NIST SP 800-50 Rev. 1（初期公開ドラフト）サイバーセキュリティとプライバシーの学習プログラムの構築: まるちゃんの情報セキュリティ気まぐれ日記

April 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

2023.08.31

NIST SP 800-50 Rev. 1（初期公開ドラフト）サイバーセキュリティとプライバシーの学習プログラムの構築

こんにちは、丸山満彦です。

サイバーセキュリティとプライバシーの学習プログラムの構築についてのSP800−50の改訂で、訓練に関する文書であるSP800-16は合わされて廃止されるようですね。。。SP800-16は1998年4月ですので、PDFファイルが渋いですね。。。どうでもいいことですが...

● NIST - ITL

・2023.08.28 Building a Cybersecurity and Privacy Learning Program: NIST Releases Draft SP 800-50 Rev. 1

Building a Cybersecurity and Privacy Learning Program: NIST Releases Draft SP 800-50 Rev. 1	サイバーセキュリティとプライバシーの学習プログラムを構築する： NIST は SP 800-50 改訂 1 版のドラフトを公開した。
Draft NIST Special Publication (SP) 800-50r1 (Revision 1), Building a Cybersecurity and Privacy Learning Program, is now available for public comment. The document was first published in 2003 as Building an Information Technology Security Awareness and Training Program. The public comment period for this draft is open through October 27, 2023.	NIST 特別刊行物（SP）800-50r1（改訂 1）のドラフト版「サイバーセキュリティとプライバシーの学習プログラムの構築」が、現在パブリックコメント用に公開されている。この文書は、2003年に「情報技術セキュリティ意識向上およびトレーニングプログラムの構築」として最初に発行された。このドラフトに対するパブリックコメント期間は2023年10月27日までである。
About NIST SP 800-50r1:	NIST SP 800-50r1 について：
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST SP 800-50 was introduced in 2003. New guidance from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014 have informed this revision. In addition, the 2016 update to Office of Management and Budget (OMB) Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. Additionally, the NICE Workforce Framework for Cybersecurity (NICE Framework), which was published as NIST SP 800-181 in 2017 and revised in 2020, further informed the development of the draft of SP 800-50.	サイバーセキュリティ意識向上およびトレーニングのリソース、方法論、および要件は、2003 年に NIST SP 800-50 が発表されて以来、進化してきた。2021年度の国防権限法（NDAA）と2014年のサイバーセキュリティ強化法からの新しいガイダンスが今回の改訂に反映されている。さらに、行政管理予算局（OMB）回覧 A-130の2016年の更新は、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調し、セキュリティとプライバシーの両方の意識向上およびトレーニングプログラムを持つことを機関に要求している。さらに、2017年にNIST SP 800-181として公表され、2020年に改訂されたサイバーセキュリティのためのNICEワークフォースフレームワーク（NICE Framework）は、SP 800-50のドラフトの開発にさらに影響を与えた。
Work on a companion guide — NIST SP 800-16r3, Information Technology Security Training Requirements: A Role- and Performance-Based Model — will cease and the original NIST SP 800-16 (1998) will be withdrawn with the final publication of NIST SP 800-50r1.	関連ガイドであるNIST SP 800-16r3「情報技術セキュリティ訓練要件」の作業も行われた： NIST SP 800-16（1998）は、NIST SP 800-50r1の最終発行をもって廃止される。

・2023.08.28 NIST SP 800-50 Rev. 1 (Initial Public Draft) Building a Cybersecurity and Privacy Learning Program

