米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

こんにちは、丸山満彦です。

米国のNISTのサイバー＆プライバシー分野の年次報告です...

予算獲得のためかもしれませんが...年度(2022.10.01-202309.30) の出来事を振り返る上で参考になりますね。。。もう少し早くだせばよいのにね...

 

● NIST - ITL

・2024.05.20 SP800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report

NIST SP 800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report	NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
Abstract	概要
During Fiscal Year 2023 (FY 2023) – from October 1, 2022, through September 30, 2023 –the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the FY 2023 research activities for the ITL Cybersecurity and Privacy Program, including the ongoing participation and development of international standards; research and practical applications in several key priority areas (e.g., Post Quantum Cryptography, updating the NIST Cybersecurity Framework (CSF 2.0) and some new CSF profiles); accomplishments in the area of improving software and supply chain cybersecurity; IoT cybersecurity guidelines work; National Cybersecurity Center of Excellence (NCCoE) projects, and setting up a new comment site for NIST’s Risk Management Framework work; release of a Phish scale; progress in the Identity and Access Management program; Strategic and Emerging Research Initiatives (SERI) for autonomous vehicles.	2023会計年度（2022年10月1日から2023年9月30日まで）において、NIST情報技術研究所（ITL）のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーに関する多くの課題と機会に成功裏に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2023年度の研究活動に焦点を当て、国際標準への継続的な参加と開発、いくつかの主要優先分野（例．ポスト量子暗号、NISTサイバーセキュリティ・フレームワーク（CSF 2.0）の更新といくつかの新しいCSFプロファイル）、ソフトウェアとサプライチェーンのサイバーセキュリティの改善分野における成果、IoTサイバーセキュリティ・ガイドラインの作業、国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）プロジェクト、NISTのリスクマネジメント・フレームワーク作業に対する新しいコメントサイトの立ち上げ、フィッシュ・スケールのリリース、アイデンティティとアクセス・マネジメント・プログラムの進捗、自律走行車のための戦略的・新興研究イニシアチブ（SERI）などである。

 

 

・[PDF] NIST.SP.800-229

目次

Cryptography	暗号技術
Education, Training & Workforce Development	教育、トレーニング、人材開発
Emerging Technologies	新興技術
Human-Centered Cybersecurity	人間中心のサイバーセキュリティ
Identity & Access Management	アイデンティティとアクセス管理
Privacy	プライバシー
Risk Management	リスクマネジメント
Trustworthy Networks & Platforms	信頼できるネットワークとプラットフォーム
NIST National Cybersecurity Center of Excellence	NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス

 

ちなみに過去分も含めて...

2023	2022	2021	2020	2019	2018	2017
SP 800-229	SP 800-225	SP 800-220	SP 800-214	SP 800-211	SP 800-206	SP 800-203
暗号技術	暗号	暗号の標準と検証	サイバーセキュリティの啓発と教育	サイバーセキュリティとプライバシーの標準化の進化	サイバーセキュリティとプライバシー基準の推進	国際ITセキュリティ標準へのITLの関与
教育、トレーニング、人材開発	教育、トレーニング、人材開発	サイバーセキュリティの測定	アイデンティティとアクセス管理	リスク管理の強化	リスクマネジメントの強化	リスク管理
新興技術	アイデンティティとアクセス管理	教育と労働力	測定基準と測定	暗号標準と検証の強化	暗号の標準と検証の強化	バイオメトリクス標準と関連する適合性評価試験ツール
人間中心のサイバーセキュリティ	プライバシー	アイデンティティとアクセス管理	リスクマネジメント	先端サイバーセキュリティ研究・応用開発	サイバーセキュリティの研究・応用開発の推進	サイバーセキュリティアプリケーション
アイデンティティとアクセス管理	リスクマネジメントと計測	プライバシーエンジニアリング	プライバシーエンジニアリング	サイバーセキュリティについての意識向上、トレーニング、教育、人材育成	サイバーセキュリティの意識向上、トレーニング、教育、人材開発	ソフトウェアの保証と品質
プライバシー	信頼できるネットワークとプラットフォーム	リスクマネジメント	新規技術	アイデンティティとアクセス管理の強化	アイデンティティとアクセス管理の強化	連邦サイバーセキュリティ調査研究
リスクマネジメント	利用可能なサイバーセキュリティ	信頼できるネットワーク	暗号の標準化と検証	通信・インフラ保護の強化	必インフラストラクチャの保護強化	コンピュータ・フォレンジック
信頼できるネットワークとプラットフォーム		信頼できるプラットフォーム	信頼性の高いネットワーク	新技術の確保	新規技術の保護	サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス			信頼性の高いプラットフォーム	セキュリティテストと測定ツールの進化	セキュリティのテストと測定ツールの推進	暗号標準化プログラム
						バリデーションプログラム
						ID ・アクセス管理
						新規技術の研究
						ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
						インターネットインフラ保護
						高度なセキュリティ試験と測定
						技術的な安全性の指標
						利便性とセキュリティ

 

 

本文...

