米国 MITRE サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター
こんにちは、丸山満彦です。
MITREが、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」を公表し、誰でも使えるようにしてくれていますね。。。
サプライチェーンセキュリティにも気を使わないといけない昨今、これは便利かもですね。。。
● MITRE
・2023.02.02 MITRE Launches Cyber Resiliency Engineering Framework Navigator
MITRE Launches Cyber Resiliency Engineering Framework Navigator | MITRE、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」の提供を開始 |
Visualization tool helps organizations better structure their cyber resiliency strategies | 可視化ツールにより、企業のサイバーレジリエンス戦略の構築を支援 |
McLean, Va. & Bedford, Mass., February 2, 2023—MITRE released the Cyber Resiliency Engineering Framework (CREF) NavigatorTM—a free, visualization tool that allows organizations to customize their cyber resiliency goals, objectives, and techniques, as aligned with NIST SP 800-160, Volume 2 (Rev. 1), National Institute of Standards and Technology’s (NIST) publication on developing cyber-resilient systems. | 米国バージニア州マクリーンおよびマサチューセッツ州ベッドフォード発、2023年2月2日 - MITREは、米国標準技術局(NIST)が発行したサイバーレジリエンスシステムの開発に関する文書「NIST SP 800-160, Volume 2 (Rev. 1)」に沿ってサイバーレジリエンスの目標、目的、手法をカスタマイズするための無償可視化ツール「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター:CREF」を発表した。 |
“Resiliency is the ultimate goal of cybersecurity,” said Wen Masters, vice president, cyber technologies, MITRE. “Information and communications systems and those who depend on them must be resilient in the face of persistent, stealthy, and sophisticated cyber-attacks. While resilience is sometimes described as an emergent property, resilience in the face of cyber threats must be engineered.” | MITREのサイバーテクノロジー担当バイスプレジデントであるウェン・マスターズは、次のように述べている。「レジリエンスはサイバーセキュリティの究極の目標である。情報通信システムとそれに依存する人々は、持続的であるステルス性のある巧妙なサイバー攻撃に直面しても、レジリエンス(回復力)を持っていなければならない。レジリエンスは創発的な性質であると表現されることもあるが、サイバー脅威に直面したときのレジリエンスは、設計されていなければならない」。 |
As with many of MITRE’s resources for cyber defenders that are developed in the public interest, the CREF Navigator is freely available to the greater cyber community. | 公共の利益のために開発された多くの他のMITREのサイバー防衛者向けリソースと同様に、CREF Navigatorはより広いサイバーコミュニティで自由に利用することができる。 |
“We’ve taken the original cyber resiliency framework we created with NIST and now made it searchable and visualized,” said Shane Steiger, principal cybersecurity engineer, MITRE. “This relational database enables engineers to make educated and informed choices while designing resilient cyber solutions.” | MITREのプリンシパル・サイバーセキュリティ・エンジニアであるShane Steigerは、次のように述べています。「NISTと共同で作成したオリジナルのサイバーレジリエンスフレームワークを、検索および可視化できるようにした。このリレーショナルデータベースにより、エンジニアは十分な情報を得た上で、回復力のあるサイバーソリューションの設計を行うことができるようになる。」 |
The principles of the CREF framework follow four guiding pillars: | CREFフレームワークの原則は、4つの指針となる柱に従っている。 |
・Anticipate: maintain a state of informed preparedness in order to forestall compromises of mission/business functions from adversary attacks, | ・予測する:敵の攻撃によってミッションやビジネス機能が損なわれるのを防ぐために、十分な情報に基づいて準備態勢を維持する。 |
・Withstand: continue essential mission/business functions despite successful execution of an attack by an adversary, | ・耐える:敵の攻撃が成功しても、重要な任務・事業機能を継続する。 |
・Recover: restore mission/business functions to the maximum extent possible after successful execution of an attack by an adversary, and | ・回復する:敵による攻撃が成功した後、ミッション/ビジネス機能を可能な限り回復させる。 |
・Adapt: change mission/business functions and/or the supporting cyber capabilities so as to minimize adverse impacts from actual or predicted adversary attacks. | ・適応する:実際の、あるいは予測される敵の攻撃による悪影響を最小化するために、ミッション/ビジネス機能および/または支援するサイバー能力を変更する。 |
“During the last year of development, we integrated the CREF Navigator with MITRE ATT&CK® techniques and mitigations found in ATT&CK and NIST SP 800-160 Volume 2 (Rev. 1) appendices. We also are using the Navigator to encourage engineers to characterize their cyber resiliency capabilities,” added Steiger. “We plan to keep evolving the Navigator as the discipline of cyber resiliency engineering matures.” | Steigerは次のように補足した。「開発の最後の年に、私たちはCREF Navigatorを、ATT&CKとNIST SP 800-160 Volume 2 (Rev. 1)の附属書にあるMITRE ATT&CK®テクニックと緩和策に統合した。また、Navigatorを使用して、エンジニアに自社のサイバーレジリエンス能力を評価するよう促している。サイバーレジリエンス工学の分野が成熟するにつれ、Navigatorも進化し続ける予定である。」 |
Future enhancements to the CREF Navigator are planned to provide additional automated support for organizations interested in building stronger defenses for their critical infrastructure. See the CREF Navigator in action at [web]. | CREF Navigatorは今後、重要インフラの防御強化に関心を持つ組織に対して、さらなる自動化サポートを提供する予定である。CREF Navigatorについては、[web] を参照すること。 |
でこちらが、そのデータベースへの入り口...
