NIST NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル
こんにちは、丸山満彦です。
NISTが、NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイルを公表し、意見募集をしていますね。。。
この3月に、NISTIR 8432 (Draft) Cybersecurity of Genomic Data
が公表され、意見募集されていたので、こちらも参考に...
⚫︎ NIST - ITL
・2023.06.15 NISTIR 8467 (Draft) Cybersecurity Framework Profile for Genomic Data
| NISTIR 8467 (Draft) Cybersecurity Framework Profile for Genomic Data | NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル |
| Announcement | 発表 |
| The Cybersecurity Framework (CSF) Profile for Genomic Data provides voluntary guidance to help organizations manage, reduce, and communicate cybersecurity and privacy risks for systems, networks, and assets that process genomic data. This publication is a follow-on effort to NIST Internal Report (IR) 8432, The Cybersecurity of Genomic Data, and was developed in collaboration with stakeholders across industry, academia, and government. This effort is informed by direction from Congress, the White House, and NIST’s existing expertise in genomics as well as cybersecurity. | ゲノムデータのためのサイバーセキュリティフレームワーク(CSF)プロファイルは、組織がゲノムデータを処理するシステム、ネットワーク、資産のサイバーセキュリティとプライバシーリスクをマネジメント、低減、伝達するための自主的なガイダンスを提供する。本書は、NIST 内部報告書(IR)8432「ゲノムデータのサイバーセキュリティ」に続く取り組みであり、産学官の関係者の協力を得て作成された。 この取り組みには、議会、ホワイトハウスからの指示、ゲノムおよびサイバーセキュリティに関する NIST の既存の専門知識が反映されている。 |
| The Profile identifies 12 genomic-related Mission Objectives and prioritizes relevant CSF Subcategories to help organizations protect genomic data throughout the data lifecycle. | このプロファイルは、12のゲノム関連 ミッション目標 を特定し、関連する CSF サブカテゴリー に優先順位を付け、組織がデータライフサイクル全体を通じてゲノムデータを保護するのに役立つようにしている。 |
| Organizations processing genomic data can use this guidance to: | ゲノムデータを処理する組織は、このガイダンスを利用して以下のことができる: |
| ・Understand genomic data cybersecurity considerations | ・ゲノムデータのサイバーセキュリティに関する考慮事項を理解する。 |
| ・Assess current organizational cybersecurity practices to identify gaps and areas of improvement for existing practices or infrastructure | ・現在の組織のサイバーセキュリティ対策を評価し、既存の対策やインフラストラクチャーのギャップや改善点を特定する。 |
| ・Develop individualized organizational Current (As-Is) and Target (To-Be) Profiles | ・組織の現状(As-Is)及び目標(To-Be)プロファイルを個別に作成する。 |
| ・Prioritize investments in cybersecurity capabilities aligned to the CSF Subcategories identified as most important to support organizational Mission Objectives | ・組織の「ミッション目標」を支援するために最も重要であると特定された CSF のサブカテ ゴリに沿ったサイバーセキュリティ能力への投資の優先順位を決定する。 |
| ・Understand the relationship between cybersecurity and privacy risk management | ・サイバーセキュリティとプライバシーリスクマネジメントの関係を理解する。 |
| The CSF Profile for Genomic Data is intended to supplement, not replace, current cybersecurity standards, regulations, and industry guidelines. Organizations should consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity capabilities and controls. While the focus of this CSF Profile is cybersecurity, whenever human genomic data is processed, privacy risk management considerations must also be addressed. As a result, privacy is referenced in multiple places throughout the CSF Profile where cybersecurity and privacy risks overlap. NIST plans to address the broader privacy landscape for genomic data by creating a Profile using the NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management (“Privacy Framework”). Once created, the Privacy Framework Profile for Genomic Data should be used as a complementary tool to this CSF Profile. | ゲノムデータに関する CSF プロファイルは、現行のサイバーセキュリティ標準、規制、及び業界 ガイドラインを補完するものであり、これに代わるものではない。組織は、サイバーセキュリティの能力と管理の優先順位を決定し、実施する際に、その組織 に固有の義務、運用環境、及び「ミッション目標」を考慮す べきである。本 CSF プロファイルの焦点はサイバーセキュリティであるが、ヒトゲノムデータが処 理される場合は常に、プライバシーリスクマネジメントについても考慮しなければならない。その結果、プライバシーは、サイバーセキュリティリスクとプライバシ ーリスクが重複する CSF プロファイルの複数の箇所で言及されている。NIST は、NIST プライバシーフレームワークを用いてプロファイルを作成することにより、ゲ ノムデータに関するより広範なプライバシー状況に対処することを計画している:「 エンタープライズ・リスクマネジメントによるプライバシー向上ツール」(以下「プライバシーフレームワーク」という。) いったん作成されれば、ゲノムデータのためのプライバシーフレームワークプロファイルは、本 CSF プロファイルを補完するツールとして使用されるべきである。 |
