NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング： サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)

こんにちは、丸山満彦です。

NISTの標準文書を作成する能力はすごいと思っているのですが、必要に応じて作成した順に番号をふっているところもあるので、体系がわかりにくいですよね...

体系は今更整理できないので、 NIST National Online Informative References を作って関係性がわかりやすくしていますね...

このようなマッピングは、サイバーセキュリティ・コントールの自動評価を支援する NIST Open Security Controls Assessment Language（OSCAL）を導入する上でも重要となりますね。。。

そのような整理の仕方についての内部文書ということですかね..

● NIST 

・2024.02.26 NIST IR 8477 Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings

NIST IR 8477 Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings	NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング： サイバーセキュリティとプライバシーの概念マッピングの開発
Abstract	概要
This document describes the National Institute of Standards and Technology’s (NIST’s) approach to mapping the elements of documentary standards, regulations, frameworks, and guidelines to a particular NIST publication, such as Cybersecurity Framework (CSF) Subcategories or SP 800-53r5 controls. This approach is to be used to map relationships involving NIST cybersecurity and privacy publications that will be submitted via the NIST National Online Informative References (OLIR) process and hosted on NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). The approach provides flexibility to capture relationships for various levels of concepts and in different degrees of detail in human-consumable, machine-readable formats. The approach has been informed by concept system and terminology standards, as well as experience with what information the security and privacy community would find most valuable.	本文書は、文書化された標準、規制、フレームワーク、およびガイドラインの要素を、サイバーセキュリティフレームワーク（CSF）サブカテゴリや SP 800-53r5 コントロールのような特定の NIST 出版物にマッピングするための米国標準技術研究所（NIST）のアプローチについて記述している。このアプローチは、NIST National Online Informative References（OLIR）プロセスを通じて提供され、NISTのオンラインCybersecurity and Privacy Reference Tool（CPRT）でホストされる、NISTのサイバーセキュリティとプライバシーの出版物に関係する関係をマッピングするために使用される。このアプローチは、様々なレベルの概念について、また様々な程度の詳細な関係性を、人間が消費可能で機械が読み取り可能な形式で捉える柔軟性を提供する。このアプローチは、概念体系と用語の標準に加え、セキュリ ティとプライバシーのコミュニティがどのような情報に最も価値を見出すかについての経験に基づ いている。

 

・[PDF] NIST.IR.8477

・[DOCX] 仮訳

 

 

目次..

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Related Work	1.2. 関連作業
1.3. Publication Structure	1.3. 文書構成
2. Concept-Mapping Approach Overview	2. コンセプト・マッピング・アプローチの概要
3. dentify and Document Use Cases for the Mapping	3. マッピングのユースケースの特定化と文書化
4. Choose a Concept Relationship Style.	4. コンセプト・リレーションシップのスタイルの選択
4.1. Concept Crosswalk	4.1. コンセプト・クロスウォーク
4.2. Supportive Relationship Mapping	4.2. 支持的関係マッピング
4.3. Set Theory Relationship Mapping	4.3. セット理論の関係マッピング
4.4. Structural Relationship Mapping	4.4. 構造的関係マッピング
4.5. Custom	4.5. カスタム
4.6. Using Mappings with Different Relationship Styles	4.6. 異なるリレーションシップスタイルでのマッピングの使用
5. Evaluate Concept Pairs and Document Their Relationships	5. 概念ペアを評価し、その関係を文書化する
References	参考文献
Appendix A. Glossary	附属書 A. 用語集
List of Tables	表のリスト
Table 1. Notional documentation of assumptions	表1. 前提条件の想定文書
Table 2. Concept relationship styles	表2. 概念関係のスタイル
Table 3. Supportive relationship mapping examples from SP 1800-36 Vol. E	表3. SP 1800-36 Vol.Eからの支援関係マッピングの例
Table 4. Supportive relationship mapping examples from SP 1800-35 Vol. E	表4. SP 1800-35 Vol.Eからの支援関係マッピング例
Table 5. Set theory relationship mapping example from OLIR repository	表5. OLIRリポジトリからの集合論的関係マッピング例
Table 6. Notional example of parent-child relationships	表6. 親子関係の想定例
Table 7. Converting set theory relationships to supportive relationships	表7. 集合論の関係から支持関係への変換
List of Figures	図のリスト
Fig. 1. Concept crosswalk example between SP 800-53r5 and the NIST CSF	図1. SP 800-53r5 と NIST CSF との間の概念のクロスウォークの例

