米国 NIST SP 1800-39 データ格付の実践(初期ドラフト)
こんにちは、丸山満彦です。
NISTが、データ格付けについて、SP 1800-39A, Implementing Data Classification Practices の初期ドラフトを公開し、意見募集をしていますね。。。
重要なんだが、実践が難しい分野ですよね。。。
⚫︎ NIST - ITL
・2023.04.24 SP 1800-39 (Draft) Implementing Data Classification Practices (Preliminary Draft)
SP 1800-39 (Draft) Implementing Data Classification Practices (Preliminary Draft) | SP 1800-39 (案) データ格付の実践(初期ドラフト) |
Announcement | 通知 |
The National Cybersecurity Center of Excellence (NCCoE) has published for comment Preliminary Draft NIST SP 1800-39A, Implementing Data Classification Practices. | National Cybersecurity Center of Excellence (NCCoE)は、ト NIST SP 1800-39A, データ格付の実践(初期ドラフ)を意見募集用に公開した。 |
About the Project | プロジェクトについて |
Organizations are managing an increasing volume of data while maintaining compliance with policies for protecting that data. Those policies are driven by business, regulatory, data security, and privacy requirements. This publication can help organizations reduce the risk of data breaches, loss, and mishandling through data-centric security management, by demonstrating how to discover and classify data based on its characteristics regardless of where the data resides or how it is shared. | 組織は、増え続けるデータを管理しながら、そのデータを保護するためのポリシーへの準拠を維持している。これらのポリシーは、ビジネス、規制、データセキュリティ、およびプライバシーの要件によって決定される。本書は、データの保存場所や共有方法に関係なく、データの特徴に基づいてデータを発見し格付する方法を示すことで、データ中心のセキュリティ管理によるデータ漏洩、損失、誤操作のリスク低減に貢献する。 |
The NCCoE and its collaborators are using commercially available technology to build interoperable data classification solutions for use cases. As the project progresses, this preliminary draft will be updated with supporting guidance, and additional use cases and volumes will also be released to solicit public comment. | NCCoEとその協力者は、市販の技術を使用して、ユースケースに対応した相互運用可能なデータ格付ソリューションを構築している。プロジェクトの進行に伴い、この初期ドラフトは支援ガイダンスとともに更新され、追加のユースケースとボリュームも公開され、パブリックコメントが募集される予定である。 |
・[PDF] NIST SP 1800-39A iprd
Executive Summary | エグゼクティブサマリー |
Organizations are managing an increasing volume of data while maintaining compliance with policies for protecting that data. Those policies are driven by business, regulatory, data security, and privacy requirements. This publication can help organizations reduce the risk of data breaches, loss, and mishandling through data-centric security management by demonstrating how to discover and classify data based on its characteristics regardless of where the data resides or how it is shared. As part of a zero-trust approach, security management depends on organizations knowing what data they have, what the data’s characteristics are, and the organization’s security and privacy requirements for that data. The example solutions in this guide focus on using data classification in various use cases to inform the protection of data that is used by an organization and shared between organizations. The guide’s use cases will demonstrate commercially available products that enable data classification. The first use case focuses on classifying data used in email messages exchanged within and between organizations. | 組織は、増え続けるデータを管理しながら、そのデータを保護するためのポリシーへの準拠を維持している。これらのポリシーは、ビジネス、規制、データセキュリティ、およびプライバシーの要件によって決定される。本書は、データの保存場所や共有方法に関係なく、データを発見し、その特徴に基づいて格付する方法を示すことで、組織がデータ中心のセキュリティ管理によってデータ侵害、損失、誤操作のリスクを軽減するのに役立つ。ゼロトラスト・アプローチの一環として、セキュリティ管理は、組織がどのようなデータを持っているか、そのデータの特性は何か、そのデータに対する組織のセキュリティとプライバシーの要件は何かを知ることに依存する。本ガイドのソリューション例では、さまざまなユースケースでデータ格付を使用し、組織で使用され、組織間で共有されるデータの保護に情報を提供することに焦点を当てている。本ガイドのユースケースは、データ格付を可能にする市販の製品を示すものである。最初のユースケースは、組織内および組織間で交換される電子メールメッセージで使用されるデータの格付に焦点を当てている。 |
