NIST IR 8481(第一公開ドラフト) 研究のためのサイバーセキュリティ: 調査結果と前進の可能性
こんにちは、丸山満彦です。
NISTが、研究開発のセキュリティについてのIRのドラフトを公表していますね。。。CHIPS and Science Act [wikipedia] のSection 10229に基づくものですね。。。
● NIST - ITL
・2023.08.31 Comments | NIST IR 8481, Cybersecurity for Research: Findings and Possible Paths Forward
・2023.08.31 NIST IR 8481 (Initial Public Draft) Cybersecurity for Research: Findings and Possible Paths Forward
| NIST IR 8481 (Initial Public Draft) Cybersecurity for Research: Findings and Possible Paths Forward | NIST IR 8481(第一公開ドラフト) 研究のためのサイバーセキュリティ: 調査結果と前進の可能性 |
| Announcement | 発表 |
| To support implementation of the research cybersecurity effort detailed in Section 10229 of the CHIPS and Science Act, NIST is leading an initiative to disseminate and make publicly available resources to help qualifying institutions of higher education identify, assess, manage, and reduce cybersecurity risks related to conducting research. | CHIPS and Science Act の Section 10229 に詳述されている研究サイバーセキュリティの取り組みの実施を支援するため、NIST は、認定を受けた高等教育機関が研究を実施する際に関連するサイバーセキュリティリスクを特定、アセスメント、マネジメント、削減するのに役立つリソースを普及し、一般に利用可能にするイニシアティブを主導している。 |
| Informed by community dialogue and an April 2023 Request for Comment, today NIST is publishing this Initial Public Draft of NIST Interagency Report (IR) 8481, Research for Cybersecurity: Findings and Possible Paths Forward. | コミュニティとの対話と2023年4月の意見要求を受けて、NISTは本日、NIST Interagency Report (IR) 8481「サイバーセキュリティのための研究」の初公開ドラフトを公表する: 所見と今後の道筋を示すものである。 |
| Abstract | 要旨 |
| Unmanaged cybersecurity risks can wreak havoc on a community. This is no less true for the U.S. scientific research ecosystem, particularly members of the higher education research community, which can be characterized by its fundamentally open, collaborative culture and web of highly decentralized administrative and research environments. Securing the digital resources that contribute to a thriving higher education research enterprise requires consideration of the threats and vulnerabilities relevant to the community as well as unique mission contexts, cultures, and motivations. This resource is intended to enable institutions of higher education to identify, assess, manage, and reduce cybersecurity risks related to conducting research, as described in Section 10229 of the CHIPS and Science Act. | 管理されていないサイバーセキュリティリスクは、地域社会に大混乱をもたらす可能性がある。このことは、米国の科学研究エコシステム、特に、基本的にオープンで協力的な文化や、高度に分散化された管理・研究環境の網の目によって特徴づけられる高等教育研究コミュニティのメンバーにとっても同様である。高等教育研究エンタープライズの繁栄に貢献するデジタルリソースを保護するためには、そのコミュニティに関連する脅威と脆弱性、また独自のミッションの背景、文化、動機について考慮する必要がある。本リソースは、高等教育機関が CHIPS および科学法第 10229 条に記載されているように、研究の実施に関連するサイバーセキュリティリスクを識別、アセスメント、マネジメント、削減できるようにすることを目的としている。 |
・[PDF] NIST.IR.8481.ipd
レビューポイント...
