米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)
こんにちは、丸山満彦です。
NISTのサイバーセキュリティフレームワーク (CSF) は重要インフラ組織における外部脅威への対応という面から見ると網羅性が高いこともあって、2014年2月に公開されてから、重要インフラではない民間企業も含めて広く利用されているところがありますよね。。。
現在は、2018年4月に発行された Ver1.1ですが、それを2024年初めを目標にVer2.0にあげようということですね。。。
変更のポイント
- 潜在的用途を明確にする
- 既存の標準やリソースとの関連性を提供
- ガイダンスの拡張
- ガバナンスの重要性の強調
- サプライチェーンの重要性の強調
- サイバーセキュリティの測定と評価に関する理解の促進
という感じですね。。。
● NIST - ITL
・2023.01.19 Concept Paper Released | Comment on Proposed Significant Updates to the CSF & Register for In-Person Event
コンセプトペーパーは、今後開催される2つのイベントで議論される予定のようです・・・
1. CSF2.0への旅 ワークショップ#2 (バーチャル) :2023.02.15 登録と詳細
2. CSF2.0への旅 ワーキングショップ (オンサイト) :2023.02.22 (9:00 AM - 1:00 PM EST) , 2023.02.23 (1:00 - 5:00 PM EST), NIST National Cybersecurity Center of Excellence in Rockville, MD. 参加者は、ワーキングセッションでNISTスタッフや専門家とコンセプトペーパーについて話し合うので、申し込みは1つのセッションにのみ。参加人数は非常に限られている。登録
・[DOCX] 仮訳
Introduction | はじめに |
Potential Significant Changes in CSF 2.0 | CSF2.0における潜在的な重要性のある変更点 |
1. CSF 2.0 will explicitly recognize the CSF’s broad use to clarify its potential applications | 1. CSF2.0では、CSFの幅広い用途を明示的に認識し、その潜在的な用途を明確にする |
1.1. Change the CSF’s title and text to reflect its intended use by all organizations | 1.1. CSFのタイトルとテキストを変更し、すべての組織が使用することを意図していることを反映させる |
1.2. Scope the CSF to ensure it benefits organizations regardless of sector, type, or size | 1.2. セクター、タイプ、または規模に関係なく、CSFが組織に利益をもたらすように範囲を設定する。 |
1.3. Increase international collaboration and engagement | 1.3. 国際的なコラボレーションとエンゲージメントの拡大 |
2. CSF 2.0 will remain a framework, providing context and connections to existing standards and resources | 2. CSF 2.0は、既存の標準やリソースとの関連性を提供し、フレームワークとして存続する。 |
2.1. Retain CSF’s current level of detail | 2.1. CSFの現在の詳細レベルを維持する |
2.2. Relate the CSF clearly to other NIST frameworks | 2.2. CSF と他の NIST フレームワークとの明確な関連性 |
2.3. Leverage Cybersecurity and Privacy Reference Tool for online CSF 2.0 Core | 2.3. サイバーセキュリティとプライバシーのリファレンスツールをCSF2.0コアにオンラインで活用する。 |
2.4. Use updatable, online Informative References | 2.4. 更新可能なオンライン参考文献を使用する |
2.5. Use Informative References to provide more guidance to implement the CSF | 2.5. CSFを実施するための詳しいガイダンスを提供するために「参考文献」を使用する。 |
2.6. Remain technology- and vendor-neutral, but reflect changes in cybersecurity practices | 2.6. 技術やベンダーの中立性を保ちつつ、サイバーセキュリティの実践の変化を反映させる。 |
3. CSF 2.0 (and companion resources) will include updated and expanded guidance on Framework implementation | 3. CSF2.0(および関連リソース)には、フレームワークの実施に関する更新および拡張されたガイダンスが含まれる。 |
3.1. Add implementation examples for CSF Subcategories | 3.1. CSFサブカテゴリの実装例追加 |
3.2. Develop a CSF Profile template | 3.2. CSFプロファイルのテンプレートの作成 |
3.3. Improve the CSF website to highlight implementation resources | 3.3. CSFウェブサイトを改善し、導入リソースを強調する |
4. CSF 2.0 will emphasize the importance of cybersecurity governance | 4. CSF2.0では、サイバーセキュリティガバナンスの重要性が強調される。 |
4.1. Add a new Govern Function | 4.1. 新しいガバメント機能の追加 |
4.2. Improve discussion of relationship to risk management | 4.2. リスクマネジメントとの関連性についての議論の改善 |
5. CSF 2.0 will emphasize the importance of cybersecurity supply chain risk management (C-SCRM) | 5. CSF2.0では、サイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)の重要性が強調される。 |
5.1. Expand coverage of supply chain | 5.1. サプライチェーンへの適用範囲拡大 |
6. CSF 2.0 will advance understanding of cybersecurity measurement and assessment | 6. CSF 2.0は、サイバーセキュリティの測定と評価に関する理解を促進する。 |
6.1. Clarify how leveraging the CSF can support the measurement and assessment of cybersecurity programs | 6.1. CSF を活用することで、サイバーセキュリティプログラムの測定と評価をどのように支援できるかを明確にする。 |
6.2. Provide examples of measurement and assessment using the CSF | 6.2. CSFを用いた測定・評価の例を示す。 |
6.3. Update the NIST Performance Measurement Guide for Information Security | 6.3. 情報セキュリティのためのNISTパフォーマンス測定ガイドの更新 |
6.4. Provide additional guidance on Framework Implementation Tiers | 6.4. フレームワーク実施段階に関する追加ガイダンスを提供する |
■ 参考
・Updating the NIST Cybersecurity Framework – Journey To CSF 2.0
連邦通達
● Federal Register
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)
« EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択 | Main | JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意 »
Comments