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Understanding how the elements of diverse cybersecurity and privacy standards, regulations, frameworks, guidelines, and other content are related to each other is an ongoing challenge for people in nearly every organization. It can be time-consuming and difficult to answer questions like:	多様なサイバーセキュリティやプライバシーの標準、規制、フレームワーク、ガイドライン、その他のコンテンツの要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。次のような質問に答えるのは、時間がかかり、困難である：
・How does conforming to one standard help the organization conform to another standard? What parts of the second standard does the first standard fail to address?	・ある標準に適合することは,その組織が別の標準に適合することにどのように役立つのか？ある標準に適合することは,その組織が別の標準に適合することにどのように役立つのか？
・Where can we find more information on how to satisfy a particular requirement in a guideline? What types of technologies can we use, and what types of skills do the implementers need to have?	・あるガイドラインの特定の要求事項を満たす方法について,詳しい情報はどこにあるのか？どのような種類の技術を使うことができ,実装者にはどのような種類のスキルが必要なのか？
・If we want to conform to a particular standard, what types of cybersecurity capabilities do our technology product and service providers need to support?	・特定の標準に適合させたいのであれば,どのような種類のサイバーセキュリティ機能 を,当社の技術製品及びサービスプロバイダがサポートする必要があるのか。
・If we perform a particular security assessment methodology, what requirements will be sufficiently validated across our compliance portfolio?	・特定のセキュリティ評価手法を実施する場合,どのような要件が当社のコンプライ アンス・ポートフォリオ全体で十分に検証されることになるのか。
・What recommendations substantially changed from a guideline’s previous version to its current version?	・ガイドラインの旧版と現行版とで,どのような推奨事項が大幅に変更されたのか。
・What security and privacy controls must be in place before we adopt a new technology?	・新しい技術を採用する前に,どのようなセキュリティ及びプライバシー管理を実施しなければならないか。
This document explains NIST’s approach for identifying and documenting the relationships between concepts in cybersecurity and privacy, such as how the concepts of a NIST or thirdparty standard or guideline relate to the concepts of a foundational NIST publication like the Cybersecurity Framework (CSF) or NIST Special Publication (SP) 800-53. There are many possible concept types, including controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. NIST’s approach is to be used by both NIST and third parties for mapping all relationships involving NIST cybersecurity and privacy publications that will be submitted to NIST’s National Online Informative References (OLIR) Program and hosted in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT).	この文書では、サイバーセキュリティとプライバシーにおける概念間の関係を特定し、文書化するための NIST のアプローチを説明する。例えば、NIST やサードパーティの標準やガイドラインの概念が、サイバーセキュリティフレームワーク（CSF）や NIST 特別刊行物（SP）800-53 のような NIST の基本的な刊行物の概念とどのように関連しているかなどである。概念には、管理、要件、推奨、成果、技術、機能、プロセス、技術、役割、スキルなど、多くの種類が考えられる。NIST のアプローチは、NIST の National Online Informative References (OLIR) Program に提供され、NIST のオンライン Cybersecurity and Privacy Reference Tool (CPRT) でホストされる NIST のサイバーセキュリティとプライバシーの出版物に関わるすべての関係をマッピングするために、NIST とサードパーティーの両方が使用するものである。
By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus.	このアプローチに従うことで、NIST とサイバーセキュリティとプライバシー標準コミュニティの他の人々は、多くの情報源からのサイバーセキュリティとプライバシーの概念を、まとまりのある一貫した一連の関係マッピングに結びつける単一の概念体系を、時間をかけて共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。

 

参考

● NIST

国家オンライン情報参考文献 （OLIR）プログラム

・National Online Informative References Program OLIR

 

PDFからの解放...

サイバーセキュリティとプライバシーリファレンスツール CPRT

・Cybersecurity and Privacy Reference Tool CPRT

 

OSCAL関係...

オープン・セキュリティ・コントロール評価言語 (OSCAL)

・OSCAL: the Open Security Controls Assessment Language

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.19 米国 NIST IR 8477（初公開ドラフト）：文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする： サイバーセキュリティとプライバシーの概念マッピングの開発