| Abstract | 概要 |
|
Low-cost genomic sequencing technologies facilitate collection, sequencing, and analysis of vast quantities of genomic data, fueling our nation’s economic and health leadership posture. However, this valuable genomic information may not be protected with sufficient rigor commensurate with cybersecurity and privacy risks. In response, the National Institute of Standards and Technology (NIST) engaged genomic stakeholders across government, academia, and industry to inform the voluntary, risk-based guidance contained in this Cybersecurity Framework (CSF) Profile for Genomic Data. This Profile describes the primary Mission Objectives of organizations processing genomic data and identifies priority CSF Subcategories that can help organizations select and implement cybersecurity capabilities that support their mission. While this Profile shows intersections between cybersecurity and privacy risk management considerations for processing genomic data, it is focused only on the cybersecurity aspects of those intersections. Future work is planned to address broader privacy risk management considerations. The Profile is meant to supplement, not replace, current cybersecurity and privacy standards and industry guidelines that organizations already use to secure their genomic data. |
低コストのゲノム配列決定技術により、膨大な量のゲノムデータの収集、配列決定、解析が容易になり、我が国の経済的、健康的リーダーとしての態勢に拍車がかかっている。しかし、この貴重なゲノム情報は、サイバーセキュリティやプライバシーリスクに見合った十分な厳密さで保護されていない可能性がある。これに対し、米国国立標準技術研究所(NIST)は、ゲノムデータに関するこのサイバーセキュリティフレームワーク(CSF)プロファイルに含まれる自主的なリスクベースのガイダンスに反映させるため、政府、学界、産業界のゲノム関係者を巻き込んだ。このプロファイルは、ゲノムデータを処理する組織の主要な ミッション目標を記述し、組織がそのミッションを支援するサイバーセキュリティ能力を選択し実装するのに役立つ優先的な CSF サブカテゴリーを特定する。このプロファイルは、ゲノムデータの処理に関するサイバーセキュリティとプライバシ ーリスクマネジメントの考慮事項の相互関係を示しているが、それらの相互関係のサイバーセ キュリティの側面にのみ焦点を当てている。今後、より広範なプライバシーリスクマネジメントの考慮事項を取り上げる予定である。本プロファイルは、組織がゲノムデータの安全性を確保するために既に使用している現行のサイバーセキュリテ ィおよびプライバシーに関する基準や業界ガイドラインを補完するものであり、取って代わるものではない。 |
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Audience | 1.3. 想定読者 |
| 1.4. Document Structure | 1.4. 文書の構造 |
| 2. Overview of Genomic Data | 2. ゲノムデータの概要 |
| 2.1. The Genomic Data Ecosystem and Bioeconomy | 2.1. ゲノムデータのエコシステムとバイオエコノミー |
| 2.2. Genomic Data Security and Privacy Concerns and Challenges | 2.2. ゲノムデータのセキュリティとプライバシーに関する懸念と課題 |
| 2.3. Cybersecurity and Privacy Risk Relationship | 2.3. サイバーセキュリティとプライバシーリスクの関係 |
| 2.3.1. Privacy Risk Management Overview | 2.3.1. プライバシーリスク・マネジメントの概要 |
| 2.3.2. Cybersecurity and Privacy Risk Management for Genomic Data | 2.3.2. ゲノムデータのサイバーセキュリティとプライバシーリスクマネジメント |
| 3. The NIST Cybersecurity Framework | 3. NIST サイバーセキュリティフレームワーク |
| 3.1. The Cybersecurity Framework Core | 3.1. サイバーセキュリティフレームワークの中核 |
| 3.2. CSF Profiles | 3.2. CSF プロファイル |
| 3.3. Applying the Cybersecurity Framework to Genomic Data | 3.3. サイバーセキュリティフレームワークのゲノムデータへの適用 |
| 4. Profile Development Methodology | 4. プロファイル開発手法 |
| 5. Genomic Data Mission Objectives | 5. ゲノムデータのミッション目標 |
| 5.1. Objective 1: Manage provenance and data integrity throughout the genomic data lifecycle | 5.1. 目的1:ゲノムデータのライフサイクルを通じた出所とデータの完全性の管理 |
