« 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド | Main | OECD AIの影響を最も受ける労働者は誰か? »

2024.11.04

米国 NIST SP 800-161r1-upd1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの更新 (2024.11.01)

こんにちは、丸山満彦です。

2022年にr1となったサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスですある、NIST SP800-161r1が一部更新されていますね...

更新箇所はAnnex Kに記載されていますね。。。

 

NIST - ITL

・2024.11.01 NIST SP 800-161 Rev. 1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations

 

NIST SP 800-161 Rev. 1  Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations NIST SP 800-161 Rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス
Abstract 概要
Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks are associated with an enterprise’s decreased visibility into and understanding of how the technology they acquire is developed, integrated, and deployed or the processes, procedures, standards, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of the products and services. 組織は、悪意のある機能を潜在的に含む可能性のある製品やサービス、偽造品、あるいはサプライチェーン内の製造や開発の不適切な慣行による脆弱性に関連するリスクを懸念している。このようなリスクは、エンタープライズが取得した技術がどのように開発、統合、展開されるのか、あるいは製品やサービスのセキュリティ、レジリエンス、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、標準、慣行について、可視性や理解が低下していることに関連している。
This publication provides guidance to organizations on identifying, assessing, and mitigating cybersecurity risks throughout the supply chain at all levels of their organizations. The publication integrates cybersecurity supply chain risk management (C-SCRM) into risk management activities by applying a multilevel, C-SCRM-specific approach, including guidance on the development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and risk assessments for products and services. 本書は、組織のあらゆるレベルにおいて、サプライチェーン全体を通じてサイバーセキュリティリスクを識別、アセスメント、低減するためのガイダンスを組織に提供する。本書は、サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)を、C-SCRM戦略実施計画、C-SCRM方針、C-SCRM計画、製品及びサービスのリスクアセスメントの策定に関するガイダンスを含む、多レベルのC-SCRM特有のアプローチを適用することにより、リスクマネジメント活動に統合している。

 

・[PDF] SP.800-161r1-upd1

20241104-93103

 

Annex K 更新箇所...

