« NIST SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項 (2023.05.24) | Main | NIST mDL モバイル端末に運転免許証... (2023.06.01) »

2023.06.09

NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

こんにちは、丸山満彦です。

NISTが2022年度(2021年10月1日から2022年9月30日)のサイバーセキュリティとプライバシー年次報告書を公表していますね。。。毎年、1年後の9月末に公表していたのが、3ヶ月ほど早くなりましたね。。。

今年は、、、

1 Cryptography 暗号
2 Education, Training & Workforce Development 教育、トレーニング、人材開発
3 Identity & Access Management アイデンティティとアクセス管理
4 Privacy プライバシー
5 Risk Management & Measurement リスクマネジメントと計測
6 Trustworthy Networks & Platforms 信頼できるネットワークとプラットフォーム
7 Usable Cybersecurity 利用可能なサイバーセキュリティ

 

NIST - ITL

・2023.05.30 SP 800-225  Fiscal Year 2022 Cybersecurity and Privacy Annual Report

 

SP 800-225 Fiscal Year 2022 Cybersecurity and Privacy Annual Report SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書
Abstract 概要
During Fiscal Year 2022 (FY 2022) – from October 1, 2021, through September 30, 2022 – the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the FY 2022 research activities for the ITL Cybersecurity and Privacy Program, including: the ongoing participation and development of international standards; research and practical applications in several key priority areas (e.g., Post Quantum Cryptography, updating the NIST Cybersecurity Framework (CSF 2.0) and some new CSF profiles); accomplishments in the area of improving software and supply chain cybersecurity; IoT cybersecurity guidelines work; National Cybersecurity Center of Excellence (NCCoE) projects, and setting up a new comment site for NIST’s Risk Management Framework work. NIST also celebrated a 50th anniversary in cybersecurity and the NCCoE celebrated a 10-year anniversary since inception. 2022会計年度(2021年10月1日から2022年9月30日まで)、NIST情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーに関する多くの課題と機会にうまく対応することができた。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2022年度の研究活動を紹介する:国際標準への継続的な参加と開発、いくつかの主要優先分野での研究と実用化(例.耐量子暗号、NISTサイバーセキュリティフレームワーク(CSF 2.0)の更新といくつかの新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善分野での成果、IoTサイバーセキュリティのガイドライン作業、National Cybersecurity Center of Excellence(NCCoE)プロジェクト、NISTのリスクマネジメントフレームワークの新しいコメントサイトの立ち上げ。また、NISTはサイバーセキュリティの分野で50周年を迎え、NCCoEは発足から10周年を迎えた。

 

・[PDF] SP 800-225

20230609-55141

 

 

 過去のものを横に並べてみると。。。

 

2022 2021 2020 2019 2018 2017
SP800-225 SP 800-220 SP 800-214 SP 800-211 SP 800-206  SP 800-203
暗号 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
教育、トレーニング、人材開発 サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 リスクマネジメントの強化 リスク管理
アイデンティティとアクセス管理 教育と労働力 測定基準と測定 暗号標準と検証の強化 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
プライバシー アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
リスクマネジメントと計測 プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
信頼できるネットワークとプラットフォーム リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
利用可能なサイバーセキュリティ 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必インフラストラクチャの保護強化  コンピュータ・フォレンジック
  信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
    信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 セキュリティのテストと測定ツールの推進 暗号標準化プログラム
          バリデーションプログラム
          ID ・アクセス管理
          新規技術の研究
          ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
          インターネットインフラ保護
          高度なセキュリティ試験と測定
          技術的な安全性の指標
          利便性とセキュリティ

 

 

・2022.09.26 SP 800-220 Fiscal Year 2021 Cybersecurity and Privacy Annual Report

・[PDF] SP 800-220

Focus Area 1: Cryptographic Standards and Validation 重点分野 1 : 暗号の標準と検証
Focus Area 2: Cybersecurity Measurement 重点分野 2 : サイバーセキュリティの測定
Focus Area 3: Education and Workforce 重点分野 3 : 教育と労働力
Focus Area 4: Identity and Access Management 重点分野 4 : アイデンティティとアクセス管理
Focus Area 5: Privacy Engineering 重点分野 5 : プライバシーエンジニアリング
Focus Area 6: Risk Management 重点分野 6 : リスクマネジメント
Focus Area 7: Trustworthy Networks 重点分野 7 : 信頼できるネットワーク
Focus Area 8: Trustworthy Platforms 重点分野 8 : 信頼できるプラットフォーム

 

 

・2021.09.28 SP 800-214 2020 Cybersecurity and Privacy Annual Report

・[PDF] SP 800-214

1 Cybersecurity Awareness and Education  サイバーセキュリティの啓発と教育 
2 Identity and Access Management アイデンティティとアクセス管理
3 Metrics and Measurement 測定基準と測定
4 Risk Management リスクマネジメント
5 Privacy Engineering  プライバシーエンジニアリング 
6 Emerging Technologies 新規技術
7 Cryptographic Standards and Validation 暗号の標準化と検証
8 Trustworthy Networks 信頼性の高いネットワーク
9 Trustworthy Platforms 信頼性の高いプラットフォーム