| 5.2. Objective 2: Preserve privacy of relatives | 5.2. 目的2:親族のプライバシーの保護 |
| 5.3. Objective 3: Identify, model, and address security and privacy risks to genomic data | 5.3. 目的3:ゲノムデータのセキュリティとプライバシーのリスク特定、モデル化、対処 |
| 5.4. Objective 4: Manage informed consent throughout the genomic data lifecycle | 5.4. 目的4:ゲノムデータのライフサイクルを通じたインフォームド・コンセントの管理 |
| 5.5. Objective 5: Preserve privacy of donors | 5.5. 目的5:ドナーのプライバシー保護 |
| 5.6. Objective 6: Manage authorized data access | 5.6. 目的6:許可されたデータへのアクセス管理 |
| 5.7. Objective 7: Maintain trust and manage reputational risk | 5.7. 目標7:信頼の維持と風評リスク管理 |
| 5.8. Objective 8: Facilitate research and education to advance science and technology | 5.8. 目的8:科学技術を発展させるための研究と教育の促進 |
| 5.9. Objective 9: Maintain compliance to laws and regulations | 5.9. 目標9:法令遵守の維持 |
| 5.10. Objective 10: Protect intellectual property | 5.10. 目標10:知的財産の保護 |
| 5.11. Objective 11: Enable and preserve sample diversity | 5.11. 目標11:サンプルの多様性の確実化と維持 |
| 5.12. Objective 12: Promote the use of secure platforms for the controlled sharing of genomic data | 5.12. 目的12:ゲノムデータの管理された共有のための安全なプラットフォームの利用の促進 |
| 6. Priority Subcategories by Mission Objective | 6. ミッション目標別の優先サブカテゴリー |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書A. 記号、略語、頭字語のリスト |
| Appendix B. Glossary | 附属書B. 用語集 |
エグゼクティブサマリー...
| Executive Summary | 要旨 |
| The National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) engaged stakeholders across government, academia, and industry to better understand the current state of the cybersecurity challenges facing the genomics community. This collaboration led to NIST publishing NIST Internal Report (NISTIR) 8432, The Cybersecurity of Genomic Data, an overview of the challenges and opportunities with genomic data cybersecurity. As a follow-on effort, the NCCoE collaborated with a diverse subset of stakeholders to conduct working sessions focused on gathering the information needed to develop this Cybersecurity Framework (CSF) Profile for Genomic Data. | 米国国立標準技術研究所(NIST)の国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、ゲノミクスコミュニティが直面するサイバーセキュリティの課題の現状をよりよく理解するために、政府、学界、産業界の関係者を巻き込んだ。この協力により、NISTはNIST 内部報告 (NISTIR) 8432「ゲノムデータのサイバーセキュリティ」を発表し、ゲノムデータのサイバーセキュリティに関する課題と機会を概観した。これに続く取り組みとして、NCCoE は多様な利害関係者のサブセットと協力し、このゲノムデータ用サイ バーセキュリティフレームワーク(CSF)プロファイルの策定に必要な情報の収集に焦点を当てたワーキングセッションを実施した。 |
| The CSF Profile for Genomic Data provides voluntary guidance to help organizations manage and reduce cybersecurity risks for systems, networks, and assets (collectively referred to as ‘systems’ in the document[1]) that process any type of genomic data. Human genomic data plays a significant role in the bioeconomy. While the focus of this CSF Profile is cybersecurity, whenever human genomic data is processed, privacy risk management considerations must also be addressed. As a result, privacy is referenced in multiple places throughout this CSF Profile where cybersecurity and privacy risks overlap. NIST plans to address the broader privacy landscape for genomic data by creating a Profile using the NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management (“Privacy Framework”). Once created, the Privacy Framework Profile for Genomic Data should be used as a complementary tool to this CSF Profile. | ゲノムデータ用 CSF プロファイルは、あらゆる種類のゲノムデータを処理するシステム、ネット ワーク、資産(文書[1]では総称して「システム」と呼ぶ)のサイバーセキュリティリスクを組織が管理し、 低減するのに役立つ自主的なガイダンスを提供する。ヒトゲノムデータはバイオエコノミーにおいて重要な役割を果たしている。本 CSF プロファイルの焦点はサイバーセキュリティであるが、ヒトゲノムデータが処理さ れる場合は常に、プライバシーのリスクマネジメントも考慮しなければならない。その結果、プライバシーは、サイバーセキュリティリスクとプライバシ ーリスクが重複する本 CSF プロファイルの複数の箇所で言及されている。NIST は、NIST プライバシーフレームワークを用いてプロファイルを作成することにより、ゲ ノムデータに関するより広範なプライバシー状況に対処することを計画している: 「エンタープライズ・リスク管理を通じてプライバシーを改善するツールt」(以下「プライバシーフレームワーク」という。) いったん作成されたゲノムデータ用プライバシーフレームワークプロファイルは、本 CSF プロファイルを補完するツールとして使用されるべきである。 |
