NIST SP 800-92 Rev.1（初期公開ドラフト） サイバーセキュリティ・ログ管理計画ガイド

こんにちは、丸山満彦です。

ゼロトラストについても、いろいろと実装が進みつつある中...2006.11.30に制定されたログ管理のNIST SP800-92 Computer Log Maagement Planning Guideの改定草案が交付されましたね。。。実に17年ぶりに改訂案です！！！ついでに、コンピュータセキュリティからサイバーセキュリティに変更しています。。。

附属書BはSP800-53r5、CSF1.1、EO14028 [NIST-CRSW]とのマッピング表ですね。。。

● NIST - ITL

・2023.10.11 NIST SP 800-92 Rev. 1 (Initial Public Draft) Cybersecurity Log Management Planning Guide

NIST SP 800-92 Rev. 1 (Initial Public Draft) Cybersecurity Log Management Planning Guide	NIST SP 800-92 Rev.1（初期公開ドラフト） サイバーセキュリティ・ログ管理計画ガイド
Announcement	発表
Log management is the process for generating, transmitting, storing, accessing, and disposing of log data. It facilitates log usage and analysis for many purposes, including identifying and investigating cybersecurity incidents, finding operational issues, and ensuring that records are stored for the required period of time.	ログ管理とは、ログデータの生成、送信、保存、アクセス、廃棄のプロセスである。ログ管理は、サイバーセキュリティインシデントの特定と調査、運用上の問題の発見、必要な期間の記録の保存の確保など、多くの目的でログの使用と分析を容易にする。
This document defines a playbook to help any organization plan improvements to its cybersecurity log management practices in support of regulatory requirements and recommended practices. While the playbook is not comprehensive, the listed plays are noteworthy and generally beneficial for cybersecurity log management planning by organizations.	この文書では、あらゆる組織が規制上の要件や推奨される慣行をサポートするために、サイバーセキュリティのログ管理慣行の改善を計画するのに役立つプレイブックを定義する。このプレイブックは包括的なものではないが、記載されているプレイは注目に値するものであり、組織によるサイバーセキュリティ・ログ管理の計画にとって一般的に有益なものである。
Abstract	概要
A log is a record of events that occur within an organization’s computing assets, including physical and virtual platforms, networks, services, and cloud environments. Log management is the process for generating, transmitting, storing, accessing, and disposing of log data. It facilitates log usage and analysis for many purposes, including identifying and investigating cybersecurity incidents, finding operational issues, and ensuring that records are stored for the required period of time. This document defines a playbook intended to help any organization plan improvements to its cybersecurity log management.	ログとは、物理・仮想プラットフォーム、ネットワーク、サービス、クラウド環境など、組織のコンピューティング資産内で発生したイベントの記録である。ログ管理は、ログデータの生成、送信、保存、アクセス、廃棄のプロセスである。ログ管理は、サイバーセキュリティインシデントの特定と調査、運用上の問題の発見、必要な期間の記録の保存の確保など、多くの目的でのログの使用と分析を容易にする。この文書では、あらゆる組織がサイバーセキュリティのログ管理の改善を計画するのに役立つことを目的としたプレイブックを定義する。

 

・[PDF] NIST.SP.800-92r1.ipd

 

主に意見を聞きたいところ...

NIST welcomes public comments on any aspect of this publication, including the following questions asked on behalf of the Office of Management and Budget (OMB) and the Cybersecurity and Infrastructure Security Agency (CISA):	NIST は、行政管理予算局（OMB）及びサイバーセキュリティ・インフラストラクチャ・セキュリティ庁 （CISA）に代わって行った以下の質問を含め、本書のあらゆる側面についてパブリックコメントを歓迎する：
1. This revision is informed by NIST SP 800-207 and the NCCoE’s Zero Trust Architecture project calling out data analytics for zero trust purposes. Should the scope of this publication be expanded to directly support and map to zero trust?	1. 本改訂は、NIST SP 800-207 および NCCoE のゼロトラストアーキテクチャプロジェクトが、ゼロトラスト目的のデータ分析を呼びかけていることに基づいている。ゼロトラストを直接サポートし、ゼロトラストに対応させるために、本書の範囲を拡大すべきか。
2. Should this publication be expanded to include log management implementation guidance?	2. 本書の範囲を拡大し、ログ管理の実装ガイダンスを含めるべきか。
3. Are there additional considerations for different types of log sources that should be included in this publication (e.g., on-premises, cloud, managed services, or hybrid)?	3. 本書に含めるべき、さまざまな種類のログソース（オンプレミス、クラウド、マネージドサービス、 ハイブリッドなど）に関する追加的な考慮事項はあるか。
4. Should the standardization of log management planning to facilitate the sharing of cyber threats or incidents be included?	4. サイバー脅威やインシデントの共有を促進するためのログ管理計画の標準化を含めるべきか。
5. Should guidance on how to determine the purposefulness of logging categories and types be included?	5. ロギングのカテゴリーや種類の目的性を判断する方法に関するガイダンスを含めるべきか。
6. Should guidance for determining storage retention periods be included?	6. 保存期間を決定するためのガイダンスを含めるべきか。
7. Should this publication address how new technologies may change log management planning (e.g., blockchains, zero trust, generative AI, quantum computing)?	7. この出版物は、新しい技術がログ管理計画をどのように変える可能性があるか（ブロックチェーン、ゼロトラスト、生成的AI、量子コンピューティングなど）を取り上げるべきか。
8. Should this publication address how and which major triggers may necessitate reviewing or changing log management plans?	8. 本書は、ログ管理計画の見直しや変更が必要となる可能性のある重大な誘因について、どのように、 どのように取り上げるべきか。
9. Should this publication address storage costs and offer guidance on prioritizations and trade-offs for cost-effective log management planning?	9. 本書は、保管コストに言及し、費用対効果の高いログ管理計画の優先順位付けとトレードオフに関するガイダンスを提供すべきか。

