NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
こんにちは、丸山満彦です。
2回の意見募集を経て、NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践が最終化しましたね。。。
日本でも経済安全保障的に?盛り上がっている分野かもしれませんが、基礎的な検討がこのレベルまでされての発言なのかどうかは気になるところです。
● NIST - ITL
プレス
・2022.05.05 NIST Updates Cybersecurity Guidance for Supply Chain Risk Management
| NIST Updates Cybersecurity Guidance for Supply Chain Risk Management | NIST、サプライチェーンリスクマネジメントのためのサイバーセキュリティガイダンスを更新 |
| The publication’s revisions form part of NIST’s response to an executive order regarding cybersecurity. | 本書の改訂は、サイバーセキュリティに関する大統領令への NIST の対応の一環となるものです。 |
| The global supply chain places companies and consumers at cybersecurity risk because of the many sources of components and software that often compose a finished product: A device may have been designed in one country and built in another using multiple components manufactured in various parts of the world. | グローバルなサプライチェーンでは、完成品を構成するコンポーネントやソフトウェアの供給元が多数あるため、企業や消費者がサイバーセキュリティのリスクにさらされることがよくあります。あるデバイスがある国で設計され、世界のさまざまな地域で製造された複数のコンポーネントを使用して別の国で製造されている可能性があります。 |
| A vulnerable spot in global commerce is the supply chain: It enables technology developers and vendors to create and deliver innovative products but can leave businesses, their finished wares, and ultimately their consumers open to cyberattacks. A new update to the National Institute of Standards and Technology’s (NIST’s) foundational cybersecurity supply chain risk management (C-SCRM) guidance aims to help organizations protect themselves as they acquire and use technology products and services. | グローバルな商取引において脆弱なのは、サプライチェーンです。サプライチェーンは、技術開発者やベンダーが革新的な製品を生み出し、提供することを可能にしますが、企業や完成品、ひいては消費者をサイバー攻撃の危険にさらす可能性があります。米国標準技術局(NIST)の基本的なサイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)ガイダンスの新しい更新版は、企業がテクノロジー製品やサービスを取得・使用する際に、自らを守ることを目的としています。 |
| The revised publication, formally titled Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1), provides guidance on identifying, assessing and responding to cybersecurity risks throughout the supply chain at all levels of an organization. It forms part of NIST’s response to Executive Order 14028: Improving the Nation’s Cybersecurity, specifically Sections 4(c) and (d), which concern enhancing the security of the software supply chain. | この改訂版は、正式名称を「Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1)」といい、組織のあらゆるレベルのサプライチェーンにおけるサイバーセキュリティリスクの特定、評価、対応に関する指針を提供するものです。これは、大統領令14028「国家のサイバーセキュリティの改善」、特にソフトウェアのサプライチェーンのセキュリティ強化に関する第4条(c)および(d)項に対するNISTの対応の一部を形成しています。 |
| Released today after a multiyear development process that included two draft versions, the publication now offers key practices for organizations to adopt as they develop their capability to manage cybersecurity risks within and across their supply chains. It encourages organizations to consider the vulnerabilities not only of a finished product they are considering using, but also of its components — which may have been developed elsewhere — and the journey those components took to reach their destination. | 2つのドラフト版を含む数年にわたる開発プロセスを経て本日発表された本書は、組織がサプライチェーン内およびサプライチェーン全体のサイバーセキュリティリスクを管理する能力を開発する際に採用すべき重要な実践方法を提示しています。本書では、使用を検討している完成品だけでなく、他の場所で開発された可能性のある部品の脆弱性や、それらの部品が目的地に到達するまでの道のりを考慮するよう、組織に促しています。 |
| “Managing the cybersecurity of the supply chain is a need that is here to stay,” said NIST’s Jon Boyens, one of the publication’s authors. “If your agency or organization hasn’t started on it, this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately.” | 本書の著者の一人であるNISTのJon Boyensは、次のように述べています。「サプライチェーンのサイバーセキュリティを管理することは、今後も必要なことです。あなたの機関や組織がまだ着手していないのであれば、これは這うから歩く、走るに至るまで、すぐに役立つ包括的なツールです。」 |
