米国 NIST SP 800-55 Vol. 1 情報セキュリティのための測定ガイド：第1巻 - 対策の識別と選択、Vol. 2 情報セキュリティ測定ガイド：第2巻 — 情報セキュリティ測定プログラムの開発 (2024.12.04)

こんにちは、丸山満彦です。

NISTが情報セキュリティの測定ガイドであるSP800-55の改訂版を公表していますね... 今回の改訂で、分冊になりましたね...

 

• 第1巻は、「対策の識別と選択」で、情報セキュリティ対策の開発、選択、優先順位付けの方法を提供していますね...定量的および定性的アセスメントの両方を調査し、データ分析技術、影響および可能性のモデリングに関する基本的な指針となっていますね...
  
  
• 第2巻は、『情報セキュリティ測定プログラムの開発』で、情報セキュリティ測定プログラムの開発のための方法論とワークフローが示されています..

 

情報セキュリティ対策はリスク対策なので、リスクアセスメントが重要となってきますが、そのリスクアセスメントについても定量的な方法も含めて、極めて基礎から説明してくれていると思うので、定量的なリスク評価を勉強してみようかなぁという人には良いかもしれません。（もっとも、かなり基礎的な部分だけで、かつ、情報セキュリティ対策の選択等に必要な部分だけですので、これだけでは普遍的な利用は難しいとは思いますが...）

ぜひ、読んでみてくださいませ..

 

● NIST - ITL

・2024.12.04 Measurement Guide for Information Security | NIST Releases Volumes 1 and 2 of SP 800-55

 

Measurement Guide for Information Security | NIST Releases Volumes 1 and 2 of SP 800-55	情報セキュリティの測定ガイド｜NIST、SP 800-55の第1巻および第2巻を公開
NIST has published the final version of Special Publication (SP) 800-55, Measurement Guide for Information Security, which comprises:	NISTは、特別刊行物（SP）800-55の最終版を公開した。この特別刊行物（SP）800-55は、次の２つの「情報セキュリティの測定ガイド」で構成されている。
・SP 800-55v1, Volume 1 — Identifying and Selecting Measures·	・SP 800-55v1 第1巻 — 対策の識別と選択·
・SP 800-55v2, Volume 2 — Developing an Information Security Measurement Program	・SP 800-55v2 第2巻 — 情報セキュリティ測定プログラムの開発
Volume 1, Identifying and Selecting Measures, provides a flexible approach to the development, selection, and prioritization of information security measures. This volume explores both quantitative and qualitative assessment and provides basic guidance on data analysis techniques as well as impact and likelihood modeling. Major updates to SP 800-55v1 include:	第1巻、「対策の識別と選択」では、情報セキュリティ対策の開発、選択、優先順位付けに柔軟なアプローチを提供している。この巻では、定量的および定性的アセスメントの両方を調査し、データ分析技術、影響および可能性のモデリングに関する基本的な指針を提供している。SP 800-55v1の主な更新内容は以下の通りである。
・Introductory guidance on statistical analysis	・統計分析に関する導入ガイドライン
・Exploration of terminology relevant to the measurement and analysis of information technology	・情報技術の測定および分析に関連する用語の調査
・New information about measures documentation, reporting, data quality, and uncertainty	・対策の文書化、報告、データ品質、および不確実性に関する新しい情報
・Expanded information on selecting and prioritizing measures, including information about developing, testing, and validating measures; comparing measures and assessment results; prioritizing measures; using likelihood and impact modeling; weighing scales; and evaluating methods for supporting continuous improvement	・対策の選択と優先順位付けに関する拡充された情報（対策の開発、テスト、妥当性確認に関する情報、対策とアセスメント結果の比較、対策の優先順位付け、可能性と影響のモデリングの使用、尺度の評価、継続的な改善を支援する手法の評価を含む）
Volume 2, Developing an Information Security Measurement Program, provides a flexible methodology and workflow. Major updates to SP 800-55v2 include:	第2巻『情報セキュリティ測定プログラムの開発』では、柔軟な方法論とワークフローが提供されている。SP 800-55v2の主な更新内容は以下の通りである。
・A new workflow for developing and implementing an information security measurement program	・情報セキュリティ測定プログラムの開発と実施のための新しいワークフロー
・Expanded sections on measurement program benefits, program scope, foundations for a successful program, roles and responsibilities, the programmatic value of metrics, measures communication, organizational considerations, manageability, and data management concerns	・測定プログラムの利点、プログラムの範囲、プログラム成功の基盤、役割と責任、測定基準のプログラム上の価値、コミュニケーション、組織の考慮事項、管理可能性、データ管理に関する懸念事項に関するセクションの拡充
For more information on SP 800-55, see NIST’s Measurements for Information Security project, and send inquiries to cyber-measures@list.nist.gov.	SP 800-55 に関する詳細情報については、NIST の情報セキュリティ測定プロジェクトを参照し、cyber-measures@list.nist.gov までお問い合わせいただきたい。
*****	*****
NIST is also introducing a Metrics and Measures Community of Interest with a roundtable in 2025. For more information, see the Measurements for Information Security project and direct questions and comments to [mail].	NIST はまた、2025 年に円卓会議形式の「Metrics and Measures Community of Interest（測定基準および測定基準コミュニティ）」を開催する予定である。詳細情報については、情報セキュリティ測定プロジェクトを参照し、質問やコメントは cyber-[mail] まで直接お問い合わせいただきたい。