 

・2020.08.24 SP 800-211 2019 NIST / ITL Cyber​​security Program Annual Report

・[PDF] SP 800-211

1 Advancing Cybersecurity and Privacy Standards サイバーセキュリティとプライバシーの標準化の進化
2 Enhancing Risk Management リスク管理の強化
3 Strengthening Cryptographic Standards and Validation 暗号標準と検証の強化
4 Advanced Cybersecurity Research & Applications Development 先端サイバーセキュリティ研究・応用開発
5 Improving Cybersecurity Awareness, Training, and Education and Workforce Development サイバーセキュリティについての意識向上、トレーニング、教育、人材育成
6 Enhancing Identity and Access Management アイデンティティとアクセス管理の強化
7 Bolstering Communications and Infrastructure Protection 通信・インフラ保護の強化
8 Securing Emerging Technologies 新技術の確保
9 Advancing Security Test and Measurement Tools セキュリティテストと測定ツールの進化

 

・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

・[PDF] SP 800-206 

Introduction はじめに
Imperative 1 – Advancing Cybersecurity and Privacy Standards 必須事項 1 - サイバーセキュリティとプライバシー基準の推進
Imperative 2 – Enhancing Risk Management 必須事項 2 - リスクマネジメントの強化
Imperative 3 – Strengthening Cryptographic Standards and Validation 必須事項 3 - 暗号の標準と検証の強化
Imperative 4 – Advancing Cybersecurity Research and Applications Development 必須事項 4 - サイバーセキュリティの研究・応用開発の推進
Imperative 5 – Improving Cybersecurity Awareness, Training, Education, and Workforce Development 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発
Imperative 6 – Enhancing Identity and Access Management 必須事項 6 - アイデンティティとアクセス管理の強化
Imperative 7 – Bolstering Infrastructure Protection  必須事項 7 - インフラストラクチャの保護強化 
Imperative 8 – Securing Emerging Technologies 必須事項 8 - 新規技術の保護
Imperative 9 – Advancing Security Test and Measurement Tools 必須事項 9 - セキュリティのテストと測定ツールの推進

 

・2018.07.02 SP 800-203 2017 NIST/ITL Cybersecurity Program Annual Report

・[PDF] SP 800-203

1 ITL INVOLVEMENT WITH INTERNATIONAL IT SECURITY STANDARDS 国際ITセキュリティ標準へのITLの関与
2 RISK MANAGEMENT リスク管理
3 BIOMETRIC STANDARDS AND ASSOCIATED CONFORMITY ASSESSMENT TESTING TOOLS バイオメトリクス標準と関連する適合性評価試験ツール
4 CYBERSECURITY APPLICATIONS サイバーセキュリティアプリケーション
5 SOFTWARE ASSURANCE & QUALITY ソフトウェアの保証と品質
6 FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT (R&D) 連邦サイバーセキュリティ調査研究
7 COMPUTER FORENSICS コンピュータ・フォレンジック
8 CYBERSECURITY AWARENESS, TRAINING, EDUCATION, AND OUTREACH サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
9 CRYPTOGRAPHIC STANDARDS PROGRAM 暗号標準化プログラム
10 VALIDATION PROGRAMS バリデーションプログラム
11 IDENTITY AND ACCESS MANAGEMENT ID ・アクセス管理
12 RESEARCH IN EMERGING TECHNOLOGIES 新規技術の研究
13 NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCoE) ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
14 INTERNET INFRASTRUCTURE PROTECTION インターネットインフラ保護
15 ADVANCED SECURITY TESTING AND MEASUREMENTS 高度なセキュリティ試験と測定
16 TECHNICAL SECURITY METRICS 技術的な安全性の指標
17 USABILITY AND SECURITY 利便性とセキュリティ

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 


 

仮対訳...

↓↓↓

 

