IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

こんにちは、丸山満彦です。

そういえば、前から教えてもらっていたのに、書くのを忘れていました...（すみません...）

翻訳版の作成は大変だったろうと想像いたします...

サプライチェーンの重要性がいわれていますので、参考になる面も多いように思います。

 

 

● IPA - セキュリティ関連NIST文書について

・2023.01.31 SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス

 

目次...

1. はじめに
1.1. 目的
1.2. 対象読者
1.3. クラウドサービスプロバイダに関するガイダンス
1.4. 読者プロファイル及び本書の利用ガイダンス
1.4.1. エンタープライズリスクマネジメント及び C-SCRM のオーナー及び運営者
1.4.2. 事業体、政府機関、ミッション及びビジネスプロセスのオーナー及び運営者
1.4.3. 取得及び調達のオーナー及び運営者
1.4.4. 情報セキュリティ、プライバシー、又はサイバーセキュリティの運用者
1.4.5. システム開発、システムエンジニアリング、及びシステム実装人員
1.5. 背景
1.5.1. 事業体のサプライチェーン
1.5.2. 事業体の内部におけるサプライヤの関係
1.6. NIST SP 800-39、NIST SP 800-37, Rev 2、及び NIST SP 800-53, Rev 5 を使用して C-SCRM ガイダンスを構築するための方法論
1.7. 他の出版物との関係、及び出版物の要約

2. 事業体全体のリスクマネジメントへの C-SCRM の統合
2.1. C-SCRM のビジネスケース
2.2. サプライチェーン全体のサイバーセキュリティリスク
2.3. マルチレベルのリスクマネジメント18.
2.3.1. 3つのレベルにまたがる役割と責任.
2.3.2. レベル 1：事業体.
2.3.3. レベル 2：ミッション及びビジネスプロセス
2.3.4. レベル 3：運用
2.3.5. C-SCRM PMO

3. 重要成功要因
3.1. 取得における C-SCRM25
3.1.1. C-SCRM 戦略及び実装計画における取得
3.1.2. 取得プロセスにおける C-SCRM の役割
3.2. サプライチェーンの情報共有
3.3. C-SCRM トレーニング及び意識向上
3.4. C-SCRM の重要なプラクティス
3.4.1. 基本的なプラクティス.
3.4.2. 持続的なプラクティス.
3.4.3. 強化のためのプラクティス
3.5. ケイパビリティ（能力）実装の測定及び C-SCRM 測定指標.
3.5.1. パフォーマンス測定指標による C-SCRM の測定
3.6. 専用リソース

参考文献

附属書 A：C-SCRM セキュリティ管理策
C-SCRM 管理策の概要
C-SCRM 管理策の概要
事業体全体での C-SCRM 管理策
製品及びサービスを取得するための C-SCRM 管理策の適用.
C-SCRM セキュリティ管理策の選択、テーラリング、及び実装
C-SCRM セキュリティ管理策
ファミリー：アクセス制御
ファミリー：意識向上及びトレーニング
ファミリー：監査及び説明責任.
ファミリー：アセスメント、認可、及び監視
ファミリー：構成管理
ファミリー：緊急時対応計画.
ファミリー：識別及び認証
ファミリー：インシデント対応
ファミリー：保守
ファミリー：媒体保護
ファミリー：物理的及び環境的保護  
ファミリー：計画
ファミリー：プログラムマネジメント
ファミリー：職員のセキュリティ.
ファミリー：個人情報の取扱い及び透明性
ファミリー：リスクアセスメント.
ファミリー：システム及びサービスの取得
ファミリー：システム及び通信の保護
ファミリー：システム及び情報の完全性  
ファミリー：サプライチェーンのリスクマネジメント

附属書 B：C-SCRM 管理策の概要.

附属書 C：リスクレベルフレームワーク
シナリオ例
シナリオ 1：サプライヤに対する外国政府による影響又は統制
シナリオ 2：通信の偽造品
シナリオ 3：産業スパイ  
シナリオ 4：悪意のあるコードの挿入
シナリオ 5：意図しない侵害.
シナリオ 6：システム内の脆弱な再利用コンポーネント

附属書 D：C-SCRM のテンプレート
1. C-SCRM 戦略及び実装計画
1.1. C-SCRM 戦略及び実装計画のテンプレート
2. C-SCRM ポリシー.
2.1. C-SCRM ポリシーのテンプレート
3. C-SCRM 計画  
3.1. C-SCRM 計画のテンプレート
4. サプライチェーンのサイバーセキュリティリスクアセスメントのテンプレート
4.1. C-SCRM のテンプレート

附属書 E：FASCSA46  
はじめに.
目的、読者、及び背景
範囲  
NIST SP 800-161 Rev. 1「システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」との関係
サプライチェーンのリスクアセスメント（SCRA）に関する一般情報
ベースラインリスク要因（共通、最小）  
リスク深刻度判断基準
リスク対応ガイダンス
アセスメントの文書化と記録管理内容
文書化のガイダンス  
アセスメント記録

附属書 F：大統領令 14028 号による、ソフトウェアのサプライチェーンセキュリティ向上に関するガイドライン公開要求への対応

附属書 G：リスクマネジメントプロセスにおける C-SCRM 活動
対象読者.
事業体全体のリスクマネジメント及び RMF  
枠組み化  
アセスメント.
対応  
監視  

附属書 H：用語集.

