米国 NIST IR 8374 Rev.1(初期公開ドラフト)ランサムウェアのリスクマネジメント: サイバーセキュリティフレームワーク2.0コミュニティ (2025.01.13)
こんにちは、丸山満彦です。
NISTが、サイバーセキュリティフレームワーク Ver. 2.0 を利用したコミュニティプロファイルを公表し、意見募集をしていますね...
ランサムウェア対策についてのポイントは次のように考えているようです...
- ランサムウェアの感染を避けるために従業員を教育する。
- ランサムウェアに悪用されるような脆弱性をシステムに持たないようにする。
- ランサムウェア攻撃や感染を迅速に検知し、阻止する。
- ランサムウェアが広がりにくくする。
- 将来ランサムウェアが発生した場合に、保存されている情報の復旧を容易にする。
● NIST - ITL
・2025.01.13 Ransomware Risk Management: CSF 2.0 Community Profile | Draft NIST IR 8374r1 Available for Comment
| Ransomware Risk Management: CSF 2.0 Community Profile | Draft NIST IR 8374r1 Available for Comment | ランサムウェアのリスクマネジメント: CSF 2.0 コミュニティプロファイル|ドラフト NIST IR 8374r1 コメント募集中 |
| The National Cybersecurity Center of Excellence (NCCoE) has published an initial public draft of NIST Interagency Report (NIST IR) 8374 Revision 1, Ransomware Risk Management: A Cybersecurity Framework 2.0 Community Profile. Organizations at home and abroad use NIST IR 8374 to guard against ransomware. We are seeking your feedback on the publication’s contents and the future direction of NIST’s ransomware guidance. | 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST Interagency Report(NIST IR)8374 Revision 1「ランサムウェアのリスクマネジメント」の初期公開ドラフトを公表した:サイバーセキュリティフレームワーク2.0 コミュニティプロファイル」である。国内外の組織がランサムウェア対策にNIST IR 8374を利用している。本書の内容およびNISTのランサムウェア・ガイダンスの今後の方向性について、皆様からのご意見を募集している。 |
| NIST IR 8374 reflects changes made to the Cybersecurity Framework (CSF) from CSF 1.1 to CSF 2.0 which identifies security objectives that support managing, detecting, responding to, and recovering from ransomware events. Ransomware can attack organizations of all sizes from any sector. You can use this publication to gauge your organization’s readiness to counter ransomware threats, mitigate potential consequences of a ransomware event, and to develop a ransomware countermeasure playbook. | NIST IR 8374は、CSF 1.1からCSF 2.0へのサイバーセキュリティ枠組み(CSF)の変更を反映しており、ランサムウェアイベントの管理、検知、対応、復旧をサポートするセキュリティ目標を特定している。ランサムウェアは、あらゆる業種のあらゆる規模の組織を攻撃する可能性がある。本書は、ランサムウェアの脅威に対抗するための組織の準備態勢を評価し、ランサムウェアイベントの潜在的な影響を緩和し、ランサムウェア対策プレイブックを作成するために使用できる。 |
| NIST IR 8374 Rev. 1 (Initial Public Draft) Ransomware Risk Management: A Cybersecurity Framework 2.0 Community | NIST IR 8374 Rev.1(初期公開ドラフト)ランサムウェアのリスクマネジメント: サイバーセキュリティフレームワーク2.0コミュニティ |
| Announcement | 発表 |
| This draft Ransomware Community Profile reflects changes made to the Cybersecurity Framework (CSF) from CSF 1.1 to CSF 2.0 which identifies security objectives that support managing, detecting, responding to, and recovering from ransomware events. Ransomware can attack organizations of all sizes from any sector. You can use this publication to gauge your organization’s readiness to counter ransomware threats, mitigate potential consequences of a ransomware event, and to develop a ransomware countermeasure playbook. | このランサムウェアコミュニティプロファイルのドラフトは、ランサムウェアイベントの管理、検知、対応、回復をサポートするセキュリティ目標を特定するサイバーセキュリティフレームワーク(CSF)1.1からCSF2.0への変更を反映している。ランサムウェアは、あらゆる業種のあらゆる規模の組織を攻撃する可能性がある。本書は、ランサムウェアの脅威に対抗するための組織の準備態勢を評価し、ランサムウェアイベントの潜在的な影響を緩和し、ランサムウェア対策プレイブックを作成するために使用できる。 |
| Per the "Note to Reviewers" starting on line 104 of the draft, NIST is interested in answers to the following questions: | ドラフトの104行目から始まる「査読者への注記」によると、NISTは以下の質問に対する回答に関心を示している: |
| 1. What elements of this Community Profile have been helpful? | 1. このコミュニティプロファイルのどのような要素が役に立ったか? |
| 2. Where could this Community Profile be improved? | 2. このコミュニティプロファイルのどこを改善できるか? |
| 3. Are supplemental documents, such as quick start guides, useful? If so, how? If not, why? | 3. クイック・スタート・ガイドなどの補足資料は有用か。役立つとすれば、どのように役立つか?そうでない場合、その理由は? |
| 4. What type of prioritization would be most helpful? Control baselines? high/medium/low criticality? Mapping to specific organizational outcomes? Other? | 4. どのような優先順位付けが最も有用か。管理ベースライン、重要度の高・中・低?特定の組織の成果へのマッピング?その他? |
