米国 NIST NIST SP 800-50 Rev. 1 サイバーセキュリティとプライバシーの学習プログラムの構築 (2024.09.12)
こんにちは、丸山満彦です。
サイバーセキュリティで教育が重要という話はよく聞きます。(実は先日、大学生の方の皆さんにインターンのような形で、セキュリティのコンサル経験をしてもらったのですが、その際にも、2チームとも「教育が重要」ということを擬似クライアントに説明していました。)
のわりに、昔から、セキュリティやプライバシーをしている人たちは、学習ということに対する総合的な知見がないために、コンテンツづくりはぷろとしても、学習プログラム構築には素人なので、適切なサイバーセキュリティ学習プログラムが策定できていないケースも多くあるように思います。
その点、SP800-53は、サイバーセキュリティやプライバシーにかかわる業務をするために必要な力量を得るための学習プログラムをどのように構築するか?というところに焦点を当てているので、セキュリティのコンサルタントの人などは目を通しておいたらよいのではないかと思いました...
● NIST - ITL
・2024.09.12 NIST SP 800-50 Rev. 1 Building a Cybersecurity and Privacy Learning Program
NIST SP 800-50 Rev. 1 Building a Cybersecurity and Privacy Learning Program | NIST SP 800-50 Rev. 1 サイバーセキュリティとプライバシーの学習プログラムの構築 |
Abstract | 概要 |
This publication provides guidance for federal agencies and organizations to develop and manage a life cycle approach to building a Cybersecurity and Privacy Learning Program (CPLP). The approach is intended to address the needs of large and small organizations as well as those building an entirely new program. The information leverages broadly accepted standards, regulations, legislation, and best practices. The recommendations are customizable and may be implemented as part of an organization-wide process that manages awareness, training, and education programs for a diverse set of federal employee audiences. The program should encourage behavior change as part of risk management and lead to developing a privacy and security culture in the organization. The guidance also includes suggested metrics and evaluation methods to regularly improve and update the program as needs evolve. | 本書は、連邦政府機関および組織がサイバーセキュリティおよびプライバシー学習プログラム(CPLP)を構築するためのライフサイクルアプローチを開発し、管理するためのガイダンスを提供する。本アプローチは、大規模な組織から小規模な組織まで、またまったく新しいプログラムを構築する組織のニーズにも対応することを意図している。情報は、広く受け入れられている標準、規制、法律、ベストプラクティスを活用している。提言はカスタマイズ可能であり、連邦職員の多様な対象者に対する意識向上およびトレーニング、教育プログラムを管理する組織全体のプロセスの一部として実施することができる。プログラムは、リスクマネジメントの一環として行動変容を促し、組織におけるプライバシーとセキュリティ文化の発展につながるものでなければならない。このガイダンスには、ニーズの変化に応じてプログラムを定期的に改善・更新するための指標と評価方法の提案も含まれている。 |
・[PDF] NIST.SP.800-50r1
目次...
Executive Summary. | エグゼクティブサマリー |
1. Introduction | 1. 序文 |
1.1. Purpose | 1.1. 目的 |
1.2. Scope | 1.2. 適用範囲 |
1.3. CPLP Life Cycle | 1.3. CPLPのライフサイクル |
1.4. Developing a Cybersecurity and Privacy Culture | 1.4. サイバーセキュリティとプライバシー文化の育成 |
1.5. Relationship Between Cybersecurity and Privacy | 1.5. サイバーセキュリティとプライバシーの関係 |
1.5.1. Privacy Risk Management Concepts to Emphasize. | 1.5.1. 重視すべきプライバシーリスクマネジメントの概念 |
1.5.2. Coordinating Cybersecurity and Privacy Learning Efforts | 1.5.2. サイバーセキュリティとプライバシーの学習努力の調整 |
1.6. Roles and Responsibilities | 1.6. 役割と責任 |
1.6.1. Head of Organization | 1.6.1. 組織の長 |
1.6.2. Senior Leadership | 1.6.2. シニア・リーダーシップ |
1.6.3. CPLP Managers | 1.6.3. CPLPマネージャー |
1.6.4. Managers | 1.6.4. マネージャー |
1.6.5. System User | 1.6.5. システムユーザー |
2. CPLP Plan and Strategy | 2. CPLP計画と戦略 |
2.1. Building the Strategic Plan | 2.1. 戦略計画の構築 |
2.2. Developing CPLP Policies and Procedures.. | 2.2. CPLPの方針と手続きの策定 |
2.2.1. Examples of Learning Program Policy Statements | 2.2.1. 学習プログラム方針書の例 |
2.3. Aligning Strategies, Goals, Objectives, and Tactics. | 2.3. 戦略、目標、目的、戦術の調整 |
2.3.1. Scenario 1: Protecting Sensitive Printed Data. | 2.3.1. シナリオ1:機密印刷データの防御 |
2.3.2. Scenario 2: Developing a New Regulation-Required Training Program | 2.3.2. シナリオ2:新規則に基づくトレーニングプログラムの開発 |
2.4. Determining CPLP Measurements and Metrics | 2.4. CPLPの測定と指標を決定する |
2.4.1. Measurements | 2.4.1. 測定 |
2.4.2. From Measurements to Metrics. | 2.4.2. 測定からメトリクスへ |
2.5. Learning Program Audience Segments | 2.5. 学習プログラムの受講者セグメント |
