米国 NIST サイバーセッキュリティフレームワーム2.0関係のクイックスタートガイド SP 1302 CSF の階層の使用、SP 1303 エンタープライズリスクマネジメント、SP 1305 サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)
こんにちは、丸山満彦です。
NISTが、サイバーセッキュリティフレームワーム2.0関係のクイックスタートガイドが3つ確定しました...
SP | 1302 | NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers | NIST サイバーセキュリティフレームワーク 2.0: CSF の階層を使用するためのクイックスタートガイド |
SP | 1303 | NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide | NIST サイバーセキュリティフレームワーク 2.0: エンタープライズリスクマネジメント クイックスタートガイド |
SP | 1305 | NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (C-SCRM) | NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)のためのクイックスタートガイド |
2024年2月に多くの文書と一緒に公表された文書の一つとして、今回のガイドラインのドラフトも公表されていましたが...
2023年3月に改訂した経済産業省のサイバーセキュリティ経営ガイドラインでも、企業におけるサイバーセキュリティ対策は、エンタープライズリスクマネジメントの一つとして考えようとしていますが、サイバーセキュリティが経営課題というのは、つまり、こういうことなんですよね...
ということで、こちらも企業の方には参考になると思います。。。
● NIST - ITL
・2024.10.21 NIST SP 1302 NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers
NIST SP 1302 NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers | NIST SP 1302 NIST サイバーセキュリティフレームワーク 2.0: CSF の階層を使用するためのクイックスタートガイド |
Abstract | 概要 |
This Quick-Start Guide describes how to apply the CSF 2.0 Tiers. CSF Tiers can be applied to CSF Organizational Profiles to characterize the rigor of an organization’s cybersecurity risk governance and management outcomes. This can help provide context on how an organization views cybersecurity risks and the processes in place to manage those risks. The Tiers can also be valuable when reviewing processes and practices to determine needed improvements and monitor progress made through those improvements. | このクイックスタート・ガイドでは、CSF 2.0 の階層を適用する方法について説明する。CSF の階層を CSF 組織プロファイルに適用することで、組織のサイバーセキュリティリスクガバナンスとマネジメントの成果の厳しさを特徴付けることができる。この階層は、組織がサイバーセキュリティリスクをどのようにとらえているか、また、それらのリスクを管理するためにどのようなプロセスが実施されているかについて、コンテキストを提供するのに役立つ。 また、必要な改善を判断し、その改善による進捗を監視するために、プロセスやプラクティスをレビューする際にも有用である。 |
・[PDF] NIST.SP.1302
Cybersecurity Framework (CSF) Tiers | サイバーセキュリティフレームワーク(CSF)の階層 |
CSF Tiers can be applied to CSF Organizational Profiles to characterize the rigor of an organization’s cybersecurity risk governance and management outcomes. This can help provide context on how an organization views cybersecurity risks and the processes in place to manage those risks. The Tiers can also be valuable when reviewing processes and practices to determine needed improvements and monitor progress made through those improvements. | CSF の階層を CSF 組織プロファイルに適用することで、組織のサイバーセキュリティリ スクガバナンスとマネジメントの成果の厳密性を特徴付けることができる。これは、組織がサイバーセキュリティリスクをどのようにとらえているか、また、それらのリスクを管理するためにどのようなプロセスを実施しているかについて、コンテキストを提供するのに役立つ。また、この階層は、必要な改善を判断し、その改善による進捗を監視するために、プロセスやプラクティスをレビューする際にも有用である。 |
Appendix B of the CSF contains a notional illustration of the CSF Tiers. In that illustration, each Tier has separate descriptions for Cybersecurity Risk Governance (corresponding to the Govern Function) and Cybersecurity Risk Management (for the other five CSF Functions: Identity, Protect, Detect, Respond, and Recover). | CSF の附属書 B には、CSF の階層に関する想定図が記載されている。この図では、各層は、サイバーセキュリティリスクガバナンス(ガバナンス機能に対応)とサイバーセ キュリティリスクマネジメント(他の 5 つの CSF 機能に対応)に分けて記述されている: 識別」、「防御」、「検知」、「対応」、「回復」の 5 つの CSF 機能に対応する)。 |