| This CSF Profile identifies 12 genomic-related Mission Objectives and the prioritized relevant CSF Subcategories to help organizations protect genomic data throughout the data lifecycle. Prioritizing cybersecurity capabilities based on their organization’s Mission Objectives can inform cybersecurity decision-making. The Profile is intended to supplement, not replace, existing cybersecurity activities, practices, policies, and guidance. Organizations should consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity capabilities and controls. | この CSF プロファイルは、組織がデータのライフサイクル全体を通じてゲノムデータを保護す るために役立つ 12 のゲノム関連 ミッション目標 と優先順位付けされた関連 CSF サブカテゴリーを特定する。組織の ミッション目標 に基づいてサイバーセキュリティ能力の優先順位を決定することで、サイ バーセキュリティの意思決定に役立てることができる。このプロファイルは、既存のサイバーセキュリティ活動、実践、方針、ガイダンスに取って代わ るものではなく、それらを補完することを意図している。組織は、サイバーセキュリティの能力と統制に優先順位をつけて実施する際に、組織固有の義務、運用環境、および「ミッション目標」を考慮すべきである。 |
| Cyber attacks targeted at systems that process genomic data could impact the confidentiality, integrity, and availability of that data, introducing economic, privacy, discrimination, and national security risks. Organizations rely on genomic data sharing to advance scientific and medical research, improve health outcomes, and compete within the bioeconomy and thus genomic data often needs to be aggregated from multiple sources. The selection of cybersecurity and privacy capabilities for genomic data is complicated by the broad and diverse nature of the genomics community, including biopharmaceutical research, healthcare, law enforcement, and agriculture. In addition, organizations that share data with stakeholders in multiple countries may have requirements for protecting genomic data or the cross-border transfer of data. | ゲノムデータを処理するシステムを標的にしたサイバー攻撃は、そのデータの機密性、完全性、及び可用性に影響を及ぼし、経済的、プライバシー、差別、及び国家安全保障上のリスクをもたらす可能性がある。科学的・医学的研究の進展、健康転帰の改善、バイオエコノミー内での競争などのために、組織はゲノムデータの共有に依存している。ゲノムデータに対するサイバーセキュリティとプライバシー機能の選択は、バイオ医薬品研究、ヘルスケア、法執行機関、農業など、ゲノミクスコミュニティの広範で多様な性質によって複雑になっている。加えて、複数の国の利害関係者とデータを共有する組織は、ゲノムデータの保護やデータの国境を越えた移転に関する要件を有している可能性がある。 |
| Organizations processing genomic data can use this Profile to: | ゲノムデータを処理する組織は、このプロファイルを利用して以下のことができる: |
| • Understand genomic data cybersecurity considerations | ・ゲノムデータのサイバーセキュリティに関する考慮事項を理解する。 |
| • Assess current organizational cybersecurity practices to identify gaps and areas of improvement for existing practices or infrastructure | ・現在の組織のサイバーセキュリティ慣行を評価し,既存の慣行やインフラストラクチャーのギャップや改善点を特定する。 |
| • Develop individualized organizational Current (As-Is) and Target (To-Be) Profiles | - 組織の現状(As-Is)と目標(To-Be)のプロファイルを個別に作成する。 |
| • Prioritize investments in cybersecurity capabilities aligned to the CSF Subcategories identified as most important to support organizational Mission Objectives | ・組織のミッション目標をサポートするために最も重要であると特定された CSF のサブカテゴリーに沿ったサイバーセキュリティ能力への投資の優先順位を決定する。 |
| • Understand the relationship between cybersecurity and privacy risk management | ・サイバーセキュリティとプライバシーのリスクマネジメントの関係を理解する。 |
| [1] The CSF uses the term asset to describe “the data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes” (ID.AM). | [1] CSF では、アセットという用語を使用して、「組織が事業目的を達成することを可能にするデータ、人 員、デバイス、システム、設備」を説明している(ID.AM)。 |
参考情報...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.05 NISTIR 8432(ドラフト) ゲノムデータのサイバーセキュリティ
Comments