NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント, NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

こんにちは、丸山満彦です。

NISTがICTリスクとERMを結ぶ、「SP800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント」とその補足文書である「NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合」の確定版を公表していますね。。。

2023.03に経済産業省からサイバーセキュリティ経営ガイドライン Ver 3.0 を公表したのですが、これはNISTのこの流れを踏まえてサイバーセキュリティリスクをERMの一部として考えることにより、経営全体の一部として経営者が取り組みやすいように考えたものなんです。。。

 

● NIST - ITL

・2023.11.17 NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio

 

NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio	NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント
Abstract	概要
All enterprises should ensure that information and communications technology (ICT) risk receives appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their ICT risk management (ICTRM). This can enable enterprises and their component organizations to better identify, assess, and manage their ICT risks in the context of their broader mission and business objectives. This document explains the value of rolling up and integrating risks that may be addressed at lower system and organizational levels to the broader enterprise level by focusing on the use of ICT risk registers as input to the enterprise risk profile.	すべてのエンタープライズは、エンタープライズリスクマネジメント（ERM）プログラムの中で、情報通信技術（ICT）リスクに適切な注意を払うようにすべきである。本文書は、エンタープライズ内の各組織がICTリスクマネジメント（ICTRM）を改善するのを支援することを意図している。これにより、エンタープライズとその構成組織は、より広範なミッションとビジネス目標との関連において、ICTリスクをより適切に識別、アセスメント、管理できるようになる。本文書は、エンタープライズ・リスク・プロファイルへのインプットとしての ICT リスク登録の使用に 焦点を当てることにより、より低いシステム及び組織レベルで対処される可能性のあるリスクを、 より広範なエンタープライズ・レベルにロールアップし統合することの価値を説明する。

 