The Tiers capture an organization’s outcomes over a range: Partial (Tier 1), Risk Informed (Tier 2), Repeatable (Tier 3), and Adaptive (Tier 4). They reflect a progression from informal, ad hoc responses to approaches that are agile, risk-informed, and continuously improving. | 階層は、組織の成果をある範囲にわたって把握する: 部分的(第 1 層)、リスク情報に基づく(第 2 層)、反復可能(第 3 層)、適応的(第 4 層)である。これらは、非公式で場当たり的な対応から、機敏でリスク情報に基づき、継続的に改善するアプローチへの進歩を反映している。 |
・2024.10.21 NIST SP 1303 NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide
NIST SP 1303 NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide | NIST SP 1303 NIST サイバーセキュリティフレームワーク 2.0: エンタープライズリスクマネジメント クイックスタートガイド |
Abstract | 概要 |
This guide provides an introduction to using the NIST Cybersecurity Framework (CSF) 2.0 for planning and integrating an enterprise-wide process for integrating cybersecurity risk management information, as a subset of information and communications technology risk management, into enterprise risk management. The use of CSF common language and outcomes supports the integration of risk monitoring, evaluation, and adjustment across various organizational units and programs. | 本ガイドは、情報通信技術のリスクマネジメントのサブセットとしてのサイバーセキュリティリスクマネジメント情報をエンタープライズリスクマネジメントに統合するためのエンタープライズ規模のプロセスを計画し、統合するために、NIST サイバーセキュリティフレームワーク(CSF)2.0 を使用するための序文を提供する。CSF の共通言語と成果を使用することで、さまざまな組織単位やプログラムにまたがるリスクの監視、評価、調整の統合を支援する。 |
・[PDF] NIST.SP.1303
NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide | NIST サイバーセキュリティフレームワーク 2.0: エンタープライズリスク管理クイックスタートガイド |
This guide provides an introduction to using the NIST Cybersecurity Framework (CSF) 2.0 for planning and integrating an enterprise-wide process for cybersecurity risk management information, as a subset of information and communications technology risk management, into enterprise risk management. The use of CSF common language and outcomes supports the integration of risk monitoring, evaluation, and adjustment across various organizational units and programs. | 本ガイドブックは、情報通信技術のリスクマネジメントのサブセットとしてのサイバーセキュリティ リスクマネジメント情報の全社的なプロセスを計画し、エンタープライズリスク管理に統合するために、NIST サイバーセキュリティフレームワーク(CSF)2.0 を使用するための序文を提供する。CSF の共通言語と成果を使用することで、さまざまな組織単位やプログラムにまたがるリスク の監視、評価、調整の統合を支援する。 |
Enterprise Risk Management (ERM) | エンタープライズ・リスクマネジメント(ERM) |
When we use the word enterprise in an organizational context, we mean all aspects of that organization, spanning the entire breadth and depth of that org chart. ERM exists at the top level of the organizational hierarchy and spans risk considerations such as mission, financial, reputation, and technical risks thereof. ERM calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. An ERM program allows enterprises to aggregate, prioritize, and analyze risks from across the enterprise in a common risk register format. Risk appetite expressed by the ERM program helps inform risk identification. | エンタープライズという言葉を組織の文脈で使用する場合、組織図の幅と深さ全体に及ぶ、その組織の全側面を意味する。ERMは、組織階層のトップレベルに存在し、ミッション、財務、評判、技術的リスクなどのリスク上の懸念にまたがる。ERMは、エンタープライズが直面する中核的なリスクを理解し、それらのリスクに対処する最善の方法を決定し、必要なアクションを確実に実行することを求めている。ERMプログラムにより、エンタープライズは、共通のリスク登録簿の形式で、エンタープライズ全体のリスクを集約し、優先順位を付け、分析することができる。 |
Information and Communications Technology (ICT) | 情報通信技術(ICT) |