2.5.1. All Users. | 2.5.1. 全ユーザー |
2.5.2. Privileged Access Account Holders. | 2.5.2. 特権アクセス・アカウント保持者 |
2.5.3. Staff With Significant Cybersecurity and/or Privacy Responsibilities . | 2.5.3.サイバーセキュリティ及び/又はプライバシーに重大な責任を有するスタッフ |
2.5.4. Determining Who Has Significant Cybersecurity and/or Privacy Responsibilities. | 2.5.4. 誰がサイバーセキュリティ及び/又はプライバシーの重要な責任を有するかの決定 |
2.6. Determining Scope and Complexity.. | 2.6. 範囲と複雑さの決定 |
2.7. CPLP Elements | 2.7. CPLP要素 |
2.7.1. Awareness Activities | 2.7.1. 啓発活動 |
2.7.2. Experiential Learning.. | 2.7.2. 体験学習 |
2.7.3. Training Content | 2.7.3. トレーニング内容 |
2.8. Establishing the CPLP Plan Priorities. | 2.8. CPLP計画の優先順位を決める |
2.9. Developing the CPLP Plan | 2.9. CPLP計画の策定 |
2.10. CPLP Resources | 2.10. CPLPリソース |
2.10.1. Establishing a CPLP Budget | 2.10.1. CPLP予算の設定 |
2.10.2. CPLP Staff and Locations | 2.10.2. CPLPのスタッフと場所 |
2.11. Communicating the Strategic Plan and Program Performance | 2.11 .戦略計画とプログラム実績のコミュニケーション |
3. CPLP Analysis and Design.. | 3. CPLPの分析と設計 |
3.1. Analysis Phase | 3.1. 分析段階 |
3.1.1. Importance of the Analysis Phase | 3.1.1. 分析段階の重要性 |
3.1.2. Steps of the Analysis Phase | 3.1.2. 分析段階のステップ |
3.2. Design Phase | 3.2. 設計段階 |
3.2.1. Steps of the Design Phase | 3.2.1. 設計段階のステップ |
4. CPLP Development and Implementation. | 4. CPLPの開発と実施 |
4.1. Developing CPLP Materials | 4.1. CPLP教材を開発する |
4.1.1. General Guidelines for Developing or Acquiring New CPLP Materials | 4.1.1. 新しいCPLP教材を開発または取得するための一般ガイドライン |
4.1.2. Developing New Materials for the "All User" Learning Program | 4.1.2. 「全ユーザー」学習プログラムのための新教材を開発する |
4.1.3. Developing New Materials for the Privileged Access Account Holders Learning Program | 4.1.3. 特権アクセス・アカウント保持者学習プログラムのための新教材を開発する |
4.1.4. Developing New Materials for Those With Significant Cybersecurity and/or Privacy Responsibilities.. | 4.1.4. サイバーセキュリティ及び/又はプライバシーの重大な責任を有する者のための新たな資料の開発 |
4.1.5. Acquiring Learning Materials From External Sources | 4.1.5. 外部から学習教材を入手する |
4.1.6. Conducting Learner Testing on New CPLP Elements .. | 4.1.6. 新しいCPLP要素に関する学習者テストの実施 |
4.2. Implementing New CPLP Elements. | 4.2. 新しいCPLP要素を実装する |
4.2.1. Steps for Implementing a New CPLP Element | 4.2.1. 新しいCPLP要素を実装する手順 |
4.3. Communicating the CPLP Implementation | 4.3. CPLP実施をコミュニケーションする |
4.4. Establishing Measurements, Metrics, and Reporting. | 4.4. 測定、指標、報告の確立 |
4.5. Building a CPLP Schedule | 4.5. CPLPのスケジュールを立てる |
4.6. Planning to Evaluate Program Success | 4.6. プログラムの成功を評価する計画 |
5. CPLP Assessment and Improvement... | 5. CPLPアセスメントと改善 |
5.1 Steps for Assessing and Improving the CPLP | 5.1 CPLPのアセスメントと改善のステップ |
5.2 Creating a CPLP Assessment Report | 5.2 CPLPアセスメントレポートの作成 |
5.2.1 Measurements and Metrics..... | 5.2.1 測定と指標 |
5.2.2 Regulatory Compliance Reporting | 5.2.2 規制順守の報告 |
5.2.3 Evaluating CPLP Effectiveness.. | 5.2.3 CPLPの効果を評価する |
5.2.4. Reviewing the CPLP Assessment Report with Senior Leadership | 5.2.4. 上級幹部とCPLPアセスメント報告書を見直す |
5.3 CPLP Improvement Efforts | 5.3. CPLP改善への取り組み |
6. Summary | 6.まとめ |
References | 参考文献 |
Appendix A. Examples of Cybersecurity and Privacy Learning Program Maturity Levels | 附属書A. サイバーセキュリティとプライバシーの学習プログラムの成熟度レベルの例 |
Appendix B. Glossary | 附属書B. 用語集 |
Appendix C. Change Log | 附属書C. 変更履歴 |
エグゼクティブサマリー
Executive Summary | エグゼクティブサマリー |