CRYPTOGRAPHY	暗号技術
Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable trustworthy assurance of integrity and confidentiality in all types of information and technology – now and in the future.	暗号は、我々のセキュリティとデータ保護のニーズの基礎となるものである。NISTの暗号技術優先分野によって提供される標準、ガイドライン、勧告、およびツールは、現在および将来のあらゆる種類の情報と技術における完全性と機密性の信頼できる保証を可能にする。
Major Accomplishments in FY 2023:	2023年度の主な成果
• The Post-Quantum Cryptography (PQC) team hosted the Fourth PQC Standardization Conference in November 2022. In response to the Call for Additional Signatures, 40 candidate algorithms were submitted, and the first three draft PQC standards were released for public comment.	・耐量子暗号（PQC）チームは、2022 年 11 月に第 4 回 PQC 標準化会議を開催した。追加署名の募集に対し、40のアルゴリズム候補が提出され、最初の3つのPQC標準ドラフトがパブリックコメントのために公開された。
• The Lightweight Cryptography team announced the decision to standardize the Ascon family for lightweight cryptography applications and published IR 8454, Status Report on the Final Round of the NIST Lightweight Cryptography Standardization Process, which describes the selection process. The team also hosted the Sixth Lightweight Cryptography Workshop.	・軽量暗号化チームは、軽量暗号アプリケーション向けに Ascon ファミリの標準化を決定したことを発表し、その選定プロセスを説明した IR 8454「NIST 軽量暗号化標準化プロセスの最終ラウンドに関する状況報告」を公表した。また、第6回軽量暗号ワークショップを主催した。
• The Multi-Party Threshold Cryptography (MPTC) and Privacy-Enhancing Cryptography (PEC) projects jointly released the initial public draft of IR 8214C, NIST First Call for Multi-Party Threshold Schemes (MPTS). The document’s scope includes advanced techniques, such as fully homomorphic encryption, zero-knowledge proofs, and the building blocks of secure multi-party computation. As part of an effort to obtain public comments, NIST hosted the MPTS 2023 workshop and three events of the Special Topics on Privacy and Public Auditability (STPPA).	・マルチパーティー閾値暗号（MPTC）プロジェクトと プライバシー強化暗号方式（PEC）プロジェクトは共同で、IR 8214C「NIST マルチパーティ閾値スキームの初募集（MPTS）」の初公開ドラフトを公開した。この文書の範囲には、準同型暗号、ゼロ知識証明、安全なマルチパーティ計算の構成要素などの高度な技術が含まれる。パブリックコメントを得るための取り組みの一環として、NISTはMPTS 2023ワークショップと、プライバシーと公開監査可能性に関する特別刊行物（STPPA）の3つのイベントを開催した。
• NIST’s Crypto Publication Review Board completed seven publication reviews, and five reviews are in progress to update and modernize the portfolio of cryptographic standards.	・NISTの暗号出版審査委員会は7件の出版審査を完了し、5件の審査が暗号標準のポートフォリオの更新と近代化のために進行中である。
EDUCATION, TRAINING & WORKFORCE	教育、訓練、労働力
Energizing, promoting, and coordinating the workforce are key priorities for NIST. The National	労働力の活性化、促進、調整はNISTの重要な優先事項である。サイバーセキュリティ教育のための国家イニシアティブ
Initiative for Cybersecurity Education (NICE) team supports a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development.	サイバーセキュリティ教育イニシアティブ（NICE）チームは、サイバーセキュリティ教育、訓練、人材育成の統合されたエコシステムを推進するために協力する強固なコミュニティを支援している。
Major Accomplishments in FY 2023:	2023年度の主な成果
• On December 5, 2022, the NICE Workforce Framework for Cybersecurity (NICE Framework) K12 FAQ was released at the NICE K12 Cybersecurity Education Conference in St. Louis, MO.	・2022年12月5日、ミズーリ州セントルイスで開催されたNICE K12サイバーセキュリティ教育会議において、NICE Workforce Framework for Cybersecurity（NICEフレームワーク）K12 FAQが発表された。
• The NICE Framework continued to be updated throughout FY 2023, including calls for comments on updated materials. IR 8355, NICE Framework Competencies Areas: Preparing a Job-Ready Cybersecurity Workforce, was published on June 1, 2023.	・NICEフレームワークは2023年度を通じて更新され続け、更新された資料に対するコメント募集も行われた。IR 8355、NICE フレームワークのコンピテンシー領域： 職に適したサイバーセキュリティ人材の準備」は 2023 年 6 月 1 日に公表された。
• Diversity, equity, inclusion, and accessibility (DEIA) in the cybersecurity workforce and education were key efforts in 2023. NICE released a DEIA resource page and launched a new Diversity and Inclusion Community of Interest.	・サイバーセキュリティ人材と教育における多様性、公平性、包括性、アクセシビリティ（DEIA）は 2023 年の主要な取り組みであった。NICE は、DEIA リソースページを公開し、新しい Diversity and Inclusion Community of Interest を立ち上げた。
