« 米国 科学技術政策局 AI権利章典の青写真 | Main | 欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと »

2022.10.07

米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

こんにちは、丸山満彦です。

NISTの国際的な活動についての説明が公表されていますね。。。サイバーセキュリティ・フレームワーク (CSF) を2.0に改訂する活動の一環として、8月に開催されたパネルディスカッションの様子や、人材育成、ポスト量子暗号等について、メキシコ、欧州、日本、ヨルダン等との活動についても簡潔に触れられていますね。。。

ちなみに、CSF 2.0関連のパネルディスカッションでは、NTTの松原さんがパネル6にパネリストとして登壇されていますね。国際的に活躍されていたとても素敵だと思います。

 

● NIST

・2022.09.30 NIST International Engagement Updates: CSF 2.0 Update Workshop and More

NIST International Engagement Updates: CSF 2.0 Update Workshop and More NIST国際エンゲージメントに関する最新情報:CSF2.0アップデートワークショップなど
The subject of international alignment and alignment with international resources continues to be an important focus for NIST, particularly with the process for the Cybersecurity Framework (CSF) 2.0 update. This was an important area for many of our stakeholders, as described in the summary of analysis of the Request for Information (RFI) from February. NIST hosted its first virtual workshop on the journey to the CSF 2.0 update process in August. During the workshop, NIST described the importance of international alignment as well as the feedback we heard on continuing our international engagement and incorporating global perspectives into the CSF 2.0 update process. 国際的な整合性と国際的なリソースとの整合性というテーマは、特にサイバーセキュリティフレームワーク(CSF)2.0の更新プロセスにおいて、NISTにとって引き続き重要な焦点となっている。これは、2月の情報提供依頼(RFI)の分析概要に記載されているように、多くのステークホルダーにとって重要な分野でした。NISTは、8月にCSF 2.0更新プロセスへの道のりに関する初の仮想ワークショップを開催した。このワークショップで、NIST は、国際的な整合性の重要性と、国際的なエンゲージメントを継続し、グローバルな視点を CSF 2.0 の更新プロセスに取り入れることについて聞いたフィードバックについて説明した。
NIST also welcomed experts with perspectives from government, industry, and standardization to a panel at the workshop on international use and alignment of the CSF, moderated by the U.S. Department of State. We heard about international cybersecurity policy trends that could be influential for the CSF 2.0 update process and information on how people are using the CSF throughout the world. We also heard about the documents that reference the CSF in the International Organization of Standardization (ISO), including ISO Technical Specification 27110, and the importance of NIST continuing to contribute in standards organizations such as ISO and to align the CSF with the ISO 27000 family. This feedback will help us as we update the CSF to increase its use throughout the world and ensure it is useful to our partners outside the U.S. If you missed it, recordings are available online. More information and an analysis of the workshop can be found in this recently released summary.   また、ワークショップでは、米国国務省の司会により、政府、産業界、標準化の各分野の専門家を迎え、CSFの国際的な活用と連携に関するパネルを開催した。CSF2.0のアップデートプロセスに影響を与える可能性のある国際的なサイバーセキュリティ政策の動向や、世界各国でのCSFの利用状況について情報を得ることができた。また、ISO Technical Specification 27110を含む国際標準化機構(ISO)のCSFを参照する文書について、また、NISTがISOなどの標準化機構で貢献を続け、CSFをISO 27000ファミリーと整合させることの重要性についても意見を聞いた。このフィードバックは、CSFを更新して世界中で使用されるようにし、米国外のパートナーにも役立つようにするために役立ちます。ワークショップの詳細と分析は、最近発表されたこの概要で見ることができる。  