This 1800-series National Institute of Standards and Technology (NIST) publication documents how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are using commercially available technology to build interoperable data classification solutions for use cases. As the project progresses, this preliminary draft will be updated with supporting guidance, and additional use cases and volumes will also be released to solicit public comment. | この1800シリーズの米国国立標準技術研究所(NIST)の出版物は、National Cybersecurity Center of Excellence(NCCoE)とその協力者が、市販の技術を使用して、ユースケースのための相互運用可能なデータ格付ソリューションを構築する方法を文書化している。プロジェクトの進行に伴い、この予備的な草案はサポートするガイダンスで更新され、追加のユースケースとボリュームも公開され、パブリックコメントを募集する予定である。 |
CHALLENGE | 課題 |
Significant challenges that have hindered effective use of data classification for protecting data include: | データ保護のためのデータ格付の効果的な利用を妨げている重大な課題は以下の通りである: |
§ The limited nature of actionable and interoperable standards for data classification across different regulated industry sectors means that many organizations do not use classifications that are consistent with those of their partners and suppliers to support various policies. | § 規制の異なる産業部門間でデータ格付に関する実用的で相互運用可能な標準が限られているため、多くの組織は、様々な方針をサポートするためにパートナーやサプライヤーの格付と一致する格付を使用していない。 |
§ The lack of shared data classification schemes can result in data being classified and labeled inconsistently. | § データ格付のスキームが共有されていないため、データの格付やラベル付けに一貫性がない。 |
§ Data being widely distributed across data centers, clouds, and endpoint devices complicates the process of establishing and maintaining data inventories. | § データは、データセンター、クラウド、エンドポイントデバイスに広く分散しているため、データインベントリの確立と維持のプロセスが複雑になっている。 |
§ Data classifications and data handling requirements often change during the data lifecycle, requiring the capability to adjust to those changing requirements. | § データのライフサイクルの中で、データの格付や取り扱いの要件が変化することが多いため、変化する要件に対応する能力が必要とされる。 |
§ Organizational culture may not connect its data owners and business process owners with its data classification technology operators. | § 組織の文化が、データ所有者やビジネスプロセス所有者とデータ格付技術の運用者を結びつけていない場合がある。 |
This practice guide can help your organization: | このプラクティスガイドは、あなたの組織を支援する: |
§ Adopt, support, and implement interoperable data classification schemas | § 相互運用可能なデータ格付スキーマを採用し、サポートし、実装する。 |
§ Mitigate the security and privacy risks of sharing data within and among organizations | § 組織内および組織間でデータを共有する際のセキュリティおよびプライバシーのリスクの低減 |
§ Become familiar with commercially available solutions that can help classify data | § データの格付に役立つ市販のソリューションに精通する。 |
§ Develop and strengthen a common language for data classification | § データ格付の共通言語を開発・強化する。 |
SOLUTION | 解決方法 |
The NCCoE is collaborating with technology providers to build several example data classification solutions and demonstrate their ability to meet organizational data classification needs. The project’s objective is to define product-agnostic recommended practices for defining data classification schemes and communicating them to others. Organizations will also be able to use the recommended practices to inventory and characterize data for other security management purposes, such as prioritization of data in preparing the migration of systems, applications, and services to support post-quantum cryptographic algorithms. | NCCoEは、テクノロジープロバイダーと協力して、いくつかのデータ格付ソリューションの例を構築し、組織のデータ格付ニーズに対応する能力を実証している。このプロジェクトの目的は、データ格付スキームを定義し、それを他者に伝えるための、製品にとらわれない推奨事項を定義することである。また、この推奨プラクティスは、システム、アプリケーション、サービスをポスト量子暗号アルゴリズムに対応させるための移行準備におけるデータの優先順位付けなど、他のセキュリティ管理目的のためにデータのインベントリと特徴付けに使用することができるようになる予定である。 |
