米国 NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

こんにちは、丸山満彦です。

NISTがIR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイルを公表し、意見募集をしていますね...

Cybersecurity Framework 2.0とPraivacy Frameworkを掛け合わせたものです。。。

 

同時に、NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis　（NIST CSWP 35（初期公開ドラフト） ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例）も公表されています...

● NIST - ITL

・2024.12.16 NIST IR 8467 (2nd Public Draft) Genomic Data Cybersecurity and Privacy Frameworks Community Profile

NIST IR 8467 (2nd Public Draft) Genomic Data Cybersecurity and Privacy Frameworks Community Profile	NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル
Announcement	発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released two new draft publications to help organizations address cybersecurity and privacy risks associated with processing genomic data. Both drafts are open for public comment until 11:59 PM (ET) on Thursday, January 30, 2025.	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、ゲノムデータの処理に関連するサイバーセキュリティとプライバシーのリスクに対処する組織を支援するための2つの新しいドラフト出版物を発表した。両ドラフトとも2025年1月30日（木）午後11時59分（米国東部時間）までパブリックコメントを受け付けている。
About the Drafts	ドラフトについて
Draft NIST Internal Report (IR) 8467, Genomic Data Cybersecurity and Privacy Frameworks Community Profile (Genomic Data Profile), provides a structured, risk-based approach for managing both cybersecurity and privacy risks in processing genomic data. This update incorporates the NIST Cybersecurity Framework (CSF) version 2.0 and NIST Privacy Framework (PF) version 1.0 to help organizations prioritize cybersecurity and privacy capabilities. This is the first joint CSF and PF Community Profile developed by NIST.	ドラフトNIST内部報告書（IR）8467「ゲノムデータのサイバーセキュリティとプライバシーの枠組みコミュニティプロファイル（Genomic Data Profile）」は、ゲノムデータの処理におけるサイバーセキュリティとプライバシーの両方のリスクをマネジメントするための構造化されたリスクベースのアプローチを提供する。このアップデートは、NISTサイバーセキュリティフレームワーク（CSF）バージョン2.0とNISTプライバシーフレームワーク（PF）バージョン1.0を組み込んでおり、組織がサイバーセキュリティとプライバシーの能力に優先順位をつけるのに役立つ。これは、NISTが開発した初のCSFとPFの共同コミュニティプロファイルである。
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments.	NIST サイバーセキュリティ白書（CSWP）35（ドラフト）「ゲノムデータ配列決定ワークフローにおけるサイバーセキュリティ脅威モデリング」は、反復的方法論を用いてゲノムデータ処理環境における潜在的脅威を評価している。この論文はユースケースの例を提供し、組織がその環境におけるサイバーセキュリティの脅威と緩和策を特定するために適応できるアプローチを示している。
We Want to Hear from You!	あなたの意見を聞きたい！
The public comment period for the drafts is open until 11:59 PM (ET) on Thursday, January 30, 2025. More details for providing public feedback are within the drafts.	ドラフトのパブリックコメント期間は、2025年1月30日（木）午後11時59分（米国東部時間）までである。パブリックコメントの詳細については、ドラフトに記載されている。
Looking Ahead	今後の展望
The NCCoE is planning a webinar on January 13, 2025, to give an overview of the drafts. More details will be announced soon.	NCCoEは2025年1月13日にドラフト概要を説明するウェビナーを計画している。詳細は近日中に発表される。
The NCCoE has released a new two-page fact sheet summarizing the genomics cybersecurity and privacy project roadmap and outcomes. Additional ongoing project work includes privacy threat modeling for genomic data workflows and development of a Privacy Enhancing Technologies (PETs) testbed for privacy-preserving federated learning (PPFL).	NCCoEは、ゲノムサイバーセキュリティとプライバシープロジェクトのロードマップと成果をまとめた2ページのファクトシートを新たに発表した。現在進行中のプロジェクトには、ゲノム・データ・ワークフローのためのプライバシー脅威モデルや、プライバシー保持連合学習（PPFL）のためのプライバシー強化技術（PETs）テストベッドの開発などがある。
To stay informed about this work and receive project updates, join the NCCoE Genomic Data Community of Interest (COI). Email us at genomic_cybersecurity_nccoe@nist.gov.	このプロジェクトに関する最新情報を入手するには、NCCoE Genomic Data Community of Interest (COI)に参加すること。genomic_cybersecurity_nccoe@nist.gov。
Abstract	要旨
Advancements in genomic sequencing technologies are accelerating the speed and volume of data collection, sequencing, and analysis. However, this progress also heightens cybersecurity and privacy risks. This Genomic Data Cybersecurity and Privacy Frameworks Community Profile (“Genomic Data Profile”) identifies the priority outcomes from both the Cybersecurity Framework (CSF) and the Privacy Framework (PF) to provide guidance to reduce cybersecurity and privacy risks to organizations in the genomic data life cycle. This updated version includes both cybersecurity based on the CSF 2.0 and privacy based on the PF 1.0. In developing this Profile, NIST worked closely with genomic stakeholders across government, industry, and academia to identify cybersecurity and privacy risks and priorities.	ゲノム配列解析技術の進歩は、データ収集、配列決定、解析のスピードと量を加速している。しかし、この進歩はサイバーセキュリティとプライバシーのリスクも高めている。このゲノムデータ・サイバーセキュリティ・プライバシーフレームワークコミュニティプロファイル（「ゲノムデータプロファイル」）は、サイバーセキュリティフレームワーク（CSF）とプライバシーフレームワーク（PF）の両方から優先される成果を特定し、ゲノムデータのライフサイクルにおける組織のサイバーセキュリティとプライバシーリスクを低減するためのガイダンスを提供する。この更新版には、CSF 2.0 に基づくサイバーセキュリティと PF 1.0 に基づくプライバシーの両方が含まれている。本プロファイルの策定にあたり、NIST は政府、産業界、学界のゲノム関係者と緊密に連携し、サイバーセキュリティ及びプライバシーのリスクと優先事項を特定した。