 

---

Vol. 1

・2024.12.04 NIST SP 800-55 Vol. 1 Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures

NIST SP 800-55 Vol. 1 Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures	NIST SP 800-55 Vol. 1 情報セキュリティのための測定ガイド：第1巻 - 対策の識別と選択
Abstract	要約
This document provides guidance on how an organization can develop information security measures to identify the adequacy of in-place security policies, procedures, and controls. It explains the measures prioritization process and how to evaluate measures.	本書は、組織が現行のセキュリティポリシー、手順、および管理の適切性を識別するための情報セキュリティ対策を開発する方法についての指針を提供する。本書では、対策の優先順位付けプロセスと対策の評価方法について説明している。

 

・[PDF] NIST.SP.800-55v1

・[DOCX][PDF] 仮訳

 

1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
1.3. Document Organization	1.3. 文書の構成
1.4. Document Terminology	1.4. 文書用語
2. Fundamentals	2. 基礎
2.1. Measurement and Quantitative Assessment	2.1. 測定と定量的アセスメント
2.2. Types of Assessment	2.2. アセスメントの種類
2.3. Benefits of Using Measure	2.3. 施策を利用するメリット
2.4. Metrics	2.4. メトリックス
3. Measurement Considerations	3. 測定に関する考察
3.1. Organizational Measures Considerations	3.1. 組織的措置に関する考察
3.1.1. Measures Documentation	3.1.1. 対策の文書化
3.1.2. Measurement Reporting	3.1.2. 測定報告
3.1.3. Data Management	3.1.3. データ管理
3.1.4. Data Quality	3.1.4. データの質
3.1.5. Uncertainty and Errors	3.1.5.不確実性と誤差
3.2. Characteristics of Measures	3.2. 対策の特徴
3.3. Types of Measures	3.3. 対策の種類
3.3.1. Implementation Measures	3.3.1. 実施対策
3.3.2. Effectiveness Measures	3.3.2. 効果測定
3.3.3. Efficiency Measures	3.3.3. 効率対策
3.3.4. Impact Measures	3.3.4. 影響対策
4. Selecting and Prioritizing ear	4. 対策の選択と優先順位付け
4.1. Identification and Definition	4.1. 識別と定義
4.2. Developing, Testing, and Validating Measures	4.2. 尺度の開発、テスト、妥当性確認
4.2.1. Comparing Measures and Assessment Results	4.2.1. 対策とアセスメント結果の比較
4.3. Prioritizing Measures	4.3. 対策の優先順位付け
4.3.1. Likelihood and Impact Modeling	4.3.1. 可能性と影響のモデリング
4.3.2. Weighing Scale	4.3.2. 計量器
4.4. Evaluating Methods for Supporting Continuous Improvement	4.4.継続的改善を支援する方法の評価
References	参考文献
Appendix A. Glossary	附属書A. 用語集
Appendix B. Data Analysis Dictionary	附属書B. データ分析辞書
B.1. Bayesian Methodology	B.1. ベイズの方法論
B.2. Classical Data Analysis	B.2. 古典的データ分析
B. 3. Exploratory Data Analysis	B.3. 探索的データ分析
Appendix C. Modeling Impact and Likelihood	附属書C. 影響と可能性のモデル化
C.1. Bayesian Methodology	C.1. ベイズの方法論
C.2. Monte Carlo Methodology	C.2. モンテカルロ法
C.3. Time Series Analysis	C.3. 時系列分析
C.4. Value at Risk	C.4. バリュー・アット・リスク
Appendix D. Change Log	附属書D. 変更履歴

