米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)
こんにちは、丸山満彦です。
連邦金融機関検査協議会 ( Federal Financial Institutions Examination Council; FFEIC) は、2015年より10年近くの長きにわたり金融業界でも使われてきた(ただ、ちょっと改訂がとまっていましたね...)FFEIC CATを2025.08.31をもって終了すると発表していますね...
CAT終了に関する声明...
● Federal Financial Institutions Examination Council; FFIEC
・2024.08.29 Cybersecurity Assessment Tool Sunset
声明...
・[PDF]
CAT Sunset Statement | CAT 終了に関する声明 |
The Federal Financial Institutions Examination Council (FFIEC), on behalf of its members, is issuing this statement to communicate the agencies will sunset the Cybersecurity Assessment Tool (CAT)2 on August 31, 2025. | 連邦金融機関検査協議会(FFIEC)は、加盟機関を代表して、サイバーセキュリティ評価ツール(CAT)2を2025年8月31日に終了することを発表する。 |
The CAT was released in June 2015 as a voluntary assessment tool to help financial institutions identify their risks and determine their cybersecurity preparedness. While the fundamental security controls addressed throughout the maturity levels of the CAT are sound, several new and updated government and industry resources are available that financial institutions can leverage to better manage cybersecurity risks. | CATは、金融機関が自社のリスクを識別し、サイバーセキュリティ対策を決定するのを支援する自主的なアセスメントツールとして、2015年6月にリリースされた。CATの成熟度レベル全体で取り上げられている基本的なセキュリティ制御は妥当であるが、金融機関がサイバーセキュリティリスクをより適切に管理するために活用できる、政府および業界による新しいリソースや更新されたリソースがいくつか利用可能になっている。 |
The FFIEC will remove the CAT from the FFIEC website on August 31, 2025. After much consideration, the FFIEC has determined not to update the CAT to reflect new government resources, including the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 and the | FFIECは、2025年8月31日にFFIECウェブサイトからCATを削除する。 FFIECは、多くの検討を重ねた結果、国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0や、 |
Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals. Supervised financial institutions can instead refer directly to these new government resources. CISA released CrossSector Cybersecurity Performance Goals in 2023 and is preparing to release Cybersecurity Performance Goals for the Financial Sector later this year. These resources were developed to help organizations of all sizes and sectors manage and reduce their cybersecurity risk in alignment with a whole-of-government approach to improve security and resilience. The FFIEC will discuss these resources during a banker webinar this Fall. | サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティパフォーマンス目標など、新たな政府リソースを反映させるためにCATを更新しないことを決定した。監督下にある金融機関は、代わりにこれらの新たな政府リソースを直接参照することができる。CISAは2023年に「業種横断的サイバーセキュリティパフォーマンス目標)」を公表し、今年後半には「金融セクター向けサイバーセキュリティパフォーマンス目標)」を公表する予定である。 これらのリソースは、あらゆる規模や業種の組織が、政府全体のアプローチに沿ってサイバーセキュリティリスクを管理・軽減し、セキュリティとレジリエンシーを改善できるよう開発された。FFIECは、今秋に開催される銀行家向けウェビナーで、これらのリソースについて議論する予定である。 |
Supervised financial institutions may also consider use of industry developed resources, such as the Cyber Risk Institute’s (CRI) Cyber Profile, and the Center for Internet Security Critical Security Controls. These tools can be used in conjunction with other resources (e.g., frameworks, standards, guidelines, leading practices) to better address and inform management of continuously evolving cyber security risk. Supervised financial institutions should ensure that any self-assessment tool(s) they utilize support an effective control environment and are commensurate with their risk. | 監督下にある金融機関は、「サイバーリスク研究所 (CRI) 」の「サイバー・プロファイル」や「インターネットセキュリティセンター 重要なセキュリティ管理策」など、業界が開発したリソースの利用も検討すべきである。 これらのツールは、他のリソース(フレームワーク、標準、ガイドライン、ベストプラクティスなど)と併用することで、絶えず進化するサイバーセキュリティリスクへの対応と経営陣への情報提供をより効果的に行うことができる。監督下にある金融機関は、利用する自己アセスメントツールが効果的な制御環境をサポートし、自社のリスクに見合ったものであることを確認すべきである。 |
While the FFIEC does not endorse any particular tool, these standardized tools can assist financial institutions members take a risk-focused approach to examinations. As cyber risk evolves, examiners may address areas not covered by all tools. | FFIECは特定のツールを推奨していないが、これらの標準化されたツールは、金融機関がリスクに焦点を当てたアプローチで検査を行うことを支援することができる。 サイバーリスクが進化するにつれ、すべてのツールでカバーされていない分野について検査官が対応することがある。 |
Resources | リソース |
・NIST Cybersecurity Framework 2.0 | ・NIST サイバーセキュリティフレームワーク 2.0 |
・CISA Cybersecurity Performance Goals | CISA | ・CISA サイバーセキュリティパフォーマンス目標 |
・Cybersecurity Performance Goals: Sector-Specific Goals | CISA | ・CISA サイバーセキュリティパフォーマンス目標:セクター固有の目標 |
・Cyber Risk Institute Cyber Profile | ・サイバーリスク研究所 サイバープロファイル |
・Center for Internet Security Controls | ・インターネットセキュリティ管理センター |
CATのページも終了のアナウンスが...