NIST SP 800-50 Rev. 1 (Initial Public Draft) Building a Cybersecurity and Privacy Learning Program	NIST SP 800-50 Rev. 1（初期公開ドラフト）サイバーセキュリティとプライバシーの学習プログラムの構築
Announcement	発表
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST SP 800-50 was introduced in 2003. New guidance from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014 have informed this revision. In addition, the 2016 update to Office of Management and Budget (OMB) Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. Additionally, the NICE Workforce Framework for Cybersecurity (NICE Framework), which was published as NIST SP 800-181 in 2017 and revised in 2020, further informed the development of the draft of SP 800-50.	2003年にNIST SP 800-50が導入されて以来、サイバーセキュリティ意識向上およびトレーニングのリソース、方法論、および要件は進化してきた。2021年度の国防権限法（NDAA）と2014年のサイバーセキュリティ強化法からの新しいガイダンスは、この改訂に影響を与えた。さらに、行政管理予算局（OMB）回覧 A-130の2016年の更新は、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調し、セキュリティとプライバシーの両方の意識向上およびトレーニングプログラムを持つことを機関に要求している。さらに、2017年にNIST SP 800-181として公表され、2020年に改訂されたサイバーセキュリティのためのNICEワークフォースフレームワーク（NICE Framework）は、SP 800-50のドラフトの開発にさらに影響を与えた。
Work on a companion guide — NIST SP 800-16r3, Information Technology Security Training Requirements: A Role- and Performance-Based Model — will cease and the original NIST SP 800-16 (1998) will be withdrawn with the final publication of NIST SP 800-50r1.	関連ガイドであるNIST SP 800-16r3「情報技術セキュリティ訓練要件」の作業も行われた： NIST SP 800-16（1998）は、NIST SP 800-50r1の最終発行をもって廃止される。
Goals of this update:	この更新の目標
Integrate privacy with cybersecurity in the development of organization-wide learning programs	組織全体の学習プログラムの開発において、プライバシーとサイバーセキュリティを統合する。
Introduce a life cycle model that allows for ongoing, iterative improvements and changes to accommodate cybersecurity, privacy, and organization-specific events	サイバーセキュリティ、プライバシー、組織固有の事象に対応するために、継続的かつ反復的な改善と変更を可能にするライフサイクルモデルを導入する。
Introduce a learning program concept that incorporates language found in other NIST documents	NIST の他の文書に見られる文言を取り入れた学習プログラムの概念を導入する。
Leverage current NIST guidance and terminology in reference documents, such as the NICE Workforce Framework for Cybersecurity, the NIST Cybersecurity Framework, the NIST Privacy Framework, and the NIST Risk Management Framework	NICE Workforce Framework for Cybersecurity」、「NIST Cybersecurity Framework」、「NIST Privacy Framework」、「NIST Risk Management Framework」などの参考文書にある現行の NIST のガイダンスや用語を活用する。
Propose an employee-focused cybersecurity and privacy culture for organizations	組織の従業員に焦点を当てたサイバーセキュリティとプライバシーの文化を提案する。
Integrate learning programs with organizational goals to manage cybersecurity and privacy risks	サイバーセキュリティとプライバシーのリスクを管理するために、学習プログラムを組織の目標と統合する。
Address the challenge of measuring the impacts of cybersecurity and privacy learning programs	サイバーセキュリティとプライバシーの学習プログラムの影響を測定するという課題に取り組む。
...	...
Abstract	概要
This publication provides guidance for federal agencies and organizations to develop and manage a lifecycle approach to building a cybersecurity and privacy learning program (hereafter referred to as CPLP). The approach is intended to address the needs of large and small organizations as well as those building an entirely new program. The information leverages broadly accepted standards, regulations, legislation, and best practices. The recommendations are customizable and may be implemented as part of an organization-wide process that manages awareness, training, and education programs for a diverse set of employee audiences. The guidance also includes suggested metrics and evaluation methods in order that the program be regularly improved and updated as needs will evolve.	本書は、連邦政府機関および組織が、サイバーセキュリティおよびプライバシー学習プログラム（以下、CPLP）を構築するためのライフサイクルアプローチを開発および管理するためのガイダンスを提供する。本アプローチは、大規模な組織や小規模な組織、まったく新しいプログラムを構築する組織のニーズに対応することを意図している。情報は、広く受け入れられている標準、規制、法律、ベストプラクティスを活用している。提言はカスタマイズ可能であり、多様な従業員を対象とした意識向上およびトレーニングプログラムを管理する組織全体のプロセスの一部として実施することができる。また、本ガイダンスには、ニーズの変化に応じてプログラムを定期的に改善・更新できるよう、指標や評価方法の提案も含まれている。

・[PDF] NIST.SP.800-50r1

目次...

