り組みを組織化し、その5つの機能を使って積極的にリスクを管理することを支援することです。 |
2. Current benefits of using the NIST Cybersecurity Framework. Are communications improved within and between organizations and entities ( e.g., supply chain partners, customers, or insurers)? Does the Framework allow for better assessment of risks, more effective management of risks, and/or increase the number of potential ways to manage risks? What might be relevant metrics for improvements to cybersecurity as a result of implementation of the Framework? | 2. NISTサイバーセキュリティフレームワークを利用することによる現在のメリット。組織内および組織とエンティティ(サプライチェーンパートナー、顧客、保険会社など)間のコミュニケーションは改善されているか?フレームワークによって、リスクのより良い評価、より効果的なリスク管理、及び/又は、リスク管理のための潜在的な方法の数が増えているか?フレームワークの実施の結果、サイバーセキュリティが改善された場合、どのような評価基準が考えられるか? |
3. Challenges that may prevent organizations from using the NIST Cybersecurity Framework or using it more easily or extensively ( e.g., resource considerations, information sharing restrictions, organizational factors, workforce gaps, or complexity). | 3. 組織が NIST サイバーセキュリティフレームワークを使用すること、またはより容易または広範囲に使用することを妨げる可能性のある課題(例:リソースの考慮、情報共有の制限、組織的要因、労働力のギャップ、または複雑さ)。 |
4. Any features of the NIST Cybersecurity Framework that should be changed, added, or removed. These might include additions or modifications of: Functions, Categories, or Subcategories; Tiers; Profile Templates; references to standards, frameworks, models, and guidelines; guidance on how to use the Cybersecurity Framework; or references to critical infrastructure versus the Framework's broader use. | 4. NIST サイバーセキュリティフレームワークの機能のうち、変更、追加、または削除されるべきもの。これらには、以下の追加や修正が含まれるかもしれません。機能、カテゴリ、またはサブカテゴリ、階層、プロファイルテンプレート、標準、フレームワーク、モデル、およびガイドラインへの言及、サイバーセキュリティフレームワークの使用方法に関するガイダンス、または重要インフラストラクチャへの言及とフレームワークの広範な使用との関係。 |
5. Impact to the usability and backward compatibility of the NIST Cybersecurity Framework if the structure of the framework such as Functions, Categories, Subcategories, etc. is modified or changed. | 5. 機能、カテゴリ、サブカテゴリなどのフレームワークの構造が修正または変更された場合、NIST サイバーセキュリティフレームワークのユーザビリティと後方互換性に影響を与えること。 |
6. Additional ways in which NIST could improve the Cybersecurity Framework, or make it more useful. | 6. NIST がサイバーセキュリティフレームワークを改善する、あるいはより有用にすることができる追加的な方法。 |
Relationship of the NIST Cybersecurity Framework to Other Risk Management Resources | NIST サイバーセキュリティフレームワークと他のリスクマネジメントリソースとの関係 |
7. Suggestions for improving alignment or integration of the Cybersecurity Framework with other NIST risk management resources. As part of the response, please indicate benefits and challenges of using these resources alone or in conjunction with the Cybersecurity Framework. These resources include: | 7. サイバーセキュリティフレームワークと他のNISTリスクマネジメントリソースとの整合性または統合性を向上させるための提案。回答の一部として、これらのリソースを単独で、あるいはサイバーセキュリティフレームワークと組み合わせて使用することの利点と課題を示してください。これらのリソースには以下のものがあります。 |
Risk management resources such as the NIST Risk Management Framework, the NIST Privacy Framework, and Integrating Cybersecurity and Enterprise Risk Management (NISTIR 8286). | NIST リスクマネジメントフレームワーク、NIST プライバシーフレームワーク、サイバーセキュリティとエンタープライズリスク管理の統合(NISTIR 8286)などのリスクマネジメントリソース。 |
Trustworthy technology resources such as the NIST Secure Software Development Framework, the NIST Internet of Things (IoT) Cybersecurity Capabilities Baseline, and the Guide to Industrial Control System Cybersecurity. | NISTセキュアソフトウェア開発フレームワーク、NIST IoTサイバーセキュリティケイパビリティ・ベースライン、産業制御システムセキュリティガイドなどの信頼できる技術リソース。 |
Workforce management resources such as the National Initiative for Cybersecurity Education (NICE) Workforce Framework for Cybersecurity. | 国家サイバーセキュリティ教育イニシアティブ (NICE) サイバーセキュリティのための職域フレームワークなどの労働力管理リソース。 |
8. Use of non-NIST frameworks or approaches in conjunction with the NIST Cybersecurity Framework. Are there commonalities or conflicts between the NIST framework and other voluntary, consensus resources? Are there commonalities or conflicts between the NIST framework and cybersecurity-related mandates or resources from government agencies? Are there ways to improve alignment or integration of the NIST framework with other frameworks, such as international approaches like the ISO/IEC 27000-series, including ISO/IEC TS 27110? | 8. NIST サイバーセキュリティフレームワークと連携した、NIST 以外のフレームワークやアプローチの使用。NIST フレームワークと他の自主的なコンセンサスリソースの間に共通点や矛盾があるか?NIST のフレームワークと政府機関のサイバーセキュリティ関連の指令やリソースとの間に共通点や矛盾があるか?NIST のフレームワークと、ISO/IEC 27000 シリーズ(ISO/IEC TS 27110 を含む)のような国際的なアプローチなど、他のフレームワークとの整合性や統合性を向上させる方法はあるか? |