| Note to Reviewers | 査読者への注意事項 |
| NIST is specifically interested in feedback on the following sections: | NIST は、特に以下のセクションに関するフィードバックを求めている: |
| • Section 3.1: Cybersecurity Challenges and Risks | ・セクション 3.1:セクション3.1:サイバーセキュリティの課題とリスク |
| Through the findings presented in Section 3.1, NIST hopes to document and drive awareness of the cybersecurity challenges and risks that institutions of higher education face when conducting research, as well as the parallel systemic problems and unique considerations associated with this community that increase the complexity of managing cybersecurity risks. Please provide feedback on the challenges, risks, and summary narrative offered in this document, NIST IR 8481, and alert us to any potential gaps or nuance that may have been missed. | セクション 3.1: サイバーセキュリティ上の課題とリスク NIST は、セクション 3.1 に示された知見を通じて、高等教育機関が研究を実施する際に直面するサイバーセキュリティ上の 課題とリスク、またサイバーセキュリティ上のリスクマネジメントの複雑性を増大させるような、このコミュニティ に関連する並行するシステム上の問題や独自の考慮事項について、文書化し、認識を促すことを期待している。本書(NIST IR 8481)に記載されている課題、リスク、および概要説明に対するフィードバックを提供し、見落とされた可能性のあるギャップやニュアンスについてご指摘いただきたい。 |
| • Section 4: Potential Next Steps for NIST | ・セクション 4:NISTの次のステップの可能性 |
| A list of potential next steps for NIST was derived from feedback received through engagement with the research community and higher education cybersecurity community about their cybersecurity challenges, existing resources that they have found helpful, and desired new resources. Section 4 proposes three areas in which NIST could play a role: | 研究コミュニティや高等教育サイバーセキュリティコミュニティとの関わりを通じて得られた、サイバーセキュリティに関す る課題、有用であると思われる既存のリソース、および希望する新たなリソースに関するフィードバックから、NIST の次 のステップとなり得るリストを作成した。セクション 4 では、NIST が役割を果たすことができる 3 つの分野を提案している: |
| 1. Community-specific cybersecurity resources | 1. コミュニティ固有のサイバーセキュリティリソース |
| 2. Coordination | 2. 調整 |
| 3. Capacity building | 3. 能力構築 |
| Please provide feedback on these areas, noting which would be most impactful. | これらの分野について、どれが最もインパクトがあるか、ご意見をお聞かせいただきたい。 |
| • Appendix A: Existing Cybersecurity Resources | ・附属書 A:既存のサイバーセキュリティリソース |
| NIST IR 8481 is a publicly available document that includes a list of existing cybersecurity resources that can be disseminated and used to help institutions of higher education identify, assess, manage, and reduce cybersecurity risks related to conducting research. The list of resources includes items that are currently available for Research Security Officers, Chief Information Security Officers, cybersecurity teams, and others who are responsible for managing risks related to conducting research. | NIST IR 8481 は、高等教育機関が研究実施に関連するサイバーセキュリティリスクを特定、アセスメント、 マネジメント、低減するために普及・利用できる既存のサイバーセキュリティリソースのリストを含む公 開文書である。リソースのリストには、研究セキュリティ責任者、最高情報セキュリティ責任者、サイバーセキュリティチーム、その他研究実施に関連するリスクマネジメントを担当する者が現在利用可能な項目が含まれている。 |
| Beyond this list of existing cybersecurity resources, NIST is seeking input on: | この既存のサイバーセキュリティリソースのリスト以外にも、NIST は以下の点について意見を求めている: |
| 1. NIST resources on this list that could be tailored for an audience of researchers who do not have a background in cybersecurity | 1. このリストにある NIST のリソースのうち、サイバーセキュリティの背景を持たない研究者向けに調整可能なもの。 |
| 2. NIST resources on this list that could be adapted to align with the research and education environment | 2. 本リストに掲載されている NIST のリソースのうち、研究・教育環境に適合させることが可能なもの。 |
目次...
| 1. Introduction and Background | 1. 序文と背景 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope and Audience | 1.2. 範囲と読者 |
| 2. Approach | 2. アプローチ |
| 2.1. Initial Discovery | 2.1. 初期検出 |
| 2.2. Community Engagement | 2.2. コミュニティへの関与 |
| 2.3. Feedback Analysis | 2.3. フィードバック分析 |
| 3. Summary of Feedback | 3. フィードバックのまとめ |
| 3.1. Cybersecurity Challenges and Risks | 3.1. サイバーセキュリティの課題とリスク |
| 3.2. Current Methods and Resources | 3.2. 現在の方法とリソース |
| 3.3. Recommendations for Future Work | 3.3. 今後の作業に対する提言 |
| 4.Potential Next Steps for NIST | 4.NISTの潜在的な次のステップ |
| Appendix A. Existing Cybersecurity Resources | 附属書 A. 既存のサイバーセキュリティリソース |
| A.1. NIST Resources | A.1. NIST のリソース |
| A.2. Internal Support Provided by Institutions of Higher Education | A.2. 高等教育機関が提供する内部支援 |
| A.3. Research and Education Community Resources | A.3. 研究・教育コミュニティのリソース |
| Appendix B. Selected Bibliography | 附属書 B. 参考文献 |
Comments