米国 NIST (意見募集)IR 8011 Vol. 1 Rev. 1(初期公開草案) テスト可能な管理策および継続的なモニタリングのためのセキュリティ機能:第1巻 - 概要と方法論
こんにちは、丸山満彦です。
評価も含めたコントロールズ(統制手続、管理策)についての文書の改訂版のドラフトです。ただし、タイトルから変更するほどの大きな変更ですね...
これだけでも、100ページ超あります。
おそらくこれはこれから重要です。企業側でセキュリティのための管理策を設計する人にとっても、それを評価(管理部門、監査部門、外部監査人)する人にとっても重要な文書になると思われます。
そして、監査の研究者にとっても重要だと思います。本当は、監査研究者も理解してもらい、批判的に分析してもらいたいところではあります...
もちろん、ISMS等の認証に関わる監査人、これからの経産省のサプライチェーンリスクを低減するための星制度を考える人にも是非、目を通してもらいたい資料だと思うんですよね...
管理策(統制手続、controls)の評価を構造的に考えるというのは重要な観点だと思うんですよね...
なかなか野心的な文書だと思います...
● NIST - ITL
| NIST IR 8011 Vol. 1 Rev. 1 (Initial Public Draft) Testable Controls and Security Capabilities for Continuous Monitoring: Volume 1 — Overview and Methodology | NIST IR 8011 Vol. 1 Rev. 1(初期公開草案) テスト可能な管理策および継続的なモニタリングのためのセキュリティ機能:第1巻 - 概要と方法論 |
| Announcement | アナウンス |
| Summary | 概要 |
| The NIST Risk Management Framework (RMF) Team has released the initial public draft (ipd) version of NIST Internal Report (IR) 8011v1r1 (Volume 1, Revision 1), Testable Controls and Security Capabilities for Continuous Monitoring: Volume 1 — Overview and Methodology. | NISTリスクマネジメント枠組み(RMF)チームは、NIST内部報告書(IR)8011v1r1(第1巻、改訂1)の最初の公開草案(ipd)バージョン「テスト可能な管理策および継続的なモニタリングのためのセキュリティ機能:第1巻 - 概要および方法論)」を公開した。 |
| Details | 詳細 |
| IR 8011 provides a methodology for identifying testable controls – SP 800-53 controls that can be assessed and monitored using automatable tests – and for creating such tests in support of information security continuous monitoring. These testable controls are organized by continuous monitoring security capabilities which are sets of controls with a common defense purpose. | IR 8011は、テスト可能な管理策(自動化可能なテストを使用してアセスメントおよびモニタリングが可能なSP 800-53の管理策)を識別する方法と、情報セキュリティの継続的なモニタリングを支援するテストを作成する方法を規定している。これらのテスト可能な管理策は、共通の防御目的を持つ一連の統制であるセキュリティ能力の継続的なモニタリングによって体系化されている。 |
| Using a six-step adversarial attack model, the methodology breaks down security capabilities into levels of abstraction towards the identification of smaller, targeted capabilities called sub-capabilities which offer optimal level of granularity for the development of control tests. These tests are created for controls that share common defense objectives and are grouped to support specific security capabilities for continuous monitoring. | 6段階の敵対的攻撃モデルを使用して、この手法ではセキュリティ能力を抽象度のレベルに分解し、制御テストの開発に最適な粒度を提供する、より小さく、より対象を絞った能力であるサブ能力を特定する。これらのテストは、共通の防御目的を共有する管理策に対して作成され、継続的なモニタリングのための特定のセキュリティ能力をサポートするためにグループ化される。 |
| Volume 1 introduces key terminology and foundational concepts, describes the methodology, and discusses conceptual operational considerations for a potential IR 8011 implementation. NIST uses these concepts and methodology to identify the sample control tests for security capabilities that are featured in subsequent volumes in the Series. | 第1巻では、主要な用語と基礎となる概念を紹介し、その方法論を説明し、IR 8011の潜在的な実装に関する概念的な運用上の考慮事項について議論している。NISTは、これらの概念と方法論を使用して、シリーズのその後の巻で取り上げられるセキュリティ機能のためのサンプルの統制テストを識別する。 |