Risk Management The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of risk disciplines that include privacy, supply chain, and cybersecurity. ICT extends beyond traditional information technology (IT) considerations. Many entities rely on operational technology (OT) and Internet of Things (IoT) devices’ sensors or actuators for bridging physical and digital environments. Increasingly, artificial intelligence (AI) factors into enterprise risk. NIST SPs 800-221 and 800-221A provide more information. | リスクマネジメント エンタープライズが依存する情報通信技術(ICT)は、プライバシー、サプライチェーン、サイバーセ キュリティを含む広範なリスク分野を通じて管理される。ICTは、伝統的な情報技術(IT)の検討範囲を超えている。多くの事業体は、物理的環境とデジタル環境の橋渡しをするために、運用技術(OT)やモノのインターネット(IoT)デバイスのセンサーやアクチュエーターに依存している。エンタープライズリスクに人工知能(AI)を組み込むケースも増えている。 |
ybersecurity Risk Management (CSRM) | サイバーセキュリティリスクマネジメント(CSRM) |
Cybersecurity risks are a fundamental type of risk for all organizations to manage. Potential negative impacts to organizations from cybersecurity risks include higher costs, lower revenue, reputational damage, and the impairment of innovation. Cybersecurity risks also threaten individuals’ privacy and access to essential services and can result in life-or-death consequences. Risk appetite expressed at other levels of risk management gets translated into more specific CSRM risk tolerance, such that cyber risks can be more easily identified. | サイバーセキュリティリスクは、すべての組織にとって管理すべき基本的なリスクである。サイバーセキュリティリスクが組織に及ぼす潜在的な悪影響には、コストの増加、収益の減少、評判の低下、イノベーションの阻害などがある。サイバーセキュリティリスクはまた、個人のプライバシーや必要不可欠なサービスへのアクセスを脅かし、生死にかかわる結果をもたらすこともある。リスクマネジメントの他のレベルで表明されたリスク選好度は、より具体的な CSRM のリスク許容度に変換されるため、サイバーリスクをより容易に特定することができる。 |
CSF 2.0 provides guidance for reducing cybersecurity risks by helping organizations discuss, organize, and address gaps in their cybersecurity program in a standard way. The cybersecurity outcomes described in CSF affect cybersecurity, ICT, and enterprise risks. Understanding these dependencies is an essential activity in CSRM, ICT RM, and ERM. The Cybersecurity Risk Register (CSRR) described in the NIST IR 8286 series of publications enables organizations to identify, manage, and monitor the relationships between discrete risks and aspects of a CSFbased cybersecurity program that address those risks. The CSRR allows organizations to identify, organize, analyze, and report on cybersecurity risks at the system level. CSF Organizational Profiles are a natural byproduct of a comprehensive CSRR, because the relative priority of CSF outcomes becomes apparent based on how significant the impacts of identified cybersecurity risks might be to the organization’s priorities, such as its strategic objectives, products and services, or customers. | CSF 2.0 は、組織がサイバーセキュリティプログラムのギャップを標準的な方法で議論、整理、対処できるようにすることで、サイバーセキュリティリスクを低減するためのガイダンスを提供する。CSF に記述されているサイバーセキュリティの成果は、サイバーセキュリティ、ICT、エンタープライズリスクに影響する。これらの依存関係を理解することは、CSRM、ICT RM、ERM において不可欠な活動である。NIST IR 8286 シリーズに記載されているサイバーセキュリティ・リスク登録(CSRR)により、組織は、個別のリスクと、それらのリスクに対処する CSF に基づくサイバーセキュリティ・プログラムの側面との関係を特定、マネジメント、監視できるようになる。CSRR は、組織がシステム・レベルでサイバーセキュリティ・リスクを識別、整理、分析、報告することを可能にする。CSF 組織プロファイルは、包括的な CSRR の自然な副産物である。なぜなら、識別されたサイバーセキュリティ リスクの影響が、組織の戦略目標、製品・サービス、顧客などの組織の優先事項に対してどの程度重大であるかに基づいて、CSF の結果の相対的な優先順位が明らかになるからである。 |
NIST SP 1305 NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (C-SCRM) | NIST SP 1305 NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)クイックスタートガイド |
Abstract | 概要 |