・[PDF] NIST.SP.800-221

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブ・サマリー
All types of organizations, from corporations to federal agencies, face a broad array of risks. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [OMB-A11]. The effect of uncertainty on enterprise mission and business objectives may then be considered an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level — enterprise risk management (ERM) — calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio, rather than addressing risks only within silos” [OMB-A11]. OMB Circular A-123 “establishes an expectation for federal agencies to proactively consider and address risks through an integrated…view of events, conditions, or scenarios that impact mission achievement” [OMB-A123].	企業から連邦政府機関まで、あらゆる種類の組織が、広範なリスクに直面している。連邦政府機関については、OMB（Office of Management and Budget）通達A-11が、リスクを「目的に対する不確実性の影響」と定義している［OMB-A11］。そのため、エンタープライズのミッションや事業目標に対する不確実性の影響は、同様に管理されなければならない「エンタープライズリスク」と考えられる。エンタープライズとは、独自のリスクマネジメント責任を持つ階層の最上位に存在する組織である。そのレベルでリスクを管理すること、すなわちエンタープライズ・リスク・マネジメント（ERM）は、エンタープライズが直面する中核的なリスクを理解し、それらのリスクに対処する最善の方法を決定し、必要な措置を確実に講じることを求めている。連邦政府では、ERMは「サイロの中だけでリスクに対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解することにより、組織の重大なリスクの全領域に対処する効果的な全庁的アプローチ」［OMB-A11］と考えられている。OMB通達A-123は、「連邦政府機関が、ミッション達成に影響を与える事象、状況、シナリオを統合的に捉えることにより、リスクを積極的に検討し、対処することを求めている」［OMB-A123］。
The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of ICT risk disciplines that include privacy, supply chain, and cybersecurity. ICT includes a broad range of information and technology that extends far beyond traditional information technology considerations. For example, a growing number of enterprises rely on operational technology (OT) and IoT (Internet of Things) devices’ sensors or actuators bridging the physical world and the digital world. Increasingly, artificial intelligence (AI) factors into enterprise risk. NIST’s AI Risk Management Framework points out that “AI risk management should be integrated and incorporated into broader enterprise risk management strategies and processes. Treating AI risks along with other critical risks, such as cybersecurity and privacy, will yield a more integrated outcome and organizational efficiencies.”[1]	エンタープライズが依存する情報通信技術（ICT）は、プライバシー、サプライチェー ン、サイバーセキュリティを含む広範なICTリスク分野を通じて管理される。ICTには、従来の情報技術に関する検討事項をはるかに超える広範な情報と技術が含まれる。例えば、物理的世界とデジタル世界の橋渡しをするOT（オペレーション技術）やIoT（モノのインターネット）デバイスのセンサーやアクチュエーターに依存するエンタープライズが増えている。エンタープライズリスクに人工知能（AI）を取り込むケースも増えている。NISTのAIリスクマネジメントフレームワークは、「AIリスクマネジメントは、より広範なエンタープライズリスクマネジメント戦略とプロセスに統合され、組み込まれるべきである」と指摘している。AIリスクをサイバーセキュリティやプライバシーなど他の重要リスクとともに扱うことで、より統合された結果と組織の効率性が得られる」 。 [1]
This publication addresses OMB’s points above for ensuring that ERM considerations and decisions take an ICT portfolio perspective. This publication examines the relationships among ICT risk disciplines and enterprise risk practices. Notably, OMB has stressed the need for enterprise risk considerations and decisions to be based on a portfolio-wide perspective. Individual risk programs have an important role and must integrate activities as part of that enterprise portfolio. Doing so ensures a focus on achieving enterprise objectives and helps identify those risks that will have the most significant impact on the entity’s mission. This publication extends that NIST risk program guidance to recognize that risk extends beyond the boundaries of individual programs. There are extensive ICT risk considerations (e.g., Internet of Things, supply chain, privacy, cybersecurity) as well as risk management frameworks that support the management of a mosaic of interrelated risks. Effectively addressing these ICT risks at the enterprise level requires coordination, communication, and collaboration. This publication examines the relationships between ICT risk disciplines and enterprise risk practices.	本書は、ICTポートフォリオの視点に立ったERMの検討と決定を確保するためのOMBの上記の指摘に対応するものである。本書は、ICTリスク規律とエンタープライズリスク実務の関係を検証している。特にOMBは、エンタープライズ・リスクの検討と決定はポートフォリオ全体の視点に基づく必要性を強調している。個々のリスクプログラムには重要な役割があり、エンタープライズポートフォリオの一部として活動を統合しなければならない。そうすることで、エンタープライズ目標の達成に焦点を絞ることができ、事業体のミッションに最も大きな影響を与えるリスクを特定することができる。本書は、NISTリスクプログラムガイダンスを拡張し、リスクは個々のプログラムの境界を越えて拡大することを認識するものである。広範なICTリスク（モノのインターネット、サプライチェーンリスク、プライバシーリスク、サイバーセキュリティリスクなど）の検討や、相互に関連するモザイク状のリスクのマネジメントを支援するリスクマネジメントフレームワークが存在する。エンタープライズレベルでこれらのICTリスクに効果的に対処するには、調整、コミュニケーション、コラボレーションが必要である。本書では、ICTリスク分野とエンタープライズリスク実務の関係を検証する。