Executive Summary	要旨
1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. The CPLP Life Cycle	1.3. CPLPのライフサイクル
1.4. Developing a Cybersecurity and Privacy Culture	1.4. サイバーセキュリティとプライバシー文化の発展
1.5. Relationship Between Cybersecurity and Privacy	1.5. サイバーセキュリティとプライバシーの関係
1.6. Privacy Risk Management Concepts to Emphasize	1.6. 重視すべきプライバシーリスク・マネジメントの概念
1.7. Coordinating Cybersecurity and Privacy Learning Efforts	1.7. サイバーセキュリティとプライバシーの学習努力の調整
1.8. Roles and Responsibility	1.8. 役割と責任
1.8.1. Organization Head	1.8.1. 組織の長
1.8.2. Senior Leadership	1.8.2. シニア・リーダーシップ
1.8.3. Learning Program Manager	1.8.3. 学習プログラムマネージャー
1.8.4. Managers	1.8.4. マネージャー
2. The CPLP Plan and Strategy	2. CPLP計画と戦略
2.1. Building the Strategic Plan	2.1. 戦略計画の構築
2.2. Develop CPLP Policies and Procedures	2.2. CPLPの方針と手順を策定する
2.3. Aligning Strategies, Goals, Objectives, and Tactics	2.3. 戦略、目標、目的、戦術の調整
2.4. Determining CPLP Measurements and Metrics	2.4. CPLPの評価指標を決める
2.5. Learning Program Participants	2.5. 学習プログラムの参加者
2.5.1. All Users	2.5.1. 全ユーザー
2.5.2. Privileged Users	2.5.2. 特権ユーザー
2.5.3. Staff with Significant Cybersecurity or Privacy Responsibilities	2.5.3. サイバーセキュリティまたはプライバシーに重大な責任を持つスタッフ
2.5.4. Determining Who Has Significant Cybersecurity and Privacy Responsibilities	2.5.4. 誰がサイバーセキュリティ及びプライバシーの重要な責任を有するかの決定
2.6. Determining Scope and Complexity	2.6. 範囲と複雑さの決定
2.7. The CPLP Elements	2.7. CPLP の要素
2.7.1. Awareness Activities	2.7.1. 啓蒙活動
2.7.2. Practical Exercises	2.7.2. 実践的エクササイズ
2.7.3. Training	2.7.3. トレーニング
2.8. Establishing the CPLP Plan Priorities	2.8. CPLP計画の優先順位の確立
2.9. Developing the CPLP Plan	2.9. CPLP計画の策定
2.10. CPLP Resources	2.10. CPLPリソース
2.10.1. Establishing a CPLP Budget	2.10.1. CPLP予算の設定
2.10.2. CPLP Staff and Locations	2.10.2. CPLPのスタッフと場所
2.11. Communicating the Strategic Plan and Program Performance	2.11. 戦略計画とプログラム実績のコミュニケーション
3. Analysis and Design of the CPLP	3. CPLPの分析と設計
3.1. Analysis Phase	3.1. 分析段階
3.1.1. The Importance of the Analysis Phase	3.1.1. 分析フェーズの重要性
3.1.2. The Steps of the Analysis Phase	3.1.2. 分析フェーズのステップ
3.2. Designing the CPLP	3.2. CPLPの設計
3.2.1. The Steps of the Design Phase	3.2.1. 設計段階のステップ
3.2.2. Design Document	3.2.2. 設計文書
3.3. Conduct an Environmental Scan of Available Training	3.3. 利用可能なトレーニングの環境スキャンを行う
3.3.1. External Sources of CPLP Material	3.3.1. CPLP教材の外部情報源
3.3.2. Internal Sources of CPLP Material	3.3.2. CPLP教材の内部情報源
3.4. Identify Learning Objectives: From Analysis to Design	3.4. 学習目標を識別する：分析から設計へ
3.4.1. Examples of Identifying Learning Objectives	3.4.1. 学習目標の識別の例
3.5. Summarize CPLP or Element Requirements	3.5. CPLPまたは要素の要件をまとめる
4. Development and Implementation of the CPLP	4. CPLPの開発と実施
4.1. Developing CPLP Material	4.1. CPLP資料を作成する
4.1.1. Create a Requirements Document for Sourcing New Material	4.1.1. 新しい教材を調達するための要求文書を作成する
4.1.2. Developing the All User Learning Program	4.1.2. 全ユーザー学習プログラムを開発する
4.1.3. Developing a Privileged Users Learning Program	4.1.3. 特権ユーザー学習プログラムの開発
4.1.4. Developing a Learning Program for Those With Significant Cybersecurity and Privacy Responsibilities	4.1.4. サイバーセキュリティとプライバシーに重大な責任を持つ者のための学習プログラムの開発
4.2. Implementing New CPLP Elements	4.2. 新しい CPLP 要素の実装
4.2.1. Steps for Implementing a new CPLP Element	4.2.1. 新しい CPLP 要素を実施するためのステップ
4.3. Communicating the CPLP Implementation	4.3. CPLPの実施をコミュニケーションする
4.4. Establishing Reporting and Metrics Requirements for CPLP Elements	4.4. CPLP要素に対する報告および測定基準の要件を確立する
4.5. Building a CPLP Schedule	4.5. CPLPスケジュールを立てる
4.6. Determining Post-Implementation Activities	4.6. 実施後の活動の決定
5. Assessment and Improvement of the CPLP	5. CPLPの評価と改善
5.1. Steps for Assessing and Improving the CPLP	5.1. CPLPの評価と改善のステップ
5.2. Create a CPLP Assessment Report	5.2. CPLP評価報告書を作成する
5.2.1. Compliance Reporting	5.2.1. コンプライアンス報告
5.3. Evaluating CPLP Effectiveness	5.3. CPLPの効果を評価する
5.3.1. Instructor Evaluation	5.3.1. インストラクターの評価
5.3.2. Learner Performance and Feedback	5.3.2. 学習者のパフォーマンスとフィードバック
5.3.3. Review of the CPLP Assessment Report With Senior Leadership	5.3.3. シニアリーダーシップによるCPLP評価報告書のレビュー
5.4. Continuous Monitoring and Improvement	5.4. 継続的なモニタリングと改善
References	参考文献
Appendix A. Examples of Cybersecurity and Privacy Learning Program Maturity Levels	附属書 A. サイバーセキュリティとプライバシーの学習プログラムの成熟度レベルの例
Appendix B. Glossary	附属書 B. 用語集