 

ちなみに、NISTの遺伝情報についてのセキュリティ・プライバシーについてのページ...

・Cybersecurity and Privacy of Genomic Data

・[PDF] The 2-page fact sheet

 

・[PDF] NIST.IR.8467.2pd

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. scope	1.2. 範囲
1.3. Audience	1.3. 対象読者
1.4. Document Structure	1.4. 文書構成
2. Overview of Genomic Data	2. ゲノムデータの概要
2.1. The Genomic Data Ecosystem and Bioeconomy	2.1. ゲノムデータ・エコシステムとバイオエコノミー
2.2. Cybersecurity and Privacy Risk Relationship	2.2. サイバーセキュリティとプライバシー・リスクの関係
2.2.1. Privacy Risk Management Overview	2.2.1. プライバシー・リスクマネジメントの概要
2.3. Genomic Data Security and Privacy Concerns and Challenges	2.3. ゲノムデータのセキュリティとプライバシーに関する懸念と課題
3. The NIST Cybersecurity and Privacy Frameworks	3. NIST サイバーセキュリティおよびプライバシー枠組み
3.1. The Core	3.1. コア
3.1.1. The Cybersecurity Framework Core	3.1.1. サイバーセキュリティ枠組みのコア
3.1.2. The Privacy Framework Core	3.1.2. プライバシー枠組みのコア
3.2. Community Profile	3.2. コミュニティ・プロファイル
3.3. Applying the NIST Frameworks to Genomic Data	3.3. NIST 枠組みのゲノムデータへの適用
4. Genomic Data Profile Development Methodology	4. ゲノムデータ・プロファイル開発方法論
5. Genomic Data Mission Objective	5. ゲノムデータのミッション目標
5.1. Objective 1: Manage provenance and data quality throughout the genomic data life cycle (Data)	5.1. 目的 1：ゲノムデータのライフサイクル全体を通じて、データの由来とデータ・プライバシーを管理する（データ）
5,2. Objective 2: Manage privacy risk to existing and future relatives (Relatives)	5.2. 目的 2：既存および将来の親族に対するプライバシー・リスクを管理する（親族）
5.3. Objective 3: Identify, model, and address cybersecurity and privacy risks of processing genomic data (Risks)	5.3. 目的 3：ゲノムデータの処理におけるサイバーセキュリティおよびプライバシー・リスクを識別、モデル化、および対処する（リスク）
5.4. Objective 4: Manage informed consent throughout the genomic data life cycle (Consent)	5.4. 目的 4：ゲノムデータのライフサイクル全体を通じて、インフォームド・コンセントを管理する（同意）
5.5. Objective 5: Manage privacy risk to donors (Donors)	5.5. 目的 5：提供者に対するプライバシー・リスクの管理（提供者
5.6. Objective 6: Manage authorized data access (Access)	5.6. 目的 6：認可されたデータ・アクセス管理（アクセス
5.7. Objective 7: Maintain trustworthiness and manage reputational risk (Trust)	5.7. 目的 7：信頼性の維持とレピュテーション・リスクの管理（信頼
5.8. Objective 8: Facilitate research and education to advance science and technology (Research)26	5.8. 目的 8：科学技術の進歩のための研究と教育の促進（研究）26
5.9. Objective 9: Maintain compliance with laws and regulations (Legal	5.9. 目的 9：法律および規制への準拠の維持（法的
5.10. Objective 10: Protect intellectual property (P)	5.10. 目標10：知的財産の防御（P
5.11. Objective 11: Ensure the degree of diversity is appropriate for processing purposes (Diversity)	5.11. 目標11：処理目的に適した多様性の確保（多様性）
5.12. Objective 12: Promote the use of privacy-enhancing technologies (PETs) as well as secure technologies for sharing genomic data (Tech)	5.12. 目標12：プライバシー強化技術（PETs）の利用促進およびゲノムデータ共有のための技術セキュリティ（Tech
6. Priority Subcategories by Mission Objective	6. ミッション目標別優先サブカテゴリー
References	参考文献
Appendix A. Selected Bibliography	附属書A. 参考文献
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書B. 記号、略語、および略称の一覧
Appendix C. Glossary	附属書C. 用語集

