英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)
こんにちは、丸山満彦です。
NISTもCybersecurity Flameworkを開発し現在改訂中、日本も経済産業省がサイバーセキュリティ経営ガイドライン Ver3.0をこの3月に公表しています。英国でも、サイバーセキュリティ用のリスクマネジメントガイドがありますが、今回それが改訂されていますね。。。
ちょうど先日、経済産業省関係の委員会があり、サイバーセキュリティ経営ガイドラインをベースに開発されている様々な文書を改訂していくことになっているのですが、英国のやり方を参考にしたらどうかという意見を言いました。
英国のガイドラインは、PDFではなく、HTML形式で、上書きされていき、常に最新のものが見られるようになっています。このようなスタイルにしたらどうかということを言いました。もちろん、PDF形式で過去のバージョンを残しておく必要があるかもしれません。
● National Cyber Security Centre - Blog
・2023.06.26 New techniques added to the NCSC’s ‘risk management toolbox’
| New techniques added to the NCSC’s ‘risk management toolbox’ | NCSCの「リスクマネジメントツールボックス」に新たな手法が加わる |
| Refreshed guidance published to help practitioners manage cyber risk. | サイバーリスクマネジメントを支援するガイダンスを更新した。 |
| It has been 5 years since we last updated our risk management guidance, since then a lot has changed in the worlds of global politics, technology, and cyber security. | 前回のリスクマネジメントガイダンスの更新から5年が経過し、世界政治、テクノロジー、サイバーセキュリティの世界では多くの変化があった。 |
| Our aim is to provide practical advice that is relevant for modern technology systems and services. As always, our guidance is backed by our practical experience of working on the most challenging risk management problems, feedback from users, and expert research from our sociotechnical and risk group. | 我々の目的は、現代の技術システムやサービスに適した実践的なアドバイスを提供することである。これまでと同様、我々のガイダンスは、最も困難なリスクマネジメントの問題に取り組んできた実践的な経験、ユーザーからのフィードバック、そして我々の社会技術・リスクグループによる専門的な研究に裏打ちされている。 |
| Some things in the guidance remain unchanged. For example, in order to effectively manage cyber security risk, it is important to use component driven and system driven perspectives on risk, and to make use of a variety of risk management information sources. | ガイダンスの中には、変わらないものもある。例えば、サイバーセキュリティのリスクを効果的に管理するためには、リスクについてコンポーネント駆動型とシステム駆動型の視点を使い分けること、そして様々なリスクマネジメント情報源を活用することが重要である。 |
| However, this update includes three entirely new sections: | しかし、今回の更新には、3つの全く新しいセクションが含まれている: |
| 1. Firstly, we have developed an 8-step cyber security risk management framework to help you understand ‘what a good approach to risk management looks like’ for your organisation. Whilst the steps in the framework use ISO/IEC 27005 as a handrail, similar activities will be found in many other risk management methods and approaches. | 1. 第一に、組織にとっての「リスクマネジメントの優れたアプローチとはどのようなものか」を理解するのに役立つ8つのステップからなるサイバーセキュリティリスクマネジメントのフレームワークを開発した。フレームワークのステップでは、ISO/IEC 27005を手すりとして使用しているが、同様の活動は他の多くのリスクマネジメント手法やアプローチにも見られる。 |
| 2. Secondly, we have introduced the idea of a cyber security risk management toolbox. We use the toolbox metaphor because there is no ‘one size fits all’ approach to risk management. You’ll need to use the most appropriate technique, or method to deal with the risk management challenge you’re facing. We expect that as new techniques emerge, the contents of this cyber security risk management toolbox will increase, but at the moment the toolbox comprises: | 2. 第二に、サイバーセキュリティリスクマネジメントのツールボックスという考え方を導入した。ツールボックスという比喩を使うのは、リスクマネジメントには「これ一つですべて対応できる」アプローチはないからである。直面しているリスクマネジメントの課題に対処するために、最も適切な技法や手法を用いる必要がある。新しい技法が出現するにつれて、このサイバーセキュリティリスクマネジメントツールボックスの内容も増えていくことが予想されるが、現時点では、以下のようなツールボックスで構成されている: |
| • component driven and system driven approaches to risk management | - リスクマネジメントに対するコンポーネント駆動型アプローチとシステム駆動型アプローチ |