• The Small Business Cybersecurity Corner launched a new Community of Interest with the National Cybersecurity Center of Excellence (NCCoE) and participated in various events throughout the year to showcase and share resources.	・中小企業サイバーセキュリティ・コーナーは、国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）と新しい関心コミュニティを立ち上げ、年間を通じてさまざまなイベントに参加し、リソースを紹介・共有した。
• NIST has continued to bring the community together throughout the year with the Federal Information Security Educators (FISSEA) Forums, NICE Webinars Series, and Cybersecurity Career Week and by supporting other events through cooperative agreements, such as the NICE Conference, NICE K12 Conference, and the US Cyber Games.	・NISTは、連邦情報セキュリティ教育者（FISSEA）フォーラム、NICEウェビナー・シリーズ、サイバーセキュリティ・キャリア・ウィーク、また、NICEカンファレンス、NICE K12カンファレンス、USサイバーゲームなどの協力協定を通じたその他のイベントの支援を通じて、年間を通じてコミュニティをまとめ続けてきた。
EMERGING TECHNOLOGIES	新興技術
The rapid evolution of technology brings both extraordinary opportunities and unavoidable challenges. At NIST, our cybersecurity researchers study these emerging technologies to understand their security and privacy capabilities, vulnerabilities, configurations, and overall structures in order to develop standards, guidelines, and references for improving their approaches to cybersecurity before they are deployed.	技術の急速な進化は、並外れた機会と避けられない課題の両方をもたらす。NIST では、サイバーセキュリティの研究者がこれらの新技術を研究し、セキュリティやプライバシーの能力、脆弱性、構成、全体的な構造を理解することで、それらが展開される前にサイバーセキュリティへのアプローチを改善するための標準、ガイドライン、リファレンスを開発している。
Major Accomplishments in FY 2023:	2023 年度の主な成果
Cybersecurity projects in Strategic and Emerging Research Initiatives (SERI) for Autonomous Vehicles (AV) included the following:	自律走行車（AV）の戦略的新興研究イニシアティブ（SERI）におけるサイバーセキュリティ・プロジェクトには、以下のものが含まれる：
• A workshop on Standards and Performance Metrics for On-Road Automated Vehicles was held to solicit stakeholder feedback on the challenges and opportunities in developing standards and performance metrics for this complex interdisciplinary field.	・路上自動運転車の標準と性能評価指標に関するワークショップを開催し、この複雑な学際的分野の標準と性能評価指標を開発する上での課題と機会について関係者の意見を求めた。
• The NIST AV Community of Interest (COI) has over 300 participants and continues to serve as a communications channel for NIST activities in the automotive industry.	・NIST AVコミュニティ・オブ・インタレスト（COI）には300人以上が参加し、自動車業界におけるNISTの活動のコミュニケーションチャネルとしての役割を果たし続けている。
• The Capabilities of Dioptra — an experimental testbed for machine learning algorithms — continued to expand.	・機械学習アルゴリズムの実験的テストベッドであるDioptraの機能は引き続き拡大した。
• NIST built a SERI prototype that measures the sensitivity of uncertainty estimation in computer vision models for autonomous driving.	・NIST は、自律走行用のコンピュータビジョンモデルにおける不確実性推定の感度を測定する SERI プロトタイプを構築した。
• Project researchers collaborated with external partners with appropriate datasets and computational resources.	・プロジェクトの研究者は、適切なデータセットや計算資源を持つ外部パートナーと協力した。
In March 2023, the Adversarial Artificial Intelligence (AI) team released the initial public draft of	2023年3月、敵対的人工知能（AI）チームは、「AI 100-2 E2023」の初期公開ドラフトを発表した。
AI 100-2 E2023, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, for public comment. Leading experts in the industry were invited to assist with adjudicating the public feedback to prepare a final AI 100-2 document, which is slated to be published in early 2024.	AI 100-2 E2023、敵対的機械学習： 攻撃と低減の分類法と用語」を公開し、パブリック・コメントを求めた。最終的なAI 100-2は2024年度初頭に発行される予定である。
HUMAN-CENTERED CYBERSECURITY	人間中心のサイバーセキュリティ
The mission of the Human-Centered Cybersecurity priority area is to “champion the human in cybersecurity.” Through research and other human-centered projects, the program team seeks to better understand and improve people’s cybersecurity interactions, empowering them to be active, informed participants in cybersecurity.	人間中心のサイバーセキュリティ」優先分野の使命は、「サイバーセキュリティにおける人間の支持」である。研究およびその他の人間中心のプロジェクトを通じて、プログラム・チームは人々のサイバーセキュリティへの関わりをよりよく理解し改善することで、人々がサイバーセキュリティに積極的に参加し、情報を得られるようにすることを目指している。
Major Accomplishments in FY 2023:	2023年度の主な成果
• An interview study of parent-child pairs shed light on how parents can best support their children’s online privacy, security, and safety. The research insights are informing NIST’s participation and contribution to the interagency Task Force on Kids Online Health and Safety.	・親子ペアを対象としたインタビュー調査により、親が子どものオンラインプライバシー、セキュリティ、安全をどのようにサポートするのが最善であるかが明らかになった。この研究結果は、NISTの「子供のオンラインにおける健康と安全に関する省庁間タスクフォース」への参加と貢献につながっている。