Use the CSF to Improve Your C-SCRM Processes. The CSF can help an organization become a smart acquirer and supplier of technology products and services. This guide focuses on two ways the CSF can help you: 1) Use the CSF’s GV.SC Category to establish and operate a C-SCRM capability. 2) Define and communicate supplier requirements using the CSF. | CSF を使用して C-SCRM プロセスを改善する。CSF は、組織がテクノロジー製品やサービスのスマートな取得者や供給者になるのに役立つ。本ガイドでは、CSFが役立つ2つの方法に焦点を当てる: 1) CSFのGV.SCカテゴリーを使用して、C-SCRM能力を確立し、運用する。2) CSF を用いてサプライヤーの要求事項を定義し、コミュニケーションする。 |
・[PDF] NIST.SP.1305
C-SCRM Overview | C-SCRM の概要 |
All types of technology rely on a complex, globally distributed, extensive, and interconnected supply chain ecosystem. Cybersecurity Supply Chain Risk Management (C-SCRM) is a systematic process for managing exposure to cybersecurity risk throughout supply chains and developing appropriate response strategies, policies, processes, and procedures. | あらゆる種類の技術は、複雑で、グローバルに分散し、広範で、相互接続されたサプライチェーンエコシステムに依存している。サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)は、サプライチェーン全体を通じてサイバーセキュリティリスクへのエクスポージャーをマネジメントし、適切な対応戦略、ポリシー、プロセス、および手順を策定するための体系的なプロセスである。 |
C-SCRM practitioners identify, assess, and mitigate cybersecurity risks throughout the supply chain at all levels of their organizations associated with information and communications technology (ICT) products and services. Potential risks include malicious functionality, counterfeit devices, or vulnerabilities derived from poor manufacturing and development practices within the supply chain. | C-SCRMの実務者は、ICT(情報通信技術)製品やサービスに関連する組織のあらゆるレベルにおいて、サプライチェーン全体のサイバーセキュリティリスクを特定し、アセスメントし、軽減する。潜在的なリスクには、悪意のある機能、偽造デバイス、あるいはサプライチェーン内の製造や開発の不適切な慣行に由来する脆弱性などが含まれる。 |
Effective C-SCRM requires stakeholders across the enterprise to actively collaborate, communicate, and take actions to secure favorable C-SCRM outcomes. | 効果的なC-SCRMは、エンタープライズ全体の利害関係者が積極的に協力し、コミュニケーションを行い、C-SCRMの成果を確保するための行動をとることを必要とする。 |
SP 1299-1305まで...
SP | 1299 | NIST Cybersecurity Framework 2.0: Resource and Overview Guide | NIST サイバーセキュリティフレームワーク 2.0: リソースと概要ガイド |
SP | 1300 | NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide | NIST サイバーセキュリティフレームワーク 2.0: 中小企業向けクイックスタートガイド |
SP | 1301 | NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles | NIST サイバーセキュリティフレームワーク 2.0: 組織プロファイルの作成と使用のためのクイックスタートガイド |
SP | 1302 | NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers | NIST サイバーセキュリティフレームワーク 2.0: CSF の階層を使用するためのクイックスタートガイド |
SP | 1303 | NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide | NIST サイバーセキュリティフレームワーク 2.0: エンタープライズリスクマネジメント クイックスタートガイド |
SP | 1305 | NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (C-SCRM) | NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)のためのクイックスタートガイド |
● COSO
・2017.06 [PDF] Enterprise Risk Management Integrating with Strategy and Performance - Executive Summary
● まるちゃんの情報セキュリティ気まぐれ日記
ドラフト発表のとき...
・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)
CSF 2.0
・2024.03.10 米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング
・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0
SP 800-221
経済産業省経営ガイドライン
・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0
ERM
・2020.02.06 COSO ERMガイダンス:価値の創造と保護
« 米国NIST SP 800-233 クラウドネイティブ・アプリケーションのためのサービスメッシュ・プロキシモデル (2024.10.16) | Main | 米国 NIST SP 800-131A Rev.3(初期公開ドラフト) 暗号アルゴリズムと鍵長の使用の移行 (2024.10.21) »
Comments