| IR 8011v1r1 represents a major revision of the first and key volume in the multi-volume IR 8011 series. The NIST Risk Management Framework (RMF) Team welcomes feedback and input on any aspect of IR 8011v1r1 and additionally proposes a list of non-exhaustive questions and topics for consideration: | IR 8011v1r1は、複数巻からなるIR 8011シリーズの第1巻および主要巻の大幅な改訂版である。NISTリスクマネジメント枠組み(RMF)チームは、IR 8011v1r1のあらゆる側面に関するフィードバックや意見を歓迎し、さらに、考慮すべき非網羅的な質問やトピックのリストを提案している。 |
| ・Have you or your organization ever implemented the IR 8011 methodology? If so, under what capacity (developer/adopter)? | ・あなたまたはあなたの組織は、IR 8011の方法論を導入したことがあるか? もしある場合、どのような立場(開発者/採用者)で導入したか? |
| ・Are you a developer of security or continuous monitoring tools that would be interested in incorporating the IR 8011 methodology into a solution? | ・IR 8011の方法論をソリューションに組み込むことに興味がある、セキュリティまたは継続的なモニタリングツールの開発者か? |
| ・Is the IR 8011 methodology sound, logical and actionable? | ・IR 8011の方法論は、健全で論理的であり、実行可能か? |
| ・Is the language in this revision clear or is there any specific content that requires clarification? | ・この改訂版の表現は明確か、または明確化が必要な特定のコンテンツはあるか? |
| ・Are there any additional conceptual implementation considerations that you would propose to be included in the final version of this guide? | ・このガイドの最終版に含めるべき、追加の概念的な実装に関する考慮事項はありますか? |
| ・If an IR 8011 community of interest is established in the future, would you be interested in participating? (If so, please leave a contact information). | ・将来、IR 8011 に関心を持つコミュニティが設立された場合、参加することに興味がありますか?(参加する場合は、連絡先をご記入ください)。 |
| ・What are opportunities for improvement? | ・改善の余地はありますか? |
| ・Any other feedback on: | ・その他、以下の点についてご意見はありますか? |
| ・・Updates to the IR 8011 methodology | ・・IR 8011 方法論の更新 |
| ・・Updates to the IR 8011 terminology and general language | ・・IR 8011 用語および一般言語の更新 |
| ・・Typos and errors | ・・誤字脱字 |
| Following the feedback received on this call for comments, the NIST RMF Team plans to issue a final version of IR 8011v1r1. If major changes to the ipd are necessary, a final public draft may be issued for another round of public comment before the publication is finalized. The intent is to publish guidance that can help operationalize the IR 8011 methodology. | 本意見募集で寄せられたフィードバックを踏まえ、NIST RMF チームは IR 8011v1r1 の最終版を発行する予定である。 IR 8011 の大幅な変更が必要な場合は、最終版を発行する前に、最終パブリックドラフトを発行して、再度パブリックコメントを募集する場合がある。 IR 8011 の手法を運用化する上で役立つ指針を発行することが目的である。 |
| Abstract | 要約 |
| According to the NIST Risk Management Framework (RMF) methodology, SP 800-53 security and privacy controls are selected, implemented, assessed, and monitored to help achieve security and privacy objectives. Due to the sheer size, complexity, and scope of information technology footprints, the automation of control assessment and monitoring tasks is desired but not easily achieved. IR 8011 provides a method for identifying SP 800-53 controls that can be tested via automated means based on the assessment objectives and potential assessment methods in SP 800-53A. The IR 8011 methodology also includes a process for developing the actual tests for each testable control. This first volume in the IR 8011 multi-volume