米国 MITRE サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター

こんにちは、丸山満彦です。

MITREが、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」を公表し、誰でも使えるようにしてくれていますね。。。

サプライチェーンセキュリティにも気を使わないといけない昨今、これは便利かもですね。。。

 

● MITRE

・2023.02.02 MITRE Launches Cyber Resiliency Engineering Framework Navigator

 

MITRE Launches Cyber Resiliency Engineering Framework Navigator	MITRE、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」の提供を開始
Visualization tool helps organizations better structure their cyber resiliency strategies	可視化ツールにより、企業のサイバーレジリエンス戦略の構築を支援
McLean, Va. & Bedford, Mass., February 2, 2023—MITRE released the Cyber Resiliency Engineering Framework (CREF) NavigatorTM—a free, visualization tool that allows organizations to customize their cyber resiliency goals, objectives, and techniques, as aligned with NIST SP 800-160, Volume 2 (Rev. 1), National Institute of Standards and Technology’s (NIST) publication on developing cyber-resilient systems.	米国バージニア州マクリーンおよびマサチューセッツ州ベッドフォード発、2023年2月2日 - MITREは、米国標準技術局（NIST）が発行したサイバーレジリエンスシステムの開発に関する文書「NIST SP 800-160, Volume 2 (Rev. 1)」に沿ってサイバーレジリエンスの目標、目的、手法をカスタマイズするための無償可視化ツール「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター：CREF」を発表した。
“Resiliency is the ultimate goal of cybersecurity,” said Wen Masters, vice president, cyber technologies, MITRE. “Information and communications systems and those who depend on them must be resilient in the face of persistent, stealthy, and sophisticated cyber-attacks. While resilience is sometimes described as an emergent property, resilience in the face of cyber threats must be engineered.”	MITREのサイバーテクノロジー担当バイスプレジデントであるウェン・マスターズは、次のように述べている。「レジリエンスはサイバーセキュリティの究極の目標である。情報通信システムとそれに依存する人々は、持続的であるステルス性のある巧妙なサイバー攻撃に直面しても、レジリエンス（回復力）を持っていなければならない。レジリエンスは創発的な性質であると表現されることもあるが、サイバー脅威に直面したときのレジリエンスは、設計されていなければならない」。
As with many of MITRE’s resources for cyber defenders that are developed in the public interest, the CREF Navigator is freely available to the greater cyber community.	公共の利益のために開発された多くの他のMITREのサイバー防衛者向けリソースと同様に、CREF Navigatorはより広いサイバーコミュニティで自由に利用することができる。
“We’ve taken the original cyber resiliency framework we created with NIST and now made it searchable and visualized,” said Shane Steiger, principal cybersecurity engineer, MITRE. “This relational database enables engineers to make educated and informed choices while designing resilient cyber solutions.”	MITREのプリンシパル・サイバーセキュリティ・エンジニアであるShane Steigerは、次のように述べています。「NISTと共同で作成したオリジナルのサイバーレジリエンスフレームワークを、検索および可視化できるようにした。このリレーショナルデータベースにより、エンジニアは十分な情報を得た上で、回復力のあるサイバーソリューションの設計を行うことができるようになる。」
The principles of the CREF framework follow four guiding pillars:	CREFフレームワークの原則は、4つの指針となる柱に従っている。
・Anticipate: maintain a state of informed preparedness in order to forestall compromises of mission/business functions from adversary attacks,	・予測する：敵の攻撃によってミッションやビジネス機能が損なわれるのを防ぐために、十分な情報に基づいて準備態勢を維持する。
・Withstand: continue essential mission/business functions despite successful execution of an attack by an adversary,	・耐える：敵の攻撃が成功しても、重要な任務・事業機能を継続する。
・Recover: restore mission/business functions to the maximum extent possible after successful execution of an attack by an adversary, and	・回復する：敵による攻撃が成功した後、ミッション／ビジネス機能を可能な限り回復させる。
・Adapt: change mission/business functions and/or the supporting cyber capabilities so as to minimize adverse impacts from actual or predicted adversary attacks.	・適応する：実際の、あるいは予測される敵の攻撃による悪影響を最小化するために、ミッション／ビジネス機能および／または支援するサイバー能力を変更する。
“During the last year of development, we integrated the CREF Navigator with MITRE ATT&CK® techniques and mitigations found in ATT&CK and NIST SP 800-160 Volume 2 (Rev. 1) appendices. We also are using the Navigator to encourage engineers to characterize their cyber resiliency capabilities,” added Steiger. “We plan to keep evolving the Navigator as the discipline of cyber resiliency engineering matures.”	Steigerは次のように補足した。「開発の最後の年に、私たちはCREF Navigatorを、ATT&CKとNIST SP 800-160 Volume 2 (Rev. 1)の附属書にあるMITRE ATT&CK®テクニックと緩和策に統合した。また、Navigatorを使用して、エンジニアに自社のサイバーレジリエンス能力を評価するよう促している。サイバーレジリエンス工学の分野が成熟するにつれ、Navigatorも進化し続ける予定である。」
Future enhancements to the CREF Navigator are planned to provide additional automated support for organizations interested in building stronger defenses for their critical infrastructure. See the CREF Navigator in action at [web].	CREF Navigatorは今後、重要インフラの防御強化に関心を持つ組織に対して、さらなる自動化サポートを提供する予定である。CREF Navigatorについては、[web] を参照すること。

 

でこちらが、そのデータベースへの入り口...