・Cybersecurity Assessment Tool
現行の最新版は、2017年5月版...
・[PDF] User’s Guide
・[PDF] Inherent Risk Profile
・[PDF] Cybersecurity Maturity
で、おそらく重要となる...
サイバーセキュリティフレームワーク (CSF) 2.0と構造は同じで、追加で、Extendedがありますね...
EX | EXTEND | 拡張 |
EX.DD | Procurement Planning and Due Diligence | 調達計画およびデューデリジェンス |
EX.DD-01 | Procurement Planning | 調達計画 |
EX.DD-02 | Prospective Third Party Due Diligence | 取引見込み先のサードパーティのデューデリジェンス |
EX.DD-03 | Technology & Cybersecurity Due Diligence | 技術およびサイバーセキュリティのデューデリジェンス |
EX.DD-04 | Product & Service Due Diligence | 製品およびサービスのデューデリジェンス |
EX.CN | Third-Party Contracts and Agreements | サードパーティ契約および合意 |
EX.CN-01 | Contract General Requirements | 契約の一般要件 |
EX.CN-02 | Contract Cybersecurity-Related Requirements | 契約のサイバーセキュリティ関連要件 |
EX.MM | Monitoring and Managing Suppliers | サプライヤーのモニタリングおよび管理 |
EX.MM-01 | Ongoing Third-Party Monitoring | 継続的なサードパーティのモニタリング |
EX.MM-02 | Ongoing Third-Party Management | 継続的なサードパーティの管理 |
EX.TR | Relationship Termination | 関係の終了 |
EX.TR-01 | Termination Planning | 終了計画 |
EX.TR-02 | Termination Practices | 終了の実施 |
● Center for Internet Security
・CIS Critical Security Controls
・[PDF] CIS Community Defense Model Version 2.0
目次...
Executive Summary | エグゼクティブサマリー |
Results Summary | 結果の概要 |
Overview | 概要 |
What’s New in CDM v2.0 | CDM v2.0の新機能 |
Glossary | 用語集 |
Methodology | 方法論 |
Security Function vs. Security Value 8 | セキュリティ機能とセキュリティ価値 8 |
Overall Process | 全体的なプロセス |
ATT&CK Structure | ATT&CKの構造 |
Mapping Relationships | 関係性のマッピング |
How to Use This Document | この文書の使用方法 |
Security Function Analysis | セキュリティ機能分析 |
ATT&CK Mitigations | ATT&CK 低減策 |
ATT&CK (Sub-)Techniques | ATT&CK(サブ)テクニック |
CIS Safeguards | CIS セーフガード |
Data Source Analysis | データソース分析 |
Data Types 18 | データタイプ 18 |
Attack Type Data Sources | 攻撃タイプ データソース |
Top Attack Types | 主な攻撃の種類 |
Attack Pattern Data Sources | 攻撃パターン データソース |
Security Value Analysis | セキュリティ価値分析 |
Malware | マルウェア |
Ransomware | ランサムウェア |
Web Application Hacking | ウェブアプリケーションハッキング |
Insider and Privilege Misuse | 内部関係者および特権の悪用 |
Targeted Intrusions | 標的型侵入 |
Summary | まとめ |
Conclusion | 結論 |
Closing Notes | 結語 |
Future Work | 今後の課題 |
Appendix A: Acronyms and Abbreviations |
附属書A: 略語と略称 |
Appendix B: Links and Resource | 附属書 B: リンクとリソース |
Appendix C: Background | 附属書 C: 背景 |
Appendix D: ATT&CK (Sub-)Techniques With No Mapping to CIS Safeguards | 附属書D: CISセーフガードへのマッピングのないATT&CK(サブ)テクニック |
Appendix E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations | 附属書 E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations |
Appendix F: Unmapped CIS Safeguards to ATT&CK Framework | 附属書 F: ATT&CKフレームワークにマッピングされていないCISセキュリティ対策 |
Appendix G: ATT&CK Navigator Visualizations for Attack Patterns | 附属書 G: ATT&CKナビゲーターによる攻撃パターンを視覚化 |
Malware | マルウェア |
Ransomware | ランサムウェア |
Web Application Hacking | ウェブアプリケーションハッキング |
Insider and Privilege Misuse | 内部関係者および特権の悪用 |
Targeted Intrusions | 標的型侵入 |
Appendix H: Unmapped ATT&CK (Sub-)Techniques to CIS Safeguards Within an Attack Pattern | 附属書 H: 攻撃パターンにおけるCIS安全対策に対する未マッピングのATT&CK(サブ)テクニック |
Appendix I: ATT&CK (Sub-)Techniques With No ATT&CK Mitigation Mapped Within an Attack Pattern | 附属書 I: ATT&CK(サブ)テクニックで、攻撃パターン内にATT&CK低減策がマッピングされていないもの |
« 中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表... | Main | 米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05) »
Comments