• The phishing project team was awarded a U.S. Department of Commerce Gold Medal for creating the Phish Scale — a revolutionary tool to rate socially engineered email attacks to strengthen an organization’s security posture. The scale has been adopted by security training coordinators in public- and private-sector organizations, both domestically and internationally.	・フィッシング・プロジェクト・チームは、組織のセキュリティ態勢を強化するために、社会的に操作された電子メール攻撃を評価する画期的なツールである「フィッシング・スケール」を作成し、米国商務省から金メダルを授与された。この尺度は、国内外の公的機関や民間企業のセキュリティ・トレーニング・コーディネーターに採用されている。
• A role-based training study provided insights into the approaches and challenges faced by federal organizations when implementing cybersecurity training activities. The research resulted in the development of recommendations and resources to assist organizations in improving their role-based training activities.	・役割に基づく研修の研究により、連邦組織がサイバーセキュリティ研修活動を実施する際に直面するアプローチと課題についての洞察が得られた。この調査の結果、組織が役割ベースの訓練活動を改善するのを支援するための推奨事項やリソースが作成された。
• A widely distributed article and handout titled, “Users Are Not Stupid: Six Cybersecurity Pitfalls Overturned,” provided cybersecurity practitioners with evidence-based recommendations on how they can consider the human element in their work.	・「ユーザはバカではない： サイバーセキュリティに潜む6つの落とし穴」と題する記事と配布資料を広く配布し、サイバーセキュリティの実務者に、業務において人間の要素を考慮する方法について、エビデンスに基づく推奨事項を提供した。
IDENTITY AND ACCESS MANAGEMENT	アイデンティティとアクセス管理
Identity and access management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides the research, guidance, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time.	アイデンティティとアクセス管理（IAM）は、データ保護、プライバシー、セキュリティの要である。NISTのIAM優先分野は、適切な人間、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイダンス、技術移行活動を提供する。
Major Accomplishments in FY 2023:	2023 年度の主な成果
• NIST published draft revisions of all four volumes of SP 800-63-4, Digital Identity Guidelines, to advance modern digital identity controls.	・NIST は、最新のデジタル ID 管理を推進するため、SP 800-63-4「デジタル ID ガイドライン」全 4 巻の改訂ドラフトを公表した。
• NIST’s Identity and Access Management (IAM) team published draft SP 800-157-1, Guidelines for Derived Personal Identification Verification (PIV) Credentials, which features expanded authenticators, and draft SP 800-217, Guidelines for PIV Federation, which advances interoperable identity in the federal enterprise.	・NIST の ID およびアクセス管理（IAM）チームは、認証の拡張を特徴とするドラフト SP 800-157-1「派生する個人識別検証 (PIV) クレデンシャルのガイドライン」およびドラフト SP 800-217「PIVフェデレーションガイドライン」を発表した。
• Two Face Analysis Technology Evaluation (FATE) reports were published: NIST IR 8485, Part 11: Face Image Quality Vector Assessment: Specific Image Defect Detection, focused on face image quality and the detection of specific image defects that negatively impact matching accuracy, and NIST IR 8491, Part 10: Performance of Passive, Software-based Presentation Attack Detection (PAD) Algorithms, focused on PAD, which detects fake face images.	・2 つの顔分析技術評価（FATE）レポートが発行された： NIST IR 8485「Part 11：顔画像品質ベクトル・アセスメント：特定の画像欠陥検知）」は、顔画像の品質と、照合精度に悪影響を及ぼす特定の画像欠陥の検知に焦点を当てたものであり、NIST IR 8491「Part 10: 受動的、ソフトウェアベースのプレゼンテーション攻撃検知（PAD）アルゴリズ ムの性能）」は、偽の顔画像を検知する PAD に焦点を当てたものである。
• NIST developed a secure federated data-sharing system (SFDS), which is now in advanced prototype form.	・NISTは、安全なデータ共有システム（SFDS）を開発し、これは現在、高度なプロトタイプの形になっている。
• NIST’s IAM team published SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments.	・NISTのIAMチームは、SP 800-207A「多拠点環境におけるクラウドネイティブアプリケーションのアクセス管理のためのゼロトラストアーキテクチャモデル」を発表した。
• A draft IAM Roadmap that highlights programmatic and strategic priorities was released to help prioritize and strategically align identity projects.	・アイデンティティ・プロジェクトの優先順位付けと戦略的な調整を支援するため、プログラム上および戦略上の優先事項を強調した IAM ロードマップのドラフトが発表された。