| • using qualitative and quantitative risk management information | - 定性的・定量的リスクマネジメント情報の活用 |
| • using threat modelling | - 脅威のモデル化 |
| • using attack trees | - 攻撃ツリーの使用 |
| • using cyber security scenarios | - サイバーセキュリティシナリオを使用する |
| 3. Thirdly, we have introduced a basic risk assessment and management method for readers who are new to risk management, or have a very simple risk management requirement. As we explain, it’s not suitable for complicated or complex risk management scenarios, and it is not intended to be used as the ‘NCSC-approved’ risk management method. This method isn’t based on any single method, but it is similar to the (more complex) bottom up and component driven approaches recommended by NIST and the International Standards Organisation. | 3. 第三に、リスクマネジメントを初めて学ぶ読者や、ごく単純なリスクマネジメントしか必要としない読者のために、基本的なリスクアセスメントとマネジメントの方法を紹介した。説明したように、複雑なリスクマネジメントや複雑なリスクマネジメントシナリオには適さないし、「NCSC公認」のリスクマネジメント手法として使用することも意図していない。 この手法は単一の手法に基づくものではないが、NISTや国際標準化機構が推奨する(より複雑な)ボトムアップ型アプローチやコンポーネント駆動型アプローチに類似している。 |
| Finally, we’ve revived the assurance model from one of CESG’s deprecated, ‘Good Practice Guides’. We’ve done this is to help you understand how you can gain and maintain assurance in the products, systems, and services you use. Whilst the four assurance mechanisms in the CESG assurance model haven’t changed (and they all still need to be applied for an organisation to gain and maintain confidence or assurance), we have updated the list of potential assurance activities that could be used to gain and maintain intrinsic, extrinsic, operational and implementation assurance. | 最後に、CESGが廃止した「グッド・プラクティス・ガイド」のひとつから、保証モデルを復活させた。これは、あなたが使用する製品、システム、サービスにおいて、どのように保証を獲得し、維持できるかを理解してもらうためである。CESGの保証モデルにおける4つの保証メカニズムに変更はないが(組織が信頼や保証を獲得し維持するためには、これらすべてを適用する必要があることに変わりはない)、内在的保証、外在的保証、運用保証、実施保証を獲得し維持するために使用できる可能性のある保証活動のリストを更新した。 |
| We are already thinking about and working on further tools for the toolbox. In the meantime if you have any feedback on this guidance do let us know. | 私たちはすでに、ツールボックスのさらなるツールについて考え、取り組んでいる。このガイダンスについてご意見があれば、ぜひお聞かせいただきたい。 |
| Rick C & Nathan H | リックC&ネイサンH |
| NCSC Government Team | NCSCガバナンスチーム |
ガイダンス
・2023.06.23 Risk management ver 2.0
| Risk management | リスクマネジメント |
| The fundamentals and basics of cyber risk | サイバーリスクの基礎と基本 |
| Cyber security risk management framework | サイバーセキュリティリ・スクマネジメント・フレームワーク |
| Cyber security governance | サイバーセキュリティガバナンス |
| Introducing the cyber security risk management toolbox | サイバーセキュリティ・リスクマネジメント・ツールボックスの紹介 |
| A basic risk assessment and management method | 基本的なリスクアセスメントとマネジメント手法 |
| Risk management information | リスクマネジメント情報 |
| Introducing cyber security risk quantification | サイバーセキュリティリスクの定量化の紹介 |
| Introducing system and component driven risk management approaches | システム主導型とコンポーネント主導型のリスクマネジメント手法の紹介 |
| System driven risk management methods | システム主導のリスクマネジメント手法 |
| Component driven risk management methods | コンポーネント駆動型のリスクマネジメント手法 |
| How to gain and maintain assurance | 保証の獲得と維持の方法 |
| Using attack trees to understand cyber security risk | 攻撃ツリーを使ってサイバーセキュリティリスクを理解する |
| Threat Modelling | 脅威モデリング |
| Using cyber security scenarios | サイバーセキュリティシナリオを使用する |
どうも過去に紹介していなかったので、過去の関連記事も...
