米国 NIST SP 1314 NIST リスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド： 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ

こんにちは、丸山満彦です。

NISTが、「NIST SP 1314 NIST リスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド： 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ」を公表しています...

大規模ではない組織におけるエンタープライズリスクマネジメントに取り組むためのガイドで、サプライチェーンリスクマネジメントの観点もあってこれから苦労する中小企業にとっても、参考になるかもですね...もちろん、自社のサプライチェーン上の中小企業にエンタープライズリスクマネジメントを実施してもらうためのガイドとして紹介をするのもありかもですね...

なお、私も策定に関わった経済産業省の[PDF]サイバーセキュリティ経営ガイドライン Ver3.0でも、「I．企業リスクマネジメントの一部としてのサイバーセキュリティ」として、エンタープライズリスクマネジメントの一部としてのサイバーセキュリティを強調しています...

 

● NIST - ITL

・2024.07.23 NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide: A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk

 

NIST SP 1314 NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide: A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk	NIST SP 1314 NIST リスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド： 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ
Abstract	概要
For organizations of all sizes, managing risk (including information security and privacy risk), is critical for organizational resilience. This guide is designed to help small, under-resourced entities understand the value and core components of the NIST Risk Management Framework (RMF) and provide a starting point for designing and implementing an information security and privacy risk management program. This document is not intended to replace the RMF; it is intended to be an introductory guide to help organizations get started.	あらゆる規模の組織にとって、リスク（情報セキュリティとプライバシーのリスクを含む）をマネジメントすることは、組織のレジリエンスにとって極めて重要である。本書は、小規模で十分なリソースを持たない事業体が、NISTリスクマネジメントフレームワーク（RMF）の価値と中核的な構成要素を理解し、情報セキュリティとプライバシーのリスクマネジメントプログラムを設計し、実施するための出発点を提供することを目的としている。本書は、RMFに取って代わることを意図したものではなく、組織が開始するための入門ガイドとなることを意図している。

 

・[PDF] NIST.SP.1314

 

NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide	NISTリスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド
A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk	情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ
Overview	概要
Purpose of this Small Enterprise Quick Start Guide	本「小規模企業向けクイックスタートガイド」の目的
For organizations of all sizes, managing risk (including information security1 and privacy risk) is critical for organizational resilience. This guide is designed to help small, under-resourced entities understand the value and core components of the NIST Risk Management Framework (RMF)2 and provide a starting point for designing and implementing an information security and privacy risk management program. This document is not intended to replace the RMF; it is intended to be an introductory guide to help organizations get started.	あらゆる規模の組織にとって、リスク（情報セキュリティリスク1 とプライバシーリスク を含む）をマネジメントすることは、組織のレジリエンスにとって極めて重要である。本ガイドは、小規模で十分なリソースを持たない事業体が、NISTリスクマネジメントフレームワーク（RMF）2の価値と中核的な構成要素を理解し、情報セキュリティとプライバシーのリスクマネジメントプログラムを設計し、実施するための出発点を提供することを目的としている。本書は、RMFに取って代わることを意図したものではなく、組織が開始するための入門ガイドとなることを意図している。
Risk Management Fundamentals	リスクマネジメントの基礎
Before we explore the RMF in detail, let’s take a moment to understand risk management broadly. Risk management is a comprehensive process that enables organizations to:	RMFについて詳しく説明する前に、リスクマネジメントについて広く理解しておこう。リスクマネジメントは、組織が以下を行うための包括的なプロセスである：
• Frame Risk: Establish a risk context by providing a common perspective on how organizations manage risk. A key output is the risk management strategy that addresses risk tolerance, assumptions and constraints, and how the organization intends to assess, respond to, and monitor risk.	・リスクの枠組み:組織がどのようにリスクを管理するかについて共通の視点を提供する ことにより,リスクの文脈を確立する。重要なアウトプットは,リスクマネジメント戦略であり,リスク許容度,前提条件,制約条件,及び組織がどのようにリスクをアセスメントし,対応し,モニタリングするつもりであるかに対処するものである。
• Assess Risk: Identify, prioritize, and estimate risk impacts to the organization, operations, and mission/business. Learn more about Conducting Risk Assessments in SP 800-30.	・リスクのアセスメント：組織、業務、ミッション／ビジネスに対するリスクの影響を識別し、優先順位を付け、推定する。リスクアセスメントの実施については、SP800-30を参照のこと。
• Respond to Risk: Identify, evaluate, decide on, and implement appropriate courses of action to accept, avoid, mitigate, share, or transfer risk.	・リスクへの対応:リスクを受容,回避,軽減,共有,又は移転するための適切な行動方針を特定し,評価し,決定し,実施する。
• Monitor Risk: Verify planned risk response measures are implemented, determine the ongoing effectiveness of the risk responses, and continuously monitor risk.	・リスクの監視:計画されたリスク対応策が実施されていることを確認し,リスク対応の継続的な有効性を判断し,継続的にリスクを監視する。
The NIST RMF	NIST RMF
The RMF provides a comprehensive, flexible, repeatable, and measurable seven-step process that organizations can use to manage their unique information security and privacy risks. The RMF can be applied to new and existing systems, any type of system or technology (e.g., Internet of Things, control systems), and within any type of organization regardless of size or sector.	RMFは、包括的で柔軟性があり、反復可能で測定可能な7段階のプロセスを提供するものであり、組織はこれを用いて固有の情報セキュリティおよびプライバシーリスクをマネジメントすることができる。RMFは、新規および既存のシステム、あらゆる種類のシステムまたは技術（モノのインターネット、制御システムなど）、および規模や部門に関係なくあらゆる種類の組織に適用することができる。
The Seven Steps of the RMF Process	RMFプロセスの7つのステップ
There are seven steps in the RMF process. All seven steps are required for successful execution of the RMF. The image below lists each step and their respective descriptions. While the process is shown as linear, after initial implementation, organizations can move between steps in any order, as needed.	RMFプロセスには7つのステップがある。RMFを成功させるには、7つのステップすべてが必要である。下の図は、各ステップとそれぞれの説明を示したものである。プロセスは直線的に示されているが、初期導入後、組織は必要に応じてどのような順序でもステップ間を移動することができる。
Tying Organizational Mission to Information Security and Privacy Risk Management	組織のミッションを情報セキュリティとプライバシーのリスクマネジメントに結びつける
In our current information age, relying on digital capabilities and data processing is essential for achieving organizational missions. This reliance increases potential exposure to information security risks and potential privacy problems for customers, employees, or even society as a whole. A disciplined and structured approach to information security and privacy risk management enables you to understand, for instance:	現在の情報化時代において、デジタル機能とデータ処理に依存することは、組織のミッションを達成するために不可欠である。このような依存は、顧客、従業員、あるいは社会全体にとって、情報セキュリティリスクや潜在的プライバシー問題にさらされる可能性を増大させる。情報セキュリティとプライバシーのリスクマネジメントに対する規律ある構造化されたアプローチによって、例えば、次のようなことが理解できるようになる：
o What information, technologies, people, processes, etc., are the most critical to your organization’s mission?	o 組織のミッションにとって最も重要な情報、技術、人材、プロセスなどは何か？
o What internal or external risks might impede your ability to carry out your mission successfully?	o 任務を成功裏に遂行する能力を阻害する可能性のある内部又は外部のリスクは何か。
o Who within the organization is accountable for information security and privacy risk management success?	o 情報セキュリティ及びプライバシーのリスクマネジメントを成功させるための責 任者は組織内の誰であるか？
o What steps are needed to minimize or eliminate the possibility of identified risks impeding your mission?	o 識別されたリスクが使命を阻害する可能性を最小化または排除するために、どのような措置が必要か？
Information Security and Privacy	情報セキュリティとプライバシー
The RMF addresses both information security and privacy. Though they are distinct disciplines, they can have overlapping and complementary objectives.	RMFは、情報セキュリティとプライバシーの両方を取り扱う。両者は別個の分野であるが、目的が重複し補完し合うこともある。
For example, when your organization processes personally identifiable information (PII), your information security program and privacy program have a shared responsibility for managing the risks to individuals that may arise from unauthorized access to those data. You must keep this in mind when selecting, implementing, assessing, and monitoring appropriate controls. Note, however, protecting individuals’ privacy cannot be achieved solely by securing PII.	例えば、組織が個人を特定できる情報（PII）を処理する場合、情報セキュリ ティ・プログラムとプライバシー・プログラムは、それらのデータへの不正アクセ スから生じる可能性のある個人へのリスクをマネジメントする責任を共有する。適切な管理策を選択し、実施し、アセスメントし、モニタリングする際には、このことを念頭に置かなければならない。しかしながら、個人のプライバシーの保護は、PIIを保護することのみによって達成され るものではないことに注意すること。
The risk management processes described in the RMF are equally applicable to security and privacy programs. Learn more about this in section 2.3 of the RMF.	RMFに記載されているリスクマネジメントプロセスは、セキュリ ティおよびプライバシープログラムにも同様に適用できる。これについては、RMFのセクション2.3で詳しく説明している。
1Information security, often used interchangeably with the term “cybersecurity,” is the protection of information and systems from unauthorized access, use, disclosure, disruption, modification, or destruction. See full definition.	1情報セキュリティは、しばしば「サイバーセキュリティ」という用語と互換的に使用されるが、情報およびシステムを不正アクセス、使用、開示、中断、変更、または破壊から防御することである。完全な定義を参照のこと。
2 NIST Special Publication (SP) 800-37, Revision 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.	2 NIST特別刊行物（SP）800-37改訂2版「情報システムおよび組織のためのリスクマネジメントフレームワーク」： セキュリティとプライバシーのためのシステムライフサイクルアプローチ。