NIST SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項 (2023.05.24)

こんにちは、丸山満彦です。

SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項が最終化され、公開されていますね。。。

これは、IoT Cybersecurity Improvement Act of 2020に基づいて整備されているもので、ISO/IEC 29147:2018  Vulnerability disclosureや、ISO/IEC 30111:2019 Vulnerability handling processesを参照しつつ、作成されているものですね。。。

 

● NIST - ITL

・2023.05.24 SP 800-216 Recommendations for Federal Vulnerability Disclosure Guidelines

SP 800-216 Recommendations for Federal Vulnerability Disclosure Guidelines	SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項
Abstract	概要
Receiving reports on suspected security vulnerabilities in information systems is one of the best ways for developers and services to become aware of issues. Formalizing actions to accept, assess, and manage vulnerability disclosure reports can help reduce known security vulnerabilities. This document recommends guidance for establishing a federal vulnerability disclosure framework, properly handling vulnerability reports, and communicating the mitigation and/or remediation of vulnerabilities. The framework allows for local resolution support while providing federal oversight and should be applied to all software, hardware, and digital services under federal control.	情報システムのセキュリティ脆弱性の疑いに関する報告を受けることは、開発者やサービスが問題を認識するための最良の方法の 1 つである。脆弱性報告書を受け入れ、評価し、管理するための行動を公式化することで、既知のセキュリティ脆弱性を減らすことができる。この文書では、連邦政府の脆弱性開示の枠組みを確立し、脆弱性報告を適切に取り扱い、脆弱性の緩和や修復を伝えるための指針を推奨している。この枠組みは、連邦政府の監督を受けながら、ローカルな解決支援を可能にし、連邦政府の管理下にあるすべてのソフトウェア、ハードウェア、およびデジタルサービスに適用されるべきものである。

 

・[PDF] SP 800-216

・[DOCX] 仮訳

 

 

目次...

Executive Summary	エグゼクティブサマリー
1. U.S. Government Vulnerability Disclosure	1. 米国政府による脆弱性情報の開示
1.1. Usage of Document Terminology	1.1. 用語の使い方
2. Federal Vulnerability Disclosure Coordination Body	2. 連邦脆弱性情報開示調整機関
2.1 Preparation	2.1 準備
2.1.1. Create Source Vulnerability Report Receipt Capability	2.1.1. ソース脆弱性報告受理機能の作成
2.1.2. Determine Scope and Obtain Contacts	2.1.2. 範囲の決定と連絡先の取得
2.1.3. Develop Technical Analysis Capability	2.1.3. 技術分析能力の開発
2.2 Receive Source Vulnerability Report	2.2 ソース脆弱性報告の受理
2.3. Triage and Prioritize Source Vulnerability Report	2.3. ソース脆弱性報告のトリアージと優先順位付け
2.4. Determine the Reported Vulnerable System	2.4. 報告された脆弱なシステムの決定
2.5. Identify the Reported Vulnerable Software	2.5. 報告された脆弱なソフトウェアの特定
2.6. Verify and Remediate Vulnerability	2.6. 脆弱性の確認と修復
2.7. Determine Whether to Publish an Advisory	2.7. 勧告発行の可否の決定
2.7.1. Determine Whether Public Disclosure is Warranted	2.7.1. 公開の必要性の有無の判断
2.7.2. Produce Advisory	2.7.2. 勧告の作成
2.7.3. Government Advisory Services	2.7.3. 政府のアドバイザリーサービス
2.8. Stakeholders in Federal Vulnerability Disclosure Coordination	2.8. 連邦脆弱性情報開示調整における利害関係者
2.9. Technical Approaches and Resources	2.9. 技術的アプローチとリソース
3. Vulnerability Disclosure Program Offices	3. 脆弱性開示プログラム事務局
3.1 Vulnerability Disclosure Program Office Description	3.1 脆弱性情報開示プログラム事務局の説明
3.2. Vulnerability Disclosure Program Office Structural Requirements	3.2. 脆弱性開示プログラム事務局の構造的要件
3.2.1. Development of Source Vulnerability Report Acceptance Policies	3.2.1. ソース脆弱性報告書受理方針の策定
3.2.2. Monitoring of Source Vulnerability Reports	3.2.2. ソース脆弱性報告書の監視
3.2.3. Processing and Resolution of Source Vulnerability Reports	3.2.3. ソース脆弱性報告書の処理と解決
3.2.4. Development of Vulnerability Disclosure Handling Procedures	3.2.4. 脆弱性情報開示の取り扱い手順の策定
3.2.5. Vulnerability Disclosure Program Office Operational Duties	3.2.5. 脆弱性開示プログラム事務局の運営業務
3.3. Management Considerations	3.3. 管理上の留意点
3.3.1. Leadership Support	3.3.1. リーダーシップの支援
3.3.2. Staffing Needs	3.3.2. スタッフの必要性
3.3.3. Leveraging Existing Processes	3.3.3. 既存のプロセスの活用
3.3.4. Integration of Contractor Support into the VDPO	3.3.4. コントラクター支援のVDPOへの統合
3.3.5. Customer Support and Public Relations	3.3.5. カスタマー支援とパブリックリレーション
References	参考資料
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A．記号・略語・頭字語リスト
Appendix B. Glossary	附属書 B. 用語集
Appendix C. Examples and Resources for Federal Vulnerability Disclosure Programs and Policies	附属書 C. 連邦政府の脆弱性情報開示プログラムおよびポリシーの例とリソース

