米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0
こんにちは、丸山満彦です。
サイバーセキュリティフレームワーク 2.0が公開されましたね...
本体はこちら...
・[PDF] The NIST Cybersecurity Framework (CSF) 2.0
・[DOCX] 仮訳
・[PDF] 仮訳
↑ ちょっと直しました...
● NIST
プレス...
・2024.02.26 NIST Releases Version 2.0 of Landmark Cybersecurity Framework
NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NISTは、重要となるサイバーセキュリティフレームワークのバージョン2.0をリリースした。 |
The agency has finalized the framework’s first major update since its creation in 2014. | NISTは、2014年のフレームワーク策定以来初めてとなる大幅な更新をした。 |
・NIST’s cybersecurity framework (CSF) now explicitly aims to help all organizations — not just those in critical infrastructure, its original target audience — to manage and reduce risks. | ・NISTのサイバーセキュリティフレームワーク(CSF)は、当初の対象であった重要インフラ関係者だけでなく、すべての組織がリスクをマネジメントし、低減できるようにすることを明確に目指している。 |
・NIST has updated the CSF’s core guidance and created a suite of resources to help all organizations achieve their cybersecurity goals, with added emphasis on governance as well as supply chains. | ・NISTは、CSFのコア・ガイダンスを更新し、サプライチェーンだけでなくガバナンスにも重点を置いて、すべての組織がサイバーセキュリティの目標を達成するのを支援する一連のリソースを作成した。 |
・This update is the outcome of a multiyear process of discussions and public comments aimed at making the framework more effective. | ・この更新は、フレームワークをより効果的なものにすることを目的とした、複数年にわたる議論とパブリックコメントのプロセスの成果である。 |
More roads lead to NIST’s updated cybersecurity framework, which now features quick-start guides aimed at specific audiences, success stories outlining other organizations’ implementations, and a searchable catalog of informative references that allows users to cross-reference the framework’s guidance to more than 50 other cybersecurity documents. | NISTのサイバーセキュリティフレームワークの更新にはさらに多くの道があり、特定の対象者を対象としたクイックスタート・ガイド、他組織の導入事例を紹介するサクセス・ストーリー、フレームワークのガイダンスを50以上の他のサイバーセキュリティ文書と相互参照できる有益な参考文献の検索可能なカタログなどが掲載されている。 |
The National Institute of Standards and Technology (NIST) has updated the widely used Cybersecurity Framework (CSF), its landmark guidance document for reducing cybersecurity risk. The new 2.0 edition is designed for all audiences, industry sectors and organization types, from the smallest schools and nonprofits to the largest agencies and corporations — regardless of their degree of cybersecurity sophistication . | 国立標準技術研究所(NIST)は、サイバーセキュリティのリスクを低減するための画期的なガイダンス文書であり、広く使用されているサイバーセキュリティフレームワーク(CSF)を更新した。新しい2.0版は、サイバーセキュリティの洗練度に関係なく、小規模な学校や非営利団体から大規模な機関や企業まで、あらゆる対象者、業種、組織タイプ向けに設計されている。 |
In response to the numerous comments received on the draft version, NIST has expanded the CSF’s core guidance and developed related resources to help users get the most out of the framework. These resources are designed to provide different audiences with tailored pathways into the CSF and make the framework easier to put into action. | ドラフト版に対して寄せられた多くのコメントを受けて、NIST は CSF のコア・ガイダンスを拡張し、ユーザがフレームワークを最大限に活用できるよう、関連リソースを開発した。これらのリソースは、さまざまな対象者に対して、CSFへの入り口を提供し、フレームワークをより簡単に実行に移せるように設計されている。 |
“The CSF has been a vital tool for many organizations, helping them anticipate and deal with cybersecurity threats,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “CSF 2.0, which builds on previous versions, is not just about one document. It is about a suite of resources that can be customized and used individually or in combination over time as an organization’s cybersecurity needs change and its capabilities evolve.” | 「標準技術担当商務次官兼 NIST 長官のローリー・E・ロカシオ(Laurie E. Locascio)氏は、次のように述べている。「CSF は、多くの組織にとって不可欠なツールであり、サイバーセキュリティの脅威を予測し、対処するのに役立ってきた。旧バージョンをベースとする CSF 2.0 は、単なる 1 つの文書ではない。組織のサイバーセキュリティのニーズが変化し、その能力が進化するにつれて、個別に、あるいは組み合わせてカスタマイズして使用することができる一連のリソースである。」 |