series introduces foundational concepts — including the concept of security capability for continuous monitoring — and describes each step of the IR 8011 methodology. This revision includes a new section on the envisioned operationalization of IR 8011 for the development and adoption of potential solutions. Subsequent volumes in the IR 8011 series provide a sample set of testable controls and automatable tests for specific security capabilities for continuous monitoring. | NISTリスクマネジメント枠組み(RMF)の方法論に従い、セキュリティおよびプライバシーの目的を達成するために、SP 800-53のセキュリティおよびプライバシー管理策が選択、実装、アセスメント、および監視される。情報テクノロジーの規模、複雑性、および適用範囲の広さにより、コントロールの評価とモニタリングのタスクの自動化が望まれているが、容易に実現できるものではない。IR 8011は、SP 800-53Aのアセスメントの目的と潜在的なアセスメントの方法に基づいて、自動化された手段でテストできるSP 800-53のコントロールを識別する方法を提供する。IR 8011の方法論には、テスト可能な各管理策に対する実際のテストを開発するプロセスも含まれている。IR 8011の複数巻シリーズの第1巻では、基礎となる概念(継続的なモニタリングのためのセキュリティ能力の概念を含む)を紹介し、IR 8011の方法論の各ステップを説明している。今回の改訂では、潜在的なソリューションの開発と採用に向けたIR 8011の運用化構想に関する新しいセクションが追加されている。IR 8011シリーズの今後の刊行物では、継続的なモニタリングのための特定のセキュリティ能力について、テスト可能な管理策と自動化可能なテストのサンプルセットを提供する。 |
| Executive Summary | エグゼクティブサマリー |
| 1. IR 8011 Overview | 1. IR 8011の概要 |
| 1.1. Background | 1.1. 背景 |
| 1.2. Purpose and Scope | 1.2. 目的と範囲 |
| 1.3. Target Audience | 1.3. 対象読者 |
| 1.4. IR 8011 Series Organization | 1.4. IR 8011シリーズの構成 |
| 2. IR 8011 Fundamentals | 2. IR 8011の基本 |
| 2.1. How to Use IR 8011 | 2.1. IR 8011 の使用方法 |
| 2.2. When to Use IR 8011 | 2.2. IR 8011 の使用タイミング |
| 2.3. Foundational Concepts | 2.3. 基本概念 |
| 2.3.1. Boundaries | 2.3.1. 境界 |
| 2.3.2. Security Capabilities for Continuous Monitoring | 2.3.2. セキュリティの継続的なモニタリング機能 |
| 2.3.3. Sub-Capabilities | 2.3.3. サブ機能 |
| 2.3.4. Adversarial Attack Step Model | 2.3.4. 敵対的攻撃ステップモデル |
| 2.3.4.1. Attack Step | 2.3.4.1. 攻撃ステップ |
| 2.3.4.2. Defend Step | 2.3.4.2. 防衛ステップ |
| 2.3.5. Test Automation in IR 8011 | 2.3.5. IR 8011 におけるテスト自動化 |
| 2.3.5.1. Actual State | 2.3.5.1. 現状 |
| 2.3.5.2. Desired State Specification | 2.3.5.2. 望ましい状態の仕様 |
| 3. IR 8011 Methodology | 3. IR 8011 メソッド |
| 3.1. Objective #1: Sub-Capability Test Development | 3.1. 目的 #1: サブ機能テストの開発 |
| 3.1.1. Identify Attack Steps | 3.1.1. 攻撃ステップの識別 |
| 3.1.2. Identify Defend Steps | 3.1.2. 防衛手順の識別 |
| 3.1.3. Determine Sub-Capabilities | 3.1.3. サブ能力の決定 |
| 3.1.4. Identify Control Items | 3.1.4. 管理項目の識別 |
| 3.1.5. Identify Determination Statements | 3.1.5. 決定文の識別 |
| 3.1.6. Create Sub-Capability Tests | 3.1.6. サブ能力テストの作成 |
| 3.1.6.1. Sub-Capability Test Types | 3.1.6.1. サブ能力テストの種類 |
| 3.1.6.2. Data Quality Measures | 3.1.6.2. データ品質測定 |
| 3.1.6.3. Sub-Capability Test Creation | 3.1.6.3. サブ能力テストの作成 |
| 3.1.6.4. Sub-Capability Test Non-Conformance | 3.1.6.4. サブキャパシティテストの不適合 |
| 3.1.6.5. Root Cause Analysis | 3.1.6.5. 根本原因分析 |
| 3.2. Objective #2: Capability Control Identification | 3.2. 目標 #2:能力統制の識別 |
| 3.2.1. Identify Testable Controls | 3.2.1. テスト可能な管理策の識別 |
| 3.2.2. Group Testable Controls | 3.2.2. テスト可能な管理策のグループ化 |
| 3.3. Methodology Summary | 3.3. 方法論のまとめ |
| 4. Conceptual IR 8011 Implementation and Considerations | 4. 概念的な IR 8011 の実装と考慮事項 |