The Department of State has facilitated our involvement in numerous agreements and joint statements with international partners. One example is a recently released Joint Statement on U.S.-Mexico Working Group on Cyber Issues which highlights our commitment with Mexico to continue to share information on cybersecurity resources and support active participation and engagement in initiatives such as the CSF 2.0 update process and the National Initiative for Cybersecurity Education (NICE) community, including events such as the Regional Initiative for Cybersecurity Education and Training (RICET). NIST also worked with the Department of State and the International Trade Administration (ITA) on participation in a virtual stakeholder engagement event with government and industry on cybersecurity approaches. 国務省は、国際的なパートナーとの数多くの協定や共同声明への関与を促してきた。その一例として、最近発表された「サイバー問題に関する米国・メキシコ作業部会に関する共同声明」がある。これは、サイバーセキュリティのリソースに関する情報を引き続き共有し、CSF 2.0 更新プロセスやサイバーセキュリティ教育と訓練のための地域イニシアチブ(RICET)などのイベントを含むサイバーセキュリティ教育のための国家イニシアチブ(NICE)コミュニティなどのイニシアティブに積極的に参加、関与することをメキシコとともに支援するという約束を強調するものである。NISTはまた、国務省や国際貿易局(ITA)と協力して、サイバーセキュリティのアプローチに関する政府および産業界との仮想ステークホルダー参画イベントへの参加にも取り組んだ。
We continue to welcome and learn from visitors who come to NIST and our National Cybersecurity Center of Excellence (NCCoE) to discuss cybersecurity issues. We had discussions on NIST cybersecurity resources with a delegation from Jordan and discussed our 5G security project with visitors from Australia. We welcomed visitors from Japan, the European Commission, and the United Kingdom in September and discussed a number of areas for collaboration in cybersecurity, including NIST’s ongoing work in post quantum cryptography and the NCCoE’s project on zero trust architecture NISTとその国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)にサイバーセキュリティの問題を議論するために訪れる訪問者を歓迎し、学び続けている。ヨルダンの代表団とはNISTのサイバーセキュリティリソースについて話し合い、オーストラリアからの訪問客とは5Gセキュリティプロジェクトについて話し合った。9月には日本、欧州委員会、英国からの訪問者を迎え、NISTが現在取り組んでいるポスト量子暗号やNCCoEのゼロトラストアーキテクチャに関するプロジェクトなど、サイバーセキュリティにおける多くの協力領域について話し合った。 
NIST traveled to Cartagena, Colombia, at the end of August to participate in ANDICOM 2022, thanks to the facilitation of ITA. At the event, NIST discussed the Privacy Framework and CSF update to 2.0 process. NIST also leveraged this opportunity to engage with stakeholders in Latin America, where we’ve already had numerous conversations about the CSF and translations of our resources in Spanish and Portuguese. NIST also participated in the U.S.-India dialogue hosted by the National Security Council and hosted the visiting India delegation at the NCCoE to discuss a number of cybersecurity topics and opportunities for collaboration. NISTは、8月末にコロンビアのカルタヘナで開催されたANDICOM 2022に、ITAの仲介で参加した。このイベントで、NISTはプライバシーフレームワークとCSFの2.0への更新プロセスについて説明した。NISTはこの機会を利用して、ラテンアメリカのステークホルダーとも交流し、すでにCSFやスペイン語・ポルトガル語の資料の翻訳について多くの会話を交わしている。 NIST は、国家安全保障会議が主催する米印対話にも参加し、インド訪問団を NCCoE で受け入れ、サイバーセキュリティに関する多くのトピックと協力の機会について議論した。
Additional international resources continue to be posted on the International Cybersecurity and Privacy Resources page. If you are aware of additional translations and resources to share, please reach out to us! 国際的なサイバーセキュリティとプライバシーのリソースのページには、追加の国際的なリソースが引き続き掲載していく。この他にも翻訳やリソースがあれば、ぜひ連絡ください。

 

 


 

CSF 2.0改訂関係...

