« 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト | Main | 米国 NIST SP 1800-39 データ格付の実践(初期ドラフト) »

2023.04.26

米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

こんにちは、丸山満彦です。

NISTが、Cybersecurity Frameworkの改訂をおこなっていますが、2.0 Coreのディスカッションドラフトが公表され、意見募集されていますね。。。

今までの、識別、防御、検知、対応、復旧の5つの機能から統治(Govern)が加わり6つの機能になっています。

また、それぞれのカテゴリー内でのサブカテゴリーの移動や統廃合もありますね。。。

 

CSF 2.0 Function  CSF 2.0機能  CSF 2.0 Category  CSF 2.0カテゴリー  CSF 2.0 カテゴリー識別子
Govern
(GV) 
統治
 (GV)
Organizational Context 組織的な背景  GV.OC 
Risk Management Strategy リスクマネジメント戦略  GV.RM 
Roles and Responsibilities 役割と責任  GV.RR 
Policies and Procedures 方針と手順  GV.PO 
Identify
(ID) 
識別
(ID)
Asset Management アセットマネジメント  ID.AM 
Risk Assessment リスクアセスメント  ID.RA 
Supply Chain Risk Management サプライチェーンリスクマネジメント  ID.SC 
Improvement 改善  ID.IM 
Protect
(PR) 
防御
(PR)
Identity Management, Authentication, and Access Control アイデンティティ管理、認証、アクセス制御  PR.AA 
Awareness and Training 意識向上とトレーニング  PR.AT 
Data Security データセキュリティ  PR.DS 
Platform Security プラットフォーム・セキュリティ  PR.PS 
Technology Infrastructure Resilience 技術基盤の強靭化  PR.IR 
Detect
(DE) 
検知
(DE) 
Adverse Event Analysis  有害事象の解析   DE.AN  
Continuous Monitoring  継続的なモニタリング   DE.AM
Respond
(RS) 
対応
(RS)
Incident Management インシデントマネジメント  RS.AM 
Incident Analysis インシデント分析  RS.AN 
Incident Response Reporting and Communication インシデント対応の報告・連絡  RS.CO 
Incident Mitigation インシデント低減  RS.MI 
Recover
(RC) 
復旧
(RC) 
Incident Recovery Plan Execution インシデント復旧計画の実行  RC.RP 
Incident Recovery Communication インシデント復旧コミュニケーション  RC.CO 

 

 

⚫︎ NIST - ITL

・2023.04.24 White Paper (Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core