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) engaged stakeholders across government, academia, and industry to better understand the current state of the cybersecurity and privacy challenges facing the genomics community. This collaboration led to NIST publishing NIST Internal Report (IR) 8432, Cybersecurity of Genomic Data, an overview of the challenges and opportunities with genomic data cybersecurity. As a follow-on effort, the NCCoE collaborated with a diverse subset of stakeholders to conduct working sessions focused on gathering the information needed to develop this Genomic Data Cybersecurity and Privacy Frameworks Community Profile (referred to as the “Genomic Data Profile”). This Profile prioritizes Subcategories from the Cybersecurity Framework (CSF) 2.0 and the Privacy Framework (PF) 1.0 in a single integrated Profile for the genomic community.	国立標準技術研究所（NIST）国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、ゲノムコミュニティが直面するサイバーセキュリティおよびプライバシーの課題について現状をより深く理解するために、政府、学術界、産業界の関係者を巻き込んだ。この共同作業により、NISTはNIST内部報告書（IR）8432「ゲノムデータのサイバーセキュリティ」を発行した。これは、ゲノムデータのサイバーセキュリティに関する課題と機会の概要である。その後の取り組みとして、NCCoEは多様な利害関係者と協力し、この「ゲノムデータ・サイバーセキュリティおよびプライバシー枠組みコミュニティ・プロファイル」（以下、「ゲノムデータ・プロファイル」）の開発に必要な情報の収集に焦点を当てた作業セッションを実施した。このプロファイルは、ゲノムコミュニティ向けの単一の統合プロファイルとして、サイバーセキュリティ枠組み（CSF）2.0およびプライバシー枠組み（PF）1.0のサブカテゴリーを優先順位付けしている。
The Genomic Data Profile provides guidance to help organizations manage and reduce cybersecurity and privacy risks for assets[1] that process any type of genomic data (e.g., human, microbiome, microbial, model organism, plant) as well as privacy risks to individuals whenever human genomic data is processed. The Profile is intended to help organizations understand, assess, prioritize, and communicate their existing and future cybersecurity and privacy strategies, priorities, activities, practices, policies, and guidance. Organizations consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity and privacy capabilities.	ゲノムデータ・プロファイルは、あらゆる種類のゲノムデータ（ヒト、マイクロバイオーム、微生物、モデル生物、植物など）を処理する資産[1]のサイバーセキュリティおよびプライバシーリスク、ならびにヒトゲノムデータが処理される際の個人に対するプライバシーリスクを管理し、低減するためのガイダンスを提供する。このプロファイルは、組織が既存および将来のサイバーセキュリティおよびプライバシー戦略、優先事項、活動、慣行、方針、ガイダンスを理解し、アセスメントを行い、優先順位を付け、コミュニケーションを行うことを支援することを目的としている。組織は、サイバーセキュリティおよびプライバシー能力の優先順位付けと実施にあたり、独自の義務、運用環境、およびミッション目標を考慮する。
This Profile identifies 12 genomic-related Mission Objectives and prioritizes relevant Subcategories to help organizations protect genomic data and individuals throughout the data life cycle. CSF and PF Subcategories describe the relevant outcomes from implementing cybersecurity and privacy capabilities. Prioritizing cybersecurity and privacy capabilities based on their organization’s Mission Objectives can inform decision-making.	このプロファイルは、12のゲノム関連ミッション目標を識別し、関連サブカテゴリーの優先順位付けを行うことで、データライフサイクル全体を通じてゲノムデータと個人を防御する組織を支援する。CSFおよびPFサブカテゴリーは、サイバーセキュリティおよびプライバシー能力の実施による関連成果を記述する。組織のミッション目標に基づいてサイバーセキュリティおよびプライバシー能力の優先順位付けを行うことで、意思決定に役立てることができる。