Updating the NIST Cybersecurity Framework – Journey To CSF 2.0

 

パネルディスカッション。。。

パネルは次の6つです。

Panel 1: NIST Discussion of CSF 2.0  パネル1:NISTによるCSF2.0に関するディスカッション 
Panel 2: Lessons Learned from Development and Use of CSF Profiles  パネル2:CSFプロファイルの開発と利用から学んだ教訓 
Panel 3: International Use and Alignment in the CSF  パネル3:CSFの国際的な利用と整合性 
Panel 4: Consideration of Governance in the CSF  パネル4:CSFにおけるガバナンスの検討 
Panel 5: CSF Measurement and Assessment  パネル5:CSFの測定とアセスメント 
Panel 6: Consideration of Supply Chain Cybersecurity in the CSF  パネル6:CSFにおけるサプライチェーンサイバーセキュリティの検討 

 

ワークショプの様子は、こちらから...パネル6に松原さんが登壇されています。。。

event recording

 

・2022.09.09 Workshop #1 [PDF] Summary Analysis Report

20221007-113839

Panel 1: NIST Discussion of CSF 2.0  パネル1:NISTによるCSF2.0に関するディスカッション 
Moderator: James Lewis, Senior Vice President and Director, Strategic Technologies Program, Center for Strategic and International Studies (CSIS)   モデレーター ジェームズ・ルイス 戦略国際問題研究所(CSIS)上級副所長兼戦略技術プログラム・ディレクター  
Panelists: Jon Boyens, Deputy Chief, Computer Security Division, NIST; Amy Mahn, International Policy Specialist, NIST; Cherilyn Pascoe, Senior Technology Policy Advisor, NIST; Adam Sedgewick, Senior Technology Policy Advisor, NIST  パネリスト NIST コンピュータセキュリティ部次長 Jon Boyens氏、NIST 国際政策専門家 Amy Mahn氏、NIST 上級技術政策アドバイザー Cherilyn Pascoe氏、NIST 上級技術政策アドバイザー Adam Sedgewick氏 
In this first panel, NIST staff discussed the drivers to update the Framework now and the update process. They explained how panels for the day were selected based on the NIST RFI analysis themes on CSF guidance, international engagement/alignment, and additional considerations of governance, supply chain and measurement. Staff emphasized how the CSF 2.0 could be leveraged to increase usage of the CSF, including through increased awareness of existing resources (while also filling gaps in implementation guidance for small and medium sized organizations). They noted the importance of updating the Framework to keep pace with changes in standards and technology. This will require changes to the CSF along with additional mappings to new standards. Staff reinforced the need to keep the CSF technology neutral, while also recognizing the changing landscape due to cloud computing, an increasingly hybrid workforce, and the continual growth of the internet of things. Staff emphasized the importance of international engagement and alignment for the update and outlined NIST’s related international and standards development efforts. Finally, as the cybersecurity policy landscape changes, they noted the importance of engaging government regulators and increasing alignment between the CSF and future regulatory objectives.   最初のパネルでは、NISTのスタッフが、フレームワークを今すぐアップデートすることの意義と、アップデートプロセスについて議論した。この日のパネルは、CSFガイダンス、国際的なエンゲージメント/アライメント、ガバナンス、サプライチェーン、測定などのNIST RFI分析テーマに基づいて選択されたことを説明した。スタッフは、CSF 2.0が、既存のリソースの認知度向上(同時に、中小規模の組織に対する実施ガイダンスのギャップを埋める)を含め、CSFの利用を拡大するためにどのように活用されるかを強調した。また、標準や技術の変化に対応するために、フレームワークを更新することの重要性を指摘した。そのためには、CSFを変更し、新しい規格とのマッピングを追加する必要がある。スタッフは、CSFを技術的に中立に保つ必要性を強調する一方で、クラウドコンピューティング、ハイブリッドワークフォースの増加、モノのインターネットの継続的な成長による状況の変化も認識した。スタッフは、更新のための国際的な関与と調整の重要性を強調し、NISTの関連する国際的な取り組みと標準化の取り組みについて概説した。最後に、サイバーセキュリティ政策の変化に伴い、政府の規制当局を巻き込み、CSFと将来の規制目標との間の整合性を高めることの重要性を指摘した。 