| Modern products and services depend on their supply chains, which connect a worldwide network of manufacturers, software developers and other service providers. Though they enable the global economy, supply chains also place companies and consumers at risk because of the many sources of components and software that often compose a finished product: A device may have been designed in one country and built in another using multiple components from various parts of the world that have themselves been assembled of parts from disparate manufacturers. Not only might the resulting product contain malicious software or be susceptible to cyberattack, but the vulnerability of the supply chain itself can affect a company’s bottom line. | 現代の製品やサービスは、製造業者、ソフトウェア開発業者、その他のサービス提供者の世界的なネットワークを結ぶサプライチェーンに依存しています。サプライチェーンはグローバル経済を支えていますが、完成品を構成する部品やソフトウェアの供給元が多岐にわたるため、企業や消費者を危険にさらしているのも事実です。あるデバイスがある国で設計され、世界各地の複数のコンポーネントを使用して別の国で製造されたとしても、そのコンポーネント自体が異なるメーカーの部品を組み合わせて作られている可能性があります。その結果、製品に悪意のあるソフトウェアが含まれたり、サイバー攻撃を受けたりする可能性があるだけでなく、サプライチェーンそのものの脆弱性が企業の収益に影響を与える可能性があります。 |
| “A manufacturer might experience a supply disruption for critical manufacturing components due to a ransomware attack at one of its suppliers, or a retail chain might experience a data breach because the company that maintains its air conditioning systems has access to the store’s data sharing portal,” Boyens said. | Boyensは、また、次のように述べています。「製造業では、サプライヤーの1社がランサムウェア攻撃を受けたために、重要な製造部品の供給が途絶えるかもしれませんし、小売チェーンでは、空調システムを保守する会社が店舗のデータ共有ポータルにアクセスしたためにデータ侵害が発生するかもしれません。」 |
| The primary audience for the revised publication is acquirers and end users of products, software and services. The guidance helps organizations build cybersecurity supply chain risk considerations and requirements into their acquisition processes and highlights the importance of monitoring for risks. Because cybersecurity risks can arise at any point in the life cycle or any link in the supply chain, the guidance now considers potential vulnerabilities such as the sources of code within a product, for example, or retailers that carry it. | この改訂版の主な読者は、製品、ソフトウェア、サービスの取得者とエンドユーザーです。このガイダンスは、組織が取得プロセスにサイバーセキュリティのサプライチェーンリスクの考慮と要件を組み込むことを支援し、リスクに対する監視の重要性を強調しています。サイバーセキュリティのリスクは、ライフサイクルのどの時点でも、またサプライチェーンのどのリンクでも発生し得るため、このガイダンスでは、例えば製品内のコードのソースやそれを扱う小売業者などの潜在的な脆弱性を考慮するようになっています。 |
| “If your agency or organization hasn’t started on [C-SCRM], this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately.” —NIST's Jon Boyens | 「もしあなたの機関や組織が[C-SCRM]に着手していないなら、これは、這うから歩く、走るに至るまで、すぐに役立つ総合ツールです。 」NIST、Jon Boyens |
| “It has to do with trust and confidence,” said NIST’s Angela Smith, an information security specialist and another of the publication’s authors. “Organizations need to have greater assurance that what they are purchasing and using is trustworthy. This new guidance can help you understand what risks to look for and what actions to consider taking in response.” | 情報セキュリティの専門家であり、この出版物の著者の一人であるNISTのAngela Smithは、次のように述べています。「組織は、自分たちが購入し使用しているものが信頼に足るものであることを、より確実にする必要があります。この新しいガイダンスは、どのようなリスクに目を向けるべきか、それに対してどのような行動を取ることを検討すべきかを理解するのに役立ちます。」 |
| Before providing specific guidance — called cybersecurity controls, which are listed in Appendix A — the publication offers help to the varied groups in its intended audience, which ranges from cybersecurity specialists and risk managers to systems engineers and procurement officials. Each group is offered a “user profile” in Section 1.4, which advises what parts of the publication are most relevant to the group. | 具体的なガイダンス(サイバーセキュリティ対策と呼ばれ、附属書Aに掲載)を提供する前に、この出版物は、サイバーセキュリティの専門家やリスク管理者からシステムエンジニアや調達担当者に至るまで、想定読者の様々なグループに支援を提供しています。各グループは、セクション1.4で「ユーザプロファイル」を提供され、本書のどの部分がそのグループに最も関連しているかを助言しています。 |