附属書 I：略語

附属書 J：リソース
他のプログラム及び出版物との関係  
NIST 出版物
規制及び法律によるガイダンス
その他の米国政府報告書  
標準、ガイドライン、及びベストプラクティス

図
図 1-1：C-SCRM の要素.
図 1-2：事業体のサプライチェーンに対する可視性、理解、管理
図 2-1：リスクマネジメントプロセス
図 2-2：サプライチェーン全体のサイバーセキュリティリスク
図 2-3：事業体全体のマルチレベルリスクマネジメント19.
図 2-4：事業体全体のマルチレベルリスクマネジメントにおける C-SCRM 文書.
図 2-5：C-SCRM 文書間の関係
図 3-1：C-SCRM 測定基準策定プロセス.
図 A-1：NIST SP 800-161, Rev. 1 の C-SCRM セキュリティ管理策
図 D-1：C-SCRM 計画ライフサイクルの例
図 D-2：起こりやすさの判断の例
図 D-3：リスクレベルの判断の例
図 G-1：サプライチェーンのサイバーセキュリティリスクマネジメント（C-SCRM）
図 G-2：リスクマネジメントプロセスにおける C-SCRM 活動
図 G-3：枠組み化ステップにおける C-SCRM
図 G-4：リスク選好度及びリスク許容度
図 G-5：リスク選好度及びリスク許容度レビュープロセス
図 G-6：アセスメントステップにおける C-SCRM66
図 G-7：対応ステップにおける C-SCRM70
図 G-8：監視ステップにおける C-SCRM74

表
表 2-1：サプライチェーンのサイバーセキュリティリスクマネジメントのステークホルダー
表 3-1：調達プロセスにおける C-SCRM
表 3-2：製品、サービス、又は供給源に関連するサプライチェーンの 特徴及びサイバーセキュリティリスク要因28.
表 3-3：C-SCRM プラクティス実装モデルの例33.
表 3-4：リスクマネジメントレベルにおける測定指標トピックの例
表 A-1：C-SCRM 管理策の形式.
表 B-1：C-SCRM 管理策の概要
表 C-1：リスクレベルフレームワークの例
表 C-2：シナリオ 1
表 C-3：シナリオ 2
表 C-4：シナリオ 3
表 C-5：シナリオ 4
表 C-6：シナリオ 5
表 C-7：シナリオ 6
表 D-1：目的 1 – サプライチェーン全体のサイバーセキュリティリスクを効果的に管理するための実装マイルストーン
表 D-2：目的 2 – 顧客に信頼される供給源となるための実装マイルストーン
表 D-3：目的 3 – C-SCRM 分野の業界リーダーとして事業体を 位置付けるための実装マイルストーン
表 D-4：バージョン管理表
表 D-5：バージョン管理表
表 D-6：システムの情報の種類及び分類化
表 D-7：セキュリティインパクトの分類化
表 D-8：システムの運用ステータス.
表 D-9：情報交換及びシステム接続.
表 D-10：役割の識別.
表 D-11：改訂及び保守
表 D-12：略語リスト.
表 D-13：情報収集及びスコーピング分析
表 D-14：バージョン管理表
表 E-1：ベースラインリスク要因
表 E-2：リスク深刻度判断基準.
表 E-3：アセスメント記録：内容及び文書化の最小範囲
表 G-1：サプライチェーンのサイバーセキュリティ脅威源及びエージェントの例
表 G-2：サプライチェーンのサイバーセキュリティ脅威に関する考慮事項.
表 G-3：サプライチェーンのサイバーセキュリティ脆弱性に関する考慮事項
表 G-4：サプライチェーンのサイバーセキュリティの結果及びインパクトに関する考慮事項
表 G-5：サプライチェーンサイバーセキュリティの起こりやすさに関する考慮事項
表 G-6：サプライチェーンの制約条件
表 G-7：サプライチェーンリスク選好度及びリスク許容度.
表 G-8：事業体レベルにマッピングされたサプライチェーンのサイバーセキュリティ脆弱性の例
表 G-9：レベル 1、2、及び 3 の管理策

 

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

SP800-161関係

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践（第2次ドラフト）

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する（暫定ドラフト）

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義：大統領令14028に応えて...

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2021.02.13 NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践：産業からの観察

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

そのたも含めたサプライチェーン関係...

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保： ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント（SCRM）のためのハードウェア部品表フレームワーク（HBOM）

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183：製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」（案）に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践：リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践：リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和３年度委託調査報告書（サイバーセキュリティ関係） 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー： 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)＋ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践（第2次ドラフト）

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証（初期ドラフト）

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義：大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。