Foreword まえがき
Nelson Mandela famously said, “Remember to celebrate milestones as you prepare for the road ahead.” This year, we celebrated a major milestone that we’re proud of: 50 years of cybersecurity at NIST. Over the last five decades, we have conducted research and developed guidance that has led to extraordinary advancements in cybersecurity. ネルソン・マンデラの有名な言葉に「前途に備え、マイルストーンを祝うことを忘れるな」というものがある。今年、私たちは自慢の大きなマイルストーンを祝った: NISTのサイバーセキュリティは50年を迎えた。この50年間、私たちは研究を行い、ガイダンスを作成し、サイバーセキュリティの並外れた進歩につなげてきた。
Many of these advancements have taken on new life over the years as the world of cybersecurity shifts and adjusts. We look forward to outlining our accomplishments each year in these Annual Reports as we share how our dynamic projects help advance technology, cybersecurity and privacy standards and guidelines, and measurement science for all. これらの進歩の多くは、サイバーセキュリティの世界が変化し、調整されるにつれて、長年にわたって新たな命を吹き込まれてきた。私たちのダイナミックなプロジェクトが、技術、サイバーセキュリティとプライバシーの標準とガイドライン、そしてすべての人のための計測科学の発展にどのように貢献しているかを共有するため、毎年この年次報告書で私たちの業績を概説することを楽しみにしている。
You’ll notice that this year’s Annual Report has a new look and feel. We are debuting a simpler format with less text and more pointers to our helpful and robust websites, and we organized the publication into seven key categories (see our table of contents for a list, and read about each one throughout this report). 本年度のアニュアル報告書は、新たな装いでお届けしている。また、7つの主要なカテゴリーに分類している(一覧は目次を参照し、各カテゴリーについては本報告書を読んでください)。
This past year, NIST conducted research and demonstrated practical applications in several key priority areas, including Post Quantum Cryptography (and the selection of PQC algorithms for standardization); an update to the NIST Cybersecurity Framework (CSF 2.0), including new CSF profiles; software and supply chain cybersecurity; our Internet of Things (IoT) cybersecurity guidelines work; launching a new comment site for our security and privacy controls and baselines (so we can get our resources into the hands of practitioners faster and improve the user experience for our customers); and much more. この1年間、NISTは、耐量子暗号(および標準化に向けたPQCアルゴリズムの選定)、新しい CSF プロファイルを含む NIST サイバーセキュリティフレームワーク(CSF 2.0)の更新、ソフトウェアおよびサプライチェーンのサイバーセキュリティ、IoTサイバーセキュリティガイドラインの策定、セキュリティとプライバシーのコントロールとベースラインに関する新しいコメントサイトの開設(これにより、我々のリソースをより早く実務家の手に届け、我々の顧客のユーザーエクスペリエンスを向上させることができる)、を含むいくつかの重要な優先分野で研究を実施し、実用化を実証した。
We are always learning, growing, and creating, so sometimes we forget to take a minute to reflect. This year, we enjoyed doing just that as we celebrated the very milestones that make us unique. 私たちは常に学び、成長し、創造しているため、時には振り返る時間を取ることを忘れてしまうことがある。今年は、私たちをユニークな存在にしているマイルストーンを祝うことで、まさにそれを楽しむことができた。
 Kevin Stine, NIST Chief Cybersecurity Advisor ケビン・スタイン NISTチーフ・サイバーセキュリティ・アドバイザー
How did we celebrate our 50th anniversary of cybersecurity this year? 今年は、サイバーセキュリティの50周年をどのように祝ったのでしょうか。
• We launched a new NIST Cybersecurity Program History and Timeline tool, which provides an overview of NIST’s major cybersecurity research projects, programs, and – ultimately – history. ・NISTの主要なサイバーセキュリティ研究プロジェクト,プログラム,そして最終的には歴史を概観できる,新しいNISTサイバーセキュリティプログラムの歴史とタイムラインツールを開始した。
• We set up a dedicated anniversary website that has everything in one place – blog posts, event details, and resources. ・ブログ記事,イベントの詳細,リソースなど,すべてを1か所にまとめた記念日専用のウェブサイトを開設した。
• We shared and collaborated on our cybersecurity Twitter account using the hashtag #NISTcyber50th all year. ・ハッシュタグ#NISTcyber50thを使用したサイバーセキュリティTwitterアカウントでは、1年を通して共有と協力が行われた。
Cryptography 暗号
Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable trustworthy assurance of integrity and confidentiality in all types of information and technology – now and in the future. 暗号は、私たちのセキュリティとデータ保護のニーズにとって基礎となるものである。NISTの暗号技術優先領域が提供する標準、ガイドライン、勧告、ツールは、現在および将来のあらゆる種類の情報および技術において、信頼できる完全性と機密性の保証を可能にする。
Major Accomplishments in FY 2022: 2022年度の主な成果:
• The Post-Quantum Cryptography team announced the third-round selection and the fourth-round candidates. The call for additional signatures was released. Standards development on the selected algorithms is underway.
・Post-Quantum Cryptographyチームは、3次選考と4次選考の候補者を発表した。追加署名の募集を発表した。選定されたアルゴリズムに関する標準化が進行中である。
• The Lightweight Cryptography Project continued to evaluate the finalist algorithms to prepare for the final selection. The fifth Lightweight Cryptography Workshop was held. ・Lightweight Cryptographyプロジェクトは,最終選考に向け,最終候補アルゴリズムの評価を継続した。第5回Lightweight Cryptography Workshopを開催した。