| The publication’s Sections 1.6 and 1.7 specify how it integrates guidance promoted within other NIST publications and tailors that guidance for C-SCRM. These other publications include NIST’s Cybersecurity Framework and Risk Management Framework, as well as Security and Privacy Controls for Information Systems and Organizations, or SP 800-53 Rev. 5, its flagship catalog of information system safeguards. Organizations that are already using SP 800-53 Rev. 5’s safeguards may find useful perspective in Appendix B, which details how SP 800-161 Rev. 1’s cybersecurity controls map onto them. | 本書のセクション1.6と1.7では、NISTの他の出版物で推進されているガイダンスを統合し、C-SCRM用にそのガイダンスを調整する方法を明記しています。これらの他の出版物には、NISTのサイバーセキュリティフレームワークとリスク管理フレームワーク、情報システムおよび組織のためのセキュリティおよびプライバシーコントロール、または情報システムのセーフガードの主要カタログであるSP 800-53 Rev. 5が含まれます。SP 800-53 Rev. 5 のセーフガードを既に使用している組織は、SP 800-161 Rev. 1 のサイバーセキュリティ対策がどのようにそれらに対応しているかを詳述した附属書B に有用な視点を見出すことができるでしょう。 |
| Organizations seeking to implement C-SCRM in accordance with Executive Order 14028 should visit NIST's dedicated web-based portal, as Appendix F now indicates. This information has been moved online, in part to reflect evolving guidance without directly affecting the published version of SP 800-161 Rev. 1. | 大統領令 14028 に従って C-SCRM を実施しようとする組織は、附属書F にあるように、NIST の専用のウェブベースのポータルを訪問する必要があります。この情報は、SP 800-161 Rev. 1 の公開版に直接影響を与えることなく、進化するガイダンスを反映するために、一部オンラインに移行されました。 |
| In part because of the complexity of the subject, the authors are planning a quick-start guide to help readers who may be just beginning their organization’s C-SCRM effort. Boyens said they also plan to offer the main publication as a user-friendly webpage. | このテーマは複雑であるため、著者らは、組織のC-SCRMの取り組みを始めたばかりの読者を支援するためのクイックスタートガイドを計画しています。Boyensは、この出版物をユーザーフレンドリーなウェブページとして提供することも計画していると述べています。 |
| “We plan to augment the document’s current PDF format with a clickable web version,” he said. “Depending on what group of users you fall into, it will allow you to click on a link and find the sections you need.” | また、彼は次のように述べています。「現在のPDF版に加え、クリックしやすいウェブ版も作成する予定です。どのようなユーザーグループに属するかにもよりますが、リンクをクリックして必要なセクションを見つけることができるようになるでしょう。」 |
文書は。。。
・2022.05.05 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
| SP 800-161 Rev. 1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations | NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践 |
| The guidance from Appendix F, "Response to Executive Order 14028's Call to Publish Guidelines for Enhancing Software Supply Chain Security," is available at NIST's dedicated EO 14028 website. | 附属書Fのガイダンス「ソフトウェアサプライチェーンセキュリティ強化のためのガイドライン発行の大統領令14028の呼びかけへの対応」は、NISTの大統領令14028専用ウェブサイトで公開されています。 |
| Abstract | 概要 |
| Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks are associated with an enterprise’s decreased visibility into and understanding of how the technology they acquire is developed, integrated, and deployed or the processes, procedures, standards, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of the products and services. | 組織は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。 |
| This publication provides guidance to organizations on identifying, assessing, and mitigating cybersecurity risks throughout the supply chain at all levels of their organizations. The publication integrates cybersecurity supply chain risk management (C-SCRM) into risk management activities by applying a multilevel, C-SCRM-specific approach, including guidance on the development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and risk assessments for products and services. | 本書は、組織のあらゆる階層におけるサプライチェーン全体のサイバーセキュリティリスクを特定、評価、および軽減するためのガイダンスを提供するものである。本書は、C-SCRM戦略実施計画、C-SCRM方針、C-SCRM計画、製品及びサービスのリスク評価の策定に関する指針を含む、多階層のC-SCRM特有のアプローチを適用することにより、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)をリスク管理活動に統合するものです。 |
・[PDF] SP 800-161 Rev. 1
目次...