・2023.05.15 i100 industry team and NCSC collaborate on refreshed guidance for boards
| i100 industry team and NCSC collaborate on refreshed guidance for boards | i100業界チームとNCSCが共同で取締役会向けガイダンスを刷新 |
| NCSC’s cyber security Board Toolkit draws on industry expertise in a major update to the guidance. | NCSCのサイバーセキュリティ取締役会ツールキットは、ガイダンスの大幅な更新において業界の専門知識を活用している。 |
| Originally published in 2019, the NCSC’s cyber security Board Toolkit helps boards ensure that cyber resilience and risk management are embedded throughout their organisations. The guidance is aimed at medium/large organisations of all sectors, ranging from charities and schools to law firms and retail. | 2019年に発表されたNCSCのサイバーセキュリティ取締役会ツールキットは、取締役会がサイバーレジリエンスとリスクマネジメントを組織全体に確実に浸透させることを支援する。このガイダンスは、慈善団体や学校から法律事務所や小売業まで、あらゆるセクターの中規模・大規模組織を対象としている。 |
| It proved very popular with industry, and it’s their feedback, together with input from non-executive directors and our i100 industry team, that has prompted an update. This is to ensure the guidance remains up-to-date, relevant, and framed in language that boards are familiar with. | このガイダンスは産業界で非常に好評であり、社外取締役やi100産業チームからのフィードバックもあって、今回の更新に至った。これは、ガイダンスが常に最新かつ適切で、取締役会が慣れ親しんでいる言葉で構成されていることを保証するためである。 |
| When I was tasked with updating the Board Toolkit, I really wanted to draw on the knowledge and expertise of the various industry sectors to reflect the real-life challenges that boards face. Using staff from within the i100 initiative, designed to embed industry staff into NCSC teams, seemed like a great place to start. | 取締役会ツールキットの更新を任されたとき、取締役会が直面する現実的な課題を反映させるために、様々な業界セクターの知識と専門知識を活用したいと強く思った。NCSCのチームに業界スタッフを組み込むことを目的としたi100イニシアティブのスタッフを起用することは、その手始めとして最適であると考えた。 |
| The working group | ワーキンググループ |
| My plan was to form a small working group to review the current guidance and to help write and shape the updated guidance. I was delighted to receive responses from willing contributors across a range of sectors, some of who shared initial drafts with board members which gave us invaluable feedback. With a working group now established and meeting weekly, I collated the feedback and the following themes emerged: | 私の計画では、現行のガイダンスを見直し、更新されたガイダンスの作成と策定を支援するために、小規模なワーキンググループを結成する予定だった。さまざまな分野から意欲的な回答をいただき、中には取締役会メンバーと初期ドラフトを共有し、貴重なフィードバックをいただいた方もいた。ワーキンググループが設立され、毎週会合が開かれるようになったので、私はフィードバックを照合したところ、次のようなテーマが浮かび上がってきた: |
| ・Personas: Who is this for and what do they need? Is the guidance expressed in the appropriate language? | ・ペルソナ: ペルソナ:これは誰のためのもので、彼らは何を必要としているのか?ガイダンスは適切な言葉で表現されているか? |
| ・Whole Organisation: The focus should be wider than the board and technical experts. | ・組織全体: 取締役会や技術専門家よりも広い範囲に焦点を当てるべきである。 |
| ・Scope/scale: How should the toolkit speak to its varied audience and how can it be scaled down into digestible chunks? | ・範囲/規模: ツールキットは様々な読者にどのように語りかけるべきか、またどのように消化しやすい大きさに縮小できるか。 |
| ・Cyber as BAU (business as usual): Cyber security to form part of organisational processes and procedures. | ・BAU(通常業務)としてのサイバー: サイバーセキュリティを組織のプロセスや手順の一部とする。 |