Type Change 変更点 Page/Section 変更箇所
Substantive Deleted Table 3-1: C-SCRM in the Procurement Process as it was confusing  表3-1「調達プロセスにおけるC-SCRM」は混乱を招くため削除した。  3.1.2. The Role of C-SCRM in the Acquisition Process  3.1.2.購買プロセスにおけるC-SCRMの役割 
Editorial Updated NIST Cybersecurity Framework (CSF) 1.1 to NIST CSF 2.0  NISTサイバーセキュリティフレームワーク(CSF)1.1をNIST CSF 2.0に更新した。  1.7. Relationship to Other Publications and Publication Summary and References  1.7.他の出版物との関係および出版物の概要と参考文献 
Editorial Updated Special Publication (SP) 800-160 Vol. 1 to SP 800-160 Vol. 1,Revision 1  特別刊行物 (SP) 800-160 Vol.1 を SP 800-160 Vol.1,Revision 1 に更新した。  1.7. Relationship to Other Publications and Publication Summary and References  1.7.他の出版物との関係および出版物の概要と参考文献 
Editorial Updated Special Publication (SP) 800-160 Vol. 2 to SP 800-160 Vol. 2, Revision 1  特別刊行物(SP)800-160 Vol.2をSP800-160 Vol.2、リビジョン1に更新した。  1.7. Relationship to Other Publications and Publication Summary and References  1.7.他の出版物との関係および出版物の概要と参考文献 
Substantive Added an example of a supply chain risk involving a semiconductor (chip) manufacturer  半導体(チップ)製造事業者のサプライチェーンリスクの例を追加した。  2.2. Cybersecurity Risks Throughout Supply Chains  2.2.サプライチェーンを通じたサイバーセキュリティリスク 
Editorial Sorted references alphanumerically according to reference tag  リファレンス・タグに従ってリファレンスをアルファベット順に並べた。  References  参考文献 
Substantive Added additional references based on updates to other section of the document (e.g., IEC 62443-4-1, ISO/IEC 29147)  文書の他のセクション(IEC 62443-4-1、ISO/IEC 29147など)の更新に基づき、参考文献を追加した。  References  参考文献 
Editorial Corrected inaccurate language in controls pointing to other sections of the document  文書の他のセクションを指すコントロールの不正確な表現を修正した。  Appendix A  附属書A 
Editorial Corrected inaccurate numbering of control enhancement  コントロール強化の不正確な番号付けを修正した。  Appendix A  附属書A 
Substantive Added language to Access Control Family introductory paragraph  アクセス管理ファミリーの序文に文言を追加した。  Appendix A  附属書A 
Editorial Added missing word to sentence in AC-2  AC-2の文章に欠落していた単語を追加  Appendix A  附属書A 
Substantive Added language to AC-17  AC-17に文言を追加  Appendix A  附属書A 
Substantive Revised supplemental guidance of RA-3  RA-3の補足ガイダンスを改訂  Appendix A  附属書A 
Substantive Added RA-3 (1)  RA-3 (1)を追加  Appendix A  附属書A 
Substantive Revised discussion of vulnerability reports and vulnerability advisories in RA-5  RA-5における脆弱性報告書と脆弱性勧告に関する記述を修正した。  Appendix A  附属書A 
Substantive Added RA-3 (1) as flowdown and C-SCRM baseline control  RA-3 (1)をフローダウンおよびC-SCRMのベースライン制御として追加した。  Appendix B  附属書B 
Substantive Added PM-30 as flow-down and C-SCRM Baseline Control  フローダウンおよびC-SCRMベースライン・コントロールとしてPM-30を追加した。  Appendix B  附属書B 
Substantive Added information on OMB M-22-18 with regard to software attestations ソフトウェア認証に関するOMB M-22-18に関する情報を追加した。 Appendix F (online content)  附属書F(オンラインコンテンツ) 
Substantive Clarified language and intent for Software Bill of Materials capabilities  ソフトウェア部品表機能の文言と意図を明確にした。  Appendix F: Software Bill of Materials (online content)  附属書F:ソフトウェア部品表(オンラインコンテンツ) 
Substantive Added elements of vulnerability advisory reports, per ISO/IEC 29147  ISO/IEC 29147に従い、脆弱性アドバイザリーレポートの要素を追加した。  Appendix F: Vulnerability Management (online content)  附属書F:脆弱性管理(オンラインコンテンツ) 
Editorial Added information to the FAQ with regard to the changes made to Appendix F (online content) in the errata update  正誤表更新における附属書F(オンラインコンテンツ)の変更に関して、FAQに情報を追加した。  Appendix F: Frequently Asked Questions (online content)  附属書F:よくある質問(オンラインコンテンツ) 
Substantive Revised language in table G-8 to align with updates to RA-5 RA-5の更新に合わせて表G-8の文言を修正した。 Appendix G  附属書G 
Editorial Removed articles within definitions  定義内の記事を削除した  Appendix H  附属書H 
Substantive Added definition for ‘vulnerability report’  「脆弱性報告」の定義を追加した。  Appendix H  附属書H 
Substantive Added definition for ‘vulnerability advisory report’  「脆弱性アドバイザリー報告」の定義を追加した。  Appendix H  附属書H 

 

 


 

 

ちなみに、2022年に公表されたSP800-161r1の日本語の仮訳はIPAから公表されていますね...

 

IPA - セキュリティ関連NIST文書について(翻訳文書(ダウンロード))

・2024.01 [PDF] SP 800-161 rev.1

20241104-94831

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.04 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド

・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

|

« 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド | Main | OECD AIの影響を最も受ける労働者は誰か? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST SP 1326 (初期公開ドラフト) NIST サイバーセキュリティ サプライチェーンリスクマネジメント: デューデリジェンス・アセスメント・クイックスタートガイド | Main | OECD AIの影響を最も受ける労働者は誰か? »