The broad set of ICT disciplines forms an adaptive system-of-systems composed of many interdependent components and channels. The resulting data represent information, control signals, and sensor readings. As with other complex systems-of-systems, the interconnectedness of these technologies produces system behaviors that cannot be determined by the behavior of individual components. That interconnectedness causes risks that exist between and across multiple risk programs. As systems become more complex, they present exploitable vulnerabilities, emergent risks, and system instabilities that — once triggered — can have a runaway effect with multiple severe and often irreversible consequences. In the contemporary enterprise, emergency and real-time circumstances can turn a relatively minor ICT-based risk into true operational risks that disrupt an organization’s ability to perform mission or business functions. Many organizations have applied traditional fault tolerance and resilience measures to support the availability of essential functions and services. Those measures themselves can introduce fragility and increase attack surface, as can system complexity (e.g., real-time control systems), so the enterprise may need to consider more advanced resilience techniques.	ICT分野の幅広いセットは、相互に依存し合う多くのコンポーネントとチャンネルで構成される適応システム・オブ・システムを形成している。結果として生じるデータは、情報、制御信号、センサーの読み取り値を表す。他の複雑なシステム・オブ・システムと同様に、これらの技術の相互接続性は、個々の構成要素の動作では決定できないシステム動作を生み出す。その相互接続性により、複数のリスクプログラム間、あるいは複数のリスクプログラムにまたがって存在するリスクが発生する。システムが複雑化するにつれて、脆弱性、顕在化リスク、システムの不安定性が顕在化し、一旦それが引き起こされると、複数の深刻でしばしば取り返しのつかない結果をもたらす暴走を引き起こす可能性がある。現代のエンタープライズでは、緊急時やリアルタイムの状況は、比較的軽微なICTベースのリスクを、組織のミッションやビジネス機能の遂行能力を混乱させる真のオペレーションリスクに変える可能性がある。多くの組織は、必要不可欠な機能やサービスの可用性をサポートするために、従来のフォールト・トレ ランスやレジリエンスを適用してきた。このような対策は、システムの複雑さ (たとえば、リアルタイム制御システム) と 同様に、それ自体が脆弱性をもたらし、攻撃サーフェスを増大させる可能性があるため、エンタープライズ は、より高度なレジリエンス技術を検討する必要があるかもしれない。
This publication supports an interconnected approach to risk frameworks and programs that address ICT risk areas (e.g., cybersecurity, privacy, supply chain) within an enterprise risk portfolio. This publication encourages the practice of aggregating and normalizing ICT risk information. Doing so helps to identify, quantify, and communicate risk scenarios and their consequences to support effective decision-making. This integrated approach ensures that shareholder and stakeholder value is quantified in financial, mission, and reputation metrics similar to those attributed to other (non-technical) enterprise risks, thereby enabling executives and officials to prudently reallocate resources among varied competing risk types.	本書は、エンタープライズリスクポートフォリオの中で ICT リスク分野（例えば、サイバーセキュリティ、 プライバシー、サプライチェーン）に対応するリスクフレームワーク及びプログラムに対する 相互連結的なアプローチを支援するものである。本書は、ICT リスク情報を集約し、正規化することを奨励する。そうすることで、リスクシナリオとその結果を識別、定量化、及びコミュニケー ションすることができ、効果的な意思決定を支援することができる。この統合的アプローチにより、株主及び利害関係者の価値が、他の（非テクニカルな）エ ンタープライズリスクと同様に、財務、ミッション、及びレピュテーションの指標で定量化されるこ とが保証され、それにより、経営幹部及び関係者は、様々な競合するリスクタイプ間で リソースを慎重に再配分することが可能となる。
While NIST is widely recognized as a source of cybersecurity guidance, cyber is only one portion of a large and complex set of risk types that also include financial, legal, legislative, safety, and strategic risks. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks. ERM provides the umbrella under which risks are aggregated and prioritized so that all risks can be evaluated and “stovepiped” risk reporting can be avoided. ERM also provides an opportunity to identify operational risk — a subset of enterprise risks that is so significant that potential losses could jeopardize one or more aspects of operations. Risk managers determine whether a failed internal process (related to enterprise people, processes, technology, or governance) may directly cause a significant operational impact. Some risk response activities directly protect mission operations. Enterprise leaders should define these operational risk parameters as part of enterprise risk strategy.	NISTはサイバーセキュリティに関するガイダンスの情報源として広く認知されているが、サイバーは、財務リスク、法的リスク、立法リスク、安全リスク、戦略リスクなど、大規模かつ複雑なリスク群の一部分に過ぎない。ERMプログラムの一環として、シニアリーダー（例えば、会社役員、政府の上級幹部職員）は、他の組織の利害関係者にはない受託責任や報告責任を負うことが多いため、複合的なリスクを総合的に管理する独自の責任を負う。ERMは、すべてのリスクを評価し、「縦割り」のリスク報告を避けることができるように、リスクを集約し、優先順位をつけるための傘を提供する。ERMはまた、オペレーショナル・リスク（潜在的な損失がオペレーションの1つ以上の側面を危険にさらす可能性があるほど重大なエンタープライズ・リスクのサブセット）を識別する機会も提供する。リスクマネジメントは、社内プロセス（エ ンタープライズの人材、プロセス、テクノロジー、またはガバナンスに関連する）の失敗が、直接的に業務に重大な影響を及ぼすかどうかを判断する。リスク対応活動の中には、ミッション業務を直接的に保護するものもある。エンタープライズリーダーは、エンタープライズリスク戦略の一環として、これらのオペレーショナルリスクパラメータを定義すべきである。