| ・Promoting cyber security: Highlight the benefits of cyber. | ・サイバーセキュリティの推進:サイバーセキュリティの利点を強調する。 |
| The working group proved a success! Working collaboratively with this cross-section of industry and SMEs has demonstrated how shared knowledge and experience can help influence and shape NCSC’s guidance. | ワーキンググループは成功した!このような業界や中小企業の横断的な協力により、共有された知識や経験がNCSCのガイダンスに影響を与え、形成するのに役立つことが実証された。 |
| Professor Matt S, from the University of Warwick's Centre for Interdisciplinary Methodologies, was instrumental to shaping the guidance. He said “It was great to be involved in bringing the new Board Toolkit together. The collaboration between specialists from across several sectors, drawing on insights from industry, academia and policy communities, has ensured this refreshed guidance is applicable for a whole range of organisations.” | ウォーリック大学学際的方法論センターのマット・S教授は、ガイダンスの形成に貢献した。彼は、「新しい取締役会ツールキットの作成に携われたことは素晴らしいことだった。産業界、学界、政策コミュニティからの洞察をもとに、複数のセクターの専門家が協力したことで、この刷新されたガイダンスは、あらゆる組織に適用できるものとなった」と述べた。 |
| Colin Topping, Cyber Incident Director at Rolls Royce, was another key contributor to the guidance refresh. He said “It is so important to have a diversity of thought. Partnering with the cohort of i100, NCSC, and broader government specialists allowed me to appreciate different perspectives and requirements; this was instrumental in creating a product that works for organisations in different sectors and of various sizes and is something I can use when working with our business units and supply chain." | ロールスロイス社のサイバー・インシデント・ディレクターであるコリン・トッピング氏も、ガイダンスの刷新に大きく貢献した一人である。多様な考えを持つことは非常に重要だ。i100、NCSC、より広範な政府の専門家のコホートと提携することで、さまざまな視点や要件を理解することができた。これは、さまざまな部門、さまざまな規模の組織に有効な製品を作成する上で役に立った。 |
| The Cyber Security Toolkit for Boards is now available to browse online or download from the NCSC website. | 取締役会のためのサイバーセキュリティ・ツールキット」は現在、NCSCのウェブサイトからオンラインで閲覧、またはダウンロードすることができる。 |
| I’d like to thank all those involved in the refresh of this guidance, including the non-executive directors, industry experts, DSIT and the NCSC Digital Communications team. | 社外取締役、業界の専門家、DSIT、NCSCデジタルコミュニケーションチームなど、このガイダンスの更新に関わったすべての人々に感謝したい。 |
| Find out more about how you can join i100 too by contacting [mail] or visiting our current opportunities page. | i100に参加する方法については、 [mail] に連絡するか、現在の募集ページを参照のこと。 |
| Clare C | クレア・C |
| Economy and Society Team, NCSC | NCSC 経済社会チーム |
こちらは、日本の経営ガイドラインより上位の取締役会のガイドということになりますかね。。。
・2023.03.30 Refreshed 'cyber security toolkit' helps board members to govern online risk
| Refreshed 'cyber security toolkit' helps board members to govern online risk | 刷新された「サイバーセキュリティ・ツールキット」は、取締役がオンラインリスクを管理するのに役立つ |
| Lindy Cameron, CEO, introduces changes to the NCSC’s cyber security resources specifically designed for board members. | リンディ・キャメロン最高経営責任者(CEO)は、取締役向けのNCSCサイバーセキュリティリソースの変更を紹介する。 |
| I am delighted to announce the launch of the NCSC’s refreshed cyber security Board Toolkit. | NCSCの刷新されたサイバーセキュリティ取締役会ツールキットを発表できることを嬉しく思う。 |