• NIST’s IAM team contributed to the development of the Mobile Drivers’ License Application standard (ISO/IEC 18013-7) and developed a reference implementation for the standard to facilitate testing and the certification of products.	・NIST の IAM チームは、モバイル運転免許証アプリケーション標準（ISO/IEC 18013-7）の開発に貢献し、テストと製品の認証を容易にするために標準の参照実装を開発した。
PRIVACY	プライバシー
Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized privacy engineering to support measurement science and system engineering principles through frameworks, risk models, and guidance that protect privacy and civil liberties.	プライバシーは、デジタル経済の成長を支え、私たちの生活の質を改善する信頼に不可欠である。NISTは、プライバシーと市民的自由を保護するフレームワーク、リスクモデル、ガイダンスを通じて、計測科学とシステム工学の原則をサポートするプライバシー工学を優先してきた。
Major Accomplishments in FY 2023:	2023年度の主な成果
• The NIST Privacy Workforce Public Working Group has nearly completed the first draft of the Privacy Workforce Taxonomy and created more than 700 task, knowledge, and skill statements thus far.	・NIST プライバシー・ワークフォース公開ワーキンググループは、プライバシー人材分類法の最初のドラフトをほぼ完成させ、これまでに700以上のタスク、知識、スキルのステートメントを作成した。
• Co-sponsored by NIST, the U.S. partnered with the U.K.’s Center for Data Ethics and Innovation and completed the Privacy-Enhancing Technologies Prize Challenge to advance privacy-preserving federated learning.	・NISTの共催により、米国は英国のデータ倫理・イノベーションセンターと提携し、プライバシーを保護する連合学習を推進するためのプライバシー強化技術賞チャレンジを完了した。
• NIST’s Privacy Engineering Program (PEP) continues to collaborate with other NIST programs, including the NCCoE, the Cryptography Technology Group, and the Risk Management Framework program. NIST leadership with external organizations is ongoing, including co-chairing the	・NISTのプライバシー・エンジニアリング・プログラム（PEP）は、NCCoE、暗号技術グループ、リスクマネジメント・フレームワーク・プログラムなど、NISTの他のプログラムとの協力を続けている。の共同議長を務めるなど、外部組織との NIST のリーダーシップは継続中である。
Networking and Information Technology Research & Development (NITRD) Privacy Research & Development Interagency Working Group and Coalition for Health AI Privacy and Security Working Group.	ネットワークと情報技術の研究開発 (NITRD) プライバシー研究開発省庁間ワーキンググループ や 健康AIプライバシー・セキュリティ作業部会 の共同議長を務めるなど、外部組織とのリーダーシップも継続している。
RISK MANAGEMENT	リスクマネジメント
Organizations must balance an evolving cybersecurity and privacy threat landscape with the need to fulfill mission and business requirements — an effort that increasingly calls for a	組織は、進化するサイバーセキュリティとプライバシーの脅威の状況と、ミッションとビジネス要件を満たす必要性とのバランスを取らなければならない。
collaborative approach to managing risks. Risk management is integrated into NIST standards and guidelines to help organizations understand, measure, manage, and reduce cybersecurity and privacy risks in a larger context.	リスクマネジメントに対する協調的アプローチがますます求められるようになっている。リスクマネジメントは、組織がサイバーセキュリティとプライバシーのリスクをより大きな文脈で理解、測定、管理、低減できるよう、NIST の標準とガイドラインに統合されている。
Major Accomplishments in FY 2023:	2023年度の主な成果
• NIST continued the Journey to Cybersecurity Framework (CSF) 2.0 by releasing a CSF 2.0 Concept Paper, publishing a discussion draft of the CSF 2.0 Core, and issuing a draft CSF 2.0 with Core Implementation examples. Additionally, NIST published an analysis of comments received on each draft and hosted two hybrid workshops (1st workshop & 2nd workshop).	・NIST は、CSF 2.0 コンセプト・ペーパーの公表、CSF 2.0 コアのディスカッション・ドラフトの公表、コアの実装例を含む CSF 2.0 ドラフトの公表により、サイバーセキュリティ・フレームワーク（CSF）2.0 への旅を継続した。さらに、NIST は、各ドラフトに寄せられたコメントの分析を公表し、2 回のハイブリッド・ ワークショップ（第 1 回ワークショップと第 2 回ワークショップ）を開催した。
• NIST continued to lead and support community engagement on cybersecurity supply chain risk management through the Software and Supply Chain Assurance (SSCA) Forum, support the Federal Acquisition Security Council, and refine supply-chain guidance in SP 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations.	・NIST は引き続き、ソフトウェア・サプライチェーン保証（SSCA）フォーラム を通じて、サイバーセキュリティ・サプライチェーン・リスクマネジメントに関するコミュニティ参画を主導・支援し、連邦調達安全委員会l を支援し、SP 800-161 改訂 1「システムと組織のためのサイバーセキュリティ サプライチェーンリスクマネジメントの実務」におけるサプライチェーンガイダンスを改良した。
• NIST issued a working draft of the SP 800-55 Rev. 2, Performance Measurement Guide for Information Security for community discussion and feedback and hosted a cybersecurity measurement workshop on the current state of cybersecurity performance measurement, needs, and path forward.	・NIST は、コミュニティの議論とフィードバックのために、SP 800-55 改訂 2 版「情報セキュリティのためのパフォーマンス測定ガイド」の作業ドラフトを発行し、サイバーセキュリティのパフォーマンス測定の現状、ニーズ、今後の進め方に関するサイバーセキュリティ測定ワークショップを開催した。
