ENISA 相互運用可能なEUのリスク管理フレームワーク 2022年更新版 (2023.01.16)
こんにちは、丸山満彦です。
ENISAが相互運用可能なEUのリスク管理フレームワークという文書を昨年 (2022.01.13) 公表していますが、その更新版ですね。。。
リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。
- ISO/IEC 27005:2018
- NIST SP 800-37
- NIST SP 800-30
- NIST SP 800-39
- BSI STANDARD 200-2
- OCTAVE-S
- OCTAVE ALLEGRO
- OCTAVE FORTE
- ETSI TS 102 165-1 (TVRA)
- MONARC
- EBIOS Risk Manager (RM)
- MAGERIT v.3
- ITSRM²
- MEHARI
- THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1
- GUIDELINES ON CYBER SECURITY ONBOARD SHIPS
- The AML/CFT methodology
- Circular CSSF 20/750
新しく追加されたのが、
17. The AML/CFT methodology
18. Circular CSSF 20/750
更新されたのが、
10. MONARC
13. ITSRM²
15. THE OPEN GROUP STANDARD, RISK ANALYSIS
という感じですかね。。。
NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきません。。。
● ENISA
・2023.01.16 Interoperable EU Risk Management Framework
| Interoperable EU Risk Management Framework | 相互運用可能なEUのリスクマネジメントフレームワーク |
| This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. | 本報告書は、リスクマネジメント(RM)フレームワークと手法の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するための方法論は、文献の広範な調査から生まれ、その結果、この目的のために特定のRMフレームワークの特徴を使用することになった。これらの機能は、相互運用性の評価に関連するものとして特定され、各フレームワーク/方法論について徹底的に説明され、分析される。より具体的には、特定の機能的特徴について、各方法と組み合わせた特徴のセットごとに、相互運用性のレベルを評価するために4レベルの尺度を使用している。 |
・[PDF]
目次...
| 1. INTRODUCTION | 1. はじめに |
| 1.1 PURPOSE AND SCOPE | 1.1 目的と範囲 |
| 1.2 DEFINITION OF ACRONYMS | 1.2 頭字語の定義 |
| 2. METHOD OF WORK | 2. 作業方法 |
| 2.1 FEATURES OF INTEROPERABILITY | 2.1 相互運用性の特徴 |
| 2.2 INTEROPERABILITY EVALUATION MODEL | 2.2 相互運用性評価モデル |
| 2.2.1 Methodology and levels of interoperability | 2.2.1 相互運用性の方法論とレベル |
| 2.2.2 Scoring model for potential interoperability | 2.2.2 相互接続性の採点モデル |
| 3. RESULTS | 3. 結果 |
| 3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK AND FEATURE | 3.1 リスクマネジメントフレームワークと機能ごとの相互運用性レベルの分析 |
| 4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES BASED ON ITSRM2 | 4. そのRM2に基づくRMプロセスにおける相互運用性の統合 |
| 4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION | 4.1 プロセスP1 システムセキュリティの特性評価 |
| 4.1.1 Description of process | 4.1.1 プロセスの説明 |
| 4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS | 4.2 プロセスP2 主要資産及びP3 補助資産 |
| 4.2.1 Description of processes | 4.2.1 プロセスの説明 |
| 4.2.2 Recommendations and integration of interoperability features | 4.2.2 相互運用性のための機能の推奨と統合 |
| 4.3 PROCESS P4 SYSTEM MODELLING | 4.3 プロセスP4 システムモデリング |
| 4.3.1 Description of process | 4.3.1 プロセスの記述 |
| 4.3.2 Recommendations and integration of interoperability features | 4.3.2 相互運用性のための推奨事項及び統合機能 |
| 4.4 PROCESS P5 RISK IDENTIFICATION | 4.4 プロセスP5 リスクの特定 |
| 4.4.1 Description of process | 4.4.1 プロセスの記述 |
| 4.4.2 Recommendations and integration of interoperability features | 4.4.2 相互運用性のための推奨事項及び統合事項 |
| 4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION | 4.5 プロセスP6 リスクの分析及び評価 |
| 4.5.1 Description of process | 4.5.1 プロセスの記述 |
| 4.5.2 Recommendations and integration of interoperability features | 4.5.2 相互運用性のための推奨事項及び統合機能 |
| 4.6 PROCESS P7 RISK TREATMENT | 4.6 プロセスP7 リスクの処置 |
| 4.6.1 Description of process | 4.6.1 プロセスの記述 |
| 4.6.2 Recommendations and integration of interoperability features | 4.6.2 相互運用性のための推奨事項及び統合機能 |
| 5. SYNOPSIS | 5. 用語解説 |