| 5. What other ransomware resources have you or your organization used to improve your ransomware risk mitigation strategy? How have those resources been helpful? | 5. ランサムウェアのリスク緩和戦略を改善するために、あなたまたはあなたの組織は他にどのようなランサムウェアのリソースを利用したか?それらのリソースはどのように役立ったか? |
| General comments on the draft are also welcome. | ドラフトに関する一般的なコメントも歓迎する。 |
| Abstract | 概要 |
| Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. Attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Cybersecurity Framework (CSF) 2.0 Community Profile identifies the security objectives from the NIST CSF 2.0 that support governing management of, identifying, protecting against, detecting, responding to, and recovering from ransomware events. The Profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization’s level of readiness to counter ransomware threats and to deal with the potential consequences of events. This Profile can be leveraged in developing a ransomware countermeasure playbook. | ランサムウェアは、攻撃者が組織のデータを暗号化し、アクセスを回復するために支払いを要求する悪意のある攻撃の一種である。攻撃者はまた、組織の情報を盗み出し、当局、競合他社、または公衆に情報を開示しない見返りとして、追加の支払いを要求することもある。このサイバーセキュリティフレームワーク(CSF)2.0コミュニティプロファイルは、ランサムウェアイベントの管理、識別、防御、検知、対応、回復をサポートするNIST CSF 2.0のセキュリティ目標を特定するものである。このプロファイルは、ランサムウェアのリスクをマネジメントするためのガイドとして利用できる。これには、ランサムウェアの脅威に対抗し、イベントの潜在的な結果に対処するための組織の準備態勢のレベルを測定するのに役立つことも含まれる。このプロファイルは、ランサムウェア対策プレイブックを作成する際に活用できる。 |
・[PDF] NIST.IR.8374r1.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1 The Ransomware Challenge | 1.1 ランサムウェアの課題 |
| 1.2 Basic Ransomware Tips | 1.2 ランサムウェアの基本的なヒント |
| 2. The Ransomware Community Profile | 2. ランサムウェア・コミュニティ・プロファイル |
| Appendix A. Additional NIST Ransomware Resources | 附属書 A. その他の NIST ランサムウェアリソース |
ランサムウェアに関する基本的なヒント
| BASIC RANSOMWARE TIPS | ランサムウェアに関する基本的なヒント |
| Even without undertaking all the measures described in this Ransomware Community Profile, there are some basic preventative steps that an organization can take now to protect against and recover from the ransomware threat. These include: | このランサムウェアコミュニティプロファイルに記載されているすべての対策を実施しなくても、ランサムウェアの脅威から保護し、回復するために組織が今すぐ実施できる基本的な予防策がいくつかある。以下がその例である: |
| 1. Educate employees on avoiding ransomware infections. | 1. ランサムウェアの感染を避けるために従業員を教育する。 |
| • Don’t open files or click on links from unknown sources unless you first run an antivirus scan or look at links carefully. | - まずウイルス対策スキャンを実行したり、リンクを注意深く見たりしない限り、不明なソースからのファイルを開いたり、リンクをクリックしたりしないこと。 |
| • Avoid using personal websites and personal apps – like email, chat, and social media – from work computers. | - 個人のウェブサイトや個人用アプリ(電子メール、チャット、ソーシャルメディアなど)を業務用コンピュータから使用しないようにする。 |
| • Don’t connect personally owned devices to work networks without prior authorization. | - 事前の認可なしに、個人所有のデバイスを職場のネットワークに接続しない。 |
| 2. Avoid having vulnerabilities in systems that ransomware could exploit. | 2. ランサムウェアに悪用されるような脆弱性をシステムに持たないようにする。 |
| • Keep relevant systems fully patched. Run scheduled checks to identify available patches and install these as soon as feasible. | - 関連システムのパッチを完全に適用しておく。利用可能なパッチを特定するために定期的なチェックを行い、可能な限り早急にパッチをインストールする。 |
| • Employ zero trust principles in all networked systems. Manage access to all network functions, and segment internal networks where practical to prevent malware from proliferating among potential target systems. | - すべてのネットワークシステムでゼロトラスト原則を採用する。すべてのネットワーク機能へのアクセスを管理し、潜在的な標的システム間でマルウェアが拡散するのを防ぐため、現実的な場合には内部ネットワークをセグメント化する。 |
| • Allow installation and execution of authorized apps only. Configure operating systems and/or thirdparty software to run only authorized applications. This can also be supported by adopting a policy for reviewing, then adding or removing authorized applications on an allow list. | - 認可されたアプリケーションのインストールと実行のみを許可する。認可されたアプリケーションのみを実行するように、オペレーティング・システムやサードパーティ製ソフトウェアを設定する。これは、許可リストで許可されたアプリケーションをレビューし、追加または削除するポリシーを採用することでも対応できる。 |
| • Inform your technology vendors of your expectations (e.g., in contract language) that they will apply measures that discourage ransomware attacks. | - テクノロジーベンダーに、ランサムウェア攻撃を阻止する対策を適用することを期待する旨を(契約文言などで)伝える。 |