 

1. Introduction	1. 序文
Information security measurement enables organizations to describe and quantify information security, allocate finite resources, and make informed and data-driven decisions for improved outcomes. However, organizations first need to know what policies, procedures, and controls they have in place at any given time; whether those policies and procedures are having the desired results; and how the organization and its risks are impacted. By developing and monitoring measurements that evaluate what an organization has in place for information security risk management and how well those efforts are working, an organization can better address their goals and direct resources.	情報セキュリティの測定によって、組織は情報セキュリティを記述・定量化し、有限のリソースを配分し、情報に基づいてデータ主導の意思決定を行い、成果を向上させることができる。しかし、組織はまず、その時点でどのような方針、手順、管理策を講じているのか、それらの方針と手順が望ましい結果をもたらしているのか、組織とそのリスクにどのような影響を与えているのかを知る必要がある。組織が情報セキュリティリスクマネジメントのために何を整備し、それらの取り組みがどの程度機能しているかを評価する測定方法を開発し、監視することによって、組織は目標によりよく取り組み、リソースを向けることができる。
1.1. Purpose and Scope	1.1. 目的と範囲
NIST Special Publication (SP) 800-55v1 (Volume 1) is a flexible guide for developing and selecting information security measures at the organization, mission/business, and system levels to identify the success of in-place policies, procedures, and controls.[1] This document expands on previous NIST work on information security measures and measurements by focusing on quantitative assessments[2] and addressing organizational and program maturity.	NIST特別刊行物（SP）800-55v1（第1巻）は、組織、ミッション／ビジネス、システムの各レベルで情報セキュリティ対策を策定し、選択するための柔軟な手引書であり、導入済みの方針、手順、管理の成功を識別するためのものである。[1]本文書は、情報セキュリティ対策と測定に関するNISTのこれまでの作業を拡張し、定量的なアセスメント（[2] ）に焦点を当て、組織とプログラムの成熟度を取り上げたものである。
The SP 800-55v2 [23] provides a methodology for implementing an information security measurement program. Additionally, while many of the principles of information security measurement may apply to privacy, privacy is out of scope for this document.	SP 800-55v2 [23]は、情報セキュリティ測定プログラムを実施するための方法論を提供する。さらに、情報セキュリティ測定の原則の多くはプライバシーにも適用できるかもしれないが、プライバシーは本文書の対象外である。
1.2. Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
This document is intended to provide considerations for measuring the information security program activities described in other NIST publications, including:	本文書は、NISTの他の刊行物（以下「NIST刊行物」という）に記載されている情報セキュリ ティプログラム活動を測定するための考慮事項を提供することを意図している：
• SP 800-137A, Assessing Information Security Continuous Monitoring Programs [14]	• SP 800-137A「情報セキュリティの継続的なモニタリングプログラムのアセスメント」[14]。
• The NIST Cybersecurity Framework (CSF) 2.0 [1]	• NIST サイバーセキュリティフレームワーク（CSF）2.0 [1]である。
• SP 800-30r1 (Revision 1), Guide for Conducting Risk Assessments [9]	• SP 800-30r1（改訂 1）、リスクアセスメント実施のためのガイド[9]。
• SP 800-37r2, Risk Management Framework for Information Security Systems and Organizations: A System Life Cycle Approach for Security and Privacy [10]	• SP 800-37r2「情報セキュリティシステム及び組織のためのリスクマネジメントの枠組み」：セキュリティとプライバシーのためのシステムライフサイクルアプローチ[10]。
• SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [17]	• SP 800-161r1、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[17]。
• NIST Engineering Statistics Handbook [18]	• NIST エンジニアリング統計ハンドブック [18］
• NIST Internal Report (IR) 8286, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) [4]	• NIST 内部報告書（IR）8286「エンタープライズリスクマネジメント（ERM）のためのサイバーセキュリティリスクの特定と推定」[4]。
1.3. Document Organization	1.3. 文書の構成
The remaining sections of this document discuss the following:	本書の残りのセクションでは、以下について述べる：
• Section 2, Fundamentals	• セクション2：基礎
• Section 3, Measurement Considerations	• セクション3：測定に関する考察
• Section 4, Selecting and Prioritizing Measures	• セクション4：対策の選択と優先順位付け
• Appendix A, Glossary	• 附属書A：用語集
• Appendix B, Data Analysis Dictionary	• 附属書B ：データ分析辞典
• Appendix C, Modeling Impact and Likelihood	• 附属書C：影響と可能性のモデル化
• Appendix D, Change Log	• 附属書D ：変更履歴
[1] This document uses the term controls to broadly describe identified countermeasures for managing information security risks. It is intended to be framework- and standard-agnostic and can also apply to other existing models or frameworks.	[1] 本文書では、情報セキュリティリスクをマネジメントするために識別された対応策を広義に表すために、「統制」という用語を使用する。枠組みや標準にとらわれないことを意図しており、他の既存のモデルや枠組みにも適用できる。
[2] SP 800-55 uses the terms quantitative assessment and measurement synonymously. Refer to Sec. 1.4, Document Terminology, for additional information.	[2] SP 800-55 では、定量的アセスメントと測定という用語を同義語として使用している。追加情報については、セクション1.4 「文書用語」を参照のこと。