Ensuring that a federal organization’s workforce is aware of and prepared to respond appropriately and effectively to cybersecurity and privacy risks is an important effort that requires a strategic approach based on thoughtful planning, resource considerations, and leadership-driven decision-making. This long-awaited update to the 2003 NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, provides guidance to create and manage a program that includes cybersecurity and privacy awareness campaigns, role-based training, and other workforce education programs. These programs combine to create an overall Cybersecurity and Privacy Learning Program (CPLP) that is part of a larger organizational effort to reduce cybersecurity and privacy risks. The resulting CPLP supports federal requirements and incorporates industry-recognized best practices for risk management. | 連邦組織の従業員がサイバーセキュリティとプライバシーのリスクを認識し、適切かつ効果的に対応できるよう準備することは、熟慮された計画、リソースの考慮、リーダーシップ主導の意思決定に基づく戦略的アプローチを必要とする重要な取り組みである。2003 年に発行された NIST 特別刊行物(SP)800-50「情報技術セキュリティ意識向上およびトレーニングプログラムの構築」の待望の更新版である本書は、サイバーセキュリティおよびプライバシーに関する意識向上キャンペーン、役割に応じたトレーニング、その他の人材教育プログラムを含むプログラムを作成し、管理するためのガイダンスを提供する。これらのプログラムを組み合わせることで、サイバーセキュリティとプライバシーのリスクを低減するためのより大きな組織的努力の一部である全体的なサイバーセキュリティとプライバシー学習プログラム(CPLP)を作成することができる。その結果、CPLPは連邦政府の要件をサポートし、業界で認知されたリスクマネジメントのベストプラクティスを取り入れている。 |
In addition to meeting statutory responsibilities under the Federal Information Security Management Act (FISMA) [2], this Special Publication supports the National Defense Authorization Act of 2021 (NDAA) [1] to “publish standards and guidelines for improving cybersecurity awareness of employees and contractors of Federal agencies.”[1] Including privacy as a foundational element in the CPLP reflects the guidance found in the 2016 update to the Office of Management and Budget (OMB) Circular A-130: | 連邦情報安全保障管理法(FISMA)[2]の下での法的責任を果たすことに加え、この特別出版物は、「連邦機関の職員および請負業者のサイバーセキュリティ意識を向上させるための標準およびガイドラインを公表する」という2021年国防認可法(NDAA)[1]をサポートしている。[1]プライバシーをCPLPの基礎要素として含めることは、行政管理予算局(OMB)サーキュラーA-130の2016年の更新に見られるガイダンスを反映している: |
…it also emphasizes the role of both privacy and security in the federal information life cycle. Importantly, the inclusion of privacy represents a shift from viewing security and privacy requirements as merely compliance exercises to understanding security and privacy as crucial and related elements of a comprehensive, strategic, and continuous risk-based program at federal agencies. [3] | また、連邦政府の情報ライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調している。重要なことは、プライバシーを取り入れたことで、セキュリティとプライバシーの要件を単なるコンプライアンスとして捉えるのではなく、セキュリティとプライバシーを、連邦機関における包括的、戦略的、継続的なリスクベースのプログラムの重要かつ関連する要素として理解するようになったことである。[3] |
Additionally, this update includes elements previously found in SP 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model [4], which identified federal agency and organizational work roles that required specialized role-based training for cybersecurity tasks and skills. The relevant content from SP 800-16 has been incorporated into this publication or has been included in SP 800-181r1 [5]. As a result, SP 80016 will be withdrawn upon the release of this publication. | さらに、この更新には、SP 800-16「情報技術セキュリティ研修の要件」[4]に含まれていた要素も含まれている:A Role- and Performance-Based Model [4]に記載されている要素も含まれている。このモデルでは、サイバーセキュリティのタスクやスキルについて、役割に応じた専門的なトレーニングを必要とする連邦機関や組織のワーク・ロールが識別されている。SP 800-16 の関連する内容は、本書に組み込まれるか、SP 800-181r1 [5]に含まれている。その結果、SP 80016 は本書のリリースと同時に廃止される。 |
Everyone in an organization plays a role in the success of an effective cybersecurity and privacy program. For those whose information technology, cybersecurity, or cybersecurity-related job responsibilities require additional or specific training, the NICE Workforce Framework for Cybersecurity (NICE Framework)[2] [5] identifies the specific knowledge and skills necessary to perform tasks associated with work roles in these areas.[3] | 効果的なサイバーセキュリティとプライバシー・プログラムの成功には、組織の全員が役割を果たす。情報技術、サイバーセキュリティ、またはサイバーセキュリティに関連する職務を担当し、追加的な訓練や特定の訓練が必要な人のために、NICE Workforce Framework for Cybersecurity (NICE Framework)[2] [5] は、これらの分野の職務に関連するタスクを実行するために必要な特定の知識とスキルを特定している。[3] |