This publication explores the high-level ICT risk management (ICTRM) process illustrated by Fig. 1. Many resources — such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), OMB circulars, and the International Organization for Standardization (ISO) — document ERM frameworks and processes. They generally include similar approaches: identify context, identify risk, analyze risk, estimate risk importance, determine and execute the risk response, and identify and respond to changes over time. The process recognizes that no risk response should occur without understanding stakeholder expectations for managing risk to an acceptable level, as informed by leadership’s risk appetite and risk tolerance statements.	本書では、図1に示すハイレベルのICTリスクマネジメント（ICTRM）プロセスについて検討 する。COSO（Committee of Sponsoring Organizations：支援組織委員会）、OMB通達、ISO（International Organization for Standardization：国際標準化機構）の有名なフレームワークなど、多くのリソースがERMのフレームワークとプロセスを文書化している。これらのフレームワークには一般的に、「コンテキストの特定」、「リスクの特定」、「リスクの分析」、「リスクの重要性の見積もり」、「リスク対応の決定と実行」、「経年変化の特定と対応」という類似のアプローチが含まれている。このプロセスでは、リーダーシップのリスク選好度及びリスク許容度の声明によって知らされる、リスクを許容可能なレベルにマネジメントすることに対する利害関係者の期待を理解することなしに、リスク対応は行われるべきではないことを認識する。
To ensure that leaders can be provided with a composite understanding of the various threats and consequences each organization and enterprise faces, risk information is recorded and shared through risk registers.[2] At higher levels in the enterprise structure, various risk registers (including those related to ICTRM) are aggregated, normalized, and prioritized into risk profiles.	各組織とエンタープライズが直面する様々な脅威とその結果について、リーダーが複合的な 理解を提供できるようにするため、リスク情報はリスク登録簿を通じて記録され、共有される [2] エンタープライズ構造のより高いレベルでは、様々なリスク登録簿（ICTRM に関連するものを含む）が集約され、正規化され、リスクプロファイルに優先順位付けされる。
Fig. 1. ICTRM integration cycle	図1.ICTRM統合サイクル
While it is critical for an enterprise to address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats)” [OMB-A123].	エンタープライズにとって、ミッションや事業目標への潜在的な負の影響に対処することは極めて重要であるが、エンタープライズが成功に向けて計画を立てることも同様に重要である（連邦政府機関にとっては必須である）。OMBは、「[エンタープライズ・リスク]プロフィールは、プラス（機会）とマイナス（脅威）の両方の不確実性の原因を特定しなければならない」と述べている[OMB-A123]。
Enterprise-level decision makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM strategy includes defining terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.	エンタープライズレベルの意思決定者は、リスクプロファイルを用いて、対応すべきエンタープライズリスクを選択し、リソースを配分し、適切なリスク所有者に責任を委譲する。ERM戦略には、用語、形式、基準、及びエンタープライズ下層からのリスクインプットに関するその他のガイダンスを定義することが含まれる。
Integrating risk management information from throughout the enterprise supports a full-scope enterprise risk register (ERR) and a prioritized enterprise risk profile (ERP). These artifacts enhance ERM deliberations, decisions, and actions. Integrating this information enables the inclusion of ICT risks (including various operational technology, supply chain, privacy, and cybersecurity risks) as part of financial, valuation, mission, and reputation exposure. A comprehensive ERR and ERP support communication and disclosure requirements. The integration of technology-specific risk management activities supports an understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. The iterative ICTRM process enables adjustments to risk management direction. As leaders receive feedback regarding enterprise progress, strategy can be adjusted to take advantage of an opportunity or to better address negative risks as information is collected and shared.	エンタープライズ全体のリスクマネジメント情報を統合することで、全範囲のエンタープライズリスクレジスター（ERR）と優先順位付けされたエンタープライズリスク・プロファイル（ERP）をサポートする。これらの成果物は、ERMの審議、決定、及び行動を強化する。これらの情報を統合することにより、財務、評価、ミッション、及びレピュテーションのエクスポージャーの一部として、ICTリスク（様々なオペレーショナルテクノロジー、サプライチェーン、プライバシー、及びサイバーセキュリティリスクを含む）を含めることが可能となる。包括的なERRとERPは、コミュニケーションと情報開示の要件をサポートする。技術固有のリスクマネジメント活動の統合は、企業報告（損益計算書、貸借対照表、 キャッシュフロー等）及び公共部門事業体の類似の要求事項（処分及び監督当局への 報告等）に関連するエクスポージャーの理解を支援する。反復的なICTRMプロセスにより、リスクマネジメントの方向性を調整することができる。リーダーがエンタープライズの進捗状況についてフィードバックを受けると、情報が収集され共有されるにつれて、戦略を調整して好機を生かしたり、ネガティブリスクによりよく対処したりすることができる。
Applying a consistent approach to identify, assess, respond to, and communicate risk throughout the enterprise about the entire portfolio of ICT risk disciplines will help ensure that leaders and executives are accurately informed and able to support effective strategic and tactical decisions. While the methods for managing risk among different disciplines will vary widely, an ICT-wide approach to directing risk management, reporting and monitoring the results, and adjusting to optimize the achievement of enterprise objectives will provide valuable benefits.	ICTリスク分野のポートフォリオ全体について、エンタープライズ全体でリスクを特定、アセスメント、 対応、及びコミュニケーションするための一貫したアプローチを適用することは、リーダー及び経営幹部 が正確な情報を入手し、効果的な戦略的及び戦術的意思決定を支援できるようにするのに役立つ。各分野におけるリスクマネジメントの方法は多岐にわたるが、リスクマネジメントを指揮し、 結果を報告し、監視し、エンタープライズ目標の達成を最適化するために調整するための ICT 全体のアプローチは、価値ある利益をもたらす。