・Cyber Resiliency Engineering Framework (CREF) NavigatorTM
仮訳のために、二次元にしました。。。
# | 階層 | English | 仮訳 |
1 | 0 | Navigator | ナビゲーター |
2 | 1 | Goals | 目標 |
3 | 2 | Anticipate | 予測する |
4 | 2 | Withstand | 耐える |
5 | 2 | Recover | 回復する |
6 | 2 | Adapt | 適応する |
7 | 1 | Objectives | 目的 |
8 | 2 | Prevent or Avoid | 予防する・回避する |
9 | 2 | Prepare | 準備する |
10 | 2 | Continue | 継続する |
11 | 2 | Constrain | 抑制する |
12 | 2 | Reconstitute | 再構成する |
13 | 2 | Understand | 理解する |
14 | 2 | Transform | 変換する |
15 | 2 | Re-Architect | 再構築する |
16 | 1 | Techniques | 技術 |
17 | 2 | Adaptive Response | 適応的対応 |
18 | 3 | Dynamic Reconfiguration | 動的再構成 |
19 | 3 | Dynamic Resource Allocation | 動的なリソース割り当て |
20 | 3 | Adaptive Management | 適応的管理 |
21 | 2 | Realignment | 再調整 |
22 | 3 | Purposing | 目的 |
23 | 3 | Restriction | 制限 |
24 | 3 | Specialization | 特殊化 |
25 | 2 | Redundancy | 冗長化 |
26 | 3 | Protected Backup and Restore | 保護されたバックアップとリストア |
27 | 3 | Surplus Capacity | 余剰容量 |
28 | 3 | Replication | レプリケーション |
29 | 2 | Segmentation | セグメンテーション |
30 | 3 | Predefined Segmentation | 事前定義されたセグメンテーション |
31 | 3 | Dynamic Segmentation and Isolation | 動的なセグメンテーションと分離 |
32 | 2 | Substantiated Integrity | 裏付けのある完全性 |
33 | 3 | Integrity Checks | 完全性チェック |
34 | 3 | Provenance Tracking | 出処追跡 |
35 | 3 | Behavior Validation | 動作の検証 |
36 | 2 | Unpredictability | 予測不可能性 |
37 | 3 | Temporal Unpredictability | 時間的な予測不可能性 |
38 | 3 | Contextual Unpredictability | 文脈的予測不能性 |
39 | 2 | Analytic Monitoring | 分析的監視 |
40 | 3 | Monitoring and Damage Assessment | モニタリングとダメージ評価 |
41 | 3 | Sensor Fusion and Analysis | センサーフュージョンと分析 |
42 | 3 | Forensic and Behavioral Analysis | フォレンジック・行動分析 |
43 | 2 | Coordinated Protection | 協調的防御 |
44 | 3 | Self-Challenge | 自己挑戦 |
45 | 3 | Calibrated Defense-in-Depth | 調整された深層部での防衛 |
46 | 3 | Consistency Analysis | 整合性分析 |
47 | 3 | Orchestration | オーケストレーション |
48 | 2 | Deception | 欺瞞 |
49 | 3 | Obfuscation | 難読化 |
50 | 3 | Disinformation | 偽情報 |
51 | 3 | Misdirection | ミスディレクション |
52 | 3 | Tainting | 汚染 |
53 | 2 | Diversity | 多様化 |
54 | 3 | Architectural Diversity | アーキテクチャの多様化 |
55 | 3 | Design Diversity | デザインの多様化 |
56 | 3 | Synthetic Diversity | 合成の多様化 |
57 | 3 | Information Diversity | 情報の多様化 |
58 | 3 | Path Diversity | 経路の多様化 |
59 | 3 | Supply Chain Diversity | サプライチェーンの多様化 |
60 | 2 | Dynamic Positioning | 動的配置 |
61 | 3 | Functional Relocation of Sensors | センサーの機能再配置 |
62 | 3 | Functional Relocation of Cyber Resources | サイバーリソースの機能再配置 |
63 | 3 | Asset Mobility | アセットモビリティ |
64 | 3 | Fragmentation | フラグメンテーション |
65 | 3 | Distributed Functionality | 分散機能 |
66 | 2 | Contextual Awareness | 状況認識 |
67 | 3 | Dynamic Resource Awareness | 動的なリソース認識 |
68 | 3 | Dynamic Threat Awareness | 動的な脅威の認識 |
69 | 3 | Mission Dependency and Status Visualization | ミッション依存とステータスの可視化 |
70 | 2 | Non-Persistence | 一時的 |
71 | 3 | Non-Persistent Information | 一時的な情報 |
72 | 3 | Non-Persistent Services | 一時的なサービス |
73 | 3 | Non-Persistent Connectivity | 一時的な接続性 |
74 | 2 | Privilege Restriction | 特権の制限 |
75 | 3 | Trust-Based Privilege Management | 信頼に基づく特権管理 |
76 | 3 | Attribute-Based Usage Restriction | 属性に基づく利用制限 |
77 | 3 | Dynamic Privileges | 動的な特権 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ
・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)
・2022.06.10 NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング
・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11
・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ
« NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ | Main | 欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス »
Comments