・Cyber Resiliency Engineering Framework (CREF) Navigator^TM

 

 

^{仮訳のために、二次元にしました。。。}

#	階層	English	仮訳
1	0	Navigator	ナビゲーター
2	1	Goals	目標
3	2	Anticipate	予測する
4	2	Withstand	耐える
5	2	Recover	回復する
6	2	Adapt	適応する
7	1	Objectives	目的
8	2	Prevent or Avoid	予防する・回避する
9	2	Prepare	準備する
10	2	Continue	継続する
11	2	Constrain	抑制する
12	2	Reconstitute	再構成する
13	2	Understand	理解する
14	2	Transform	変換する
15	2	Re-Architect	再構築する
16	1	Techniques	技術
17	2	Adaptive Response	適応的対応
18	3	Dynamic Reconfiguration	動的再構成
19	3	Dynamic Resource Allocation	動的なリソース割り当て
20	3	Adaptive Management	適応的管理
21	2	Realignment	再調整
22	3	Purposing	目的
23	3	Restriction	制限
24	3	Specialization	特殊化
25	2	Redundancy	冗長化
26	3	Protected Backup and Restore	保護されたバックアップとリストア
27	3	Surplus Capacity	余剰容量
28	3	Replication	レプリケーション
29	2	Segmentation	セグメンテーション
30	3	Predefined Segmentation	事前定義されたセグメンテーション
31	3	Dynamic Segmentation and Isolation	動的なセグメンテーションと分離
32	2	Substantiated Integrity	裏付けのある完全性
33	3	Integrity Checks	完全性チェック
34	3	Provenance Tracking	出処追跡
35	3	Behavior Validation	動作の検証
36	2	Unpredictability	予測不可能性
37	3	Temporal Unpredictability	時間的な予測不可能性
38	3	Contextual Unpredictability	文脈的予測不能性
39	2	Analytic Monitoring	分析的監視
40	3	Monitoring and Damage Assessment	モニタリングとダメージ評価
41	3	Sensor Fusion and Analysis	センサーフュージョンと分析
42	3	Forensic and Behavioral Analysis	フォレンジック・行動分析
43	2	Coordinated Protection	協調的防御
44	3	Self-Challenge	自己挑戦
45	3	Calibrated Defense-in-Depth	調整された深層部での防衛
46	3	Consistency Analysis	整合性分析
47	3	Orchestration	オーケストレーション
48	2	Deception	欺瞞
49	3	Obfuscation	難読化
50	3	Disinformation	偽情報
51	3	Misdirection	ミスディレクション
52	3	Tainting	汚染
53	2	Diversity	多様化
54	3	Architectural Diversity	アーキテクチャの多様化
55	3	Design Diversity	デザインの多様化
56	3	Synthetic Diversity	合成の多様化
57	3	Information Diversity	情報の多様化
58	3	Path Diversity	経路の多様化
59	3	Supply Chain Diversity	サプライチェーンの多様化
60	2	Dynamic Positioning	動的配置
61	3	Functional Relocation of Sensors	センサーの機能再配置
62	3	Functional Relocation of Cyber Resources	サイバーリソースの機能再配置
63	3	Asset Mobility	アセットモビリティ
64	3	Fragmentation	フラグメンテーション
65	3	Distributed Functionality	分散機能
66	2	Contextual Awareness	状況認識
67	3	Dynamic Resource Awareness	動的なリソース認識
68	3	Dynamic Threat Awareness	動的な脅威の認識
69	3	Mission Dependency and Status Visualization	ミッション依存とステータスの可視化
70	2	Non-Persistence	一時的
71	3	Non-Persistent Information	一時的な情報
72	3	Non-Persistent Services	一時的なサービス
73	3	Non-Persistent Connectivity	一時的な接続性
74	2	Privilege Restriction	特権の制限
75	3	Trust-Based Privilege Management	信頼に基づく特権管理
76	3	Attribute-Based Usage Restriction	属性に基づく利用制限
77	3	Dynamic Privileges	動的な特権

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ

・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

・2022.06.10 NIST SP 800-160 Vol.1 Rev.1（ドラフト）信頼性の高いセキュアなシステムのエンジニアリング

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ

・2020.04.27 NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)