« NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ | Main | 欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス »

2023.02.04

米国 MITRE サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター

こんにちは、丸山満彦です。

MITREが、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」を公表し、誰でも使えるようにしてくれていますね。。。

サプライチェーンセキュリティにも気を使わないといけない昨今、これは便利かもですね。。。

 

MITRE

・2023.02.02 MITRE Launches Cyber Resiliency Engineering Framework Navigator

 

MITRE Launches Cyber Resiliency Engineering Framework Navigator MITRE、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」の提供を開始
Visualization tool helps organizations better structure their cyber resiliency strategies 可視化ツールにより、企業のサイバーレジリエンス戦略の構築を支援
McLean, Va. & Bedford, Mass., February 2, 2023—MITRE released the Cyber Resiliency Engineering Framework (CREF) NavigatorTM—a free, visualization tool that allows organizations to customize their cyber resiliency goals, objectives, and techniques, as aligned with NIST SP 800-160, Volume 2 (Rev. 1), National Institute of Standards and Technology’s (NIST) publication on developing cyber-resilient systems. 米国バージニア州マクリーンおよびマサチューセッツ州ベッドフォード発、2023年2月2日 - MITREは、米国標準技術局(NIST)が発行したサイバーレジリエンスシステムの開発に関する文書「NIST SP 800-160, Volume 2 (Rev. 1)」に沿ってサイバーレジリエンスの目標、目的、手法をカスタマイズするための無償可視化ツール「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーターCREF」を発表した。
“Resiliency is the ultimate goal of cybersecurity,” said Wen Masters, vice president, cyber technologies, MITRE. “Information and communications systems and those who depend on them must be resilient in the face of persistent, stealthy, and sophisticated cyber-attacks. While resilience is sometimes described as an emergent property, resilience in the face of cyber threats must be engineered.” MITREのサイバーテクノロジー担当バイスプレジデントであるウェン・マスターズは、次のように述べている。「レジリエンスはサイバーセキュリティの究極の目標である。情報通信システムとそれに依存する人々は、持続的であるステルス性のある巧妙なサイバー攻撃に直面しても、レジリエンス(回復力)を持っていなければならない。レジリエンスは創発的な性質であると表現されることもあるが、サイバー脅威に直面したときのレジリエンスは、設計されていなければならない」。
As with many of MITRE’s resources for cyber defenders that are developed in the public interest, the CREF Navigator is freely available to the greater cyber community. 公共の利益のために開発された多くの他のMITREのサイバー防衛者向けリソースと同様に、CREF Navigatorはより広いサイバーコミュニティで自由に利用することができる。
“We’ve taken the original cyber resiliency framework we created with NIST and now made it searchable and visualized,” said Shane Steiger, principal cybersecurity engineer, MITRE. “This relational database enables engineers to make educated and informed choices while designing resilient cyber solutions.” MITREのプリンシパル・サイバーセキュリティ・エンジニアであるShane Steigerは、次のように述べています。「NISTと共同で作成したオリジナルのサイバーレジリエンスフレームワークを、検索および可視化できるようにした。このリレーショナルデータベースにより、エンジニアは十分な情報を得た上で、回復力のあるサイバーソリューションの設計を行うことができるようになる。」
The principles of the CREF framework follow four guiding pillars: CREFフレームワークの原則は、4つの指針となる柱に従っている。
・Anticipate: maintain a state of informed preparedness in order to forestall compromises of mission/business functions from adversary attacks, ・予測する:敵の攻撃によってミッションやビジネス機能が損なわれるのを防ぐために、十分な情報に基づいて準備態勢を維持する。
・Withstand: continue essential mission/business functions despite successful execution of an attack by an adversary, ・耐える:敵の攻撃が成功しても、重要な任務・事業機能を継続する。
・Recover: restore mission/business functions to the maximum extent possible after successful execution of an attack by an adversary, and ・回復する:敵による攻撃が成功した後、ミッション/ビジネス機能を可能な限り回復させる。
・Adapt: change mission/business functions and/or the supporting cyber capabilities so as to minimize adverse impacts from actual or predicted adversary attacks. ・適応する:実際の、あるいは予測される敵の攻撃による悪影響を最小化するために、ミッション/ビジネス機能および/または支援するサイバー能力を変更する。
“During the last year of development, we integrated the CREF Navigator with MITRE ATT&CK® techniques and mitigations found in ATT&CK and NIST SP 800-160 Volume 2 (Rev. 1) appendices. We also are using the Navigator to encourage engineers to characterize their cyber resiliency capabilities,” added Steiger. “We plan to keep evolving the Navigator as the discipline of cyber resiliency engineering matures.” Steigerは次のように補足した。「開発の最後の年に、私たちはCREF Navigatorを、ATT&CKとNIST SP 800-160 Volume 2 (Rev. 1)の附属書にあるMITRE ATT&CK®テクニックと緩和策に統合した。また、Navigatorを使用して、エンジニアに自社のサイバーレジリエンス能力を評価するよう促している。サイバーレジリエンス工学の分野が成熟するにつれ、Navigatorも進化し続ける予定である。」
Future enhancements to the CREF Navigator are planned to provide additional automated support for organizations interested in building stronger defenses for their critical infrastructure. See the CREF Navigator in action at [web]. CREF Navigatorは今後、重要インフラの防御強化に関心を持つ組織に対して、さらなる自動化サポートを提供する予定である。CREF Navigatorについては、[web]
を参照すること。

 

でこちらが、そのデータベースへの入り口...