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This document provides a guideline for managing vulnerability disclosure for information systems within the Federal Government. The document follows the IoT Cybersecurity Improvement Act of 2020, Public Law 116-207, Section 5 [CYB_IMPR_ACT], which directs NIST to provide guidelines:	この文書は、連邦政府内の情報システムの脆弱性開示を管理するためのガイドラインを提供するものである。この文書は、NISTにガイドラインを提供するよう指示する2020年IoTサイバーセキュリティ改善法（公法116-207、第5項［CYB_IMPR_ACT］）に従っている：
(1)  for the reporting, coordinating, publishing, and receiving information about –	(1) 以下の情報の報告、調整、公表、および受理のために,
a.     a security vulnerability relating to information systems owned or controlled by an agency (including Internet of Things devices owned or controlled by an agency); and	a. 機関が所有または管理する情報システム（機関が所有または管理するIoT機器を含む）に関連するセキュリティの脆弱性。
b.     the resolution of such security vulnerability; and	b. 当該セキュリティ脆弱性の解決。
(2)  for a contractor providing to an agency an information system (including an Internet of Things device) and any subcontractor thereof at any tier providing such information system to such contractor, on –	(2) 情報システム（IoT装置を含む）を機関に提供する請負業者および当該請負業者に当該情報システムを提供するあらゆる階層のその下請業者については、以下について
a.     receiving information about a potential security vulnerability relating to the information system; and	a. 当該情報システムに関連する潜在的なセキュリティ脆弱性に関する情報を受領すること。
b.     disseminating information about the resolution of a security vulnerability relating to the information system.	b. 情報システムに関するセキュリティの脆弱性の解消に関する情報を発信すること。
The guidelines published under subsection (a) shall –	第(a)項に基づき公表されるガイドラインは、以下のとおりとする。
(1)  to the maximum extent practicable, be aligned with industry best practices and Standards 29147 and 30111 of the International Standards Organization (or any successor standard) or any other appropriate, relevant, and widely-used standard;	(1) 実現可能な最大限の範囲において、業界のベストプラクティス、国際標準化機構の標準29147及び30111（又はその後継規格）又は他の適切、関連、及び広く使用されている規格と整合させる；
(2)  incorporate guidelines on –	(2) 以下に関するガイドラインを組み込むこと。
a.     receiving information about a potential security vulnerability relating to an information system owned or controlled by an agency (including an Internet of Things device); and	a. 機関が所有又は管理する情報システム（IoT装置を含む）に関連する潜在的なセキュリティ脆弱性に関する情報を受け取ること。
b.     disseminating information about the resolution of a security vulnerability relating to an information system owned or controlled by an agency (including an Internet of Things device); and	b. 省庁が所有又は管理する情報システム（IoT装置を含む）に関するセキュリティ脆弱性の解決に関する情報を普及させること。
(3)  be consistent with the policies and procedures produced under section 2009(m) of the Homeland Security Act of 2002 (6 U.S.C. 659(m)).	(3) 2002 年国土安全保障法 2009(m)項（6 U.S.C. 659(m)）に基づいて作成された方針及び手続と一致すること。
This document defines the Federal Coordination Body (FCB) as the primary interface for vulnerability disclosure reporting and oversight. It also defines Vulnerability Disclosure Program Offices (VDPOs), which should be part of the information technology security offices (ITSOs) closest to the products and services provided. The FCB and VDPOs work together to address vulnerability disclosure in the Federal Government.	この文書では、脆弱性開示の報告および監視のための主要なインタフェースとして、連邦調整機関（FCB）を定義している。また、脆弱性開示プログラムオフィス（VDPO）を定義しており、提供される製品やサービスに最も近い情報技術セキュリティオフィス（ITSO）の一部とする必要がある。FCBとVDPOは、連邦政府における脆弱性開示に対応するために協力する。

 

 

 

---

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.09 NIST SP 800-216 (ドラフト) 連邦政府の脆弱性情報開示ガイドラインの推奨事項