NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)
こんにちは、丸山満彦です。
今年も、公表されました。。。。サイバーセキュリティおよびプライバシーに関する年次報告書です。。。
● NIST - ITL
・2022.09.26 SP 800-220 Fiscal Year 2021 Cybersecurity and Privacy Annual Report
| SP 800-220 Fiscal Year 2021 Cybersecurity and Privacy Annual Report | SP 800-220 2021年度サイバーセキュリティ・プライバシーに関する年次報告書 |
| Abstract | 概要 |
| During Fiscal Year 2021 (FY 2021) – from October 1, 2020, through September 30, 2021 – the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This annual report highlights the FY 2021 research agenda and activities for the ITL Cybersecurity and Privacy Program, including the ongoing participation and development of international standards; the enhancement of privacy and security risk management models, including those for the protection of controlled unclassified information (CUI), systems engineering and cyber resiliency, supply chains, and mobile technologies; the continued advancement of cryptographic technologies, including updates to Federal Information Processing Standard (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and preparation for post-quantum cryptographic methods; and improved infrastructure protection in areas such as zero trust architectures and advanced networking security. NIST maintained a strong focus on supporting small and medium-sized businesses (SMBs), including updates to the Small Business Cybersecurity Corner website to make resources easier to find and use and drawing on contributed cybersecurity resources and feedback received from federal partners and the public. | 2021年度(2020年10月1日から2021年9月30日まで)、NIST情報技術研究所(ITL)サイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーにおける数々の課題と機会への対応に成功した。本年次報告書では、国際標準への継続的な参加と開発を含む、ITLサイバーセキュリティ・プライバシープログラムの2021年度の研究課題と活動内容を紹介する。プライバシーとセキュリティのリスクマネジメントモデルの強化(管理下非機密情報(CUI)の保護、システムエンジニアリングとサイバーレジリエンス、サプライチェーン、モバイル技術など 連邦情報処理規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」の更新やポスト量子暗号方式への対応など、暗号技術の継続的な進歩、ゼロトラストアーキテクチャや高度なネットワークセキュリティなどの分野におけるインフラ保護の改善。NISTは、中小企業(SMB)の支援に重点を置き、リソースを見つけやすく、使いやすくするためのSmall Business Cybersecurity Cornerウェブサイトの更新や、連邦政府のパートナーや一般から受け取ったサイバーセキュリティリソースやフィードバックの活用を行った。 |
・[PDF] SP 800-220
| Foreword | 序文 |
| Focus Area 1: Cryptographic Standards and Validation | 重点分野 1 : 暗号の標準と検証 |
| Focus Area 2: Cybersecurity Measurement | 重点分野 2 : サイバーセキュリティの測定 |
| Focus Area 3: Education and Workforce | 重点分野 3 : 教育と労働力 |
| Focus Area 4: Identity and Access Management | 重点分野 4 : アイデンティティとアクセス管理 |
| Focus Area 5: Privacy Engineering | 重点分野 5 : プライバシーエンジニアリング |
| Focus Area 6: Risk Management | 重点分野 6 : リスクマネジメント |
| Focus Area 7: Trustworthy Networks | 重点分野 7 : 信頼できるネットワーク |
| Focus Area 8: Trustworthy Platforms | 重点分野 8 : 信頼できるプラットフォーム |
| ITL Leadership and Participation in National and International Standards Programs | 国内および国際標準化プログラムにおける ITL のリーダーシップと参加 |
| Opportunities to Engage with the NIST on Cybersecurity and Privacy | サイバーセキュリティとプライバシーに関する NIST との連携の機会 |
・[DOCX] 仮訳
過去のものを横に並べてみると。。。
| 2021 | 2020 | 2019 | 2018 | 2017 |
| SP 800-220 | SP 800-214 |
SP 800-211 |
SP 800-206 |
SP 800-203 |
| 重点分野 1 : 暗号の標準と検証 | サイバーセキュリティの啓発と教育 | サイバーセキュリティとプライバシーの標準化の進化 | 必須事項 1 - サイバーセキュリティとプライバシー基準の推進 | 国際ITセキュリティ標準へのITLの関与 |
| 重点分野 2 : サイバーセキュリティの測定 | アイデンティティとアクセス管理 | リスク管理の強化 | 必須事項 2 - リスクマネジメントの強化 | リスク管理 |
| 重点分野 3 : 教育と労働力 | 測定基準と測定 | 暗号標準と検証の強化 | 必須事項 3 - 暗号の標準と検証の強化 | バイオメトリクス標準と関連する適合性評価試験ツール |
| 重点分野 4 : アイデンティティとアクセス管理 | リスクマネジメント | 先端サイバーセキュリティ研究・応用開発 | 必須事項 4 - サイバーセキュリティの研究・応用開発の推進 | サイバーセキュリティアプリケーション |
| 重点分野 5 : プライバシーエンジニアリング | プライバシーエンジニアリング | サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 | 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発 | ソフトウェアの保証と品質 |
| 重点分野 6 : リスクマネジメント | 新規技術 | アイデンティティとアクセス管理の強化 | 必須事項 6 - アイデンティティとアクセス管理の強化 | 連邦サイバーセキュリティ調査研究 |
| 重点分野 7 : 信頼できるネットワーク | 暗号の標準化と検証 | 通信・インフラ保護の強化 | 必須事項 7 - インフラストラクチャの保護強化 | コンピュータ・フォレンジック |
| 重点分野 8 : 信頼できるプラットフォーム | 信頼性の高いネットワーク | 新技術の確保 | 必須事項 8 - 新規技術の保護 | サイバーセキュリティに関する知識・訓練・教育・アウトリーチ |