White Paper (Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core ホワイトペーパー(案) NIST Cybersecurity Framework 2.0 Coreのディスカッション・ドラフト
Announcement 通知
This discussion draft identifies the potential Functions, Categories, and Subcategories (also called cybersecurity outcomes) of the NIST Cybersecurity Framework (CSF) 2.0 Core. NIST is releasing this document for discussion to inform the development of the complete NIST CSF 2.0 Draft. このディスカッションドラフトは、NIST サイバーセキュリティフレームワーク(CSF)2.0 コアの機能、カテゴリー、サブカテゴリー(サイバーセキュリティ成果とも呼ばれる)の候補を特定する。NIST は、完全な NIST CSF 2.0 ドラフトの開発に情報を提供するために、この文書を議論のために公開する。
This early draft of the NIST CSF 2.0 Core is preliminary—it is intended to increase transparency of the update process and promote discussion to generate concrete suggestions for improving the Framework. The draft covers cybersecurity outcomes across 6 Functions, 21 Categories, and 112 Subcategories (Tables 1 and 3). It also includes a sampling of the potential new CSF 2.0 Informative Examples column, to provide notional actions that interpret the CSF Subcategories (Table 2). The draft does not yet identify all Implementation Examples, Informative References, or other information that may be included in the CSF 2.0 Core. In addition to PDF and Excel formats, the final CSF 2.0 Core will be showcased through the online Cybersecurity and Privacy Reference Tool (CPRT) to provide a machine-readable format and updates to crosswalk and mappings to other resources. このNIST CSF 2.0 Coreの初期ドラフトは予備的なものであり、更新プロセスの透明性を高め、フレームワークの改善のための具体的な提案を生み出すための議論を促進することを目的としている。この草案は、6つの機能、21のカテゴリー、および112のサブカテゴリーにわたるサイバーセキュリティの成果を網羅している(表1および表3)。また、CSF 2.0 のサブカテゴリーを解釈する想定アクションを提供するために、新たに設けられる可能性のある「参考例」欄のサンプルも含まれている(表 2)。草案では、CSF 2.0 Core に含まれる可能性のあるすべての識別例、参考資料、その他の情報はまだ特定されていません。最終的な CSF 2.0 Core は、PDF や Excel 形式に加えて、オンラインの Cybersecurity and Privacy Reference Tool(CPRT)を通じて公開され、機械可読形式や他のリソースとのクロスウォークやマッピングの更新が提供される予定である。
The modifications from CSF 1.1 are intended to increase clarity, ensure a consistent level of abstraction, address changes in technologies and risks, and improve alignment with national and international cybersecurity standards and practices. While many organizations have told NIST the CSF 1.1 is still effective in addressing cybersecurity risks, NIST believes these changes are warranted to make it easier for organizations to address their current and future cybersecurity challenges more effectively. The NIST CSF has been widely used to reduce cybersecurity risks since initial publication in 2014; NIST is working with the community to ensure the CSF 2.0 is effective for the next decade. CSF 1.1からの改善は、明確性の向上、一貫した抽象度の確保、技術やリスクの変化への対応、国内外のサイバーセキュリティ基準や慣行との整合性の向上を目的としている。多くの組織がNISTに対して、CSF 1.1はサイバーセキュリティリスクに対処する上で依然として有効であると述べているが、NISTは、組織が現在および将来のサイバーセキュリティ上の課題に、より効果的に対処しやすくするために、これらの変更が正当化されるものと考えている。NIST CSFは、2014年の初版発行以来、サイバーセキュリティリスクの低減に広く利用されている。NISTは、CSF 2.0が今後10年間有効であることを確認するために、コミュニティと協力している。
Feedback on this discussion draft may be submitted to cyberframework@nist.gov at any time. Feedback will inform the complete NIST CSF 2.0 draft anticipated to be released for public comment this summer. このディスカッション・ドラフトに対するフィードバックは、いつでも cyberframework@nist.gov に提出することができる。 フィードバックは、今夏にパブリックコメントのために公開される予定の NIST CSF 2.0 の完全なドラフトに反映される。
NIST seeks feedback as to whether the cybersecurity outcomes address current cybersecurity challenges faced by organizations, are aligned with existing practices and resources, and are responsive to the comments. NIST seeks concrete suggestions about improvements to the draft, including revisions to Functions, Categories, and Subcategories, and submissions of omitted cybersecurity outcomes. NIST also requests feedback on the format, content, and scope of Implementation Examples; suggestions of possible Examples; and the appropriate level of abstraction between Subcategories and Examples. In addition, NIST requests feedback on the best way to showcase final modifications from CSF 1.1 to CSF 2.0 to ease transition. NISTは、サイバーセキュリティの成果が、組織が直面する現在のサイバーセキュリティの課題に対応しているか、既存の実務やリソースと整合しているか、コメントに対応しているか、といったフィードバックを求めている。NISTは、機能、カテゴリー、サブカテゴリーの改善や、省略されたサイバーセキュリティ成果の提出など、草案の改善に関する具体的な提案を求めている。また、NISTは、実装例の形式、内容、範囲、可能な実装例の提案、サブカテゴリーと実装例の間の適切な抽象度に関するフィードバックも求めている。さらに、NIST は、CSF 1.1 から CSF 2.0 への移行を容易にするために、最終的な修正を示す最良の方法についてフィードバックを求めている。
All relevant comments, including attachments and other supporting material, will be made publicly available on the NIST CSF 2.0 website. Personal, sensitive, or confidential business information should not be included. Comments with inappropriate language will not be considered. 添付資料やその他の補足資料を含む関連するコメントはすべて、NIST CSF 2.0 ウェブサイトで一般に公開される予定である。個人情報、機密情報、またはビジネス上の機密情報は記載しないこと。不適切な表現が含まれるコメントは考慮されない。

 

・[PDF] Discussion Draft of the NIST Cybersecurity Framework 2.0 Core

20230426-55351

 

・[DOCX] 仮訳途中...

 

ちなみに、CF1.1の機能とカテゴリーは...