 

 

 

 

---

Vol.2

・2024.12.04 NIST SP 800-55 Vol. 2 Measurement Guide for Information Security: Volume 2 — Developing an Information Security Measurement Program

 

NIST SP 800-55 Vol. 2 Measurement Guide for Information Security: Volume 2 — Developing an Information Security Measurement Program	NIST SP 800-55 Vol. 2 情報セキュリティ測定ガイド：第2巻 — 情報セキュリティ測定プログラムの開発
Abstract	要約
This document provides guidance on how an organization can develop an information security measurement program with a flexible structure for approaching activities around the development and implementation of information security measures.	本書は、情報セキュリティ対策の開発と実施に関する活動に柔軟に対応できる構造を持つ情報セキュリティ測定プログラムを組織が開発する方法についての指針を提供する。

 

・[PDF] SP.800-55v2

・[DCOX][PDF] 仮訳

 

1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
1.3. Document Organization	1.3. 文書構成
1.4. Document Terminology	1.4. 文書用語
2. Fundamentals	2. 基礎
2.1. Measurement Program Benefits	2.1. 測定プログラムの利点
2.2. Program Scope	2.2. プログラムの範囲
2.3. Foundations for a Successful Information Security Measurement Program	2.3. 情報セキュリティ測定プログラムを成功させるための基礎知識
2.4. Roles and Responsibilities	2.4. 役割と責任
2.4.1. Chief Executive Officer/Agency Head	2.4.1. 最高経営責任者／機関長
2.4.2. Chief Information Officer	2.4.2. 最高情報責任者
2.4.3. Chief Information Security Officer	2.4.3. 最高情報セキュリティ責任者
2.4.4. Program Managers and System Owners	2.4.4. プログラムマネージャーとシステムオーナー
2.4.5. Other Roles	2.4.5. その他の役割
2.5. Programmatic Value of Metrics	2.5. メトリクスのプログラム的価値
2.6. Measures Communication	2.6. コミュニケーション
2.7. Measurement Program Considerations	2.7. 測定プログラムに関する考察
2.7.1. Organizational Considerations	2.7.1. 組織的考察
2.7.2. Manageability	2.7.2. 管理性
2.7.3. Data Management Concerns	2.7.3. データ管理に関する懸念
3. Workflow for Implementing an Information Security Measurement Program	3. 情報セキュリティ測定プログラム実施のためのワークフロー
3.1. Evaluation and Definition of the Existing Security Program	3.1. 既存のセキュリティ・プログラムの評価と定義
3.1.1. Gathering Stakeholder Input	3.1.1. ステークホルダーの意見を集める
3.1.2. Goals and Objectives	3.1.2. 目標と目標
3.1.3. Information Security Policies, Procedures, and Guidelines	3.1.3. 情報セキュリティ方針、手順、ガイドライン
3.1.4. Evaluating Current Implementation	3.1.4. 現在の実施状況を評価する
3.2. Identification and Prioritization of Measures	3.2 対策の特定と優先順位付け
3.3. Data Collection and Analysis	3.3. データ収集と分析
3.4. Identify Corrective Actions	3.4 是正措置の識別
3.5. Apply Corrective Actions	3.5 是正措置を適用する
References	参考文献
Appendix A. Glossary	附属書A. 用語集
Appendix B. Change Log	附属書B. 変更履歴

 

 