Cyber Resiliency Engineering Framework (CREF) NavigatorTM

20230204-74241

 

 

仮訳のために、二次元にしました。。。

# 階層 English 仮訳
1 0 Navigator ナビゲーター
2 1 Goals 目標
3 2 Anticipate 予測する
4 2 Withstand 耐える
5 2 Recover 回復する
6 2 Adapt 適応する
7 1 Objectives 目的
8 2 Prevent or Avoid 予防する・回避する
9 2 Prepare 準備する
10 2 Continue 継続する
11 2 Constrain 抑制する
12 2 Reconstitute 再構成する
13 2 Understand 理解する
14 2 Transform 変換する
15 2 Re-Architect 再構築する
16 1 Techniques 技術
17 2 Adaptive Response 適応的対応
18 3 Dynamic Reconfiguration 動的再構成
19 3 Dynamic Resource Allocation 動的なリソース割り当て
20 3 Adaptive Management 適応的管理
21 2 Realignment 再調整
22 3 Purposing 目的
23 3 Restriction 制限
24 3 Specialization 特殊化
25 2 Redundancy 冗長化
26 3 Protected Backup and Restore 保護されたバックアップとリストア
27 3 Surplus Capacity 余剰容量
28 3 Replication レプリケーション
29 2 Segmentation セグメンテーション
30 3 Predefined Segmentation 事前定義されたセグメンテーション
31 3 Dynamic Segmentation and Isolation 動的なセグメンテーションと分離
32 2 Substantiated Integrity 裏付けのある完全性
33 3 Integrity Checks 完全性チェック
34 3 Provenance Tracking 出処追跡
35 3 Behavior Validation 動作の検証
36 2 Unpredictability 予測不可能性
37 3 Temporal Unpredictability 時間的な予測不可能性
38 3 Contextual Unpredictability 文脈的予測不能性
39 2 Analytic Monitoring 分析的監視
40 3 Monitoring and Damage Assessment モニタリングとダメージ評価
41 3 Sensor Fusion and Analysis センサーフュージョンと分析
42 3 Forensic and Behavioral Analysis フォレンジック・行動分析
43 2 Coordinated Protection 協調的防御
44 3 Self-Challenge 自己挑戦
45 3 Calibrated Defense-in-Depth 調整された深層部での防衛
46 3 Consistency Analysis 整合性分析
47 3 Orchestration オーケストレーション
48 2 Deception 欺瞞
49 3 Obfuscation 難読化
50 3 Disinformation 偽情報
51 3 Misdirection ミスディレクション
52 3 Tainting 汚染
53 2 Diversity 多様化
54 3 Architectural Diversity アーキテクチャの多様化
55 3 Design Diversity デザインの多様化
56 3 Synthetic Diversity 合成の多様化
57 3 Information Diversity 情報の多様化
58 3 Path Diversity 経路の多様化
59 3 Supply Chain Diversity サプライチェーンの多様化
60 2 Dynamic Positioning 動的配置
61 3 Functional Relocation of Sensors センサーの機能再配置
62 3 Functional Relocation of Cyber Resources サイバーリソースの機能再配置
63 3 Asset Mobility アセットモビリティ
64 3 Fragmentation フラグメンテーション
65 3 Distributed Functionality 分散機能
66 2 Contextual Awareness 状況認識
67 3 Dynamic Resource Awareness 動的なリソース認識
68 3 Dynamic Threat Awareness 動的な脅威の認識
69 3 Mission Dependency and Status Visualization ミッション依存とステータスの可視化
70 2 Non-Persistence 一時的
71 3 Non-Persistent Information 一時的な情報
72 3 Non-Persistent Services 一時的なサービス
73 3 Non-Persistent Connectivity 一時的な接続性
74 2 Privilege Restriction 特権の制限
75 3 Trust-Based Privilege Management 信頼に基づく特権管理
76 3 Attribute-Based Usage Restriction 属性に基づく利用制限
77 3 Dynamic Privileges 動的な特権

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

・2022.06.10 NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2020.04.27 NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

 

 

|

« NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ | Main | 欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ | Main | 欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス »