米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント： デューデリジェンス・アセスメント・クイックスタートガイド

こんにちは、丸山満彦です。

米国のNISTが、サプライチェーンのデューデリジェンス・アセスメント・クイックガイドのドラフトを公表し、意見募集をしています。

• SP800-53r5、SP800-161r1の (RA-3(1)) サプライチェーンリスクアセスメント
• SP800r-53r5、SP800-161r1の (SR-6) サプライヤーレビュー
• CSF 2.0の (GV:SC-06)　デューデリジェンス

の違いが整理されていています... 

さて、2024.11.01には、SP800-161r1の更新版が公表されています...

 

● NIST - ITL

・2024.10.30 NIST SP 1326 (Initial Public Draft) NIST Cybersecurity Supply Chain Risk Management: Due Diligence Assessment Quick-Start Guide

NIST SP 1326 (Initial Public Draft) NIST Cybersecurity Supply Chain Risk Management: Due Diligence Assessment Quick-Start Guide	NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント： デューデリジェンス・アセスメント・クイックスタートガイド
Announcement	発表
Supply chain risk assessments start with due diligence. Acquirers who make procurement decisions need to be informed about potential supplier risks before those decisions are executed. Consequently, many acquisition operating procedures strongly recommend or even require an assessment of a supplier’s risk prior to entering into an agreement with them.	サプライチェーンリスクアセスメントはデューデリジェンスから始まる。調達の意思決定を行う買収者は、その意思決定が実行される前に、潜在的なサプライヤのリスクについて知らされている必要がある。そのため、多くの買収業務手順書では、サプライヤとの契約締結前にサプライヤのリスクアセスメントを行うことを強く推奨、あるいは義務付けている。
Based on the widely adopted content in NIST Special Publication (SP) 800-161r1, this new draft Quick-Start Guide proposes an implementation-ready approach to conducting the minimum amount of investigative rigor on potential suppliers. Identifying the primary risk factors that an acquirer should consider can enable quick turnarounds with limited resources.	NIST特別刊行物（SP）800-161r1において広く採用されている内容に基づき、この新しいクイックスタートガイドのドラフトでは、潜在的なサプライヤーについて最低限の調査を厳密に実施するための実施可能なアプローチを提案する。買収者が考慮すべき主要なリスク要因を識別することで、限られたリソースで迅速なターンアラウンドが可能になる。
Abstract	概要
Due diligence research is the minimum amount of understanding that an acquirer should have on a supplier and should be done with most of the acquiring organization’s suppliers, regardless of criticality. This Quick-Start Guide provides cybersecurity supply chain risk management (C-SCRM) program capabilities with considerations for creating due diligence supply chain risk assessments in accordance with NIST Special Publication (SP) 800-161r1 (Revision 1). While due diligence supplier assessments can be applied to any type of supplier, this Quick-Start Guide is scoped to information and communications technology (ICT) suppliers. The components of a Due Diligence Assessment are Supply Chain Tiers; Foreign Ownership, Control, or Influence (FOCI); Provenance; Stability; and Foundational Cyber Practices.	デューデリジェンス調査は、買収者がサプライヤーについて最低限理解すべきことであり、重要度にかかわらず、買収組織のほとんどのサプライヤーに対して実施すべきである。このクイックスタートガイドは、サイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）プログラムの能力について、NIST 特別刊行物（SP）800-161r1（改訂 1）に従ってデューデリジェンスサプライチェーンリスクアセスメントを作成するための考慮事項を提供するものである。デューディリジェンス・サプライヤー・アセスメントはあらゆるタイプのサプライヤーに適用することができるが、このクイックスタート・ガイドは情報通信技術（ICT）サプライヤーを対象としている。デューデリジェンス・アセスメントの構成要素は、サプライチェーンの階層、外国の所有、支配、または影響（FOCI）、証明、安定性、およびサイバープラクティスの基礎である。

 

・[PDF] NIST.SP.1326.ipd

 

Due Diligence Quick-Start Guide Introduction	デューデリジェンス・クイックスタートガイド 序文
・ Purpose	・ 目的
・ What is Due Diligence in C-SCRM?	・ C-SCRMにおけるデューデリジェンスとは何か？
・ Basic vs. Enhanced Due Diligence	・ 基本デューデリジェンスと強化デューデリジェンス
・ Scope of Due Diligence Quick-Start Guide	・ デューデリジェンスの範囲 クイックスタートガイド
・ More C-SCRM Resources	・ その他の C-SCRM リソース
Due Diligence, Supplier Reviews, and SCRAs	デューデリジェンス、サプライヤレビュー、SCRA およびSCRA
・ Relationship to SR-6 & RA-3(1)	・ SR-6およびRA-3(1)との関係
・ Information Sources	・ 情報源
First Steps	ファーストステップ
・ Before You Start	・ 始める前に
・ Traceable Company Information	・ 追跡可能な企業情報
・ Contracting and Security Clearance Information	・ 契約およびセキュリティクリアランス情報
・ Consistency Across Findings	・ 調査結果の一貫性
Specific Research Findings Categories	具体的な調査結果のカテゴリー
Supply Chain Tiers	サプライチェーンの階層
・ Illuminating with Tools	・ ツールによる照らし合わせ
・ Due Diligence Considerations	・ デューデリジェンスに関する考慮点
・ Sub-Tier Supplier Diversity	・ サブ階層 Tier Supplier Diversity
・ Questions to Consider	・ 検討すべき質問
Foreign Ownership, Control, and Influence	外国の所有、支配権、影響力
・ Ownership	・ オーナーシップ
・ Key Leadership	・ 主要なリーダーシップ
・ Foreign Laws, Policies, and Regulations	・ 外国の法律、政策、規制 ・ 組織が定義する、
・ Organization-Defined Parameters	・ 組織が定義したパラメータ
Provenance	プロベナンス（来歴）
・ Supplier Operational Locations	・ サプライヤーの事業拠点
・ Product-Specific Locations	・ 製品固有の拠点
・ Research Sources	・ 調査ソース
・ Subcomponents	・ サブコンポーネント
Stability	安定性
・ Organizational Stability	・ 組織の安定性
・ Product Stability	・ 製品の安定性
・ Regulatory Compliance Lists	・ 規制遵守リスト
・ Historical Data vs. Relevant Information	・ 過去のデータ vs. 関連情報
Foundational Cyber Practices: Suppliers	サイバープラクティスの基礎： サプライヤー
・ System Compromises	・ システムの危殆化
・ User Behavior	・ ユーザーの行動
・ Security Posture	・ セキュリティ体制
・ Data Breaches	・ データ侵害
・ Where to Find Information	・ 情報の入手先
Foundational Cyber Practices: Products..	サイバープラクティスの基礎： 製品
・ Publicly Available Product Information	・ 一般に公開されている製品情報
・ SBOM Analytics Findings	・ SBOM 分析の結果
・ Secure Development Practices	・ 安全な開発の実践
・ Supplier Software Attestation	・ サプライヤのソフトウェア認証
Putting It Together	まとめ
Due Diligence Findings and Classification	デューデリジェンス結果および分類
・ Classifying Due Diligence Findings	・ デューデリジェンスで発見された事項を分類する
・ Additional Resources	・ その他のリソース
Learning Recap..	学習のまとめ...
・ What We Learned	・ 私たちが学んだこと
・ What’s Next	・ 次の課題
・ New to C-SCRM Resources	・ C-SCRMの新しいリソース
Glossary	用語集

 

Introduction	導入
Purpose	目的
This guide provides cybersecurity supply chain risk management (C-SCRM) program management capabilities with considerations for creating due diligence supply chain risk assessments in accordance with NIST Special Publication (SP) 800-161 (Revision 1). It is a supplement to the content within SP 800-161r1 and is not intended to replace it.	本ガイドラインは、NIST 特別刊行物（SP）800-161（改訂 1）に従い、デューデリジェンス・サプライチェーンリスクアセスメントを作成するための考慮事項を、サイバーセキュリティ・サプライチェーンリスクマネジメント（C-SCRM）プログラムマネジメント能力に提供するものである。本書は、SP 800-161r1 の内容を補足するものであり、SP 800-161r1 に取って代わることを意図したものではない。
What is Due Diligence in C-SCRM?	C-SCRM におけるデューデリジェンスとは何か？
From a C-SCRM perspective, due diligence is the investigative process of researching and verifying available information about a given supplier or product prior to entering into an agreement so that informed decisions can be made with all available and pertinent information. Due diligence research is the minimum amount of understanding that an acquirer should have on a supplier and should be done with most of the acquiring organization’s suppliers, regardless of criticality.	C-SCRMの観点からは、デューデリジェンスとは、入手可能な全ての適切な情報に基づいて、十分な情報に基づいた意思決定が行えるように、契約を締結する前に、特定の供給者又は製品について入手可能な情報を調査し、検証する調査プロセスである。デューデリジェンス調査は、買収者がサプライヤーについて最低限理解しておくべきことであり、重要度にかかわらず、買収組織のほとんどのサプライヤーについて実施されるべきである。
Basic vs. Enhanced Due Diligence	基本デューデリジェンスと強化デューデリジェンスの比較
Basic due diligence is desktop-based research using open sources and publicly available information (PAI) to derive findings. The use of commercial datasets, proprietary sources, and supply chain illumination tools constitutes enhanced due diligence. While some findings categories can be wholly sourced using PAI, others may yield additional results using enhanced toolsets.	基本デューデリジェンスは、オープンソースや一般に入手可能な情報（PAI）を用いたデスクトップベースの調査である。商用データセット、独自ソース、及びサプライチェーン照合ツールの使用は、強化型デューデリジェンスを構成する。いくつかの調査結果カテゴリーは、PAIを使用することで全て入手可能であるが、その他のカテゴリーについては、強化されたツールセットを使用することで、さらなる結果が得られる可能性がある。
Scope of Due Diligence Assessment Quick Start Guide	デューデリジェンス・アセスメント・クイックスタートガイドの適用範囲
Due diligence supplier assessments can be applied to any type of supplier, but this Quick-Start Guide is scoped to information and communications technology (ICT) suppliers.	サプライヤーのデューデリジェンス・アセスメントは、あらゆる種類のサプライヤーに適用することができるが、 このクイックスタートガイドは、情報通信技術（ICT）サプライヤーを対象としている。

 

 

Due Diligence, Supplier Reviews, and SCRAs Relationship to SR-6 and RA-3(1)	デューデリジェンス、サプライヤレビュー、及び SCRAs SR-6 及び RA-3(1) との関係
Due Diligence and Supply Chain Risk Assessments (SCRA)	デューデリジェンス及びサプライチェーンリスクアセスメント(SCRA)
Per SP 800-161r1, the C-SCRM Program Management Office (PMO) is responsible for conducting assessments of cybersecurity risks that arise from suppliers seeking to integrate with a given system in accordance with enterprise-wide CSCRM Level 2 policy requirements. SP 800-161r1 shows that Cybersecurity Risk is the Likelihood of Threats exploiting Vulnerabilities and causing an Impact to a program or system.	SP 800-161r1 によれば、C-SCRM プログラムマネジメントオフィス(PMO)は、エンタープライズ全体の CSCRM レベル 2 ポリシー要件に従い、所定のシステムとの統合を求めるサプライヤから生じるサイバーセキュリティリスクのアセスメントを実施する責任を負う。SP 800-161r1 では、サイバーセキュリティリスクとは、脆弱性を悪用した脅威がプログラムやシス テムに影響を与える可能性を示している。
Due Diligence Assessments are a precursor to the SR-6 Supplier Reviews and, in many cases, can serve as the foundation of the Threat and Vulnerability aspects of the RA-3(1) Supply Chain Risk Assessment.	デューディリジェンスアセスメントは、SR-6 サプライヤーレビューの前段階であり、多くの場合、RA-3(1) サプライチェーンリスクアセスメントの脅威及び脆弱性の側面の基礎となる。
They can be researched and written using PAI, as well as augmented with commercially derived datasets and illumination tools. The components of a Due Diligence Assessment are Supply Chain Tiers; Foreign Ownership, Control, or Influence (FOCI); Provenance; Stability; and Foundational Cyber Practices.	これらは、PAIを使用して調査・作成することが可能であり、また、市販のデータセットや照 明ツールを使用して補強することも可能である。デューディリジェンス・アセスメントの構成要素は、サプライチェーンの階層、外国の所有、支配、 又は影響（FOCI）、証明性、安定性、及び基礎的なサイバー慣行である。