| 1. INTRODUCTION | 1. はじめに |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Target Audience | 1.2. 対象読者 |
| 1.3. Guidance for Cloud Service Providers | 1.3. クラウドサービスプロバイダのためのガイダンス |
| 1.4. Audience Profiles and Document Use Guidance | 1.4. 対象者プロファイルと文書利用ガイダンス |
| 1.4.1. Enterprise Risk Management and C-SCRM Owners and Operators | 1.4.1. エンタープライズリスクマネジメント及びC-SCRMのオーナー及びオペレーター |
| 1.4.2. Enterprise, Agency, and Mission and Business Process Owners and Operators | 1.4.2. エンタープライズ、機関、ミッション及びビジネスプロセスのオーナー及びオペレーター |
| 1.4.3. Acquisition and Procurement Owners and Operators | 1.4.3. 取得と調達のオーナーとオペレーター |
| 1.4.4. Information Security, Privacy, or Cybersecurity Operators | 1.4.4. 情報セキュリティ、プライバシー、またはサイバーセキュリティオペレーター |
| 1.4.5. System Development, System Engineering, and System Implementation Personnel | 1.4.5. システム開発、システムエンジニアリング、およびシステム実装オペレーター |
| 1.5. Background | 1.5. 背景 |
| 1.5.1. Enterprise’s Supply Chain | 1.5.1. エンタープライズのサプライチェーン |
| 1.5.2. Supplier Relationships Within Enterprises | 1.5.2. エンタープライズ内サプライヤーとの関係 |
| 1.6. Methodology for Building C-SCRM Guidance Using NIST SP 800-39; NIST SP 800-37, Rev 2; and NIST SP 800-53, Rev 5 | 1.6. NIST SP 800-39; NIST SP 800-37, Rev 2; 及び NIST SP 800-53, Rev 5 を用いた C-SCRM ガイダンス構築のための方法論 |
| 1.7. Relationship to Other Publications and Publication Summary | 1.7. 他の出版物との関係及び出版物の概要 |
| 2. INTEGRATION OF C-SCRM INTO ENTERPRISE-WIDE RISK MANAGEMENT | 2. エンタープライズ全体のリスクマネジメントへのC-SCRMの統合 |
| 2.1. The Business Case for C-SCRM | 2.1. C-SCRMのビジネスケース |
| 2.2. Cybersecurity Risks Throughout Supply Chains | 2.2. サプライチェーンを通じたサイバーセキュリティリスク |
| 2.3. Multilevel Risk Management | 2.3. マルチレベルのリスクマネジメント |
| 2.3.1. Roles and Responsibilities Across the Three Levels | 2.3.1. 3 つのレベルにわたる役割と責任 |
| 2.3.2. Level 1 – Enterprise | 2.3.2. レベル1 - エンタープライズ |
| 2.3.3. Level 2 – Mission and Business Process | 2.3.3. レベル2 - ミッションとビジネスプロセス |
| 2.3.4. Level 3 – Operational | 2.3.4. レベル3 - 運用 |
| 2.3.5. C-SCRM PMO | 2.3.5. C-SCRM PMO |
| 3. CRITICAL SUCCESS FACTORS | 3. 重要成功要因 |
| 3.1. C-SCRM in Acquisition | 3.1. 取得における C-SCRM |
| 3.1.1. Acquisition in the C-SCRM Strategy and Implementation Plan | 3.1.1. C-SCRM戦略及び実施計画における取得 |
| 3.1.2. The Role of C-SCRM in the Acquisition Process | 3.1.2. 取得プロセスにおけるC-SCRMの役割 |
| 3.2. Supply Chain Information Sharing | 3.2. サプライチェーン情報の共有 |
| 3.3. C-SCRM Training and Awareness | 3.3. C-SCRMの訓練と意識向上 |
| 3.4. C-SCRM Key Practices | 3.4. C-SCRMの主要実施事項 |
| 3.4.1. Foundational Practices | 3.4.1. 基礎的な実践 |
| 3.4.2. Sustaining Practices | 3.4.2. 持続的な実践 |