• NIST initiated updates to the Protecting Controlled Unclassified Information (CUI) Series, issued a pre-call for comment, released an initial public draft of SP 800-171r3, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, and hosted a webinar to provide an overview of the draft.	・NIST は「管理対象非機密情報（CUI）の防御」シリーズの更新を開始し、コメントの事前募集を行い、SP 800-171r3「非連邦システムおよび組織における管理対象非機密情報の保護」の初期公開ドラフトを公表し、ドラフトの概要を説明するウェビナーを開催した。
• NIST launched the Cybersecurity & Privacy Reference Tool (CPRT) — an online application that provides NIST guidance and frameworks in a consistent format for reference data and allows users to understand the relationships between NIST resources.	・NISTは、サイバーセキュリティ＆プライバシー・リファレンス・ツール（CPRT）を立ち上げた。このオンライン・アプリケーションは、NISTのガイダンスとフレームワークを一貫したフォーマットでリファレンス・データとしてプロバイダするもので、ユーザはNISTのリソース間の関係を理解することができる。
• NIST continued the development of the Open Security Controls Assessment Language (OSCAL) — a set of eXtensible Markup Language (XML), JavaScript Object Notation (JSON), and Ain’t Mark-up Language (YAML) formats that provide machine-readable representations of security and privacy information relative to the implementation, assessment, and continuous monitoring of systems. NIST SP 800-53, SP 800-53A, and SP 800-53B are available in OSCAL format, and programs such as FedRAMP are leveraging OSCAL.	・NIST は、システムの実装、アセスメント、継続的なモニタリングに関連するセキュリティとプライバシーの情報を機械可読で表現する、XML（eXtensible Markup Language）、JSON（JavaScript Object Notation）、YAML（Ain't Mark-up Language）形式のセットである、OSCAL（オープン・セキュリティ・コントロール・アセスメント言語）の開発を継続した。NIST SP 800-53、SP 800-53A、SP 800-53BはOSCALフォーマットで利用可能であり、FedRAMPなどのプログラムはOSCALを活用している。
TRUSTWORTHY NETWORKS AND PLATFORMS	信頼できるネットワークとプラットフォーム
Each of us relies on the hardware, software, and networks that form the fabric of our digital	私たち一人ひとりが、デジタル・エコシステムの基盤となるハードウェア、ソフトウェア、ネットワークに依存している。
ecosystems. NIST’s trustworthy networks and trustworthy platforms priority areas support research and practical implementation guidance to ensure secure, reliable, and resilient technology across industry sectors.	に依存している。NISTの信頼できるネットワークと信頼できるプラットフォームの優先分野は、産業部門全体で安全で信頼でき、レジリエンスに優れた技術を確保するための研究と実践的な実装ガイダンスを支援している。
Major Accomplishments in FY 2023:	2023年度の主な成果
• NIST published a practice guide for SP 1800-34, Validating the Integrity of Computing Devices, to mitigate cyber supply chain risks, such as counterfeiting, tampering, and the insertion of unexpected firmware. The practice guide demonstrates how organizations can verify that the internal components of the computing devices they acquire (e.g., laptops, servers) are genuine and have not been tampered with.	・NIST は、偽造、改ざん、予期せぬファームウェアの挿入などのサイバー・サプライチェーン・リスクを軽減するため、SP 1800-34「コンピューティング・デバイスの完全性の検証のプラクティス・ガイドを発行した。このプラクティス・ガイドは、組織が入手したコンピューティング・デバイス（例えば、ラップトップ、サーバー）の内部コンポーネントが本物であり、改ざんされていないことを検証する方法を示している。
• Trust in endpoint devices can be achieved by following SP 800-124r2, Guidelines for Managing the Security of Mobile Devices in the Enterprise, and SP 800-219r1, Automated Secure	・エンドポイントデバイスの信頼は、SP 800-124r2「エンタープライズにおけるモバイルデバイスのセキュリティ管理のためのガイドライン」およびSP 800-219r1「自動化されたセキュアな構成ガイダンス」に従うことで達成できる。
Configuration Guidance from the macOS Security Compliance Project (mSCP), to secure devices and operating systems throughout their life cycles and support zero trust policy, as demonstrated in the NIST NCCoE Zero Trust Architecture (ZTA) project.	macOSセキュリティ・コンプライアンス・プロジェクト (mSCP)の自動化された安全な設定ガイダンスに従うことで、デバイスとオペレーティング・システムのライフサイクル全体を保護し、NIST NCCoE Zero Trust Architecture (ZTA)プロジェクトで実証されているように、ゼロトラスト・ポリシーをサポートすることができる。
• As part of an ongoing study of forensic science, NIST published IR 8354, Digital Investigation Techniques: A NIST Scientific Foundation Review.	・フォレンジック科学に関する継続的な研究の一環として、NISTはIR 8354「デジタル調査技術」を発表した： A NIST Scientific Foundation Review）を発表した。