要旨（エグゼクティブサマリー）

Executive Summary	要旨
Ensuring that an organization’s workforce is aware of and prepared to respond appropriately and effectively to cybersecurity and privacy risk is an important effort that requires a strategic approach based on thoughtful planning, resource considerations, and leadership-driven decision making. This long-awaited update to the 2003 NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, provides guidance that includes awareness, role-based training, and education programs. These programs combine to create an overall Cybersecurity and Privacy Learning Program (CPLP) that supports federal requirements and incorporates industry-recognized best practices for risk management.	組織の従業員がサイバーセキュリティとプライバシーのリスクを認識し、適切かつ効果的に対応できるよう準備することは、綿密な計画、リソースの考慮、リーダーシップ主導の意思決定に基づく戦略的アプローチを必要とする重要な取り組みである。2003年のNIST特別刊行物（SP）800-50「情報技術セキュリティ意識向上およびトレーニングプログラムの構築」の待望の更新版である本書は、意識向上、役割に応じたトレーニング、教育プログラムを含むガイダンスを提供する。これらのプログラムを組み合わせることで、連合要件をサポートし、業界で認知されたリスクマネジメントのベストプラクティスを取り入れた、全体的なサイバーセキュリティとプライバシーの学習プログラム（CPLP）が構築される。
Legislative authority for the creation and maintenance of this Special Publication is derived from the National Defense Authorization Act of 2021 (NDAA) [2].	この特別刊行物の作成と保守のための立法権限は、2021 年国防権限法（NDAA）に由来する[2]。
In addition to the statutory responsibilities under FISMA, this Special Publication supports the	FISMAの下での法的責任に加えて、本特別出版物は以下をサポートする。
National Defense Authorization Act of 2021 (NDAA) [2], Development of Standards and Guidelines for Improving Cybersecurity Workforce of Federal Agencies to “publish standards and guidelines for improving cybersecurity awareness of employees and contractors of Federal agencies”[1] Including privacy as a foundational element in this Program reflects the guidance found in the 2016 update to OMB’s Circular A-130:	2021 年国防授権法（NDAA）[2]、「連邦政府機関の職員および請負業者のサイバーセキュリティ意識を改善するための標準およびガイドラインを公表する」ための連邦政府機関のサイバーセキュリティ人材改善のための標準およびガイドラインの開発[1] このプログラムの基礎要素としてプライバシーを含めることは、OMB のサーキュラー A-130 の 2016 年更新に見られるガイダンスを反映している：
…it also emphasizes the role of both privacy and security in the federal information life cycle. Importantly, the inclusion of privacy represents a shift from viewing security and privacy requirements as merely compliance exercises to understanding security and privacy as crucial and related elements of a comprehensive, strategic, and continuous riskbased program at federal agencies. [1]	また、連邦政府の情報ライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調している。重要なことは、プライバシーを含めることで、セキュリティとプライバシーの要件を単なるコンプライアンスとして捉えるのではなく、セキュリティとプライバシーを連邦政府機関における包括的、戦略的、継続的なリスクベースプログラムの重要かつ関連する要素として理解するようにシフトしたことである。[1]
Additionally, this update includes elements previously found in NIST SP 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model [6]. Previously, NIST SP 800-16 [6] identified the federal agency and organizational work roles that required specialized training for cybersecurity tasks and skills. The relevant content from NIST SP 800-16 has been incorporated into this publication or has been included in NIST SP 800181r1 [3]. As a result, NIST SP 800-16 will be withdrawn upon the release of this publication	さらに、この更新には、以前 NIST SP 800-16「情報技術セキュリティ訓練要件」にあった要素も含まれている： A Role- and Performance-Based Model [6]」にある要素も含まれている。従来、NIST SP 800-16 [6]は、サイバーセキュリティのタスクやスキルに特化した訓練を必要とする連邦機関や組織のワーク・ロールを特定していた。NIST SP 800-16 の関連内容は、本書に組み込まれ、あるいは NIST SP 800181r1 [3]に含まれている。その結果、NIST SP 800-16 は本書のリリースと同時に廃止される。