| 3.4.3. Enhancing Practices | 3.4.3. 強化された実践 |
| 3.5. Capability Implementation Measurement and C-SCRM Measures | 3.5. 能力発揮の測定とC-SCRM対策 |
| 3.5.1. Measuring C-SCRM Through Performance Measures | 3.5.1. パフォーマンス指標によるC-SCRMの測定 |
| 3.6. Dedicated Resources | 3.6. 専用リソース |
| 4. REFERENCES | 4. 参考文献 |
| APPENDIX A: C-SCRM SECURITY CONTROLS | 附属書A:C-SCRMのセキュリティ管理策 |
| C-SCRM CONTROLS INTRODUCTION | C-SCRM管理策の紹介 |
| C-SCRM CONTROLS SUMMARY | C-SCRM管理策の概要 |
| C-SCRM CONTROLS THROUGHOUT THE ENTERPRISE | エンタープライズ全体にわたるC-SCRM管理策 |
| APPLYING C-SCRM CONTROLS TO ACQUIRING PRODUCTS AND SERVICES | 製品及びサービスの取得に対するC-SCRM管理策の適用 |
| SELECTING, TAILORING, AND IMPLEMENTING C-SCRM SECURITY CONTROLS | C-SCRMセキュリティ管理策の選択、調整、及び実施 |
| C-SCRM SECURITY CONTROLS | C-SCRMセキュリティ管理策 |
| FAMILY: ACCESS CONTROL | ファミリー: アクセスコントロール |
| FAMILY: AWARENESS AND TRAINING | ファミリー: 認識とトレーニング |
| FAMILY: AUDIT AND ACCOUNTABILITY | ファミリー: 監査と説明責任 |
| FAMILY: ASSESSMENT, AUTHORIZATION, AND MONITORING | ファミリー: 評価、承認、および監視 |
| FAMILY: CONFIGURATION MANAGEMENT | ファミリー: 構成管理 |
| FAMILY: CONTINGENCY PLANNING | ファミリー: コンティンジェンシー・プランニング |
| FAMILY: IDENTIFICATION AND AUTHENTICATION | ファミリー: 識別と認証 |
| FAMILY: INCIDENT RESPONSE | ファミリー: インシデント対応 |
| FAMILY: MAINTENANCE | ファミリー: 保守 |
| FAMILY: MEDIA PROTECTION | ファミリー: 媒体保護 |
| FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION | ファミリー: 物理的および環境的保護 |
| FAMILY: PLANNING | ファミリー: 計画 |
| FAMILY: PROGRAM MANAGEMENT | ファミリー: プログラム管理 |
| FAMILY: PERSONNEL SECURITY | ファミリー: 人事セキュリティ |
| FAMILY: PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY | ファミリー: 個人を特定できる情報の処理と透明性 |
| FAMILY: RISK ASSESSMENT | ファミリー: リスクアセスメント |
| FAMILY: SYSTEM AND SERVICES ACQUISITION | ファミリー: システム・サービス取得 |
| FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION | ファミリー: システムと通信の保護 |
| FAMILY: SYSTEM AND INFORMATION INTEGRITY | ファミリー: システムと情報の完全性 |
| FAMILY: SUPPLY CHAIN RISK MANAGEMENT | ファミリー: サプライチェーン・リスクマネジメント |
| APPENDIX B: C-SCRM CONTROL SUMMARY | 附属書B:C-SCRMコントロールの概要 |
| APPENDIX C: RISK EXPOSURE FRAMEWORK | 附属書C:リスクエクスポージャーフレームワーク |
| SAMPLE SCENARIOS | サンプルシナリオ |
| SCENARIO 1: Influence or Control by Foreign Governments Over Suppliers | シナリオ 1:外国政府によるサプライヤーへの影響・支配 |
| SCENARIO 2: Telecommunications Counterfeits | シナリオ 2:電気通信の偽造 |
| SCENARIO 3: Industrial Espionage | シナリオ 3:産業スパイ |
| SCENARIO 4: Malicious Code Insertion | シナリオ 4:悪意のあるコードの挿入 |
| SCENARIO 5: Unintentional Compromise | シナリオ 5:意図しないコンプロマイズ |
| SCENARIO 6: Vulnerable Reused Components Within Systems | シナリオ 6:システム内の脆弱な再利用コンポーネント |
| APPENDIX D: C-SCRM TEMPLATES | 附属書D: C-SCRM テンプレート |