| 3. Quickly detect and stop ransomware attacks and infections. | 3. ランサムウェア攻撃や感染を迅速に検知し、阻止する。 |
| • Use malware detection software, such as antivirus software at all times. Set it to automatically scan emails and flash drives. | - ウイルス対策ソフトなどのマルウェア検知ソフトを常時使用する。電子メールやフラッシュドライブを自動的にスキャンするように設定する。 |
| • Continuously monitor directory services (and other primary user stores) for indicators of compromise or active attack. | - ディレクトリ・サービス(およびその他のプライマリ・ユーザー・ストア)を継続的に監視し、侵害や活発な攻撃の兆候がないか確認する。 |
| • Block access to untrusted web resources. Use products or services that block access to server names, IP addresses, or ports and protocols that are known to be malicious or suspected to be indicators of malicious system activity. This includes using products and services that provide integrity protection for the domain component of addresses (e.g., hacker@poser.com). | - 信頼できないWebリソースへのアクセスをブロックする。悪意のあることが知られている、または悪意のあるシステム活動の指標であると疑われるサーバー名、IPアドレス、ポートおよびプロトコルへのアクセスをブロックする製品やサービスを使用する。これには、アドレスのドメイン・コンポーネントに完全性保護を提供する製品やサービス(例:hacker@poser.com)を使用することも含まれる。 |
| 4. Make it harder for ransomware to spread. | 4. ランサムウェアが広がりにくくする。 |
| • Use standard user accounts with multi-factor authentication versus accounts with administrative privileges whenever possible. | - 可能な限り、管理者権限を持つアカウントではなく、多要素認証を持つ標準ユーザーアカウントを使用する。 |
| • Introduce authentication delays or configure automatic account lockout as a defense against automated attempts to guess passwords. | - パスワードを推測する自動的な試みに対する防御として、認証の遅延を導入するか、自動的なアカウントのロックアウトを設定する。 |
| • Assign and manage credential authorization for all enterprise assets and software and periodically verify that each account has only the necessary access following the principle of least privilege. | - すべてのエンタープライズ資産とソフトウェアに対してクレデンシャルの認可を割り当てて管理し、最小特権の原則に従って、各アカウントが必要なアクセス権のみを持っていることを定期的に検証する。 |
| • Store data in an immutable format (so that the database does not automatically overwrite older data when new data is made available). | - データを不変形式で保存する(新しいデータが利用可能になったときに、データベースが古いデータを自動的に上書きしないようにする)。 |
| • Allow external access to internal network resources via secure virtual private network (VPN) connections only. | - 安全な仮想プライベートネットワーク(VPN)接続経由でのみ、内部ネットワークリソースへの外部アクセスを許可する。 |
| 5. Make it easier to recover stored information from a future ransomware event. | 5. 将来ランサムウェアが発生した場合に、保存されている情報の復旧を容易にする。 |
| • Make an incident recovery plan. Develop, implement, and regularly exercise an incident recovery plan with defined roles and strategies for decision making. This can be part of a continuity of operations plan. The plan should identify mission-critical and other business-essential services to enable recovery prioritization, and business continuity plans for those critical services. | - インシデント復旧計画を立てる。意思決定のための役割と戦略を明確にしたインシデント復旧計画を策定し、実施し、定期的に実施する。これは、事業継続計画の一部とすることができる。この計画では、復旧の優先順位付けを可能にするために、ミッションクリティカルなサービスやその他のビジネスに不可欠なサービスを特定し、それらの重要なサービスの事業継続計画を策定する。 |
| • Back up data, secure backups, and test restoration. Carefully plan, implement, and test a data backup and restoration strategy—and secure and isolate backups of important data. | - データのバックアップ、バックアップのセキュリティ確保、リストアのテストを行う。データのバックアップとリストア戦略を慎重に計画、実施、テストし、重要なデータのバックアップを安全に隔離する。 |
| • Keep your contacts. Maintain an up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources. | - 連絡先を保持する。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の最新リストを維持する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
CSF Ver2.0 コミュニティプロファイル関係
・2024.12.26 米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)
・2024.07.31 米国 NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル
・2024.04.05 米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル
・2024.03.06 米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)
CSF Ver2.0 関係
・2024.04.26 NISTサイバーセキュリティフレームワークバージョン2への移行のポイントと日本語訳
・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0
Comments