| 4.1. IR 8011 Solution Developer's Perspective | 4.1. IR 8011 ソリューション開発者の視点 |
| 4.1.1. Build a Custom IR 8011 Solution | 4.1.1. カスタムIR 8011ソリューションの構築 |
| 4.1.1.1. Design for Automated Control Testing | 4.1.1.1. 自動統制テストの設計 |
| 4.1.1.2. Determine Necessary Data Sources. | 4.1.1.2. 必要なデータソースの決定。 |
| 4.1.1.3. Define Data Relationships. | 4.1.1.3. データ関係の定義。 |
| 4.1.1.4. Define Solution Functionalities | 4.1.1.4. ソリューション機能の定義 |
| 4.1.1.5. Analysis and Reporting | 4.1.1.5. 分析とレポート |
| 4.1.1.6. Develop, Use, and Maintain an IR 8011 Database. | 4.1.1.6. IR 8011 データベースの開発、使用、および維持 |
| 4.1.1.7. Control Search (via Keywords) | 4.1.1.7. (キーワードによる)統制検索 |
| 4.1.2. Integrate IR 8011 Sub-Capability Tests into Existing Solutions | 4.1.2. IR 8011 サブ機能テストを既存のソリューションに統合する |
| 4.1.3. Derive Sub-Capability Tests Outside of IR 8011 Scope | 4.1.3. IR 8011 の適用範囲外のサブ機能テストの導出 |
| 4.1.4. Control Testing as a Service | 4.1.4. コントロール・テスト・アズ・ア・サービス |
| 4.2. IR 8011 Solution Adopter's Perspective | 4.2. IR 8011 ソリューション採用者の視点 |
| 4.2.1. Roles and Responsibilities | 4.2.1. 役割と責任 |
| 4.2.2. Buy or Build Considerations | 4.2.2. 購入または構築の検討事項 |
| 4.2.3. Support for Internal Automated Control Testing | 4.2.3. 内部自動コ統制テストの支援 |
| 4.2.4. Support for External Independent Automated Control Testing | 4.2.4. 外部の独立した自動統制テストの支援 |
| 4.2.5. Integration Into Existing Continuous Monitoring Programs | 4.2.5. 既存の継続的モニタリングプログラムへの統合 |
| 4.3. Understanding Limitations to IR 8011 Operationalization | 4.3. IR 8011 の運用上の制限事項の理解 |
| 4.4. Implementation Validation | 4.4. 実装の妥当性確認 |
| References | 参考文献 |
| Appendix A. Glossary | 附属書 A. 用語集 |
| Appendix B. List of Abbreviations and Acronyms | 附属書 B. 略語および頭字語の一覧 |
| Appendix C. NIST RMF-Related Publications and Their Relationships to IR 8011 | 附属書 C. NIST RMF 関連の出版物と IR 8011 との関係 |
| Appendix D. Benefits of Breaking Down Security Capabilities Into Elements | 附属書 D. セキュリティ機能を要素に分解することの利点 |
| D.1. Supports the Strong Systems Engineering of Security Capabilities | D.1. セキュリティ機能の強力なシステムエンジニアリングをサポートする |
| D.2. Supports Guidance for Control Selection | D.2. 統制の選択に関する指針をサポートする |
| D.3. Simplifies Understanding of the Overall Protection Process | D.3. 全体的な防御プロセスの理解を単純化する |
| D.4. Enables Testing of Control Outcomes at a Higher Level Than Individual Controls | D.4. 個々の統制よりも高いレベルで統制の結果をテストすることを可能にする |
| D.5. Improves Risk Management by Measuring Control Outcomes | D.5. 統制の結果を測定することでリスクマネジメントを改善する |
| D.6. Helps Organizations Address Organizational, Mission, and Business Risks | D.6. 組織が組織、ミッション、およびビジネスリスクに対処するのを支援する |
| Appendix E. Considerations for IR 8011 Implementation Validation | 附属書 E. IR 8011 実施妥当性確認に関する考慮事項 |
| Appendix F. Change Log | 附属書 F. 変更履歴 |
| Executive Summary | エグゼクティブサマリー |