| 6. UPDATES ON THE PROMINENT RISK MANAGEMENT FRAMEWORKS AND METHODOLOGIES | 6. 著名なリスクマネジメントのフレームワークと方法論に関する最新情報 |
| 6.1 MONARC | 6.1 MONARC |
| 6.2 EU ITSRM2, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 | 6.2 EU ITSRM2、セキュリティリスク管理方法論 v1.2 |
| 6.3 THE AML/CFT NATIONAL RISK ASSESSMENT METHODOLOGY | 6.3 AML/CFT 国家リスク評価手法 |
| 6.4 THE AML/CFT NATIONAL RISK ASSESSMENT METHODOLOGY | 6.4 AML/CFT 国家リスクアセスメント方法論 |
| 6.5 CIRCULAR CSSF 20/750 | 6.5 CIRCULAR CSSF 20/750 |
| 6.6 SERIMA | 6.6 SERIMA |
| 6.7 ISO/IEC 27005:2018 | 6.7 ISO/iec 27005:2018 |
| 6.8 NIST SP 800-37 REV. 2 | 6.8 NIST SP 800-37 Rev. 2 |
| 6.9 NIST SP 800–30 REV.1 | 6.9 NIST SP 800-30 Rev.1 |
| 6.10 NIST SP 800–39 | 6.10 NIST SP 800-39 |
| 6.11 BSI STANDARD 200-2 | 6.11 BSI標準規格200-2 |
| 6.12 OCTAVE-S | 6.12 OCTAVE-S |
| 6.13 OCTAVE ALLEGRO | 6.13 OCTAVE ALLEGRO |
| 6.14 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) | 6.14 OCTAVE FORTE (エンタープライズ向けオクターブ) |
| 6.15 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) | 6.15 ETSI TS 102 165-1、脅威の脆弱性とリスク分析 (Tvra) |
| 6.16 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SECURITE- EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) | 6.16 EBIOSリスクマネージャ:ニーズの表現とセキュリティ目標の明確化 |
| 6.17 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT INFORMATION SYSTEMS | 6.17 MAGERIT V.3: 分析・リスク管理情報システム |
| 6.18 MEHARI | 6.18 MEHARI |
| 6.19 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS | 6.19 船舶のサイバーセキュリティに関するガイドライン |
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| This report is an update of the report “Interoperable EU Risk Management Framework” published by ENISA in January 2022. The “Interoperable EU Risk Management Framework” proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methods and presents related results. The methods included in this report have been selected as prominent, based on their interoperability features, after evaluating an extended list of risk management frameworks and methods (included in the Compendium of Risk Management Frameworks with Potential Interoperability, ENISA, January 2002) which has been published as Supplement to the Interoperable EU Risk Management. | 本報告書は、ENISAが2022年1月に発表した報告書「相互運用可能なEUリスク管理フレームワーク」を更新したものである。相互運用可能なEUリスク管理フレームワーク」は、リスク管理(RM)フレームワークと手法の潜在的な相互運用性を評価するための手法を提案し、関連する結果を提示している。この報告書に含まれる手法は、相互運用可能なEUリスクマネジメントの補足として発表されたリスクマネジメントのフレームワークと手法の拡張リスト(Compendium of Risk Management Frameworks with Potential Interoperability, ENISA, January 2002に含まれる)を評価し、その相互運用性の特徴に基づき、顕著なものとして選択されたものである。 |
| The “Interoperable EU Risk Management Framework” describes and evaluates the interoperability features for prominent risk management frameworks and methods, by employing a four-level scale to evaluate their interoperability level. The features assessed to evaluate the interoperability level include the approach used by the RM method (i.e. to whether it is assetbased or scenario-based), whether risk assessment is quantitative or qualitative, as well as other characteristics such as the use of asset taxonomies, valuation methods, the cataloguing of threats and vulnerabilities, the method of risk calculation etc. It also provides an overview of possible collaborative combinations between them. | 相互運用可能なEUのリスクマネジメントフレームワーク」は、著名なリスクマネジメントのフレームワークや手法に対して、相互運用性の特徴を記述・評価し、その相互運用性のレベルを4段階の尺度で評価したものである。相互運用性を評価するための特徴は、リスクマネジメント手法のアプローチ(資産ベースかシナリオベースか)、リスク評価が定量的か定性的か、また、資産分類の使用、評価方法、脅威と脆弱性のカタログ化、リスクの計算方法などの他の特徴も含まれている。また、それらの間で可能な協調的な組み合わせの概要も示している。 |