The CSF 2.0, which supports implementation of the National Cybersecurity Strategy, has an expanded scope that goes beyond protecting critical infrastructure, such as hospitals and power plants, to all organizations in any sector. It also has a new focus on governance, which encompasses how organizations make and carry out informed decisions on cybersecurity strategy. The CSF’s governance component emphasizes that cybersecurity is a major source of enterprise risk that senior leaders should consider alongside others such as finance and reputation. | 国家サイバーセキュリティ戦略の実施を支援するCSF 2.0は、病院や発電所などの重要インフラを保護するだけでなく、あらゆるセクターのすべての組織に範囲を拡大している。また、ガバナンスにも新たに焦点が当てられており、組織がサイバーセキュリティ戦略について十分な情報を得た上で意思決定を行い、実行する方法を網羅している。CSF のガバナンスの構成要素は、サイバーセキュリティがエンタープライズ・リスクの主要な要因であり、上級管理者は財務やレピュテーションなどの他のリスクと並んで考慮すべきものであることを強調している。 |
“Developed by working closely with stakeholders and reflecting the most recent cybersecurity challenges and management practices, this update aims to make the framework even more relevant to a wider swath of users in the United States and abroad,” according to Kevin Stine, chief of NIST’s Applied Cybersecurity Division. | NISTの応用サイバーセキュリティ部門のケビン・スタイン主任は、次のように述べている。「利害関係者と緊密に協力し、最新のサイバーセキュリティ上の課題や管理手法を反映して開発されたこの更新版は、米国内外の幅広いユーザーにとって、より適切なフレームワークとなることを目指している。」 |
Following a presidential Executive Order, NIST first released the CSF in 2014 to help organizations understand, reduce and communicate about cybersecurity risk. The framework’s core is now organized around six key functions: Identify, Protect, Detect, Respond and Recover, along with CSF 2.0’s newly added Govern function. When considered together, these functions provide a comprehensive view of the life cycle for managing cybersecurity risk. | 大統領令に従い、NISTは組織がサイバーセキュリティ・リスクを理解し、削減し、コミュニケーションすることを支援するために、2014年に初めてCSFを発表した。現在、フレームワークの中核は6つの主要機能で構成されている: Identify(識別)、Protect(防御)、Detect(検知)、Respond(対応)、Recover(復旧)の機能に、CSF 2.0 で新たに追加された Govern(ガバナンス)機能を加えたものである。これらの機能を合わせて考えることで、サイバーセキュリティリスクマネジメントのライフサイクルを包括的に捉えることができる。 |
The updated framework anticipates that organizations will come to the CSF with varying needs and degrees of experience implementing cybersecurity tools. New adopters can learn from other users’ successes and select their topic of interest from a new set of implementation examples and quick-start guides designed for specific types of users, such as small businesses, enterprise risk managers, and organizations seeking to secure their supply chains. | 更新されたフレームワークは、さまざまなニーズやサイバーセキュリティ・ツールの導入経験を持つ組織が CSF を導入することを想定している。新規採用者は、他のユーザーの成功事例から学び、中小企業、エンタープライズリスクマネジメント、サプライチェーンの安全性を確保しようとする組織など、特定のタイプのユーザー向けに設計された新しい導入事例とクイックスタートガイドのセットから関心のあるトピックを選択することができる。 |
A new CSF 2.0 Reference Tool now simplifies the way organizations can implement the CSF, allowing users to browse, search and export data and details from the CSF’s core guidance in human-consumable and machine-readable formats. | 新しい CSF 2.0 リファレンス・ツールは、組織が CSF を実施する方法を簡素化し、ユーザが CSF のコア・ガイダンスのデータや詳細を、人間が読め、機械が読める形式で閲覧、検索、エクスポートできるようにした。 |
In addition, the CSF 2.0 offers a searchable catalog of informative references that shows how their current actions map onto the CSF. This catalog allows an organization to cross-reference the CSF’s guidance to more than 50 other cybersecurity documents, including others from NIST, such as SP 800-53 Rev. 5, a catalog of tools (called controls) for achieving specific cybersecurity outcomes. | さらに、CSF 2.0 は、現在の行動が CSF にどのようにマッピングされるかを示す、有益な参考文献の検索可能なカタログを提供している。このカタログによって、組織は、CSF のガイダンスを、特定のサイバーセキュリティの成果を達成するためのツール(コントロールと呼ばれる)のカタログである SP 800-53 Rev. 5 など、NIST の他の文書を含む 50 以上の他のサイバーセキュリティ文書と相互参照することができる。 |
Organizations can also consult the Cybersecurity and Privacy Reference Tool (CPRT), which contains an interrelated, browsable and downloadable set of NIST guidance documents that contextualizes these NIST resources, including the CSF, with other popular resources. And the CPRT offers ways to communicate these ideas to both technical experts and the C-suite, so that all levels of an organization can stay coordinated. | 組織は、サイバーセキュリティとプライバシー・リファレンス・ツール(CPRT)を参照することもできる。CPRT には、CSF を含むこれらの NIST リソースと他の一般的なリソースを相互に関連付け、閲覧可能でダウンロード可能な NIST ガイダンス文書一式が含まれている。また、CPRTは、これらのアイデアを技術専門家と経営幹部の双方にコミュニケーションする方法を提供しており、組織の全レベルが調整を維持できるようになっている。 |
