« 中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表... | Main | 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) »

2024.09.10

米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)

こんにちは、丸山満彦です。

連邦金融機関検査協議会 ( Federal Financial Institutions Examination Council; FFEIC) は、2015年より10年近くの長きにわたり金融業界でも使われてきた(ただ、ちょっと改訂がとまっていましたね...)FFEIC CATを2025.08.31をもって終了すると発表していますね...

CAT終了に関する声明...

Federal Financial Institutions Examination Council; FFIEC

・2024.08.29 Cybersecurity Assessment Tool Sunset

声明...

・[PDF]

20240909-122432

 

CAT Sunset Statement   CAT 終了に関する声明 
The Federal Financial Institutions Examination Council (FFIEC),  on behalf of its members, is issuing this statement to communicate the agencies will sunset the Cybersecurity Assessment Tool (CAT)2 on August 31, 2025.    連邦金融機関検査協議会(FFIEC)は、加盟機関を代表して、サイバーセキュリティ評価ツール(CAT)2を2025年8月31日に終了することを発表する。  
The CAT was released in June 2015 as a voluntary assessment tool to help financial institutions identify their risks and determine their cybersecurity preparedness.  While the fundamental security controls addressed throughout the maturity levels of the CAT are sound, several new and updated government and industry resources are available that financial institutions can leverage to better manage cybersecurity risks.    CATは、金融機関が自社のリスクを識別し、サイバーセキュリティ対策を決定するのを支援する自主的なアセスメントツールとして、2015年6月にリリースされた。CATの成熟度レベル全体で取り上げられている基本的なセキュリティ制御は妥当であるが、金融機関がサイバーセキュリティリスクをより適切に管理するために活用できる、政府および業界による新しいリソースや更新されたリソースがいくつか利用可能になっている。
The FFIEC will remove the CAT from the FFIEC website on August 31, 2025.  After much consideration, the FFIEC has determined not to update the CAT to reflect new government resources, including the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 and the  FFIECは、2025年8月31日にFFIECウェブサイトからCATを削除する。 FFIECは、多くの検討を重ねた結果、国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0や、
Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals.  Supervised financial institutions can instead refer directly to these new government resources.  CISA released CrossSector Cybersecurity Performance Goals in 2023 and is preparing to release Cybersecurity Performance Goals for the Financial Sector later this year.  These resources were developed to help organizations of all sizes and sectors manage and reduce their cybersecurity risk in alignment with a whole-of-government approach to improve security and resilience.  The FFIEC will discuss these resources during a banker webinar this Fall.    サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティパフォーマンス目標など、新たな政府リソースを反映させるためにCATを更新しないことを決定した。監督下にある金融機関は、代わりにこれらの新たな政府リソースを直接参照することができる。CISAは2023年に「業種横断的サイバーセキュリティパフォーマンス目標)」を公表し、今年後半には「金融セクター向けサイバーセキュリティパフォーマンス目標)」を公表する予定である。 これらのリソースは、あらゆる規模や業種の組織が、政府全体のアプローチに沿ってサイバーセキュリティリスクを管理・軽減し、セキュリティとレジリエンシーを改善できるよう開発された。FFIECは、今秋に開催される銀行家向けウェビナーで、これらのリソースについて議論する予定である。 
Supervised financial institutions may also consider use of industry developed resources, such as the Cyber Risk Institute’s (CRI) Cyber Profile, and the Center for Internet Security Critical Security Controls.  These tools can be used in conjunction with other resources (e.g., frameworks, standards, guidelines, leading practices) to better address and inform management of continuously evolving cyber security risk.  Supervised financial institutions should ensure that any self-assessment tool(s) they utilize support an effective control environment and are commensurate with their risk.  監督下にある金融機関は、「サイバーリスク研究所 (CRI) 」の「サイバー・プロファイル」や「インターネットセキュリティセンター 重要なセキュリティ管理策」など、業界が開発したリソースの利用も検討すべきである。 これらのツールは、他のリソース(フレームワーク、標準、ガイドライン、ベストプラクティスなど)と併用することで、絶えず進化するサイバーセキュリティリスクへの対応と経営陣への情報提供をより効果的に行うことができる。監督下にある金融機関は、利用する自己アセスメントツールが効果的な制御環境をサポートし、自社のリスクに見合ったものであることを確認すべきである。
While the FFIEC does not endorse any particular tool, these standardized tools can assist financial institutions members take a risk-focused approach to examinations.  As cyber risk evolves, examiners may address areas not covered by all tools.  FFIECは特定のツールを推奨していないが、これらの標準化されたツールは、金融機関がリスクに焦点を当てたアプローチで検査を行うことを支援することができる。 サイバーリスクが進化するにつれ、すべてのツールでカバーされていない分野について検査官が対応することがある。 
Resources  リソース 
NIST Cybersecurity Framework 2.0  ・NIST サイバーセキュリティフレームワーク 2.0 
CISA Cybersecurity Performance Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標 
Cybersecurity Performance Goals: Sector-Specific Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標:セクター固有の目標 
Cyber Risk Institute Cyber Profile  ・サイバーリスク研究所 サイバープロファイル 
Center for Internet Security Controls ・インターネットセキュリティ管理センター

 

CATのページも終了のアナウンスが...