| This NIST Internal Report (IR) provides a methodology for using automation to test the implementation of NIST Special Publication (SP) 800-53 security and privacy controls in support of security capabilities for continuous monitoring. Security capabilities represent foundational defense capabilities against potential cyber attacks to systems and organizations. The IR 8011 methodology explores these security capabilities using an attack step model for the purpose of identifying more detailed and specific capabilities, called sub-capabilities, that can be tested. Subsequent volumes in this multi-volume series, published separately, present a sample collection of sub-capabilities, sub-capability tests, and associated controls that support specific security capabilities, one capability per volume. All volumes in the IR 8011 series provide a blueprint for the development and adoption of a potential IR 8011 solution. | この NIST 内部報告書(IR)は、自動化を使用して NIST 特別刊行物(SP)800-53 のセキュリティおよびプライバシー管理策の実施をテストし、セキュリティ能力をサポートしてセキュリティの継続的なモニタリングを行うための方法論を提供する。セキュリティ機能は、システムや組織に対する潜在的なサイバー攻撃に対する基本的な防御機能である。IR 8011の方法論では、テスト可能なより詳細かつ具体的な機能(サブ機能と呼ばれる)を識別することを目的として、攻撃ステップモデルを使用してこれらのセキュリティ機能を調査する。この複数巻シリーズの続巻は、個別に発行され、特定のセキュリティ機能をサポートするサブ機能のサンプルコレクション、サブ機能テスト、および関連制御を、巻ごとに1つの機能ごとに提示する。IR 8011シリーズのすべてのボリュームは、潜在的なIR 8011ソリューションの開発と採用に向けた青写真を提供する。 |
| The IR 8011 methodology was designed to be used with the NIST Risk Management Framework (RMF), specifically in support of the Assess and Monitor steps. Each control in the SP 800-53 control catalog has an associated assessment procedure in SP 800-53A, which is leveraged for the development of sub-capability tests. It is possible to apply the IR 8011 methodology using controls other than those from the SP 800-53 catalog following a different framework or methodology as long as controls have associated assessment procedures. The assessment procedures provide the necessary determination statements to support the development of sub-capabilities tests. | IR 8011の方法は、特に「評価」と「監視」のステップをサポートする目的で、NISTリスクマネジメント枠組み(RMF)と併用できるように設計されている。SP 800-53の管理カタログに記載されている各管理には、SP 800-53Aに関連するアセスメント手順が記載されており、これはサブ能力テストの開発に活用される。SP 800-53 カタログ以外のコントロールを使用して、異なる枠組みや方法論に従って IR 8011 の方法論を適用することも可能である。ただし、コントロールに関連するアセスメント手順が存在することが条件となる。アセスメント手順は、サブ能力テストの開発をサポートするのに必要な判定文を提供する。 |
| This major revision to IR 8011, Volume 1, preserves the original methodology first introduced in 2017 and focuses on improving the way in which the methodology is presented to facilitate understanding of the foundational concepts and the purpose of the methodology. Key terms and visual aids, such as diagrams and other graphics, were updated to better describe IR 8011 processes and their elements. A dedicated section on an envisioned IR 8011 operationalization has been added to provide conceptual implementation examples and considerations for IR 8011 solution developers and adopters. These examples are intended to illustrate how IR 8011 concepts work to strengthen the understanding of the methodology and facilitate implementation. | IR 8011 第1巻のこの大幅な改訂では、2017年に初めて導入された当初の方法論を維持し、方法論の基礎となる概念と目的の理解を促進するために、方法論の提示方法を改善することに重点が置かれている。 重要な用語や、図やその他のグラフィックなどの視覚資料は、IR 8011のプロセスとその要素をより適切に説明するために更新された。IR 8011 の運用化に関する想定される専用セクションが追加され、IR 8011 ソリューションの開発者および採用者向けに概念的な実装例と考慮事項が提供されている。これらの例は、IR 8011 の概念がどのように機能し、方法論の理解を深め、実装を促進するかを説明することを目的としている。 |