NIST’s Crypto Publication Review Board completed two reviews, and seven reviews are in progress to update and modernize the portfolio of cryptographic standards. ・NISTのCrypto Publication Review Boardは2件のレビューを完了し,暗号標準のポートフォリオを更新し近代化するために7件のレビューが進行中である。
• NIST continued to explore multi-party threshold cryptography through workshops, calls for feedback on criteria for threshold schemes, and other industry collaboration. ・NISTは,ワークショップ,閾値スキームの基準に関するフィードバックの募集,その他の業界との協力を通じて,マルチパーティの閾値暗号の探求を継続した。
Learn more about this priority area この優先分野についての詳細はこちら
NIST is proud to have achieved the milestone of selecting the algorithms which will help protect our sensitive data against the possibility of future attacks from quantum computers. NISTは、量子コンピュータからの将来的な攻撃の可能性から私たちの機密データを保護するのに役立つアルゴリズムを選定するというマイルストーンを達成できたことを誇りに思う。
Dustin Moody, NIST PQC Project Lead  NIST PQCプロジェクトリーダー、ダスティン・ムーディー 
Education, Training & Workforce Development 教育、トレーニング、人材開発
Energizing, promoting, and coordinating the workforce are key priorities for NIST. The National Initiative for Cybersecurity Education (NICE) supports a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development.
労働力の活性化、促進、調整は、NISTの重要な優先事項である。サイバーセキュリティ教育のための国家イニシアティブ(NICE)は、サイバーセキュリティ教育、トレーニング、人材開発の統合されたエコシステムを推進するために協力する強固なコミュニティを支援している。
Major Accomplishments in FY 2022: 2022年度の主な成果:
• NICE released the National K12 Cybersecurity Education Roadmap with five major elements and accompanying strategies. ・NICEは、5つの主要要素とそれに付随する戦略を備えた「全国K12サイバーセキュリティ教育ロードマップ」を発表した。
• The NICE Community Coordinating Council launched five project teams that each support objectives from the NICE Strategic Plan. ・NICEコミュニティ調整評議会は,NICE戦略計画の目標をそれぞれ支援する5つのプロジェクトチームを発足させた。
• NICE launched the Cybersecurity Apprenticeship Finder and supported a 120-Day Cybersecurity Apprenticeship Sprint in partnership with the U.S. Department of Labor. ・NICEは,サイバーセキュリティ実習生ファインダーを立ち上げ,米国労働省と共同で120日間のサイバーセキュリティ実習生スプリントを支援した。
• A report, “Measuring Cybersecurity Workforce Capabilities: Defining a Proficiency Scale for the NICE Framework”, was submitted to Congress. ・報告書「サイバーセキュリティ人材の能力測定」を発表: NICE Frameworkのための熟練度尺度を定義する」を議会に提出した。
• In response to the FY 2021 National Defense Authorization Act, NICE submitted a report to Congress on cybersecurity proficiencies and published cybersecurity career pathways information. ・2021年度国防権限法を受けて、NICEはサイバーセキュリティの習熟度に関する報告書を議会に提出し、サイバーセキュリティのキャリアパス情報を公開した。
• The Small Business Cybersecurity Corner released a series of videos with companion discussion guides on ransomware, phishing, and multi-factor authentication. ・中小企業サイバーセキュリティコーナーでは,ランサムウェア,フィッシング,多要素認証に関する一連のビデオと付属のディスカッションガイドを公開した。
• NIST continued to bring together the community through events, including the Federal Cybersecurity Workforce Summit and Webinars, Federal Information Security Educators (FISSEA) Forums, NICE Webinar Series, Cybersecurity Career Awareness Week, and by supporting the NICE Conference, NICE K12 Conference, and US Cyber Games through cooperative agreements. ・NISTは、連邦サイバーセキュリティ人材サミットとウェビナー、連邦情報セキュリティ教育者(FISSEA)フォーラム、NICEウェビナーシリーズ、サイバーセキュリティキャリア啓発週間などのイベントを通じて、また協力協定を通じてNICEカンファレンス、NICE K12カンファレンス、USサイバーゲームを支援し、コミュニティの結集を続けている。
Learn more about these priority areas これらの優先分野についての詳細はこちら
As cybersecurity risks evolve, the need for a knowledgeable and skilled cybersecurity workforce remains constant.  サイバーセキュリティリスクが進化する中、知識とスキルのあるサイバーセキュリティ人材の必要性は不変である。
Rodney Petersen, Director of NICE at NIST NISTのNICE担当ディレクター、ロドニー・ピーターセン氏
Identity & Access Management アイデンティティとアクセス管理
Identity and Access Management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides the research, guidance, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time. アイデンティティとアクセス管理(IAM)は、データ保護、プライバシー、セキュリティの基礎となるものである。NISTのIAM優先分野は、適切な人間、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイダンス、技術移行活動を提供する。
Major Accomplishments in FY 2022: 2022年度の主な成果:
• A third revision of the Personal Identity Verification of Federal Employees standard was published, which specifies secure and reliable forms of identity credentials for federal employees and contractors who need access to federal facilities and applications.  ・連邦施設やアプリケーションへのアクセスが必要な連邦職員や請負業者のための安全で信頼できる形式のIDクレデンシャルを規定した「連邦職員の個人ID検証」規格の第3次改訂版が発行された。