| The update of “Interoperable EU Risk Management Framework” was based on desktop research and analysis, which resulted in: | 相互運用可能なEUのリスクマネジメントフレームワーク "の更新は、デスクトップリサーチと分析に基づいて行われ、その結果、以下のことが明らかになった。 |
| • Identifying new risk management methods, which were evaluated with regard to their interoperability potential and included in the ““Interoperable EU Risk Management Framework”. These are the following: | ・新しいリスク管理手法を特定し,その相互運用性の可能性を評価した上で,「相互運用可能なEUのリスクマネジメントフレームワーク」に盛り込む。これらは以下の通りである。 |
| o SERIMA | o SERIMA |
| o CIRCULAR CSSF 20/750 | o CIRCULAR CSSF 20/750 |
| • Updating the features and evaluation of the following RM methods which were already included in the Framework: | ・既にフレームワークに含まれている以下のリスク管理手法の特徴と評価を更新する。 |
| o MONARC | o MONARC |
| o ITSRM² | o ITSRM² |
| o THE OPEN GROUP STANDARD, RISK ANALYSIS | o リスク分析に関するオープングループ基準 |
| Finally, no updates were identified for the following: | 最後に、以下については、更新が確認されなかった。 |
| o ISO/IEC 27005:2018 | o ISO/IEC 27005:2018 |
| o NIST SP 800-37 | o NIST SP 800-37 |
| o NIST SP 800-30 | o NIST SP 800-30 |
| o NIST SP 800-39 | o NIST SP 800-39 |
| o BSI STANDARD 200-2 | o BSI標準規格200-2 |
| o OCTAVE-S | o OCTAVE-S |
| o OCTAVE ALLEGRO | o OCTAVE ALLEGRO |
| o OCTAVE FORTE | o OCTAVE FORTE |
| o ETSI TS 102 165-1(TVRA) | o ETSI TS 102 165-1(TVRA) |
| o EBIOS Risk Manager | o EBIOS リスクマネージャー |
| o MAGERIT v.3 | o MAGERIT v.3 |
| o MEHARI | o MEHARI |
| o GUIDELINES ON CYBER SECURITY ONBOARD SHIPS | o 船舶のサイバーセキュリティに関するガイドライン |
| フレームワークと方法 | 一般的な側面 | 機能 | ||||||
| リスク識別 | リスクアセスメント | リスクへの対応 | ||||||
| アセットベース(AB)/シナリオベース(SB) | 定量的:QT/定性的:QL | 資産タクソノミ | 資産評価 | 脅威のカタログ | 脆弱性カタログ | リスク算出方法 | 対策カタログ・残存リスク計算 | |
| 1. ISO/IEC 27005:2018 | AB | QT/QL | 2 | 3 | 3 | 3 | 3 | 3 |
| 2. NIST SP 800-37 | AB | QL | 3 | 3 | 3 | 3 | 3 | 3 |
| 3. NIST SP 800-30 | SB | QT/QL | 0 | 2 | 3 | 3 | 2 | 3 |
| 4. NIST SP 800-39 | AB | QL | 3 | 3 | 3 | 3 | 3 | 3 |
| 5. BSI STANDARD 200-2 | AB/AS | QL | 3 | 1 | 3 | 3 | 3 | 3 |
| 6. OCTAVE-S | AB/AS | QL | 3 | 3 | 3 | 3 | 3 | 3 |
| 7. OCTAVE ALLEGRO | AB | QL | 3 | 3 | 3 | 3 | 3 | 3 |
| 8. OCTAVE FORTE | AB | QL | 2 | 3 | 3 | 3 | 3 | 3 |
| 9. ETSI TS 102 165-1 (TVRA) | AB | QL | 2 | 3 | 3 | 3 | 2 | 3 |
| 10. MONARC | AB | QL | 2 | 3 | 3 | 3 | 3 | 3 |
| 11. EBIOS Risk Manager (RM) | AB/SB | QL/QT | 3 | 3 | 3 | 2 | 2 | 3 |
| 12. MAGERIT v.3 | AB | QT/QL | 2 | 3 | 3 | 0 | 2 | 3 |
| 13. ITSRM² | AB | QT/QL | 2 | 2 | 3 | 0 | 2 | 3 |
| 14. MEHARI | AB/AS | QL | 3 | 1 | 3 | 3 | 1 | 3 |
| 15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1 | SB | QT/QL | 0 | 3 | 3 | 3 | 3 | 3 |
| 16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS | AB/AS | QT | 3 | 3 | 3 | 3 | 2 | 3 |
| 17. The AML/CFT methodology | AB | QJ | 0 | 3 | 1 | 1 | 3 | 3 |
| 18. Circular CSSF 20/750 | AB/AS | QT/QL | 0 | 3 | 3 | 3 | 3 | 3 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク
Comments