Users of this publication will find guidance on the steps necessary to: | 本書の利用者は、必要なステップに関するガイダンスを見つけることができる: |
• Build an effective CPLP for all federal organizational personnel, including employees and contractors, that leads to improved norms and behaviors that reduce cybersecurity and privacy risks to the organization while creating a privacy and security culture | • 従業員や請負業者を含む連邦組織の全職員を対象とした効果的なCPLPを構築し、プライバシーとセキュリティの文化を醸成しながら、組織のサイバーセキュリティとプライバシーリスクを低減する規範と行動の改善につなげる。 |
• Identify personnel who require advanced training | • 高度な訓練を必要とする要員を識別する。 |
• Create a methodology for evaluating the program | • プログラムを評価するための方法論を作成する。 |
• Engage in ongoing improvement to the program | • プログラムの継続的改善に取り組む。 |
Throughout each section, there are recommendations to enable a program to continually evolve and improve, thereby minimizing privacy and security risks to the organization. | 各セクションを通じて、プログラムが継続的に進化し改善することで、組織にとってのプライバシーとセキュリティのリスクを最小限に抑えることを可能にするための推奨事項が記載されている。 |
This document identifies the phases in the management of a CPLP and is organized as follows: | 本文書は、CPLPの管理におけるフェーズを特定し、以下のように構成されている: |
• Section 1: Introduction | • 第1節 序文 |
• Section 2: CPLP Plan and Strategy | • 第2節 CPLPの計画と戦略 |
• Section 3: CPLP Analysis and Design | • 第3節 CPLPの分析と設計 |
• Section 4: CPLP Development and Implementation | • 第4節 CPLPの策定と実施 |
• Section 5: CPLP Assessment and Improvement | • 第5節 CPLPのアセスメントと改善 |
[1] Section 9402 of FY 21 NDAA, Development of Standards and Guidelines for Improving Cybersecurity Workforce of Federal Agencies, amends the NIST Act as follows: “(b): PUBLICATION OF STANDARDS AND GUIDELINES ON CYBERSECURITY AWARENESS. Not later than three years after the date of the enactment of this Act, the Director of the National Institute of Standards and Technology shall publish standards and guidelines for improving cybersecurity awareness of employees and contractors of federal agencies.” | [1] 21 年度 NDAA の第 9402 条「連邦省庁のサイバーセキュリティ人材改善のための標準とガイドラインの開発」は、NIST 法 を以下のように改正する:"(b):(b):サイバーセキュリティ意識に関する標準とガイドラインの公表。(b):サイバーセキュリティ意識に関する標準およびガイドラインの公表 本法案の成立日から 3 年以内に、国立標準技術研究所所長は、連邦機関の職員および請負業者 のサイバーセキュリティ意識を改善するための標準およびガイドラインを公表するものとする。" |
[2] The National Initiative for Cybersecurity Education (NICE) is led by NIST in the U.S. Department of Commerce. | [2] サイバーセキュリティ教育のための国家イニシアティブ(NICE)は、米国商務省のNISTが主導している。 |
[3] As of the time of development of this publication, NIST is leading a privacy workforce development effort to create a privacy companion to NICE. | [3] 本書の作成時点で、NISTはNICEのプライバシー・コンパニオンを作成するため、プライバシー人材育成の取り組みを主導している。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.08.31 NIST SP 800-50 Rev. 1(初期公開ドラフト)サイバーセキュリティとプライバシーの学習プログラムの構築
・2021.09.22 NIST SP 800-50 Rev.1 (ドラフト) ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築
こちらも合わせて...
・2023.06.24 NIST NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備
・2021.12.16 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)
・2021.03.19 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work
・2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)
・2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)
・2016.11.15 NIST SP800-181 NICE Cybersecurity Workforce Framework (NCWF)
« 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10) | Main | 米国 USCYBERCOM サイバー作戦のためのAIロードマップ (2023.09.13) »
Comments