• The draft of NIST’s Digital Identity Guidelines was completed, incorporating comments submitted in response to the June 2020 Request for Comments (RFC), lessons learned from federal agencies and industry, and new content about emerging technologies, threats, and policie.  ・NISTのデジタル・アイデンティティ・ガイドラインのドラフトが完成し、2020年6月の意見募集(RFC)に対して提出されたコメント、連邦機関や業界から得た教訓、新たな技術、脅威、政策に関する新しいコンテンツが盛り込まれた。
• Part 8 of the Face Recognition Vendor Test (FRVT) was published. This report compiles and analyzes demographic summary measures for how face recognition false positive and false negative error rates differ across age, sex, and race-based demographic groups. This is a key step toward a metric that can be used to summarize demographic differentials, support standards development for measuring performance, and drive improvements in the technology. ・顔認証ベンダーテスト(FRVT)のパート8が発行されました。この報告書は、年齢、性別、人種に基づく人口統計学的グループ間で、顔認識の誤検出と誤検出のエラー率がどのように異なるかについての人口統計学的要約指標を編集・分析したものである。これは、人口統計学的な差異を要約し、性能を測定するための標準開発を支援し、技術の改善を推進するために使用できる指標に向けた重要なステップである。
• Guidance was provided for the implementation of DevSecOps primitives for reference platforms that host cloud-native applications with the publication of Application of DevSecOps Using a Service Mesh in Microservices-Based Infrastructure ・クラウドネイティブアプリケーションをホストするリファレンスプラットフォームに対するDevSecOpsプリミティブの実装について,「マイクロサービス基盤におけるサービスメッシュを利用したDevSecOpsの適用について」を発行してガイダンスを提供した。
• NIST contributed to and helped finalize the international standard for Mobile Driving License (mDL) Applications, developed a reference implementation to test the standard, and created security and privacy considerations for the mDL ecosystem. ・NISTは、モバイルドライビングライセンス(mDL)アプリケーションの国際標準に貢献し、その最終化を支援した。
Learn more about this priority area この優先分野についての詳細はこちら
NIST’s Identity & Access Management Program is a cornerstone for government services. From Zero Trust to benefits distribution, some of the most critical aspects of government rely on our research and guidance…. NISTのアイデンティティ&アクセス管理プログラムは、政府サービスの基礎となるものである。ゼロ・トラストから給付金の分配まで、政府の最も重要な側面のいくつかは、私たちの研究と指導に依存している...。
Ryan Galluzzo, NIST Digital Identity Program Lead Ryan Galluzzo、NISTデジタル・アイデンティティ・プログラム・リード
Privacy プライバシー
Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized Privacy Engineering to support measurement science and system engineering principles through frameworks, risk models, and guidance that protect privacy and civil liberties.
プライバシーは、デジタル経済の成長を支え、私たちの生活の質を向上させる信頼に不可欠なものである。NISTは、プライバシーと市民的自由を保護するフレームワーク、リスクモデル、ガイダンスを通じて、計測科学とシステム工学の原則をサポートするプライバシーエンジニアリングを優先する。
Major Accomplishments in FY 2022: 2022年度の主な成果
• Numerous Privacy Framework resources were released, including Spanish and Portuguese translations of the Privacy Framework Quick Start Guide and a webinar on using regulatory crosswalks for Framework implementation. ・プライバシーフレームワークのクイックスタートガイドのスペイン語版とポルトガル語版,フレームワーク導入のための規制クロスウォークの使用に関するウェビナーなど,多数のプライバシーフレームワークリソースがリリースされました。
• NIST’s differential privacy blog series was completed, and in-depth differential privacy guidelines are in development (a draft for public comment is anticipated in FY 2023). ・NISTの差分プライバシー・ブログシリーズが完成し、差分プライバシー・ガイドラインの詳細が開発中である(パブリックコメント用のドラフトは2023年度に予定されている)。
• The NIST Privacy Workforce Public Working Group (PWWG) was launched, which now has 800+ members from across the globe. Project teams are currently working on defining tasks, knowledge, and skills aligned with the Privacy Framework and the NICE Framework to support the growth of a workforce capable of managing privacy risks.​ Two of an anticipated ten PWWG project teams have completed their work, and three additional have launched. ・NIST Privacy Workforce Public Working Group(PWWG)が発足し、現在、世界中から800人以上のメンバーが集まっている。プロジェクトチームは現在、プライバシーフレームワークとNICEフレームワークに沿ったタスク、知識、スキルの定義に取り組んでおり、プライバシーリスクをマネジメントできる人材の育成を支援している。 PWWGプロジェクトチームは10チーム予定されていましたが、2チームが作業を完了し、さらに3チームが発足している。
• Co-sponsored by NIST, the U.S. partnered with the U.K.’s Center for Data Ethics and Innovation to launch a Privacy-Enhancing Technologies Prize Challenge to advance privacypreserving federated learning.
・NISTとの共催で、米国は英国のCenter for Data Ethics and Innovationと提携し、プライバシーを保護するフェデレーテッド・ラーニングを推進するための「プライバシー強化技術賞チャレンジ」を開始した。