| Originally published in 2019, the toolkit proved very popular with boards and it's their feedback, together with input from non-executive directors and our i100 industry team, that will ensure the toolkit remains up-to-date, relevant, and framed in language that boards are familiar with. | 2019年に発行されたこのツールキットは、取締役会から大変好評であった。取締役会からのフィードバックに加え、社外取締役や我々のi100業界チームからの意見により、ツールキットは最新かつ適切で、取締役会が慣れ親しんでいる言葉で構成されている。 |
| The toolkit helps boards ensure that cyber resilience and risk management are embedded throughout their organisations. It will help you to make informed cyber decisions that are aligned to your wider organisational risks, and ensure cyber security is assigned appropriate investment against other competing business demands. | このツールキットは、取締役会がサイバーレジリエンスとリスクマネジメントを組織全体に確実に浸透させるのに役立つ。本ツールキットは、より広範な組織リスクと整合したサイバー上の意思決定を情報に基づいて行い、他の競合するビジネス上の要求に対してサイバーセキュリティが適切な投資として割り当てられるようにするのに役立つ。 |
| As a board member, it is important to view cyber resilience strategically. Cyber security risk should have the same prominence as financial or legal risks in board discussions. | 取締役会メンバーとして、サイバーレジリエンスを戦略的に捉えることが重要である。取締役会の議論において、サイバーセキュリティリスクは財務リスクや法務リスクと同じように重要視されるべきである。 |
| Crucially, cyber security is not just ‘good IT'; it underpins operational resilience and when done well, enables your organisation's digital activity to flourish. | 重要なことは、サイバーセキュリティは単なる「優れたIT」ではなく、オペレーションのレジリエンスを支え、うまく機能すれば、組織のデジタル活動の繁栄を可能にするということである。 |
| What's new? | 新機能 |
| In each of the sections within the Board Toolkit you’ll now find: | Board Toolkitの各セクションには、次のようなものがある: |
| bite-sized videos to provide boards with a quick overview of each module | 一口サイズのビデオで、各モジュールの概要を取締役会に提供する。 |
| essential activities that boards should expect to see in your organisation | 取締役会が組織で期待すべき重要な活動 |
| indicators of success: a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance; these are designed as a ‘starting point’ to encourage productive cyber security discussions between boards and key stakeholders (rather than a checklist that’s simply to be worked though) | 成功の指標:取締役会が組織のパフォーマンスを評価するために使用できる一連の質問(回答例付き)。これらは、取締役会と主要な利害関係者の間で生産的なサイバーセキュリティの議論を促すための「出発点」として設計されている(単に作業するためのチェックリストではない)。 |
| We also have some new additions: | また、新たに追加されたものもある: |
| a sample script of questions to find out whether you (as a board member) have enough cyber security knowledge to ensure your organisation has the appropriate plans in place to mitigate threats | 取締役会メンバーとして、組織がサイバー脅威を軽減するための適切な計画を策定するのに十分なサイバーセキュリティの知識を持っているかどうかを確認するための質問のサンプル原稿 |
| an ‘executive summary’ that summarises each section of the Board Toolkit | 取締役会ツールキットの各セクションを要約した「エグゼクティブサマリー |
| use cases that draw on real-life incidents to bring the guidance to life | 実際のインシデントを活用したユースケースにより、ガイダンスを具体化する。 |
| a Board Toolkit podcast, with contributions from industry-leading voices including the NCSC's former Chief Operating Officer Paul Maddison: | Board Toolkitポッドキャスト。NCSCの元最高執行責任者ポール・マディソンを含む業界をリードする人々からの寄稿がある: |
| What's not changing? | 何が変わらないのか? |