NIST plans to continue enhancing its resources and making the CSF an even more helpful resource to a broader set of users, Stine said, and feedback from the community will be crucial. | NISTは今後もリソースを強化し、CSFをより広範なユーザーに役立つリソースにしていく予定であり、コミュニティからのフィードバックは非常に重要であるとスタイン氏は述べた。 |
“As users customize the CSF, we hope they will share their examples and successes, because that will allow us to amplify their experiences and help others,” he said. “That will help organizations, sectors and even entire nations better understand and manage their cybersecurity risk.” | 「ユーザーがCSFをカスタマイズする際に、その事例や成功例を共有してくれることを期待している。「そうすることで、組織やセクター、さらには国全体がサイバーセキュリティ・リスクをよりよく理解し、マネジメントできるようになる。 |
The CSF is used widely internationally; Versions 1.1 and 1.0 have been translated into 13 languages, and NIST expects that CSF 2.0 also will be translated by volunteers around the world. Those translations will be added to NIST’s expanding portfolio of CSF resources. Over the last 11 years, NIST’s work with the International Organization for Standardization (ISO), in conjunction with the International Electrotechnical Commission (IEC), has helped to align multiple cybersecurity documents. ISO/IEC resources now allow organizations to build cybersecurity frameworks and organize controls using the CSF functions. NIST plans to continue working with ISO/IEC to continue this international alignment. | CSF は国際的に広く使用されており、バージョン 1.1 および 1.0 は 13 の言語に翻訳されている。これらの翻訳は、NIST の拡大する CSF リソース・ポートフォリオに追加される予定である。過去 11 年間にわたり、NIST は国際標準化機構(ISO)と協力し、国際電気標準会議(IEC)と連携して、複数のサイバーセキュリティ文書の整合を図ってきた。ISO/IEC のリソースにより、組織はサイバーセキュリティフレームワークを構築し、CSF の機能を使用して制御を整理できるようになった。NIST は、ISO/IEC と協力して、この国際的な整合を継続する計画である。 |
NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0
・2024.02.26 NIST CSWP 29 The NIST Cybersecurity Framework (CSF) 2.0
Abstract | 概要 |
The NIST Cybersecurity Framework (CSF) 2.0 provides guidance to industry, government agencies, and other organizations to manage cybersecurity risks. It offers a taxonomy of high-level cybersecurity outcomes that can be used by any organization — regardless of its size, sector, or maturity — to better understand, assess, prioritize, and communicate its cybersecurity efforts. The CSF does not prescribe how outcomes should be achieved. Rather, it links to online resources that provide additional guidance on practices and controls that could be used to achieve those outcomes. This document describes CSF 2.0, its components, and some of the many ways that it can be used. | NIST サイバーセキュリティフレームワーク(CSF)2.0 は、産業界、政府機関、その他の組織がサイバーセキュリティリスクを管理するためのガイダンスを提供する。CSF 2.0 は、サイバーセキュリティの取り組みをよりよく理解し、評価し、優先順位を付け、コミュニケーションするために、組織の規模や業種、成熟度に関係なく、あらゆる組織が利用できる高レベルのサイバーセキュリティ成果の分類法を提供するものである。CSFは、成果をどのように達成すべきかを規定するものではない。むしろ、そのような成果を達成するために使用可能な実践とコントロールに関する追加ガイダンスを提供するオンラインリソースにリンクしている。本文書では、CSF 2.0 とその構成要素、および CSF 2.0 を利用するためのさまざまな方法について説明する。 |
本体...
・[PDF] The NIST Cybersecurity Framework (CSF) 2.0
補足資料
・・[PDF] NIST Cybersecurity Framework 2.0: RESOURCE & OVERVIEW GUIDE
組織プロファイルの作成・利用ガイド
・[PDF] NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles
ドラフト段階ですが...
コミュニティー・プロファイルの作成ガイド...
・[PDF] NIST CSWP 32 ipd NIST Cybersecurity Framework 2.0: A Guide to Creating Community Profiles
● まるちゃんの情報セキュリティ気まぐれ日記
CSF
・2023.08.19 米国 NIST サイバーセキュリティフレームワーク 2.0リファレンスツール
・2023.08.11 米国 NIST サイバーセキュリティフレームワーク 2.0案
・2023.08.10 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト
・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト
・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)
こちらも...
PF
・2024.01.28 米国 NIST Privacy Framework 1.1への改定に向けて活動を開始...
NIST SP800-221
NIST IR 8286
・2024.03.10 米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング
・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用
・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
« Cloud Security Alliance DevSecOpe 柱2:コラボレーションと統合 (2024.02.20) | Main | 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定 »
Comments