NIST NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCOE)	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCOE)
Mission Statement:	ミッション・ステートメント
"The NCCoE brings together experts from industry, government, and academia to address the real-world needs of securing complex IT systems and protecting the Nation’s critical infrastructure.“	「NCCoE は産官学の専門家を結集し、複雑な IT システムの安全確保と国家の重要インフラの保護という現実のニーズに取り組む。
Major Accomplishments in FY 2023:	2023年度の主な成果
• Produced actionable, standards-based guidance. In FY 2023, the NCCoE released 42 publications. These consisted of draft and final versions of NIST 1800 Series Special Publications, NIST Interagency Reports, and short-form guides on a wide range of topics, such as hybrid satellite networks, mobile device security, Internet of Things (IoT), zero trust architecture, genomic data, and more. View our publications here.	・標準に基づく実用的なガイダンスを作成した。2023 年度、NCCoE は 42 の出版物を発表した。これらは、ハイブリッド衛星ネットワーク、モバイルデバイスセキュリティ、モノのインターネット（IoT）、ゼロトラストアーキテクチャ、ゲノムデータなど、幅広いトピックに関するNIST 1800シリーズ特別刊行物、NIST省庁間報告書、短編ガイドのドラフト版および最終版で構成されている。出版物はこちらから。
• Renewed partnership with federal, state, and county governments. In March 2023, NIST, the Maryland Department of Commerce, and Montgomery County signed a five-year agreement to extend their partnership in support of the NCCoE. According to a press release issued by NIST, “One goal of the renewed partnership agreement is to better address the needs of companies and institutions in the state and county, with a particular focus on small business.”	・連邦政府、州政府、郡政府とのパートナーシップを刷新。2023年3月、NIST、メリーランド州商務省、モンゴメリー郡は、NCCoEを支援するパートナーシップを延長する5年契約を締結した。NISTが発表したプレスリリースによると、"パートナーシップ協定の更新の1つの目標は、州および郡の企業や機構のニーズによりよく対応することであり、特に中小企業に重点を置いている"。
• Launched Cybersecurity Connections. NCCoE introduced the Cybersecurity Connections Initiative in March 2023. This initiative offers the regional small business community opportunities to engage with experts at the NCCoE to learn about our work and areas of collaboration. In June 2023, NCCoE hosted its first Cybersecurity Connections event, which focused on mitigating and managing cyber risks in the water and wastewater sector.	・サイバーセキュリティ・コネクションズを立ち上げた。NCCoEは2023年3月にサイバーセキュリティ・コネクション・イニシアチブを導入した。このイニシアチブは、地域の中小企業コミュニティにNCCoEの専門家と交流する機会を提供し、NCCoEの業務や協力分野について学ぶものである。2023年6月、NCCoEは初のサイバーセキュリティ・コネクション・イベントを開催し、上下水道セクターにおけるサイバーリスクの低減とマネジメントに焦点を当てた。
• Appointed a new director. On July 31, 2023, Cherilyn Pascoe began her tenure as the new director of the NCCoE.	・新局長を任命 2023年7月31日、シェリリン・パスコがNCCoEの新ディレクターとして就任した。
	2023年度NCCoEデジタルフットプリント-数字で見る。この図は、2023年度中のNCCoEユーザーウェブサイトのトラフィックとサブスクリプションの増加を強調したものである。NCCoEは、出版物の総ダウンロード数、プロジェクトや研究トピックへの登録数、ウェブサイトのセッション数とページビュー数において、大幅な増加を記録した。
This graphic highlights the increases in NCCoE user website traffic and subscriptions during FY 2023. NCCoE recorded significant increases in total publication downloads, subscriptions to projects and research topics, and website sessions and pageviews.	この図は、2023年度のNCCoEユーザーウェブサイトのトラフィックと購読数の増加を示している。NCCoEは、出版物の総ダウンロード数、プロジェクトおよび研究トピックへの購読数、ウェブサイトのセッションおよびページビューの大幅な増加を記録した。
In FY 2023, the NCCoE also focused on:	2023 年度、NCCoE は以下にも重点を置いた：
• Expanding collaborative relationships. The NCCoE forms long-term collaborative relationships with key stakeholders, primarily through signing Cooperative Research and Development Agreements (CRADAs) with various organizations and Interagency Agreements (IAAs) with government agencies. The NCCoE signed 37 CRADAs this year with 28 tech companies, two government organizations, and two non-profits. The NCCoE also held IIAAs with the Departments of Energy, State, Transportation, and the U.S. Space Force. NCCoE also engages frequently with subject-matter experts and business professionals through our free and publicly available Communities of Interest (COIs). This year, we hosted 29 COIs across sectors and technologies, including a newly launched Small Business COI, to share insights, expertise, and perspectives to guide and increase awareness of our work.	・協力関係の拡大。NCCoEは、主に様々な組織との研究開発協力協定（CRADA）や政府機関との省庁間協定（IAA）の締結を通じて、主要なステークホルダーと長期的な協力関係を形成している。NCCoEは今年、28のハイテク企業、2つの政府機関、2つの非営利団体と37のCRADAを締結した。NCCoEはまた、エネルギー省、国務省、運輸省、米宇宙軍ともIIAAを締結した。NCCoEはまた、無料で一般公開されているCOI（Communities of Interest）を通じて、専門家やビジネス・プロフェッショナルとも頻繁に交流している。本年度は、新たに発足した中小企業COIを含め、セクターや技術を超えて29のCOIを主催し、洞察、専門知識、視点を共有することで、NCCoEの活動の指針を示し、認知度を高めた。