 

[1] The NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) is available at https://doi.org/10.6028/NIST.AI.100-1.	[1] NIST人工知能リスクマネジメントフレームワーク（AI RMF 1.0）はhttps://doi.org/10.6028/NIST.AI.100-1。
[2] OMB Circular A-11 defines a risk register as “a repository of risk information including the data understood about risks over time”  [OMB-A11].	[2] OMB通達A-11では、リスク登録簿を「経時的にリスクについて理解されるデータを含むリスク情報のリポジトリ」と定義している[OMB-A11]。

 

 

---

 

・2023.11.17 NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio

 

NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio	NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合
Abstract	概要
The increasing frequency, creativity, and severity of technology attacks means that all enterprises should ensure that information and communications technology (ICT) risk is receiving appropriate attention within their enterprise risk management (ERM) programs. Specific types of ICT risk include, but are not limited to, cybersecurity, privacy, and supply chain. This document provides a framework of outcomes that applies to all types of ICT risk. It complements NIST Special Publication (SP) 800-221, Enterprise Impact of Information and Communications Technology Risk, which focuses on the use of risk registers to communicate and manage ICT risk.<	テクノロジー攻撃の頻度、創造性、及び重大性が増していることから、すべてのエンタープライズは、情報通信技術（ICT）リスクが企業リスクマネジメント（ERM）プログラムの中で適切な注意を払っていることを確認する必要がある。ICTリスクの具体的な種類としては、サイバーセキュリティ、プライバシー、サプライチェーンなどが挙げられるが、これらに限定されるものではない。本文書は、あらゆる種類の ICT リスクに適用される成果のフレームワークを提供する。これは、NIST 特別刊行物（SP）800-221「情報通信技術のリスクのエンタープライズへの影響」を補完するものであり、ICT リスクを伝達しマネジメントするためのリスク登録の使用に焦点を当てている。

 

・[PDF] NIST.SP.800-221A

 

・[DOCX] 仮訳

 

 

 

---

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.25 NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響：エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果：ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

 

経営ガイドライン Veer3.0

・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

 

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見