| 1. IR 8011 Overview | 1. IR 8011 の概要 |
| 1.1. Background | 1.1. 背景 |
| The IR 8011 methodology was designed to work with the NIST Risk Management Framework (RMF) and supporting technical publications,9 including the [SP800-53] control catalog, [SP800-53A] control assessment guidance and procedures, [SP800-53B] control baselines, and [SP800-137] continuous monitoring concepts. | IR 8011 手法は、NIST リスクマネジメント枠組み(RMF)および、[SP800-53] 統制カタログ、[SP800-53A] 統制アセスメントの指針および手順、[SP800-53B] 統制ベースライン、[SP800-137] 継続的モニタリングの概念を含む技術文書9をサポートするものとして設計された。 |
| 9 See Appendix C for a listing of NIST RMF-related publications and their relationships to IR 8011. | 9 NIST RMF 関連の出版物および IR 8011 との関係については、附属書 C を参照のこと。 |
| An essential aspect of the NIST RMF is the use of security and privacy controls to safeguard information handled by an organizational system and ensure that security and privacy objectives are met. These controls are assessed and monitored periodically to verify that they are in place, operating as expected, and meeting security and privacy objectives. | NIST RMF の重要な要素は、組織のシステムが取り扱う情報を保護し、セキュリティおよびプライバシーの目標が確実に達成されるようにするためのセキュリティおよびプライバシー管理策の使用である。これらの管理策は、適切に導入され、期待通りに運用され、セキュリティおよびプライバシーの目標を達成していることを検証するために、定期的にアセスメントおよびモニタリングされる。 |
| Monitoring all selected controls as frequently10 as needed using manual methods is impractical and unrealistic for most organizations due to the sheer size, complexity, and scope of their information technology footprint. The rapid deployment of new technologies may spawn new risks that make the manual or procedural monitoring of controls unattainable for many organizations. | ほとんどの組織では、情報技術の規模、複雑さ、範囲が大きすぎるため、手動の方法で必要な頻度10で選択したすべての統制を監視することは非現実的であり、不可能である。新しい技術の急速な展開により、多くの組織では手動または手順による統制の監視が不可能になるという新たなリスクが生じる可能性がある。 |
| 10 The frequency is enough to maintain ongoing awareness of control effectiveness. | 10 この頻度は、統制の有効性に対する継続的な認識を維持するのに十分である。 |
| Control assessment objectives for items in the base control and control enhancements, referred to as control items, are provided in [SP800-53A]. The potential assessment methods examine, interview, and/or test (see Table 1), are used to compare the actual state (i.e., what is in place; see Sec. 2.3.5.1) against the desired state specification (i.e., what is expected to be implemented; see Sec. 2.3.5.2). The organization uses the results of the assessments — regardless of the method used — to support the determination of control existence, functionality, correctness, and completeness, as well as the potential for improvement over time. | 基本統制および統制強化の項目(統制項目と呼ばれる)の統制アセスメントの目的は、[SP800-53A]に記載されている。潜在的なアセスメント方法である調査、インタビュー、および/またはテスト(表1参照)は、実際の状態(すなわち、現状のもの、すなわち、セクション2.3.5.1参照)と望ましい状態の仕様(すなわち、実装が期待されるもの、すなわち、セクション2.3.5.2参照)を比較するために使用される。組織は、使用した方法に関わらず、アセスメントの結果を、統制の存在、機能性、正確性、完全性、および将来的な改善の可能性を判断する根拠として使用する。 |
| Table 1. Potential assessment methods [SP800-53A] | 表1. 潜在的なアセスメント方法 [SP800-53A] |