Panel 2: Lessons Learned from Development and Use of CSF Profiles  パネル2:CSFプロファイルの開発と利用から学んだ教訓 
Moderator: Josephine Long, U.S. Coast Guard (Ret.)   モデレーター:ジョセフィン・ロング、米国沿岸警備隊(退役)。 
Panelists: Rudy Brioche, Vice President and Counsel, Global Public Policy, Comcast; Deborah J. Eng, Executive Director, Technology and Cybersecurity Policy and Partnerships, JPMorgan Chase & Co.; Gema Howell, Lead, Election and Mobile Device Security, NIST; Keith Stouffer, Group Leader of the Networked Control Systems Group, NIST パネリスト:ルディ・ブリオッシュ(コムキャスト社グローバル公共政策担当副社長兼顧問)、デボラ J. エン(JPMorgan Chase & Co. 技術・サイバーセキュリティ政策・パートナーシップ担当エグゼクティブディレクター)、ゲマ・ハウェル(NIST 選挙・モバイル機器セキュリティ担当主任)、キース・ストゥーファー(NIST ネットワーク制御システムグループ・リーダー
The second panel discussed how the CSF can be tailored to organizations of various sectors and sizes by showcasing a few examples of sector-specific profiles. Using the CSF, every organization can develop their own profile to tailor the CSF – prioritizing certain categories/subcategories and incorporating sector-specific responsibilities to meet mission and business objectives. Example profiles can be helpful because they do some of the heavy lifting of incorporating sector-specific standards and regulations.    2つ目のパネルでは、セクター別のプロファイルの例をいくつか紹介しながら、CSFをさまざまなセクターや規模の組織にどのように適合させることができるかを議論した。CSFを使用することで、各組織はCSFをカスタマイズするために独自のプロファイルを作成することができる。特定のカテゴリ/サブカテゴリを優先し、ミッションとビジネス目標を満たすためにセクター固有の責任を組み込むことができる。プロファイルの例は、セクター固有の基準や規制を取り入れるという大変な作業を行うため、参考になる。  
The panel included several experts involved in developing example CSF profiles including:   パネルには、CSFプロファイル例の開発に携わった以下のような専門家が参加している。 
•       NISTIR 8183r1 - Cybersecurity Framework Version 1.1 Manufacturing Profile  - NISTIR 8183r1 - サイバーセキュリティフレームワーク バージョン1.1 製造業向けプロファイル 
•       NISTIR 8310 (Draft) - Cybersecurity Framework Election Infrastructure Profile  - NISTIR 8310 (ドラフト) - サイバーセキュリティフレームワークの選挙インフラプロファイル 
•       The Profile by the Cyber Risk Institute (for the financial sector)   ・サイバーリスク研究所によるプロファイル(金融セクター向け)
•       The Cybersecurity Risk Management and Best Practices Profile by the Communications, Security, Reliability, and Interoperability Council, and  ・通信・セキュリティ・信頼性・相互運用性協議会による「サイバーセキュリティリスクマネジメントとベストプラクティス」プロファイル,および
•       Cybersecurity Framework Profiles for Maritime Bulk Liquid Transfer, Offshore Operations, Passenger Vessel, and Industry Cybersecurity Processes created collaboratively on behalf of the U.S. Coast Guard  ・海上液体輸送、オフショア業務,旅客船,および米国沿岸警備隊を代表して共同作成された業界のサイバーセキュリティ・プロセスのためのサイバーセキュリティ・フレームワーク・プロファイル
Panelists discussed how the sample profiles were developed and provided examples of how profiles can be tailored to specific sectors, organizations, or components of an organization. They offered views about how usage of the CSF among small- and medium-sized organizations could be increased. Panelists and workshop attendees alike expressed a need for more sample profiles, as well as additional guidance on how to develop profiles and make profiles already on NIST’s website more readily accessible.    パネリストは、サンプルプロファイルがどのように作成されたかを議論し、プロファイルを特定のセクター、組織、または組織の構成要素に合わせることができる方法を例示した。また、中小規模組織におけるCSFの利用を促進する方法についての意見も出された。パネリストおよびワークショップ参加者からは、より多くのサンプルプロファイル、およびプロファイルの開発方法に関する追加ガイダンス、およびNISTのWebサイトに既に掲載されているプロファイルへのアクセスを容易にすることの必要性が表明された。  