機能 カテゴリー
識別
(ID)

   
資産管理(ID.AM): 自組織が事業目的を達成することを可能にするデータ、人員、デバイス、システム、施設が、識別され、組織の目的と自組織のリスク戦略における相対的な重要性に応じて管理されている。
ビジネス環境(ID.BE): 自組織のミッション、目標、利害関係者、活動が、理解され、優先順位付けが行われている。この情報は、サイバーセキュリティ上の役割、責任、リスクマネジメント上の意思決定を伝えるために使用されている。
ガバナンス(ID.GV): 自組織に対する規制、法律、リスク、環境、運用上の要求事項を、管理し、モニタリングするためのポリシー、手順、プロセスが理解されており、経営層にサイバーセキュリティリスクについて伝えている。
リスクアセスメント(ID.RA): 自組織は、(ミッション、機能、イメージ、評判を含む)組織の業務、組織の資産、個人に対するサイバーセキュリティリスクを把握している。
リスクマネジメント戦略(ID.RM): 自組織の優先順位、制約、リスク許容度、想定が、定められ、運用リスクに対する意思決定を支援するために利用されている。
サプライチェーンリスクマネジメント (ID.SC): 自組織の優先順位、制約、リスク許容度、想定が、定められ、サプライチェーンリスクマネジメントに関連するリスクに対する意思決定を支援するために利用されている。自組織は、サプライチェーンリスクを識別し、分析・評価し、管理するためのプロセスを定め、実装している。

防御 
(PR)

   

アイデンティティ管理、認証/アクセス制御(PR.AC): 物理的・論理的資産および関連施設へのアクセスが、認可されたユーザ、プロセス、デバイスに限定されている。また、これらのアクセスは、認可された活動およびトランザクションに対する不正アクセスのリスクアセスメントと一致して、管理されている。
意識向上およびトレーニング (PR.AT): 自組織の人員およびパートナーは、関連するポリシー、手順、契約に基づいた、サイバーセキュリティに関する義務と責任を果たせるようにするために、サイバーセキュリティ意識向上教育とトレーニングが実施されている。
データセキュリティ(PR.DS): 情報と記録(データ)が、情報の機密性、完全性、可用性を保護するための自組織のリスク戦略に従って管理されている。
情報を保護するためのプロセスおよび手順(PR.IP): (目的、範囲、役割、責任、経営コミットメント、組織間の調整について記した)セキュリティポリシー、プロセス、手順が、維持され、情報システムと資産の防御の管理に使用されている。
保守(PR.MA): 産業用制御システムと情報システムのコンポーネントの保守と修理が、ポリシーと手順に従って実施されている。
保護技術(PR.PT): 技術的なセキュリティソリューションが、関連するポリシー、手順、契約に基づいて、システムと資産のセキュリティとレジリエンスを確保するために管理されている。
検知
(DE)

  
異常とイベント(DE.AE): 異常な活動は、検知されており、イベントがもたらす潜在的な影響が、把握されている。
セキュリティの継続的なモニタリング(DE.CM): 情報システムと資産は、サイバーセキュリティイベントを識別し、保護対策の有効性を検証するために、モニタリングされている。
検知プロセス(DE.DP): 検知プロセスおよび手順が、異常なイベントに確実に気付くために維持され、テストされている。
対応
(RS)

    
対応計画(RS.RP): 対応プロセスおよび手順が、検知したサイバーセキュリティインシデントに対応できるように実施され、維持されている。
コミュニケーション(RS.CO): 対応活動が、内外の利害関係者との間で調整されている(例:法執行機関からの支援)。
分析 (RS.AN): 分析は、効果的な対応を確実にし、復旧活動を支援するために実施されている。
低減(RS.MI): 活動は、イベントの拡大を防ぎ、その影響を緩和し、インシデントを解決するために実施されている。
改善(RS.IM): 組織の対応活動は、現在と過去の検知/対応活動から学んだ教訓を取り入れることで改善されている。
復旧
(RC)


復旧計画(RC.RP): 復旧プロセスおよび手順は、サイバーセキュリティインシデントによる影響を受けたシステムや資産を復旧できるよう実行され、維持されている。
改善(RC.IM): 復旧計画およびプロセスが、学んだ教訓を将来の活動に取り入れることで改善されている。
コミュニケーション(RC.CO): 復旧活動は、内外の関係者(例:コーディネーティングセンター、インターネットサービスプロバイダ、攻撃システムのオーナー、被害者、他組織のCSIRT、ベンダ)との間で調整されている。

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

|

« 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト | Main | 米国 NIST SP 1800-39 データ格付の実践(初期ドラフト) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト | Main | 米国 NIST SP 1800-39 データ格付の実践(初期ドラフト) »