• The Privacy Engineering Program continues to collaborate across NIST programs and priority areas. NIST also leads external efforts to advance privacy, including co-chairing Privacy Research & Development and Privacy-Preserving Data Sharing and Analytics Interagency Working Groups.
・プライバシー・エンジニアリング・プログラムは、NISTのプログラムや優先分野を超えたコラボレーションを続けている。また、NISTは、プライバシー研究開発およびプライバシー保護データ共有と分析に関する省庁間作業部会の共同議長を務めるなど、プライバシーを推進するための外部の取り組みも主導している。
Learn more about this priority area この優先分野についての詳細はこちら
The NIST Privacy Framework, published in January 2020, is quickly becoming the mainstream control set for organizations to align with when assessing their data privacy posture, developing readiness roadmaps, and maturing their privacy program.“ 2020年1月に発行されたNISTプライバシーフレームワークは、データプライバシー態勢の評価、準備ロードマップの作成、プライバシープログラムの成熟を行う際に、組織が合わせるべき主流のコントロールセットとして急速に普及しつつある。
JD Supra, LLC JD Supra, LLC
Risk Management & Measurement リスクマネジメントと測定
Organizations must balance a rapidly evolving cybersecurity and privacy threat landscape with the need to fulfill enterprise mission and business requirements. This evolution increasingly calls for a collaborative approach to managing disciplinespecific enterprise risks. Risk management is integrated into NIST standards and guidelines to help better understand, measure, manage, and reduce cybersecurity and privacy risk in a larger context.
組織は、急速に進化するサイバーセキュリティとプライバシーの脅威の状況と、エンタープライズのミッションとビジネス要件を満たす必要性とのバランスを取る必要がある。このような進化に伴い、分野別のエンタープライズリスクを管理するための協調的なアプローチがますます求められている。リスクマネジメントは、NISTの標準やガイドラインに統合され、より大きな文脈でサイバーセキュリティとプライバシーのリスクをよりよく理解、測定、管理、低減するのに役立っている。
Major Accomplishments in FY 2022: 2022年度の主な成果
• NIST kicked off the Journey to CSF 2.0 with a Request for Information (RFI), a summary analysis document of the RFI responses, and a workshop with 3,900+ attendees from 100 countries. More planning is now underway for additional workshops and drafts. ・NISTは、CSF 2.0への旅を、情報提供要請書(RFI)、RFIの回答の要約分析文書、100カ国から3,900人以上が参加したワークショップであるタートさせました。現在、追加のワークショップやドラフトに向けて、さらなる計画が進行中である。
• Updated guidance on assessing security and privacy controls was released, featuring updated assessment procedures to better enable automation. ・セキュリティとプライバシーの管理策の評価に関するガイダンスを更新し,自動化をより可能にするための評価手順の更新を特徴とするものを発表した。
Guidance on managing cybersecurity risk in supply chains for all levels of an organization was released with specific sections focused on securing software supply chains. Additionally, NIST collaborated with software developers, service providers, and users to develop secure software development guidance that is now mandatory for federal agency software acquisition and use. ・組織のあらゆるレベルのサプライチェーンにおけるサイバーセキュリティリスクマネジメントに関するガイダンスが発表され,ソフトウェアのサプライチェーンの安全確保に焦点を当てた特定のセクションが設けられた。さらにNIST はソフトウェア開発者、サービスプロバイダ、ユーザと協力して安全なソフトウェア開発ガイダンスを開発し、連邦機関のソフトウェアの取得と使用に義務づけた。
• New guidance and example implementations were developed and released to demonstrate how organizations can verify that the internal components of their computing devices are genuine and have not been tampered with. ・また,コンピューティングデバイスの内部コンポーネントが本物であり,改ざんされていないことを組織が確認する方法を示す,新しいガイダンスと実装例が開発・公開されました。
Learn more about this priority area この優先分野についての詳細はこちら
With our increasing dependence on computing technology and the rapid emergence of cyber-physical systems – from medical devices to automobiles to the electric grid – managing cybersecurity and privacy risk is an essential component in the safe and effective use of those systems. We are committed to our stakeholder-driven, collaborative, and thorough approach.  コンピューティング技術への依存度が高まり、医療機器から自動車、電力網に至るまでサイバーフィジカルシステムが急速に出現する中、サイバーセキュリティとプライバシーリスクのマネジメントは、これらのシステムを安全かつ効果的に使用する上で不可欠な要素となっている。私たちは、ステークホルダー主導で、協力的で、徹底したアプローチを心がけている。
Ron Ross, NIST Fellow ロン・ロス、NISTフェロー
Trustworthy Networks & Platforms 信頼できるネットワークとプラットフォーム
Each of us relies on the hardware, software, and networks that form the fabric of our digital ecosystems. NIST’s Trustworthy Networks and Trustworthy Platforms priority areas support research and practical implementation guidance to ensure secure, reliable, and resilient technology across industry sectors. 私たち一人ひとりは、デジタルエコシステムの基盤を形成するハードウェア、ソフトウェア、およびネットワークに依存している。NISTのTrustworthy NetworksとTrustworthy Platformsの優先分野は、産業部門全体で安全、信頼、レジリエンスを確保するための研究と実践的な実装ガイダンスを支援している。