Panel 3: International Use and Alignment in the CSF  パネル3:CSFの国際的な利用と整合性 
Moderator: Leonard Hause, Bureau of Cyberspace and Digital Policy, U.S. Department of State   モデレータ:米国務省サイバースペース・デジタル政策局 Leonard Hause 氏  
Panelists: Kerry-Ann Barrett, Cybersecurity Program Manager, Secretariat of the Inter-American Committee Against Terrorism (CICTE), Secretariat for Multidimensional Security (SMS), Organization of American States; Wen Kwan, Senior Director, ICT Resilience, Innovation, Security and Economic Development Canada, Government of Canada; Laura Lindsay, Cybersecurity Standards Strategist, Microsoft パネリスト:米州機構 多次元安全保障事務局 対テロ米州委員会(CICTE)サイバーセキュリティプログラムマネージャー ケリー=アン・バレット、カナダ政府 イノベーション・セキュリティ・経済開発局 ICTレジリエンス担当シニアディレクター ウェン・クワン、Microsoft サイバーセキュリティ標準ストラテジスト ローラ・リンゼイ
The third panel highlighted the importance of increasing international adoption of the CSF through engagement internationally and alignment with international standards. This panel focused on ways in which the CSF principles have been leveraged across the Americas, including in the United StatesMexico-Canada (USMCA) trade agreement, in Canada, and the Organization of American States. It also addressed international aspects of the CSF more broadly, including how countries have leveraged the common language and risk-based approach of the CSF in national policy.   3つ目のパネルは、国際的な関与と国際標準との連携を通じてCSFの国際的な採用を拡大することの重要性を強調した。このパネルでは、米国・メキシコ・カナダ(USMCA)貿易協定、カナダ、米州機構など、アメリカ大陸でCSFの原則がどのように活用されているかに焦点を当てた。また、CSFの共通言語やリスクベースのアプローチを各国がどのように国家政策に活用しているかなど、より広範なCSFの国際的側面についても言及された。 
Panelists discussed the importance of engaging in international standards bodies to advance the CSF as well as helping organizations to understand the intersections and gaps between ISO 27000 and the CSF. They also noted the trend of ISO to increasingly leverage the CSF. Several panelists pointed to the success of the CSF in creating a common terminology which enhances the communication among governments. The discussion also covered how some terms vary between countries, such as an emphasis on digital security rather than cybersecurity and how language differences also come into play. Panel members noted barriers for small- and medium-sized organizations in using international standards. They emphasized how the voluntary nature of the CSF has been fruitful and effective in its gaining traction around the globe.   パネリストは、CSFを推進するために国際標準化団体に参加することの重要性、およびISO27000とCSFの間の交差点やギャップを組織が理解することを支援することについて議論した。また、ISOがCSFをますます活用する傾向にあることも指摘された。複数のパネリストが、CSFが政府間のコミュニケーションを強化する共通の用語集を作成することに成功していることを指摘した。また、サイバーセキュリティではなくデジタルセキュリティを強調するなど、国によって用語が異なることや、言語の違いも議論になった。パネルディスカッションでは、中小企業が国際標準規格を利用する際の障壁について言及された。また、CSFのボランタリーな性格が、世界的に普及する上で実り多く、効果的であったことを強調した。 
Panelists referenced CSF-related resources and NIST staff shared links through the Slack channel. Some resources that were referenced and shared include:  パネリストは CSF 関連のリソースに言及し、NIST スタッフは Slack チャンネルを通じてリンクを共有した。参照・共有されたリソースをいくつか紹介する。