| The 9 core themes in the modules haven’t changed. Board members have told us how much they like the questions and possible answers, so we’ve kept these and made sure that all the questions are available in a single pdf. We’ve also kept (and updated) the ‘Introduction to cyber security for Board members’, for those who are new to the subject and need to quickly get up to speed. | モジュールの9つの中核テーマは変わっていない。取締役からは、質問と可能な回答がとても気に入っているとの声が寄せられている。また、「取締役のためのサイバーセキュリティ序文」も維持(更新)している。 |
| The toolkit helps organisations to adopt a methodical and proactive approach to cyber security, and outlines basic safeguards that can greatly reduce the likelihood - and impact - of cyber attacks. I’d encourage all board members to take time to read the toolkit, and use it to drive productive cyber security discussions between boards and key stakeholders in your organisation. | このツールキットは、組織がサイバーセキュリティに対して理路整然とした積極的なアプローチを採用することを支援し、サイバー攻撃の可能性(および影響)を大幅に減らすことができる基本的な安全策について概説している。すべての役員に、時間を割いてツールキットを読み、役員会と組織の主要な利害関係者との間で生産的なサイバーセキュリティの議論を進めるために活用することを勧めたい。 |
| In the meantime, if you have any feedback on the new guidance, you can get in touch by emailing [mail]. We'll be happy to hear from you. | なお、この新しいガイダンスについてご意見があれば、 [mail] まで。ご連絡をお待ちしている。 |
| Lindy Cameron | リンディ・キャメロン |
| CEO, NCSC | NCSC CEO |
目次...
| Cyber Security Toolkit for Boards | 取締役会のためのサイバーセキュリティ・ツールキット |
| Introduction to cyber security for board members | 序文 取締役のためのサイバーセキュリティ |
| Embedding cyber security into your organisation | サイバーセキュリティを組織に組み込む |
| Developing a positive cyber security culture | 積極的なサイバーセキュリティ文化の醸成 |
| Growing cyber security expertise | サイバーセキュリティの専門性を高める |
| Identifying the critical assets in your organisation | 組織の重要資産を識別する |
| Understanding the cyber security threat | サイバー脅威を理解する |
| Risk management for cyber security | サイバーセキュリティのリスクマネジメント |
| Implementing effective cyber security measures | 効果的なサイバーセキュリティ対策を実施する |
| Collaborating with your supply chain and partners | サプライチェーンやパートナーとの連携 |
| Planning your response to cyber incidents | サイバーインシデントへの対応計画 |
| Cyber security regulations and directors duties in the UK | 英国におけるサイバーセキュリティ規制とディレクターの義務 |
| Toolkit's toolbox | ツールキットのツールボックス |
| Briefing packs | ブリーフィング・パック |
| Documents to download | ダウンロードできる文書 |
| Interviews | インタビュー |
| Videos for the toolkit modules | ツールキットモジュールのビデオ |
| Videos for background detail | 背景詳細のビデオ |
| Cyber Security Toolkit for Boards | 取締役会向けサイバーセキュリティ・ツールキット |
 |
|
| Cyber security 101 for Board Members | 取締役向けサイバーセキュリティ入門 |
| This document provides a sample script of questions to discuss at your next board meeting. | この文書では、次回の取締役会で話し合うための質問のサンプルスクリプトを提供する。 |
 |
|
| Executive summary | エグゼクティブサマリー |
| This document summarises the content of each section of the Board Toolkit. | この文書は、取締役会ツールキットの各セクションの内容を要約したものである。 |
 |
|
| Questions for the board to ask about cyber security | 取締役会がサイバーセキュリティについて尋ねるための質問 |
| This document briefly summarises each module of the toolkit. It then provides a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance. | この文書では、ツールキットの各モジュールを簡単に要約する。その上で、取締役会が組織のパフォーマンスを評価する際に利用できる一連の質問(可能な回答付き)をプロバイダとして提供する。 |
 |
|
Comments