 

目次...

Executive Summary	要旨
1. Introduction	1. はじめに
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Requirements for Federal Agencies	1.2. 連邦政府機関に対する要求事項
1.3. Publication Structure	1.3. 本書の構成
2. How to Use This Publication	2. 本書の使用方法
3. INV, Update Logging-Related Inventories	3. INV ロギング関連インベントリの更新
3.1. INV-1, Update the Inventory of Log Source Types	3.1. INV-1 ログソースタイプ・インベントリの更新
3.2. INV-2, Update the Logging Infrastructure Inventory	3.2. INV-2 ロギングインフラストラクチャ・インベントリの更新
3.3. INV-3, Update the Logging Use Case Inventory	3.3. INV-3 ロギングユースケース・インベントリの更新
3.4. INV-4, Update the Requirements Inventory	3.4. INV-4 要求事項インベントリの更新
3.5. INV-5, Update the Work Role Inventory	3.5. INV-5 作業役割インベントリの更新
4. TS, Define Target State	4. TS 目標状態の定義
4.1. TS-1, Forecast Future Changes to Logging Inventories	4.1. TS-1 ロギングインベントリに対する将来の変更を予測する
4.2. TS-2, Define Target State for Log Generation	4.2. TS-2 ログ生成の目標状態を定義する
4.3. TS-3, Define Target State for Log Storage and Transfer	4.3. TS-3 ログの保管と転送の目標状態を定義する
4.4. TS-4, Define Target State for Log Access	4.4. TS-4 ログアクセスの目標状態の定義
4.5. TS-5, Define Target State for Log Disposal	4.5. TS-5 ログ破棄の目標状態の定義
5. GRC, Document Gaps and Their Root Causes	5. GRC ギャップとその根本原因を文書化する
5.1. GRC-1, Scope and Plan the Assessment	5.1. GRC-1 評価の範囲と計画
5.2. GRC-2, Conduct the Assessment and Document Findings	5.2. GRC-2 アセスメントの実施と結果の文書化
6. PMG, Develop a Plan to Mitigate the Gaps	6. PMG ギャップを軽減するための計画の策定
6.1. PMG-1, Draft the Plan	6.1. PMG-1 計画の立案
6.2. PMG-2, Revise Affected Policies	6.2. PMG-2 影響を受ける方針の修正
6.3. PMG-3, Address Feedback on Draft Plan and Policies	6.3. PMG-3 計画案と方針に関するフィードバックへの対応
References	参考文献
Appendix A. Glossary	附属書A. 用語集
Appendix B. Crosswalk to NIST Guidance and Frameworks	附属書B. NISTガイダンス及びフレームワークとのクロスウォーク
Appendix C. Change Log	附属書C. 変更記録

 

エグゼクティブサマリー...