•       NIST International Cybersecurity and Privacy Resources Site, which describes NIST’s international engagement, including links to CSF translations and adaptations.  ・NIST International Cybersecurity and Privacy Resources Site:NISTの国際的な取り組みについて説明しており,CSFの翻訳や翻案へのリンクも掲載されている。
•       The Organization of American States (OAS) and Amazon Web Services (AWS) White Paper on the CSF addresses opportunities and advantages of the CSF’s cybersecurity risk management approach.  - 米州機構(OAS)とアマゾン ウェブ サービス(AWS)の CSF に関する白書では、CSF のサイバーセキュリティ リスク マネジメント アプローチの機会と利点が述べられている。
•       International Organization for Standardization (ISO)/ International Electrotechnical Commission (IEC) Technical Reference 27103: Cybersecurity and ISO and IEC standards. This document leverages concepts of the CSF and demonstrates how a cybersecurity framework can utilize current information security standards to achieve a well-controlled approach to cybersecurity management.  - 国際標準化機構(ISO)/国際電気標準会議(IEC)テクニカルレファレンス 27103:サイバーセキュリティと ISO および IEC 規格。この文書は、CSF の概念を活用し、サイバーセキュリティフレームワークが、現行の情報セキュリティ標準を利用して、サイバーセキュリティ管理に対する十分に管理されたアプローチを実現する方法を示している。
•       International Organization for Standardization (ISO)/ International Electrotechnical Commission (IEC) Technical Specification 27110: Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines. This document specifies guidelines for developing a cybersecurity framework—including using concepts that align with the CSF functions.  - 国際標準化機構(ISO)/国際電気標準会議(IEC)技術仕様書 27110:情報技術、サイバーセキュリティおよびプライバシー保護 - サイバーセキュリティフレームワーク開発ガイドライン。この文書は、サイバーセキュリティフレームワークを開発するためのガイドラインを規定したもので、CSFの機能に沿った概念の使用も含まれている。
Panel 4: Consideration of Governance in the CSF  パネル4:CSFにおけるガバナンスの検討 
Moderator: Nahla Ivy, Enterprise Risk Management Officer, NIST   モデレーター NIST エンタープライズリスクマネジメントオフィサー Nahla Ivy 氏  
Panelists: Julie Chua, Director, Governance, Risk Management, and Compliance Division, U.S. Department of Health and Human Services; Tendai Gomo, Vice President, Head of Cyber Governance and Risk, Capital One; Alicia Rosenbaum, Vice President and Associate General Counsel, Salesforce; Ola Sage, Founder and CEO, CyberRx  パネリスト Julie Chua(米国保健社会福祉省 ガバナンス・リスクマネジメント・コンプライアンス部門ディレクター)、Tendai Gomo(キャピタルワン社 サイバーガバナンス・リスク部門バイスプレジデント)、Alicia Rosenbaum(セールスフォース社 副社長兼副顧問)、Ola Sage(サイバーラックス社 創業者兼CEO)。
The fourth panel examined approaches to governance in addressing cybersecurity risks.  4つ目のパネルは、サイバーセキュリティリスクに対処するためのガバナンスのアプローチについて検討した。
Panel members discussed the challenges in addressing governance given the increasingly interconnected nature of their operating environments and growing dependencies on their supply chain. They stressed: the importance of identifying the roles different people in the organizations play; how the CSF can be used to align cybersecurity risks with business objectives; and how to determine priorities and risk tolerances by engaging senior leadership as well as customers and suppliers in implementing the CSF. Focusing on Enterprise Risk Management, the panel highlighted practices to assist organizations in determining their critical business and mission functions to allow them to better quantify risk reduction.   パネリストは、事業環境の相互接続性が高まり、サプライチェーンへの依存度が高まっていることから、ガバナンスに取り組む上での課題について議論した。パネルディスカッションでは、組織内のさまざまな人々が果たす役割を特定することの重要性、サイバーセキュリティ・リスクと事業目標を整合させるためにCSFをどのように活用できるか、CSFの実施にシニア・リーダーシップや顧客、サプライヤーを関与させることによって優先順位とリスク許容度をどのように決定するか、といった点が強調された。エンタープライズ・リスクマネジメントに焦点を当てたパネルディスカッションでは、企業が重要なビジネスとミッション機能を決定し、リスク削減をより定量化できるようにするためのプラクティスが紹介された。 