Everyone in an organization has a role to play in the success of an effective cybersecurity and privacy program. For those whose information technology, cybersecurity, or cybersecurityrelated job responsibilities require additional or specific training, the NICE Workforce Framework for Cybersecurity (NICE Framework)^[2] [3] identifies the specific knowledge and skills necessary to perform tasks associated with work roles in these areas.^[3]	効果的なサイバーセキュリティとプライバシープログラムの成功には、組織の全員が役割を担っている。情報技術、サイバーセキュリティ、またはサイバーセキュリティに関連する職責を担う人々が、追加的な、または特定の訓練を必要とする場合、NICE Workforce Framework for Cybersecurity（NICE フレームワーク）[2] [3]は、これらの分野の職務に関連するタスクを実行するために必要な特定の知識とスキルを特定する[3]。
Users of this publication will find guidance on the steps necessary to:	本書の利用者は、以下のために必要なステップに関するガイダンスを見つけることができる：
• Build an effective CPLP for all organizational personnel, including employees and contractors	・従業員及び請負業者を含むすべての組織要員を対象とした効果的な CPLP を構築する。
• Identify personnel who require advanced training	・高度な訓練を必要とする要員を識別する。
• Create a methodology for evaluating the program	・プログラムを評価するための方法を作成する
• Engage in ongoing improvement to the program	・プログラムの継続的な改善に取り組む
Throughout each section, there are recommendations to enable a program to continually evolve and improve, thereby minimizing risks to the organization.	各セクションを通じて、プログラムが継続的に進化・改善し、組織のリスクを最小化するための推奨事項が記載されている。
This document identifies the phases in the management of a CPLP and is organized as follows:	本書は、CPLP の管理における段階を特定し、以下のように構成されている：
• Section 1: Introduction	・セクション1:序文
• Section 2: The CPLP Strategy and Planning Process	・セクション2:CPLP戦略と計画プロセス
• Section 3: Analyzing and Designing the CPLP	・セクション3:CPLPの分析と設計
• Section 4: Development and Implementation of the CPLP	・第4節 CPLPの開発と実施
Section 5: Assessing and Improving the CPLP	第5節：CPLPの評価と改善
[1] Section 9402 of FY 21 NDAA, Development of Standards and Guidelines for Improving Cybersecurity Workforce of Federal Agencies, amends the NIST Act as follows: “(b): PUBLICATION OF STANDARDS AND GUIDELINES ON CYBERSECURITY AWARENESS. Not later than three years after the date of the enactment of this Act, the Director of the National Institute of Standards and Technology shall publish standards and guidelines for improving cybersecurity awareness of employees and contractors of federal agencies.”	[1] 21 年度 NDAA の第 9402 条「連邦省庁のサイバーセキュリティ人材改善のための標準とガイドラインの開発」は、NIST 法を以下のように改正する： "(b): (b)：サイバーセキュリティ意識に関する標準とガイドラインの公表。(b)：サイバーセキュリティ意識に関する標準およびガイドラインの公表。"この法律の制定日から 3 年以内に、国立標準技術研究所所長は、連邦機関の職員および請負業者のサイバーセキュリティ意識を改善するための標準およびガイドラインを公表するものとする。
[2] National Initiative for Cybersecurity Education (NICE) is led by NIST in the US Department of Commerce.	[2] サイバーセキュリティ教育のための国家イニシアティブ（NICE）は、米国商務省のNISTが主導している。
[3] As of the time of development of this publication, NIST is in the process of a privacy workforce development effort to create a privacy companion to NICE.	[3] 本書の作成時点では、NIST は NICE のプライバシー関連資料を作成するために、プライバシー人材育成の取り組みを進めている。