Executive Summary	要旨
A log is a record of the events that occur within an organization’s computing assets, including physical and virtual platforms, networks, services, and cloud environments. Log management is the process for generating, transmitting, storing, accessing, and disposing of log data. It facilitates log usage and analysis for many purposes, including identifying and investigating cybersecurity incidents, finding operational issues, and ensuring that records are stored for the required period of time. Logging and log management practices are part of many cybersecurity and privacy-related laws and regulations. They are also an important part of numerous standards, guidance, and other sets of recommendations for every sector.	ログとは、物理・仮想プラットフォーム、ネットワーク、サービス、クラウド環境など、組織のコンピューティング資産内で発生したイベントの記録である。ログ管理は、ログデータの生成、送信、保存、アクセス、廃棄のプロセスである。サイバーセキュリティインシデントの特定と調査、運用上の問題の発見、必要な期間の記録保存の確保など、多くの目的でログの使用と分析を容易にする。ロギングとログ管理の実践は、多くのサイバーセキュリティとプライバシー関連の法律と規制の一部である。また、あらゆる分野の数多くの標準、ガイダンス、その他の推奨事項の重要な一部でもある。
The purpose of this document is to help all organizations improve their log management so that they have the log data they need. This document’s scope is organization-wide cybersecurity log management planning; all other aspects of logging and log management are out of scope. The document defines a playbook for cybersecurity log management planning with actionable steps that organizations can take for planning improvements to their log management practices. While the plays in the playbook are not comprehensive, they are noteworthy and generally beneficial to organizations. The plays intentionally avoid any recommendations on the details of log management. Log management needs are incredibly variable from one organization to another and frequently change.	この文書の目的は、すべての組織がログ管理を改善し、必要なログデータを取得できるようにすることである。この文書の対象範囲は、組織全体のサイバーセキュリティのログ管理計画であり、ロギングとログ管理の他のすべての側面は対象範囲外である。この文書では、サイバーセキュリティのログ管理計画のためのプレイブックを定義し、組織がログ管理慣行の改善を計画するために実行可能な手順を示している。プレイブックは包括的なものではないが、注目すべきものであり、一般的に組織にとって有益なものである。このプレイブックでは、ログ管理の詳細に関する推奨は意図的に避けている。ログ管理のニーズは、組織によって驚くほど様々であり、頻繁に変化する。
This playbook can help organizations identify and prioritize their needs and determine how to best meet those needs. There is no “correct” way for an organization to use the playbook. An organization may choose to use it as the start of its own new playbook for log management planning, integrate it with an existing log management playbook, or use its information as reference material when considering its plans, policies, and processes.	このプレイブックは、組織がニーズを特定し、優先順位を付け、そのニーズを満たす最善の方法を決定するのに役立つ。組織がこのプレイブックを使うのに「正しい」方法はない。組織は、ログ管理計画のための独自の新しいプレイブックの始まりとして使用することも、既存のログ管理プレイブックと統合することも、計画、方針、プロセスを検討する際の参考資料としてこの情報を使用することもできる。

 

附属書B. NISTガイダンス及びフレームワークとのクロスウォークを元に。。。

Play		MST SP 800-53, Rev. 5 [SP800-53r5]	CSF 1.1 [CSF1.1]	EO 14028 Security Measures [NIST-CRSW]
3. INV, Update Logging-Related Inventories	3. INV ロギング関連インベントリの更新
3.1. INV-1, Update the Inventory of Log Source Types	3.1. INV-1 ログソースタイプ・インベントリの更新	AU-2, AU-12, CM-2, CM-6, CM 8	ID.AM-2, ID.AM-4	SM 1.3, SM 2.1, SM 3.1, SM 3.3
3.2. INV-2, Update the Logging Infrastructure Inventory	3.2. INV-2 ロギングインフラストラクチャ・インベントリの更新	CM-8	ID.AM-I, ID.AM-2, ID.AM-4	SM 2.1, SM 3.1
3.3. INV-3, Update the Logging Use Case Inventory	3.3. INV-3 ロギングユースケース・インベントリの更新	AU-I	ID.GV-I	SM 1.3
3.4. INV-4, Update the Requirements Inventory	3.4. INV-4 要求事項インベントリの更新	AU-I, AU 2	ID.GV-3	N/A
3.5. INV-5, Update the Work Role Inventory	3.5. INV-5 作業役割インベントリの更新	AU-I	ID.AM-6	SM 5.1, SM 5.2
4. TS, Define Target State	4. TS 目標状態の定義
4.1. TS-1, Forecast Future Changes to Logging Inventories	4.1. TS-1 ロギングインベントリに対する将来の変更を予測する	AU-I	ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4	SM 4.1
4.2. TS-2, Define Target State for Log Generation	4.2. TS-2 ログ生成の目標状態を定義する	AU-I	ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4	SM 4.1
4.3. TS-3, Define Target State for Log Storage and Transfer	4.3. TS-3 ログの保管と転送の目標状態を定義する	AU-I	ID.GV-I, ID.GV-2, ID.GV-3, ID.Gv-4	SM 4.1
4.4. TS-4, Define Target State for Log Access	4.4. TS-4 ログアクセスの目標状態の定義	AU-I	ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4	SM 4.1
4.5. TS-5, Define Target State for Log Disposal	4.5. TS-5 ログ破棄の目標状態の定義	AU-I	ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4	SM4.1
5. GRC, Document Gaps and Their Root Causes	5. GRC ギャップとその根本原因を文書化する
5.1. GRC-1, Scope and Plan the Assessment	5.1. GRC-1 評価の範囲と計画	RA-I	ID.RM-I	SM 4.1
5.2. GRC-2, Conduct the Assessment and Document Findings	5.2. GRC-2 アセスメントの実施と結果の文書化	RA-3	ID.RA-I, ID.RA-2, ID.RA-3, ID.RA-4, ID.RA-5	SM 4.1
6. PMG, Develop a Plan to Mitigate the Gaps	6. PMG ギャップを軽減するための計画の策定
6.1. PMG-1, Draft the Plan	6.1. PMG-1 計画の立案	AU-I, RA 7	ID.RA-6	SM 4.1
6.2. PMG-2, Revise Affected Policies	6.2. PMG-2 影響を受ける方針の修正	AU-1	ID.GV-I, ID.GV-4	SM 4.1
6.3. PMG-3, Address Feedback on Draft Plan and Policies	6.3. PMG-3 計画案と方針に関するフィードバックへの対応	AU-I, RA 7	ID.GV-I, ID.GV-4, ID.RA-6	SM 4.1