Several panelists shared insights about how they use the CSF to provide status updates on meeting cybersecurity priorities to their senior leadership, and the Framework’s value in carrying out their responsibilities. Discussions among the panelists and Slack channel participants cited some of the unique needs of small and medium businesses and offered ideas on how to get them started in setting up a cybersecurity program – moving away from an all-or-nothing approach and getting started by looking at regulatory requirements and their specific threat landscape.   また、複数のパネリストが、サイバーセキュリティの優先事項の達成状況を上級管理職に報告するためにCSFをどのように活用しているか、また、その責任を果たす上でのフレームワークの価値についての見解を述べた。パネリストと Slack チャネル参加者のディスカッションでは、中小企業特有のニーズが挙げられ、サイバーセキュリティプログラムの立ち上げに着手する方法についてアイデアが提供された。 
Panel 5: CSF Measurement and Assessment  パネル5: CSFの測定とアセスメント 
Moderator: Lisa Carnahan, Associate Director for IT Standardization, NIST   モデレーター:リサ・カーナハン(NIST IT標準化担当アソシエイト・ディレクター  
Panelists: Khalid Hasan, Senior Manager for Information Technology Audits, Office of Inspector General for the Board of Governors of the Federal Reserve Board and the Consumer Financial Protection Bureau; Kelly Hood, Executive Vice President and Cybersecurity Engineer, Optic Cyber Solutions; Alicia Clay Jones, Manager, Policy and Performance, Entergy Services, Inc. パネリスト:連邦準備制度理事会および消費者金融保護局監察官室 情報技術監査担当シニアマネージャー Khalid Hasan氏、Optic Cyber Solutions社 執行副社長兼サイバーセキュリティエンジニア Kelly Hood氏、Entergy Services社 ポリシー・パフォーマンス担当マネージャー Alicia Clay Jones氏。
The fifth panel focused on how to enhance cybersecurity measurement and evaluation when using the CSF. 5つ目のパネルは、CSFを利用する際に、サイバーセキュリティの測定と評価をどのように強化するかに焦点を当てた。
Panelists described how they are using the CSF – both in their organization and in organizations they oversee or guide – and the role of measurement and assessment. The panel shared how they leverage the CSF with other risk management frameworks and maturity models to meet their varying measurement and assessment needs. Measurement and assessment relating to the CSF had different meanings and implementations among the group, depending on their goals. Yet it was clear that each leveraged the CSF as a common means for communicating expectations and current cybersecurity posture with nontechnical stakeholders and for identifying programmatic cybersecurity trends. Each cited the inherent flexibility and risk-based approach of the CSF as valuable in developing innovative and tailored approaches to quantifying and qualifying risk.   パネリストは、自分の組織と監督または指導している組織の両方で CSF をどのように使用しているか、測定と評価の役割について説明した。また、さまざまな測定と評価のニーズに対応するために、CSFを他のリスクマネジメントフレームワークや成熟度モデルとどのように活用しているかを紹介した。CSFに関連する測定と評価は、各自の目標によって意味合いも実施方法も異なっていた。しかし、技術的なバックグラウンドを持たないステークホルダーと期待や現在のサイバーセキュリティの状況を共有し、プログラム上のサイバーセキュリティの傾向を特定するための共通の手段として CSF を活用していることは明らかであった。各社とも、リスクを定量化・定性化するための革新的でカスタマイズされたアプローチを開発する上で、CSF固有の柔軟性とリスクベースのアプローチが有効であると述べている。 