1. Introduction	1. 序文
Organizational, financial, and regulatory reasons drive the desire to build a robust information security measurement program. Such programs facilitate decision-making and improve performance and accountability by providing a structure for collecting, analyzing, and reporting relevant and related data. Organizations can use measures as management tools in their internal improvement efforts and link the implementation of their information security programs to agency- and enterprise-level planning efforts.	組織上、財務上、及び規制上の理由から、強固な情報セキュリティ測定プログラ ムを構築することが望まれる。このようなプログラムは、関連データ及び関連データを収集、分 析、報告するための仕組みをプロバイダとして提供することによって、意思 決定を容易にし、パフォーマンスと説明責任を向上させる。組織は、内部改善努力における管理ツールとして対策を使用し、情報セキュリ ティプログラムの実施を機関レベル及びエンタープライズレベルの計画策定努力と連 携させることができる。
Purpose and Scope	1.1. 目的と範囲
NIST Special Publication (SP) 800-55v2 (Volume 2) is a flexible guide for developing and implementing an information security measurement program. The term “program” in SP 800-	NIST特別刊行物（SP）800-55v2（第2巻）は、情報セキュリティ測定プログラムを策定し、実施するための柔軟な手引書である。SP 800-55v2 における「プログラム」という用語は、以下のとおりである。
55v2 is intended to signify a flexible structure for approaching activities around the development and implementation of information security measures. A measurement program can be part of an existing cybersecurity program or its own dedicated effort. Measures provide the means for tying information security policy, procedure, and control[1] implementation, efficiency, and effectiveness to an organization’s success in its business activities.	55v2 は、情報セキュリティ対策の策定と実施に関連する活動に取り組むための柔軟な構造を示すことを意図している。測定プログラムは、既存のサイバーセキュリティプログラムの一部である場合もあれば、専用の取り組みである場合もある。対策は、情報セキュリティポリシ ー、手順、統制（[1] ）の実施、効率性、有効性を、組織の事業活動の成 功に結びつけるための手段を提供する。
This document provides a methodology for developing and implementing an information security measurement program, while SP 800-55v1 [10] addresses the selection and development of information security measures. SP 800-55v2 discusses the concept of organizational or program maturity but is not intended for use as a maturity model and is intentionally agnostic toward any specific maturity models.	SP 800-55v1 [10]は情報セキュリティ対策の選択と開発について述べている。SP 800-55v2 は、組織またはプログラムの成熟度の概念について論じているが、成熟度モデルとして使用することを意図しておらず、特定の成熟度モデルに対して意図的に不可知論的である。
Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
This document is intended to provide considerations for measuring the information security program activities described in other NIST publications, including:	本文書は、NISTの他の刊行物（以下「NIST刊行物」という）に記載されている情報セキュリ ティプログラム活動を測定するための考慮事項を提供することを意図している：
• SP 800-137A, Assessing Information Security Continuous Monitoring Programs [1]	• SP 800-137A「情報セキュリティの継続的なモニタリングプログラムのアセスメント」 [1］
• The NIST Cybersecurity Framework (CSF) 2.0 [2]	• NIST サイバーセキュリティフレームワーク（CSF）2.0 [2]である。
• SP 800-30r1 (Revision 1), Guide for Conducting Risk Assessments [3]	• SP 800-30r1（改訂 1）、リスクアセスメント実施のためのガイド[3]。
• SP 800-37r2, Risk Management Framework for Information Security Systems and Organizations: A System Life Cycle Approach for Security and Privacy [4]	• SP 800-37r2「情報セキュリティシステム及び組織のためのリスクマネジメントの枠組み」：セキュリティとプライバシーのためのシステムライフサイクルアプローチ[4]」である。
• SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [5]	• SP 800-161r1、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[5]。
• Internal Report (IR) 8286, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) [6]	• 内部報告書（IR）8286「エンタープライズリスクマネジメント（ERM）のためのサイバーセキュリティリスクの特定と推定」[6]。
Document Organization	1.3. 文書構成
The remaining sections of this document discuss the following:	本書の残りのセクションでは、以下のことを説明する：
• Section 2, Fundamentals	• セクション2、基礎
• Section 3, Workflow for Implementing an Information Security Measurement Program	• セクション3「情報セキュリティ測定プログラムを実施するためのワークフロー
• Appendix A, Glossary	• 附属書A、用語集
• Appendix B, Change Log	• 附属書B、変更履歴
[1] This document uses the term controls to broadly describe identified countermeasures for managing information security risks. It is intended to be framework- and standard-agnostic and can also apply to other existing models or frameworks.	[1] 本文書では、情報セキュリティリスクをマネジメントするために識別された対応策を広義に表すために、「統制」という用語を使用する。枠組みや標準にとらわれないことを意図しており、他の既存のモデルや枠組みにも適用できる。