| 1. C-SCRM STRATEGY AND IMPLEMENTATION PLAN | 1. C-SCRM戦略及び実施計画 |
| 1.1. C-SCRM Strategy and Implementation Plan Template | 1.1. C-SCRM戦略及び実施計画のテンプレート |
| 2. C-SCRM POLICY | 2. C-SCRM方針 |
| 2.1. C-SCRM Policy Template | 2.1. C-SCRM方針のテンプレート |
| 3. C-SCRM PLAN | 3. C-SCRM計画 |
| 3.1. C-SCRM Plan Template | 3.1. C-SCRM計画テンプレート |
| 4. CYBERSECURITY SUPPLY CHAIN RISK ASSESSMENT TEMPLATE | 4. サイバーセキュリティサプライチェーンリスクアセスメントテンプレート |
| 4.1. C-SCRM Template | 4.1. C-SCRMテンプレート |
| APPENDIX E: FASCSA | 附属書E:FASCSA |
| INTRODUCTION | はじめに |
| Purpose, Audience, and Background | 目的、想定読者、背景 |
| Scope | 適用範囲 |
| Relationship to NIST SP 800-161, Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations | NIST SP 800-161 改訂1版「システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメント実施要領」との関係 |
| SUPPLY CHAIN RISK ASSESSMENTS (SCRAs) | サプライチェーンリスクアセスメント(SCRA) |
| General Information | 一般的な情報 |
| Baseline Risk Factors (Common, Minimal) | ベースラインリスク要因(共通、最低限) |
| Risk Severity Schema | リスク深刻度スキーマ |
| Risk Response Guidance | リスク対応ガイダンス |
| ASSESSMENT DOCUMENTATION AND RECORDS MANAGEMENT | アセスメント文書と記録管理 |
| Content Documentation Guidance | コンテンツ文書ガイダンス |
| Assessment Record | アセスメント記録 |
| APPENDIX F: RESPONSE TO EXECUTIVE ORDER 14028’s CALL TO PUBLISH GUIDELINES FOR ENHANCING SOFTWARE SUPPLY CHAIN SECURITY | 附属書F:ソフトウェアサプライチェーンセキュリティ強化のためのガイドライン発行の大統領令14028号の要求への対応 |
| APPENDIX G: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS | 附属書G:リスクマネジメントプロセスにおけるC-SCRM活動 |
| TARGET AUDIENCE | 対象者 |
| ENTERPRISE-WIDE RISK MANAGEMENT AND THE RMF | エンタープライズ全体のリスクマネジメントとRMF |
| Frame | フレーム |
| Assess | 評価 |
| Respond | 対応 |
| Monitor | 監視 |
| APPENDIX H: GLOSSARY | 附属書H:用語集 |
| APPENDIX I: ACRONYMS | 附属書I:頭字語 |
| APPENDIX J: RESOURCES | 附属書J:リソース |
| RELATIONSHIP TO OTHER PROGRAMS AND PUBLICATIONS | 他のプログラムや出版物との関係 |
| NIST Publications | NIST出版物 |
| Regulatory and Legislative Guidance | 規制・立法ガイダンス |
| Other U.S. Government Reports | その他の米国政府報告書 |
| Standards, Guidelines, and Best Practices | 標準、ガイドライン、ベストプラクティス |
関連:
- [web] EO 14028: Software Security in Supply Chains
- NIST’s Cyber Supply Chain Risk Management Program
- [web] NIST news article
関連
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する(暫定ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2021.02.13 NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察
・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
« NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現 | Main | NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド »
Comments