Participants in the Slack discussion were especially active in this panel, sharing additional examples of how they are using the CSF for measurement and assessment, additional resources, and opportunities for additional NIST guidance.    このパネルでは、Slackの参加者が特に積極的に発言し、測定と評価のためにCSFをどのように使用しているか、追加のリソース、およびNISTの追加ガイダンスの機会について、追加の例を共有した。  
Panel 6: Consideration of Supply Chain Cybersecurity in the CSF  パネル6:CSFにおけるサプライチェーンサイバーセキュリティの検討 
Moderator: Nadya Bartol, Managing Director, Boston Consulting Group Platinion   モデレーター ボストンコンサルティンググループプラティニオン、マネージングディレクター、ナディア・バートール  
Panelists: David Batz, Managing Director of Cyber and Infrastructure Security, Edison Electric Institute; Paul Eisler, Senior Director, Cybersecurity, USTelecom | The Broadband Association; Mihoko Matsubara, Chief Cybersecurity Strategist, NTT Corporation; Chris van Schijndel, Cybersecurity Director, Johnson & Johnson Consumer Health パネリスト:Edison Electric Institute サイバー&インフラセキュリティ担当マネージングディレクター David Batz氏、USTelecom サイバーセキュリティ担当シニアディレクター Paul Eisler氏、The Broadband Association、NTT株式会社 チーフサイバーセキュリティストラテジスト 松原美穂子氏、Johnson & Johnson Consumer Health サイバーセキュリティディレクター Chris van Scijndel氏
The sixth and final panel discussed supply chain cybersecurity considerations in the CSF.   最後の6番目のパネルでは、CSFにおけるサプライチェーンのサイバーセキュリティの考慮事項について議論された。 
The panel members and participants in Slack discussed the importance of organizations having a robust cybersecurity supply chain risk management approach, including how CSF 2.0 could build on the coverage of cybersecurity supply chain risk management already included in CSF 1.1. They addressed the many challenges associated with cybersecurity supply chain risk management, including the ability to oversee cybersecurity of suppliers, and emphasized the importance of maintaining flexibility to tailor activities based on risks, sectors, and circumstances. The panel and Slack participants also discussed recently issued resources to help secure software supply chains, such as the NIST Secure Software Development Framework Version 1.1 (NIST SP 800-218) and Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST SP 800-161 Rev. 1). Some panel members also pointed to the importance of global discussions on supply chain management.    パネルメンバーとSlackの参加者は、CSF 2.0がCSF 1.1にすでに含まれているサイバーセキュリティのサプライチェーンリスクマネジメントの範囲をどのように構築できるかを含め、組織が強固なサイバーセキュリティのサプライチェーンリスクマネジメント手法を持つことの重要性を議論した。また、サプライヤーのサイバーセキュリティを監督する能力など、サイバーセキュリティ・サプライチェーン・リスクマネジメントに関連する多くの課題を取り上げ、リスク、セクター、状況に応じて活動を調整する柔軟性を維持することの重要性を強調した。パネルとSlack参加者は、NIST Secure Software Development Framework Version 1.1 (NIST SP 800-218) やCybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST SP 800-161 Rev. 1) など、ソフトウェアのサプライチェーンを安全にするために最近発行されたリソースについても議論した。また、一部のパネルメンバーからは、サプライチェーンマネジメントに関するグローバルな議論の重要性が指摘された。  

|

« 米国 科学技術政策局 AI権利章典の青写真 | Main | 欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 科学技術政策局 AI権利章典の青写真 | Main | 欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと »