米国 NIST サイバーセキュリティフレームワーク 2.0案
こんにちは、丸山満彦です。
NISTのサイバーセキュリティフレームワーク 2.0の公開草案が公開されています。コメントは2023.11.04までです。。。
構成はこんなふうに変わる感じ...
CSF 2.0 Function | CSF 2.0機能 | CSF 2.0 Category | CSF 2.0カテゴリー | CSF 2.0 カテゴリー識別子 |
Govern (GV) |
統治 (GV) |
Organizational Context | 組織的な背景 | GV.OC |
Risk Management Strategy | リスクマネジメント戦略 | GV.RM | ||
Roles and Responsibilities | 役割と責任 | GV.RR | ||
Policies and Procedures | 方針と手順 | GV.PO | ||
Identify (ID) |
識別 (ID) |
Asset Management | アセットマネジメント | ID.AM |
Risk Assessment | リスクアセスメント | ID.RA | ||
Supply Chain Risk Management | サプライチェーンリスクマネジメント | ID.SC | ||
Improvement | 改善 | ID.IM | ||
Protect (PR) |
防御 (PR) |
Identity Management, Authentication, and Access Control | アイデンティティ管理、認証、アクセス制御 | PR.AA |
Awareness and Training | 意識向上とトレーニング | PR.AT | ||
Data Security | データセキュリティ | PR.DS | ||
Platform Security | プラットフォーム・セキュリティ | PR.PS | ||
Technology Infrastructure Resilience | 技術基盤の強靭化 | PR.IR | ||
Detect (DE) |
検知 (DE) |
Adverse Event Analysis | 有害事象の解析 | DE.AN |
Continuous Monitoring | 継続的なモニタリング | DE.AM | ||
Respond (RS) |
対応 (RS) |
Incident Management | インシデントマネジメント | RS.AM |
Incident Analysis | インシデント分析 | RS.AN | ||
Incident Response Reporting and Communication | インシデント対応の報告・連絡 | RS.CO | ||
Incident Mitigation | インシデント低減 | RS.MI | ||
Recover (RC) |
復旧 (RC) |
Incident Recovery Plan Execution | インシデント復旧計画の実行 | RC.RP |
Incident Recovery Communication | インシデント復旧コミュニケーション | RC.CO |
● NIST - ITL
・2023.08.08 NIST CSWP 29 (Initial Public Draft) The NIST Cybersecurity Framework 2.0
NIST CSWP 29 (Initial Public Draft) The NIST Cybersecurity Framework 2.0 | NIST CSWP 29(初期公開ドラフト) NIST サイバーセキュリティフレームワーク 2.0 |
Announcement | 発表 |
This is the public draft of the NIST Cybersecurity Framework (CSF or Framework) 2.0. | これは、NIST サイバーセキュリティフレームワーク(CSF またはフレームワーク)2.0 の公開草案である。 |
The Framework has been used widely to reduce cybersecurity risks since its initial publication in 2014. Many organizations have told NIST that CSF 1.1 remains an effective framework for addressing cybersecurity risks. There is also widespread agreement that changes are warranted to address current and future cybersecurity challenges and to make it easier for organizations to use the Framework. NIST is working with the community to ensure that CSF 2.0 is effective for the future while fulfilling the CSF’s original goals and objectives. | このフレームワークは、2014年の初版発行以来、サイバーセキュリティのリスクを低減するために広く利用されてきた。多くの組織がNISTに対して、CSF 1.1はサイバーセキュリティリスクに対処するための効果的なフレームワークであり続けていると述べている。また、現在および将来のサイバーセキュリティ上の課題に対処し、組織がフレームワークをより使いやすくするために、変更が必要であるとの意見も広まっている。NIST は、CSF 2.0 が、CSF の当初の目標と目的を達成しつつ、将来にわたって有効なものとなるよう、コミュニティと協働している。 |
NIST seeks feedback on whether this draft revision addresses organizations’ current and anticipated future cybersecurity challenges, is aligned with leading practices and guidance resources, and reflects comments received so far. In addition, NIST requests ideas on the best way to present the modifications from CSF 1.1 to CSF 2.0 to support transition. NIST encourages concrete suggestions for improvements to the draft, including revisions to the narrative and Core. | NIST は、この改訂ドラフトが組織の現在および将来予想されるサイバーセキュリティの課題に対応し、先進的なプラクティスやガイダンス・リソースと整合し、これまでに寄せられたコメントを反映しているかどうかについてのフィードバックを求めている。さらに、NIST は、CSF 1.1 から CSF 2.0 への移行を支援するために、CSF 1.1 から CSF 2.0 への修正を提示する最良の方法に関するアイデアを求めている。NIST は、説明文や Core の改訂を含め、ドラフトに対する具体的な改善提案を奨励している。 |
This draft includes an updated version of the CSF Core, reflecting feedback on the April discussion draft. This publication does not contain Implementation Examples or Informative References of the CSF 2.0 Core, given the need to frequently update them. Draft, initial Implementation Examples have been released under separate cover for public comment. NIST seeks feedback on what types of Examples would be most beneficial to Framework users, as well as what existing sources of implementation guidance might be readily adopted as sources of Examples (such as the NICE Framework Tasks, for example). NIST also seeks feedback on how often Implementation Examples should be updated and whether and how to accept Implementation Examples developed by the community. | 本ドラフトには、4 月のディスカッション・ドラフトに対するフィードバックを反映した、更新版の CSF コアが含まれている。CSF 2.0 コアは頻繁に更新する必要があるため、本書には実装例や参考文献は含まれていない。初期の実装例のドラフトは、パブリックコメント用に別カバーで公表されている。NIST は、どのような種類の実施例がフレームワークの利用者にとって最も有益であるか、また、どのような既存の実施ガイダンスの情報源が実施例の情報源として容易に採用され得るか(例えば、NICE フレームワークのタスクなど)についてのフィードバックを求めている。NIST はまた、どの程度の頻度で実施例を更新すべきか、コミュニティが開発した実施 例を受け入れるかどうか、どのように受け入れるかについての意見も求めている。 |
As the CSF 2.0 is finalized, the updated Implementation Examples and Informative References will be maintained online on the NIST Cybersecurity Framework website, leveraging the NIST Cybersecurity and Privacy Reference Tool (CPRT). Resource owners and authors who are interested in mapping their resources to the final CSF 2.0 to create Informative References should reach out to NIST. | CSF 2.0 が最終化されると、更新された実施例と参考文献は、NIST Cybersecurity and Privacy Reference Tool(CPRT)を活用して、NIST サイバーセキュリティフレームワークのウェブサイト上でオンライン管理される。自分たちのリソースを最終的な CSF 2.0 にマッピングして参考文献を作成することに関心のあるリソー スの所有者や作成者は、NIST に連絡すること。 |
..... | ..... |
This draft will be discussed at the third CSF workshop, which will be held this fall. NIST does not plan to release another draft of CSF 2.0 for comment. Feedback on this draft will inform development of the final CSF 2.0 to be published in early 2024. | このドラフトは、今秋開催される第 3 回 CSF ワークショップで議論される予定である。 NIST は、CSF 2.0 のドラフトを再度公表してコメントを求める予定はない。このドラフトに対するフィードバックは、2024 年初めに公表される最終的な CSF 2.0 の開発に反映される。 |
The modifications between Version 1.1 and this version are based on community input through: | バージョン 1.1 と本バージョンの間の修正は、コミュニティからのインプットに基づいている: |
・The 57 responses to the Discussion Draft of the NIST Cybersecurity Framework 2.0 Core | ・NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッション・ドラフトに対する 57 件の回答。 |
・The 92 written responses to the January 2023 CSF 2.0 Concept Paper | ・2023 年 1 月の CSF 2.0 コンセプト・ペーパーに対する 92 件の書面による回答 |
・The February 2023 In-Person Working Sessions (attended by approximately 250 participants) | ・2023 年 2 月に開催された対面式ワーキング・セッション(約 250 名が参加) |
・The “Journey to the NIST Cybersecurity Framework 2.0” February 2023 Workshop #2 (attended virtually by more than 2,000 participants from 69 countries) | ・2023 年 2 月「NIST サイバーセキュリティフレームワーク 2.0 への旅」ワークショップ#2(69 カ国から 2,000 人以上の参加者がバーチャルに参加した。) |
・The “Journey to the NIST Cybersecurity Framework 2.0” August 2022 Workshop #1 (attended virtually by approximately 4,000 participants from 100 countries) | ・NISTサイバーセキュリティフレームワーク2.0への旅」2022年8月ワークショップ#1(100カ国から約4,000人が仮想参加した。) |
・The 134 written responses to the February 2022 NIST Cybersecurity RFi | ・2022年2月のNISTサイバーセキュリティRFIに対する134件の書面による回答 |
・Feedback from organizations that have leveraged the CSF over the years | ・長年にわたり CSF を活用してきた組織からのフィードバック |
・NIST participation at conferences, webinars, roundtables, and meetings around the world | ・世界中の会議、ウェビナー、円卓会議、会合への NIST の参加 |
See the full Note to Reviewers at the beginning of the draft for more details summarizing changes between CSF 1.1 and this draft. | CSF 1.1 と本ドラフトとの変更点の詳細については、ドラフト冒頭の「レビュアーへの注記」を参照のこと。 |
Abstract | 概要 |
The NIST Cybersecurity Framework 2.0 provides guidance to industry, government agencies, and other organizations to reduce cybersecurity risks. It offers a taxonomy of high-level cybersecurity outcomes that can be used by any organization — regardless of its size, sector, or maturity — to better understand, assess, prioritize, and communicate its cybersecurity efforts. The Framework does not prescribe how outcomes should be achieved. Rather, it maps to resources that provide additional guidance on practices and controls that could be used to achieve those outcomes. This document explains Cybersecurity Framework 2.0 and its components and describes some of the many ways that it can be used. | NIST サイバーセキュリティフレームワーク 2.0 は、サイバーセキュリティのリスクを低減するためのガイダンスを、産業界、政府機関、その他の組織に提供するものである。このフレームワークは、サイバーセキュリティの取り組みをよりよく理解し、評価し、優先順位を付け、コミュニケーションするために、規模や業種、成熟度に関係なく、あらゆる組織が利用できるハイレベルなサイバーセキュリティの成果の分類法を提供するものである。フレームワークは、成果をどのように達成すべきかを規定するものではない。むしろ、そのような成果を達成するために使用できる実践や管理に関する追加ガイダンスを提供するリソースにマッピングしている。この文書では、サイバーセキュリティフレームワーク 2.0 とその構成要素について説明し、その活用方法のいくつかを説明する。 |
・[PDF]
・[DOCX] 仮訳
目次...
1. Introduction | 1. 序文 |
1.1. Audience | 1.1. 想定読者 |
1.2. Document Structure | 1.2. 文書の構造 |
2. Understanding the Framework Core | 2. フレームワーク・コアを理解する |
2.1. Functions, Categories, and Subcategories | 2.1. 機能、カテゴリー、サブカテゴリー |
2.2. Implementation Examples and Informative References | 2.2. 実施例と参考文献 |
3. Using the Framework | 3. フレームワークを使う |
3.1. Creating and Using Framework Profiles to Understand, Assess, Prioritize, and Communicate | 3.1. 理解、評価、優先順位付け、コミュニケーションのためのフレームワークプロファイルの作成と使用 |
3.2. Assessing and Prioritizing Cybersecurity Outcomes With the Framework | 3.2. フレームワークによるサイバーセキュリティ成果の評価と優先順位付け |
3.3. Improving Communication With Internal and External Stakeholders Using the Framework | 3.3. フレームワークを活用した社内外の利害関係者とのコミュニケーション改善 |
3.4. Managing Cybersecurity Risk in Supply Chains With the Framework | 3.4. フレームワークを活用したサプライチェーンにおけるサイバーセキュリティリスクマネジメント |
4. Integrating Cybersecurity Risk Management With Other Risk Management Domains Using the Framework | 4. フレームワークを活用したサイバーセキュリティリスクマネジメントと他のリスクマネジメント領域との統合 |
4.1. Integrating the Cybersecurity Framework With the Privacy Framework | 4.1. サイバーセキュリティフレームワークとプライバシーフレームワークとの統合 |
4.2. Integrating the Cybersecurity Framework With Enterprise Risk Management | 4.2. サイバーセキュリティフレームワークとエンタープライズリスクマネジメントとの統合 |
5. Next Steps | 5. 次のステップ |
Appendix A. Templates for Profiles and Action Plans | 附属書 A. プロファイルとアクションプランのテンプレート |
A.1. Notional Organizational Profile Template | A.1. 組織プロファイルのテンプレート |
A.2. Notional Action Plan Template | A.2. 想定アクションプランのテンプレート |
Appendix B. Framework Tier Descriptions | 附属書 B. フレームワーク層の説明 |
Appendix C. Framework Core | 附属書 C. フレームワーク・コア |
プレス...
NIST Drafts Major Update to Its Widely Used Cybersecurity Framework | NIST、広く利用されているサイバーセキュリティフレームワークの大幅な更新をドラフトする |
NIST has revised the framework to help benefit all sectors, not just critical infrastructure. | NISTは、重要インフラだけでなく、すべてのセクターに役立つようにフレームワークを改訂した。 |
The world’s leading cybersecurity guidance is getting its first complete makeover since its release nearly a decade ago. | 世界有数のサイバーセキュリティ・ガイダンスが、10年近く前に発表されて以来初めて全面的に刷新される。 |
After considering more than a year’s worth of community feedback, the National Institute of Standards and Technology (NIST) has released a draft version of the Cybersecurity Framework (CSF) 2.0, a new version of a tool it first released in 2014 to help organizations understand, reduce and communicate about cybersecurity risk. The draft update, which NIST has released for public comment, reflects changes in the cybersecurity landscape and makes it easier to put the CSF into practice — for all organizations. | 国立標準技術研究所(NIST)は、1年以上にわたるコミュニティからのフィードバックを検討した結果、サイバーセキュリティフレームワーク(CSF)2.0のドラフト版を発表した。このツールは、機構がサイバーセキュリティ・リスクを理解し、低減し、コミュニケーションすることを支援するために2014年に初めてリリースされたツールの新バージョンである。NISTがパブリックコメントのために公開したドラフト更新版は、サイバーセキュリティの状況の変化を反映し、すべての組織にとって、CSFの実践をより容易にするものである。 |
“With this update, we are trying to reflect current usage of the Cybersecurity Framework, and to anticipate future usage as well,” said NIST’s Cherilyn Pascoe, the framework’s lead developer. “The CSF was developed for critical infrastructure like the banking and energy industries, but it has proved useful everywhere from schools and small businesses to local and foreign governments. We want to make sure that it is a tool that’s useful to all sectors, not just those designated as critical.” | 「今回の更新では、サイバーセキュリティフレームワークの現在の利用状況を反映し、将来の利用状況も予測しようとしている。「CSFは銀行やエネルギー産業などの重要インフラ向けに開発されたが、学校や中小企業から地方自治体や外国政府まで、あらゆる場所で有用であることが証明されている。CSFは、銀行やエネルギー産業のような重要インフラ向けに開発されたが、学校や中小企業から地方自治体や外国政府まで、あらゆる場所で役立つことが証明されている。 |
NIST is accepting public comment on the draft framework until Nov. 4, 2023. NIST does not plan to release another draft. A workshop planned for the fall will be announced shortly and will serve as another opportunity for the public to provide feedback and comments on the draft. The developers plan to publish the final version of CSF 2.0 in early 2024. | NISTは2023年11月4日まで、ドラフトフレームワークに対するパブリックコメントを受け付けている。NISTは次のドラフトを発表する予定はない。秋に予定されているワークショップは間もなく発表され、一般市民がドラフトに対するフィードバックやコメントを提供するもうひとつの機会となる。開発者は、2024 年初めに CSF 2.0 の最終版を公表する予定である。 |
The CSF provides high-level guidance, including a common language and a systematic methodology for managing cybersecurity risk across sectors and aiding communication between technical and nontechnical staff. It includes activities that can be incorporated into cybersecurity programs and tailored to meet an organization’s particular needs. In the decade since it was first published, the CSF has been downloaded more than two million times by users across more than 185 countries and has been translated into at least nine languages. | CSF は、セクターを横断してサイバーセキュリティ・リスクをマネジメントし、技術スタッフと非技術スタッフ間のコミュニケーションを支援するための共通言語や体系的な手法など、ハイレベルなガイダンスを提供する。サイバーセキュリティ・プログラムに組み込んだり、組織の特定のニーズに合わせて調整したりできる活動も含まれている。CSF が最初に公表されて以来 10 年間で、185 カ国以上のユーザーから 200 万回以上ダウンロードされ、少なくとも 9 カ国語に翻訳されている。 |
While responses to NIST’s February 2022 request for information about the CSF indicated that the framework remains an effective tool for reducing cybersecurity risk, many respondents also suggested that an update could help users adjust to technological innovation as well as a rapidly evolving threat landscape. | NISTが2022年2月に行ったCSFに関する情報提供の要請に対する回答は、このフレームワークが依然としてサイバーセキュリティ・リスクを低減するための効果的なツールであることを示す一方で、多くの回答者は、技術革新だけでなく急速に進化する脅威の状況にもユーザが適応できるよう、アップデートを提案した。 |
“Many commenters said that we should maintain and build on the key attributes of the CSF, including its flexible and voluntary nature,” Pascoe said. “At the same time, a lot of them requested more guidance on implementing the CSF and making sure it could address emerging cybersecurity issues, such as supply chain risks and the widespread threat of ransomware. Because these issues affect lots of organizations, including small businesses, we realized we had to up our game.” | 「多くのコメント提供者は、柔軟性や自発的な性質など、CSFの主要な特性を維持し、その上に構築すべきだと述べた。「同時に、CSFの実施に関するガイダンスを充実させ、サプライチェーンリスクやランサムウェアの脅威など、サイバーセキュリティの新たな課題に対応できるようにすることを求める意見も多かった。このような問題は、中小企業を含む多くの組織に影響を与えるため、われわれは、さらにレベルアップする必要があると認識した」。 |