Major Accomplishments in FY 2022: 2022年度の主な成果
• NIST published guidance to enhance and strengthen the security and integrity of the software supply chain in support of Executive Order (EO)14028. This effort included cybersecurity supply chain risk management practices and guidelines for software developer verification, systems security engineering, and secure software development. ・NISTは、大統領令(EO)14028を支援するため、ソフトウェアサプライチェーンのセキュリティとインテグリティを強化し、強化するためのガイダンスを発表した。この取り組みには、サイバーセキュリティ・サプライチェーンのリスクマネジメントの実践と、ソフトウェア開発者の検証、システム・セキュリティ・エンジニアリング、安全なソフトウェア開発のためのガイドラインが含まれている。
Hardware security mechanisms and governance safeguards guidance was finalized to measure and attest to the integrity of the platform in an infrastructure-as-a-service (IaaS) cloud deployment model and other multi-tenant cloud environments. ・インフラストラクチャー・アズ・ア・サービス(IaaS)クラウド展開モデルやその他のマルチテナントクラウド環境におけるプラットフォームの完全性を測定・証明するためのハードウェアセキュリティ機構とガバナンスのセーフガード指針が確定されました。
• The development of the Cybersecurity for IoT program has progressed through stakeholder engagement, guidance for consumers of IoT products and federal agencies, and practical guidance for securing industrial internet of things (IIoT) devices (e.g., distributed energy resources). ・IoT向けサイバーセキュリティプログラムの開発は、利害関係者の関与、IoT製品の消費者や連邦政府機関向けのガイダンス、産業用IoT(IIoT)機器(分散型エネルギー資源など)の安全確保のための実用ガイダンスを通じて進展してきた。
Learn more about the Trustworthy Networks and Platforms priority areas 信頼できるネットワークとプラットフォームの優先分野についての詳細はこちら
Leverage measurement science, guidelines, and standards to foster the adoption of innovative and trustworthy information and communication technology.  測定科学、ガイドライン、標準を活用し、革新的で信頼性の高い情報通信技術の採用を促進する。
Murugiah Souppaya, NIST Computer Scientist Murugiah Souppaya、NISTコンピュータサイエンティスト
Usable Cybersecurity 利用可能なサイバーセキュリティ
The mission of the Usable Cybersecurity priority area is to “champion the human in cybersecurity.” Through human-centered research and projects, the usability team seeks to better understand and improve users’ cybersecurity interactions and empower people to be active, informed participants in cybersecurity.
利用可能なサイバーセキュリティの優先分野の使命は、"サイバーセキュリティにおける人間を支持すること "である。人間中心の研究とプロジェクトを通じて、ユーザビリティチームは、ユーザーのサイバーセキュリティへの関わりをよりよく理解し、改善し、人々がサイバーセキュリティに積極的で情報に基づいた参加者となるよう力を与えることを目指す。
Major Accomplishments in FY 2022: 2022年度の主な成果
• NIST received a provisional patent for the Phish Scale – a method to help organizations contextualize phishing training click rates. The scale was further expanded based on realworld data and feedback from the growing number of organizations that have adopted the Phish Scale. ・NISTは,フィッシング訓練のクリック率を文脈化するための手法である「フィッシュスケール」の仮特許を取得した。フィッシングスケールを採用した組織の数が増えていることから,実世界のデータとフィードバックに基づいて,スケールをさらに拡張した。
• A parent-child study examining youths’ cybersecurity and privacy perceptions, knowledge, and behaviors found that conversations with parents were key to youth gaining solid understandings regarding the topics. Results were shared in research and government forums. ・青少年のサイバーセキュリティとプライバシーに関する認識,知識,行動を調査した親子研究では,青少年がこれらのテーマについてしっかりと理解するためには,両親との会話が重要であることがわかった。この結果は,研究機関や政府のフォーラムで共有された。
A research study identified the approaches and challenges of U.S. Government cybersecurity awareness programs − including emphasis on compliance rather than impact − and informed new government awareness and training guidelines. ・米国政府のサイバーセキュリティ啓発プログラムのアプローチと課題(影響よりもコンプライアンスの重視など)を明らかにした調査研究は、政府の新しい啓発およびトレーニングガイドラインに反映された。
• Survey findings on consumer perceptions and experiences with updates for smart home devices revealed a lack of transparency and user misconceptions. Results informed Internet of Things cybersecurity guidelines and labeling efforts. ・スマートホーム機器のアップデートに関する消費者の認識と経験に関する調査結果では,透明性の欠如とユーザーの誤解が明らかになった。この結果は,Internet of Thingsのサイバーセキュリティガイドラインとラベリングの取り組みに反映されました。
Learn more about this priority area この優先分野についての詳細はこちら
We amplify the voices and needs of people within a field that is most often viewed through a technology-dominant lens.
我々は、テクノロジー優位のレンズを通して見られることの多いこの分野で、人々の声やニーズを増幅させている。