9. There are numerous examples of international adaptations of the Cybersecurity Framework by other countries. The continued use of international standards for cybersecurity, with a focus on interoperability, security, usability, and resilience can promote innovation and competitiveness while enabling organizations to more easily and effectively integrate new technologies and services. Given this importance, what steps should NIST consider to ensure any update increases international use of the Cybersecurity Framework? | 9. サイバーセキュリティフレームワークを他国が国際的に適応させた例は数多くあります。相互運用性、セキュリティ、ユーザビリティ、およびレジリエンスに焦点を当てたサイバーセキュリティの国際標準を継続的に使用することは、組織がより簡単かつ効果的に新しい技術とサービスを統合することを可能にしながら、イノベーションと競争力を促進することができます。この重要性に鑑み、NISTは、更新によってサイバーセキュリティフレームワークの国際的な利用が増加するよう、どのようなステップを考慮すべきですか? |
10. References that should be considered for inclusion within NIST's Online Informative References Program. This program is an effort to define standardized relationships between NIST and industry resources and elements of documents, products, and services and various NIST documents such as the NIST Cybersecurity Framework, NIST Privacy Framework, Security and Privacy Controls for Information Systems and Organizations (NIST Special Publication 800-53), NIST Secure Software Development Framework, and the NIST Internet of Things (IoT) Cybersecurity Capabilities Baseline. Start Printed Page 9581 | 10. NISTのオンライン情報参照プログラム(Online Informative References Program)に含めることを検討すべき文献。このプログラムは、NISTと業界のリソースや文書、製品、サービスの要素と、NIST サイバーセキュリティフレームワーク、NISTプライバシーフレームワーク、情報システムと組織のためのセキュリティとプライバシー管理(NIST Special Publication 800-53)、NIST セキュアソフトウェア開発フレームワーク、NIST IoTサイバーセキュリティケイパビリティ・ベースラインなどの様々なNIST文書間の標準化した関係を定義しようとするものです。 |
Cybersecurity Supply Chain Risk Management | サイバーセキュリティ・サプライチェーン・リスク管理 |
11. National Initiative for Improving Cybersecurity in Supply Chains (NIICS). What are the greatest challenges related to the cybersecurity aspects of supply chain risk management that the NIICS could address? How can NIST build on its current work on supply chain security, including software security work stemming from E.O. 14028, to increase trust and assurance in technology products, devices, and services? | 11. サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアティブ (NIICS)。サプライチェーンのリスク管理のサイバーセキュリティの側面に関して、NIICSが取り組むことができる最大の課題は何か?NIST は、E.O. 14028 に起因するソフトウェアセキュリティの作業を含むサプライチェーンのセキュリティに関する現在の作業を基に、技術製品、機器、サービスに対する信頼と保証を高めるために、どのようにすることができますか? |
12. Approaches, tools, standards, guidelines, or other resources necessary for managing cybersecurity-related risks in supply chains. NIST welcomes input on such resources in narrowly defined areas ( e.g. pieces of hardware or software assurance or assured services, or specific to only one or two sectors) that may be useful to utilize more broadly; potential low risk, high reward resources that could be facilitated across diverse disciplines, sectors, or stakeholders; as well as large-scale and extremely difficult areas. | 12. サプライチェーンにおけるサイバーセキュリティ関連のリスクを管理するために必要なアプローチ、ツール、標準、ガイドライン、またはその他のリソース。NISTは、より広範に活用することが有用な狭義の分野(例えば、ハードウェアまたはソフトウェアの保証または保証されたサービスの一部、あるいは1つか2つのセクターのみに特化した分野)、多様な分野、セクター、または利害関係者にわたって促進することができる低リスク、高報酬の潜在的リソース、さらには大規模で極めて困難な分野のリソースに関する情報を歓迎します。 |
13. Are there gaps observed in existing cybersecurity supply chain risk management guidance and resources, including how they apply to information and communications technology, operational technology, IoT, and industrial IoT? In addition, do NIST software and supply chain guidance and resources appropriately address cybersecurity challenges associated with open-source software? Are there additional approaches, tools, standards, guidelines, or other resources that NIST should consider to achieve greater assurance throughout the software supply chain, including for open-source software? | 13. 既存のサイバーセキュリティサプライチェーンリスク管理ガイダンスとリソースに、情報通信技術、運用技術、IoT、産業用IoTへの適用方法を含めて、ギャップは観察されるか?また、NISTのソフトウェアとサプライチェーンのガイダンスとリソースは、オープンソースソフトウェアに関連するサイバーセキュリティの課題に適切に対応していますか?オープンソースソフトウェアを含むソフトウェアサプライチェーン全体でより高い保証を達成するために、NISTが検討すべき追加のアプローチ、ツール、標準、ガイドライン、またはその他のリソースがありますか? |
14. Integration of Framework and Cybersecurity Supply Chain Risk Management Guidance. Whether and how cybersecurity supply chain risk management considerations might be further integrated into an updated NIST Cybersecurity Framework—or whether and how a new and separate framework focused on cybersecurity supply chain risk management might be valuable and more appropriately be developed by NIST. | 14. フレームワークとサイバーセキュリティサプライチェーンリスク管理ガイダンスの統合。あるいは、サイバーセキュリティのサプライチェーンリスク管理に焦点を当てた新しい別のフレームワークが、NISTによって開発される価値があり、より適切であるかもしれません。 |
« 英国 NCSC 建設業界向けサイバーセキュリティガイド(サイバーセキュリティ対策はヘルメットをかぶるのと同じくらい重要である) | Main | NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル »
Comments