The CSF 2.0 draft reflects a number of major changes, including: | CSF 2.0ドラフトは、以下を含む多くの大きな変更を反映している: |
・The framework’s scope has expanded — explicitly — from protecting critical infrastructure, such as hospitals and power plants, to providing cybersecurity for all organizations regardless of type or size. This difference is reflected in the CSF’s official title, which has changed to “The Cybersecurity Framework,” its colloquial name, from the more limiting “Framework for Improving Critical Infrastructure Cybersecurity.” | ・フレームワークの適用範囲は、病院や発電所などの重要インフラの防御から、種類や規模に関係なくすべての組織にサイバーセキュリティを提供することへと、明確に拡大された。この違いはCSFの正式名称にも反映されており、より限定的な「重要インフラのサイバーセキュリティ改善のためのフレームワーク」から、口語的な名称である「サイバーセキュリティフレームワーク」に変更されている。 |
・Until now, the CSF has described the main pillars of a successful and holistic cybersecurity program using five main functions: identify, protect, detect, respond and recover. To these, NIST now has added a sixth, the govern function, which covers how an organization can make and execute its own internal decisions to support its cybersecurity strategy. It emphasizes that cybersecurity is a major source of enterprise risk, ranking alongside legal, financial and other risks as considerations for senior leadership. | ・これまでCSFは、「識別」「防御」「検知」「対応」「復旧」という5つの主要機能を用いて、成功する全体的なサイバーセキュリティ・プログラムの柱を説明してきた。NISTは今回、これらに6つ目の機能として、組織がサイバーセキュリティ戦略をサポートするために、どのように内部で意思決定を行い、実行できるかをカバーするガバナンス機能を追加した。NISTは、サイバーセキュリティがエンタープライズ・リスクの主要な要因であり、法務、財務、その他のリスクと並んで、シニア・リーダーシップにとっての懸念事項であることを強調している。 |
・The draft provides improved and expanded guidance on implementing the CSF, especially for creating profiles, which tailor the CSF for particular situations. The cybersecurity community has requested assistance in using it for specific economic sectors and use cases, where profiles can help. Importantly, the draft now includes implementation examples for each function’s subcategories to help organizations, especially smaller firms, to use the framework effectively. | ・このドラフトでは、CSF の実施に関するガイダンスが改善・拡充されており、特に特定の状況に合わせて CSF を調整するプロファイルの作成に関するガイダンスが提供されている。サイバーセキュリティのコミュニティは、特定の経済分野やユースケースに CSF を使用する際の支援を求めており、プロファイルがその助けとなる。重要な点として、ドラフトには、各機能のサブカテゴリーについて、組織、特に中小企業がフレームワークを効果的に使用できるようにするための実施例が含まれている。 |
A major goal of CSF 2.0 is to explain how organizations can leverage other technology frameworks, standards and guidelines, from NIST and elsewhere, to implement the CSF. Bolstering this last effort will be the launch of a CSF 2.0 reference tool, which NIST plans to release in a few weeks. This online resource will allow users to browse, search and export the CSF Core data in human-consumable and machine-readable formats. In the future, this tool will provide “Informative References” to show the relationships between the CSF and other resources to make it easier to use the framework together with other guidance to manage cybersecurity risk. | CSF2.0の主な目標は、組織がCSFを実施するために、NISTやその他の機関が提供する他の技術フレームワーク、標準、ガイドラインをどのように活用できるかを説明することである。この最後の取り組みを強化するのが、NISTが数週間以内にリリースを予定しているCSF 2.0リファレンスツールの立ち上げである。このオンライン・リソースにより、ユーザーはCSFコア・データをブラウズ、検索、エクスポートすることができる。将来的には、このツールは「参考文献」を提供し、CSF と他のリソースとの関係を示すことで、サイバーセキュリティ・リスクを管理するために他のガイダンスとフレームワークを併用することを容易にする。 |
Pascoe said the development team is encouraging anyone with recommendations about the updated CSF to respond with comments by the Nov. 4 deadline. | Pascoe 氏によると、開発チームは、更新された CSF に関する推奨事項があれば、11 月 4 日の期限までにコメントで対応するよう呼びかけている。 |
“This is an opportunity for users to weigh in on the draft of CSF 2.0,” she said. “Now is the time to get involved if you’re not already.” | 「これは、CSF 2.0のドラフトについてユーザが意見を述べる機会である。まだ参加していないのであれば、今がその時である。」 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.08.10 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト
・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト
・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)
・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)
Comments