Cybersecurity Assessment Tool

現行の最新版は、2017年5月版...

・[PDF] User’s Guide 

・[PDF] Inherent Risk Profile 

・[PDF] Cybersecurity Maturity 

 

 


で、おそらく重要となる...

Cyber Risk Institute

CRI Profile v2.0

サイバーセキュリティフレームワーク (CSF) 2.0と構造は同じで、追加で、Extendedがありますね...

20240909-123747

 

EX EXTEND 拡張
EX.DD Procurement Planning and Due Diligence 調達計画およびデューデリジェンス
EX.DD-01 Procurement Planning 調達計画
EX.DD-02 Prospective Third Party Due Diligence 取引見込み先のサードパーティのデューデリジェンス
EX.DD-03 Technology & Cybersecurity Due Diligence 技術およびサイバーセキュリティのデューデリジェンス
EX.DD-04 Product & Service Due Diligence 製品およびサービスのデューデリジェンス
EX.CN Third-Party Contracts and Agreements サードパーティ契約および合意
EX.CN-01 Contract General Requirements 契約の一般要件
EX.CN-02 Contract Cybersecurity-Related Requirements 契約のサイバーセキュリティ関連要件
EX.MM Monitoring and Managing Suppliers サプライヤーのモニタリングおよび管理
EX.MM-01 Ongoing Third-Party Monitoring 継続的なサードパーティのモニタリング
EX.MM-02 Ongoing Third-Party Management 継続的なサードパーティの管理
EX.TR Relationship Termination 関係の終了
EX.TR-01 Termination Planning 終了計画
EX.TR-02 Termination Practices 終了の実施

 


 

Center for Internet Security

CIS Critical Security Controls

・[PDF] CIS Community Defense Model Version 2.0

20240909-125832

目次...

Executive Summary エグゼクティブサマリー
Results Summary 結果の概要
Overview 概要
What’s New in CDM v2.0 CDM v2.0の新機能
Glossary 用語集
Methodology 方法論
Security Function vs. Security Value 8 セキュリティ機能とセキュリティ価値 8
Overall Process 全体的なプロセス
ATT&CK Structure ATT&CKの構造
Mapping Relationships 関係性のマッピング
How to Use This Document この文書の使用方法
Security Function Analysis セキュリティ機能分析
ATT&CK Mitigations ATT&CK 低減策
ATT&CK (Sub-)Techniques ATT&CK(サブ)テクニック
CIS Safeguards CIS セーフガード
Data Source Analysis データソース分析
Data Types 18 データタイプ 18
Attack Type Data Sources 攻撃タイプ データソース
Top Attack Types 主な攻撃の種類
Attack Pattern Data Sources 攻撃パターン データソース
Security Value Analysis セキュリティ価値分析
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Summary まとめ
Conclusion 結論
Closing Notes 結語
Future Work 今後の課題
Appendix A: Acronyms and Abbreviations
附属書A: 略語と略称
Appendix B: Links and Resource 附属書 B: リンクとリソース
Appendix C: Background 附属書 C: 背景
Appendix D: ATT&CK (Sub-)Techniques With No Mapping to CIS Safeguards 附属書D: CISセーフガードへのマッピングのないATT&CK(サブ)テクニック
Appendix E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations 附属書 E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations
Appendix F: Unmapped CIS Safeguards to ATT&CK Framework 附属書 F: ATT&CKフレームワークにマッピングされていないCISセキュリティ対策
Appendix G: ATT&CK Navigator Visualizations for Attack Patterns 附属書 G: ATT&CKナビゲーターによる攻撃パターンを視覚化
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Appendix H: Unmapped ATT&CK (Sub-)Techniques to CIS Safeguards Within an Attack Pattern 附属書 H: 攻撃パターンにおけるCIS安全対策に対する未マッピングのATT&CK(サブ)テクニック
Appendix I: ATT&CK (Sub-)Techniques With No ATT&CK Mitigation Mapped Within an Attack Pattern 附属書 I: ATT&CK(サブ)テクニックで、攻撃パターン内にATT&CK低減策がマッピングされていないもの

 

 

|

« 中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表... | Main | 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表... | Main | 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) »