The selection of cybersecurity and privacy capabilities for genomic data is complicated by the broad and diverse nature of the genomics community, including biopharmaceutical research, healthcare, law enforcement, and agriculture. Organizations rely on genomic data sharing to advance scientific and medical research, improve health outcomes, and compete within the bioeconomy, and thus genomic data often needs to be aggregated from multiple sources. In addition, organizations that share data with stakeholders in multiple countries may have additional requirements for protecting genomic data or for managing the cross-border transfer of data.	ゲノムデータに対するサイバーセキュリティおよびプライバシー機能の選択は、バイオ製薬研究、医療、法執行、農業などを含むゲノムコミュニティの広範かつ多様な性質により複雑化している。 組織は、科学的および医学的研究の進歩、健康上の成果の改善、バイオエコノミー内での競争のためにゲノムデータの共有に依存しており、そのためゲノムデータは多くの場合、複数のソースから集約する必要がある。さらに、複数の国々の利害関係者とデータを共有する組織は、ゲノムデータの防御や国境を越えたデータ転送の管理に関して、追加の要件を満たす必要がある場合もある。
Cybersecurity attacks targeted at assets that process genomic data could impact the confidentiality, integrity, and availability of that data, introducing economic, privacy, discrimination, and national security risks. Additionally, processing human genomic data can impact the predictability, disassociability, and manageability of that data, which may result in privacy risks to individuals. For example, the unanticipated revelation of genomic data may	ゲノムデータを処理する資産を標的としたサイバーセキュリティ攻撃は、データの機密性、完全性、可用性に影響を及ぼし、経済、プライバシー、識別、国家安全保障のリスクをもたらす可能性がある。さらに、ヒトゲノムデータの処理は、データの予測可能性、非関連性、管理可能性に影響を及ぼし、個人のプライバシーリスクにつながる可能性がある。例えば、予期せぬゲノムデータの暴露により、
result in an individual’s loss of trust and autonomy when working with a particular organization and cause them to opt out of future activities that would benefit them or a broader population (e.g., research or treatments).	特定の組織と関わる際に個人の信頼や自主性が損なわれ、その個人やより広範な集団に利益をもたらすであろう将来の活動（例えば、研究や治療）から自らを除外する結果となる可能性がある。
Organizations processing any type of genomic data can use this Profile to:	あらゆる種類のゲノムデータを処理する組織は、このプロファイルを使用して、以下のことを行うことができる。
• Understand cybersecurity and privacy considerations for genomic data	• ゲノムデータのサイバーセキュリティおよびプライバシーに関する考慮事項を理解する
• Assess current organizational cybersecurity and privacy practices to identify gaps and areas of improvement for existing practices or infrastructure	• 既存の慣行やインフラのギャップや改善領域を識別するために、現在の組織のサイバーセキュリティおよびプライバシー慣行をアセスメントする
• Develop individualized Organizational Target (To-Be) Profiles	• 個別の組織向け目標（To-Be）プロファイルを策定する
• Prioritize investments in cybersecurity and privacy capabilities aligned to the Subcategories identified as most important to support organizational Mission Objectives	• 組織のミッション目標をサポートする上で最も重要であると識別されたサブカテゴリーに整合するサイバーセキュリティおよびプライバシー能力への投資の優先順位付けを行う
• Understand the relationship between cybersecurity and privacy risk management	• サイバーセキュリティとプライバシーのリスクマネジメントの関係を理解する
[1] The CSF 2.0 uses the term asset to describe “assets (e.g., data, hardware, software, systems, facilities, services, people) that enable the organization to achieve business purposes” (ID.AM).	[1] CSF 2.0では、「組織が事業目的を達成するために必要な資産（データ、ハードウェア、ソフトウェア、システム、施設、サービス、人材など）」を指す用語として「資産」という用語を使用している（ID.AM）。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.26 米国 NIST CSWP 35（初期公開ドラフト） ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例

・2024.12.26 米国 NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

・2023.12.23 NISTIR 8432 ゲノムデータのサイバーセキュリティ

・2023.06.24 NISTIR 8467（ドラフト）ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.03.05 NISTIR 8432（ドラフト）ゲノムデータのサイバーセキュリティ