| 信頼性の高いプラットフォーム | セキュリティテストと測定ツールの進化 | 必須事項 9 - セキュリティのテストと測定ツールの推進 | 暗号標準化プログラム | |
| バリデーションプログラム | ||||
| ID ・アクセス管理 | ||||
| 新規技術の研究 | ||||
| ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) | ||||
| インターネットインフラ保護 | ||||
| 高度なセキュリティ試験と測定 | ||||
| 技術的な安全性の指標 | ||||
| 利便性とセキュリティ |
過去分
・2021.09.28 SP 800-214 2020 Cybersecurity and Privacy Annual Report
・[PDF] SP 800-214
| 1 | Cybersecurity Awareness and Education | サイバーセキュリティの啓発と教育 |
| 2 | Identity and Access Management | アイデンティティとアクセス管理 |
| 3 | Metrics and Measurement | 測定基準と測定 |
| 4 | Risk Management | リスクマネジメント |
| 5 | Privacy Engineering | プライバシーエンジニアリング |
| 6 | Emerging Technologies | 新規技術 |
| 7 | Cryptographic Standards and Validation | 暗号の標準化と検証 |
| 8 | Trustworthy Networks | 信頼性の高いネットワーク |
| 9 | Trustworthy Platforms | 信頼性の高いプラットフォーム |
・2020.08.24 SP 800-211 2019 NIST / ITL Cybersecurity Program Annual Report
・[PDF] SP 800-211
| 1 | Advancing Cybersecurity and Privacy Standards | サイバーセキュリティとプライバシーの標準化の進化 |
| 2 | Enhancing Risk Management | リスク管理の強化 |
| 3 | Strengthening Cryptographic Standards and Validation | 暗号標準と検証の強化 |
| 4 | Advanced Cybersecurity Research & Applications Development | 先端サイバーセキュリティ研究・応用開発 |
| 5 | Improving Cybersecurity Awareness, Training, and Education and Workforce Development | サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 |
| 6 | Enhancing Identity and Access Management | アイデンティティとアクセス管理の強化 |
| 7 | Bolstering Communications and Infrastructure Protection | 通信・インフラ保護の強化 |
| 8 | Securing Emerging Technologies | 新技術の確保 |
| 9 | Advancing Security Test and Measurement Tools | セキュリティテストと測定ツールの進化 |
・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program
・[PDF] SP 800-206
| Introduction | はじめに |
| Imperative 1 – Advancing Cybersecurity and Privacy Standards | 必須事項 1 - サイバーセキュリティとプライバシー基準の推進 |
| Imperative 2 – Enhancing Risk Management | 必須事項 2 - リスクマネジメントの強化 |
| Imperative 3 – Strengthening Cryptographic Standards and Validation | 必須事項 3 - 暗号の標準と検証の強化 |
| Imperative 4 – Advancing Cybersecurity Research and Applications Development | 必須事項 4 - サイバーセキュリティの研究・応用開発の推進 |
| Imperative 5 – Improving Cybersecurity Awareness, Training, Education, and Workforce Development | 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発 |
| Imperative 6 – Enhancing Identity and Access Management | 必須事項 6 - アイデンティティとアクセス管理の強化 |
| Imperative 7 – Bolstering Infrastructure Protection | 必須事項 7 - インフラストラクチャの保護強化 |
| Imperative 8 – Securing Emerging Technologies | 必須事項 8 - 新規技術の保護 |
| Imperative 9 – Advancing Security Test and Measurement Tools | 必須事項 9 - セキュリティのテストと測定ツールの推進 |
・2018.07.02 SP 800-203 2017 NIST/ITL Cybersecurity Program Annual Report
・[PDF] SP 800-203
| 1 | ITL INVOLVEMENT WITH INTERNATIONAL IT SECURITY STANDARDS | 国際ITセキュリティ標準へのITLの関与 |
| 2 | RISK MANAGEMENT | リスク管理 |
| 3 | BIOMETRIC STANDARDS AND ASSOCIATED CONFORMITY ASSESSMENT TESTING TOOLS | バイオメトリクス標準と関連する適合性評価試験ツール |
| 4 | CYBERSECURITY APPLICATIONS | サイバーセキュリティアプリケーション |
| 5 | SOFTWARE ASSURANCE & QUALITY | ソフトウェアの保証と品質 |
| 6 | FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT (R&D) | 連邦サイバーセキュリティ調査研究 |
| 7 | COMPUTER FORENSICS | コンピュータ・フォレンジック |
| 8 | CYBERSECURITY AWARENESS, TRAINING, EDUCATION, AND OUTREACH | サイバーセキュリティに関する知識・訓練・教育・アウトリーチ |
| 9 | CRYPTOGRAPHIC STANDARDS PROGRAM | 暗号標準化プログラム |
| 10 | VALIDATION PROGRAMS | バリデーションプログラム |
| 11 | IDENTITY AND ACCESS MANAGEMENT | ID ・アクセス管理 |
| 12 | RESEARCH IN EMERGING TECHNOLOGIES | 新規技術の研究 |
| 13 | NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCoE) | ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) |
| 14 | INTERNET INFRASTRUCTURE PROTECTION | インターネットインフラ保護 |
| 15 | ADVANCED SECURITY TESTING AND MEASUREMENTS | 高度なセキュリティ試験と測定 |
| 16 | TECHNICAL SECURITY METRICS | 技術的な安全性の指標 |
| 17 | USABILITY AND SECURITY | 利便性とセキュリティ |
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.10.01 NIST SP 800-214 2020年サイバーセキュリティとプライバシーの年次報告書
・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019
・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program
Comments