• Increasing public awareness and understanding. The NCCoE held 22 events and webinars in FY 2023. We also expanded our video series to provide an inside look at the NCCoE, as well as our healthcare, mobile device, and supply chain assurance labs.	・一般の人々の認識と理解を高める。NCCoEは、2023年度に22のイベントとウェビナーを開催した。また、NCCoEやヘルスケア、モバイル機器、サプライチェーン保証ラボの内部を紹介するビデオシリーズを拡充した。
• Enhancing academic outreach and engagement. The NCCoE continued its summer internship program for the thirteenth straight year by hosting twelve undergraduate and two graduate students who worked on a variety of projects. This was also the first year that the NCCoE participated in NIST’s Summer Institute, which helps provide middle school teachers with cybersecurity resources and tools to shape their curricula.	・アカデミックなアウトリーチとエンゲージメントを強化する。NCCoEは13年連続でサマー・インターンシップ・プログラムを実施し、12名の大学生と2名の大学院生を受け入れて様々なプロジェクトに取り組んだ。また、NCCoE は今年初めて NIST のサマー・インスティテュートに参加した。このサマー・インスティテュートは、 中学校の教員にサイバーセキュリティに関するリソースやツールを提供し、カリキュラムの策定を支援するものである。
• Progressing the Cryptographic Module Validation Program (CMVP) project. This year, the NCCoE organized an effective governing structure for the community of collaborators to the automation of the CMVP project. NCCoE also published draft SP 1800-40A, Automation of the NIST Cryptographic Module Validation Program, which aims to shorten the validation cycle of cryptographic modules for compliance with security standards, while maintaining and improving assurance levels. The team also successfully demonstrated the Phase I prototype at the International Crypto Module Conference (ICMC) 2023.	・暗号モジュール検証プログラム（CMVP）プロジェクトの進行。今年、NCCoE は CMVP プロジェクトの自動化に向けた協力者コミュニティのための効果的なガバナンス構造を組織した。NCCoE はまた、SP 1800-40A 「Automation of the NIST Cryptographic Module Validation Program」（NIST 暗号モジュール検証プログラムの自動化）のドラフトを公表した。これは、セキュリティ標準に準拠する暗号モジュールの検証サイクルを短縮し、保証レベルを維持・改善することを目的としている。同チームはまた、国際暗号モジュール会議（ICMC）2023でフェーズIプロトタイプのデモを成功させた。
OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY AND PRIVACY	サイバーセキュリティとプライバシーに関してNISTと関わる機会
Collaborators and researchers are the driving force behind NIST’s programs. NIST depends on developers, providers, and everyday users of cybersecurity and privacy technologies and information to guide our priorities.	共同研究者と研究者はNISTのプログラムを支える原動力である。NISTは、サイバーセキュリティとプライバシーの技術や情報の開発者、プロバイダ、そして日常的な利用者に依存して、優先順位を決定している。
• Details on engaging with NIST on cybersecurity and privacy are available here.	・サイバーセキュリティとプライバシーに関するNISTとの関わりについての詳細は、こちらをご覧いただきたい。
• Many NIST projects are supported by guest researchers, both foreign and domestic.	・NISTのプロジェクトの多くは、国内外のゲスト研究者によって支えられている。
• The Pathways Program supports federal internships for students and recent graduates.	・Pathwaysプログラムは、学生や新卒者を対象とした連邦政府のインターンシップを支援している。
• NIST funds industrial and academic research in several ways:	・NISTはいくつかの方法で産業界や学術界の研究に資金を提供している：
• The Small Business Innovation Research Program (SBIR) funds research and development proposals.	・中小企業技術革新研究プログラム（SBIR）は、研究開発提案に資金を提供する。
• NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Mr. Christopher Hunton via grants@nist.gov.	・NISTは、精密測定、火災研究、材料科学の分野での研究を奨励する助成金を提供している。NISTの助成金プログラムに関する一般的な情報については、クリストファー・ハントン氏（grants@nist.gov）までお問い合わせいただきたい。
• The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with ITL.	・情報技術研究所（ITL）のスピーカー・ビューローは、大学やカレッジとの連携を可能にし、NISTで行われているエキサイティングな仕事について学生や教員の認識を高め、ITLで働く機会を求める動機付けを行う。
• More information about our research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website.	・NISTの研究、プロジェクト、出版物、イベントに関する詳細は、NISTコンピュータ・セキュリティ・リソース・センター（CSRC）のウェブサイトを参照のこと。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program