Julie Haney, NIST Usable Cybersecurity Program Lead
ジュリー・ヘイニー(NISTユーザブルサイバーセキュリティプログラムリーダー
National Cybersecurity Center of Excellence (NCCoE) Summary ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)の概要
The NCCoE brings together members of industry, government, and academia to address the real-world needs of securing complex systems and protecting the Nation’s critical infrastructure. NCCoEは、複雑なシステムのセキュリティ確保と国の重要インフラの保護という現実的なニーズに対応するため、産官学のメンバーを結集している。
• Happy Birthday, National Cybersecurity Center of Excellence (NCCoE)! NCCoE celebrated its 10-year anniversary in FY 2022. The NCCoE was established in 2012 through a partnership among NIST, the State of Maryland, and Montgomery County, MD. ・ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)、お誕生日おめでとうございる!NCCoEは2022年度で設立10周年を迎えた。NCCoEは、NIST、メリーランド州、メリーランド州モンゴメリー郡のパートナーシップにより、2012年に設立されました。
• Practical, standards-based guidance. The NCCoE published 33 publications in FY 2022 on topics ranging from enterprise patch management, trusted cloud, securing telehealth, zero trust, mobile device security, supply chain integrity, and much more. View our full list of publications here. ・実用的な,標準に基づいたガイダンスを提供している。NCCoEは2022年度に,エンタープライズのパッチ管理,トラステッド・クラウド,テレヘルスの安全確保,ゼロトラスト,モバイル機器のセキュリティ,サプライチェーンの完全性など,さまざまなテーマで33の出版物を発行した。出版物の全リストはこちらでご覧ください。
• Exploring new areas. We launched new projects in the areas of hybrid satellite networks, identity, telehealth smart home integration, post-quantum cryptography, cybersecurity of genomic data, artificial intelligence, and software supply chain, to name a few. ・新しい分野を開拓する ハイブリッド衛星ネットワーク,アイデンティティ,テレヘルス・スマートホーム統合,ポスト量子暗号,ゲノムデータのサイバーセキュリティ,人工知能,ソフトウェアサプライチェーンなどの分野で,新しいプロジェクトを開始した。
• New look, same great information. We launched a redesigned NCCoE website to improve the user experience. ・新しい外観,同じ素晴らしい情報。NCCoEのウェブサイトは,ユーザーエクスペリエンスを向上させるために,デザインを一新した。
• Take a virtual look inside the NCCoE labs. We developed a virtual lab tour series. Explore the work being done in each lab, meet our subjectmatter experts, and learn what sector or technology challenges our projects are addressing here ・NCCoEラボの中をバーチャルに見てみよう。バーチャルラボツアーシリーズを開発した。各ラボで行われている作業,NCCoEの専門家,プロジェクトが取り組んでいる分野や技術の課題などをご覧いただけます。
OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY & PRIVACY サイバーセキュリティとプライバシーに関してNISTと関わる機会
Collaborators and researchers are the driving force behind NIST’s programs. NIST depends on developers, providers, and everyday users of cybersecurity and privacy technologies and information to guide our priorities. NISTのプログラムを支える原動力は、共同研究者と研究者である。NISTは、サイバーセキュリティとプライバシーに関する技術や情報の開発者、提供者、そして日常的な利用者から、私たちの優先順位を導き出してもらっている。
• Details on engaging with NIST on cybersecurity and privacy are available here. ・サイバーセキュリティとプライバシーに関するNISTとの関わり方についての詳細は,こちらをご覧ください。
• Many NIST projects are supported by guest researchers, both foreign and domestic. ・NISTの多くのプロジェクトは,国内外のゲスト研究者によって支えられている。
• The Pathways Program supports federal internships for students and recent graduates. ・パスウェイズ・プログラムは,学生や新卒者を対象とした連邦政府のインターンシップを支援している。 
• NIST funds industrial and academic research in several ways: ・NISTは、いくつかの方法で産業および学術研究に資金を提供している:
• The Small Business Innovation Research Program (SBIR) funds research and development proposals. ・中小企業革新研究プログラム(SBIR)は、研究開発提案に資金を提供する。
• NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Mr. Christopher Hunton via grants@nist.gov. ・NISTは、精密測定、火災研究、材料科学の分野での研究を奨励するための補助金を提供している。NISTの助成金プログラムに関する一般的な情報については、grants@nist.gov、Christopher Hunton氏までお問い合わせください。
The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with ITL. ・情報技術研究所(ITL)スピーカー・ビューローは、大学やカレッジと連携し、NISTで行われているエキサイティングな仕事について学生や教員の意識を高め、ITLで働く機会の追求を検討するよう動機付けます。
• More information about our research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website. ・研究、プロジェクト、出版物、イベントについての詳細は、NISTコンピュータセキュリティリソースセンター(CSRC)のウェブサイトをご覧ください。

 

 

|

« NIST SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項 (2023.05.24) | Main | NIST mDL モバイル端末に運転免許証... (2023.06.01) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項 (2023.05.24) | Main | NIST mDL モバイル端末に運転免許証... (2023.06.01) »