For the first example solution, the use case involves the creation, transmission, storage, and retrieval of email. The solution focuses on the classification and exchange of email messages and attachments within and among multiple organizations. Additional volumes of this publication will be released in the future. Volumes will document how organizations can apply zero-trust-aligned approaches to solve the challenge of exchanging data via email using data classification techniques. Future volumes will include data classification guidance, example solution architectures, demonstrations of the technology, and mapping relationships to support various government and industry-recommended practices. | 最初のソリューション例では、電子メールの作成、送信、保存、および検索をユースケースとしている。このソリューションでは、複数の組織内および組織間で、電子メールメッセージと添付ファイルを格付して交換することに焦点を当てている。本書は、今後、続巻が発売される予定である。各巻では、データ格付技術を使用して電子メールによるデータ交換の課題を解決するために、組織がゼロ・トラスト・アラインド・アプローチをどのように適用できるかを文書化する予定である。将来的には、データ格付のガイダンス、ソリューションアーキテクチャーの例、テクノロジーのデモンストレーション、政府や業界が推奨するさまざまなプラクティスをサポートするためのマッピング関係などが含まれる予定である。 |
Our solution strategy follows an agile implementation methodology to build iteratively and incrementally while adapting or adding capabilities. Additional data classification use cases will be examined to address an increasing number of requirements and resource types. | 当社のソリューション戦略は、アジャイル実装の方法論に従って、適応や機能追加を行いながら反復的かつ段階的に構築している。今後、さらに多くの要件やリソースに対応するため、データ格付のユースケースを検討する予定である。 |
The following collaborators are working with NIST on this project. | このプロジェクトでは、以下の協力者がNISTと連携している。 |
Collaborators | 協力者 |
ActiveNav | アクティブナビゲーション |
Adobe | アドビ |
GitLab | ギットラボ |
グーグル | |
Janusnet | ヤヌスネット |
JPMorgan Chase & Co. | JPMorgan Chase & Co. |
Quick Heal | クイックヒール |
Thales Trusted Cyber Technologies | タレス・トラステッド・サイバー・テクノロジーズ |
Trellix | トレリックス |
Virtru | ヴァーチャル |
While the NCCoE is using a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. | NCCoEはこの課題に対処するために一連の商用製品を使用しているが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要があります。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することもできる。 |
HOW TO USE THIS GUIDE | このガイドの使用方法 |
Depending on your role in your organization, you might use this guide in different ways: | 組織におけるあなたの役割に応じて、本ガイドをさまざまな方法で使用することができる: |
Business decision makers, including chief information security, business security officers, and technology officers can use this part of the guide, NIST SP 1800-39a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization. | 最高情報セキュリティ責任者、ビジネスセキュリティオフィサー、技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-39a: Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティの課題、この課題を解決する当社のアプローチ、そのソリューションが組織にもたらすメリットについて理解できる。 |
Future releases of this publication will include guidance to assist people in the following roles: | 本書の今後のリリースでは、以下の役割の人々を支援するためのガイダンスを掲載する予定である: |
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-39b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings. | リスクを特定、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラム管理者は、NIST SP 1800-39bを使用できる: アプローチ、アーキテクチャ、およびセキュリティ特性では、リスク分析の実施やセキュリティ/プライバシー制御のマッピングなど、私たちが構築したものとその理由を説明している。 |
IT professionals who want to implement an approach like this can make use of NIST SP 1800-39c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementations, allowing you to replicate all or parts of this project. | このようなアプローチを実施したいIT専門家は、NIST SP 1800-39cを活用することができる: このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順を提供しており、このプロジェクトのすべてまたは一部を複製することができる。 |
« 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト | Main | 英国 GovAssure:英国政府のサイバーセキュリティの評価 (2023.04.20) »
Comments