| Method : Definition | 方法:定義 |
| Examine : The process of checking, inspecting, reviewing, observing, studying, or analyzing one or more assessment objects to facilitate understanding, achieve clarification, or obtain evidence. | 調査:理解を深め、明確化を図り、または証拠を入手するために、1つまたは複数のアセスメント対象を検査、点検、レビュー、観察、調査、または分析するプロセス。 |
| Interview : The process of conducting discussions with individuals or groups within an organization to facilitate understanding, achieve clarification, or lead to the location of evidence. | インタビュー:理解を深め、明確化を図り、または証拠の所在を突き止めるために、組織内の個人またはグループと話し合いを行うプロセス。 |
| Test 11: The process of exercising one or more assessment objects under specified conditions to compare actual with expected behavior. | テスト 11:特定の条件下で1つまたは複数のアセスメント対象を実行し、実際の動作と期待される動作を比較するプロセス。 |
| 11 The implementation of a continuous monitoring program considers the test assessment method whenever it is applicable. Use of the automated test method may provide more accurate and repeatable results when constructed and implemented correctly. It is more difficult to automate the examine and interview assessment methods, which require more complex systems to enable capture and accurate interpretation of the input (from examination of artifacts and interviews). Organizations might employ the examine and/or interview methods for root cause analysis (see Sec. 3.1.6) of other than satisfied controls or if greater assurance, depth, or coverage is needed. | 11 継続的なモニタリングプログラムを実施する際には、適用可能な場合は常にテストアセスメント方法を考慮する。自動テスト方法を使用すると、正しく構築および実施された場合には、より正確で再現性のある結果が得られる可能性がある。 テストおよびインタビューによるアセスメント方法を自動化することはより難しく、入力(アーティファクトの調査やインタビューによる)の取得と正確な解釈を可能にするには、より複雑なシステムが必要となる。 組織は、満足のいく統制以外の根本原因分析(第3.1.6項参照)や、より高い保証、深度、または網羅性が必要な場合、テストおよび/またはインタビューによる方法を採用することがある。 |
| 1.2. Purpose and Scope | 1.2. 目的と適用範囲 |
| The IR 8011 series offers an approach for automating control testing to support continuous monitoring that focuses on the test assessment method [SP800-53A] as the method with most potential for automation in support of the RMF Assess and Monitor steps. IR 8011 supports the testing of controls using automation, which is beyond the scope of SP 800-53A.12 IR 8011 is not about automating the implementation of security and privacy controls (RMF Implement step). This volume introduces fundamental concepts and proposes a methodology for creating automatable tests for monitoring SP 800-53 controls by leveraging the determination statements in SP 800-53A13 assessment procedures as the basis for the tests. These tests are traced to specific continuous monitoring security capabilities14, which are groups of controls with a common defense purpose. The key elements of the IR 8011 methodology are illustrated in Fig. 1, from the development of sub-capability15 tests to the identification of testable controls with a shared common purpose for a specific security capability. | IR 8011 シリーズは、RMF のアセスメントおよびモニタリング手順をサポートする自動化の可能性が最も高い方法として、テスト評価方法[SP800-53A]に焦点を当てた継続的なモニタリングをサポートする、統制テストの自動化アプローチを提供する。IR 8011 は、SP 800-53A の適用範囲を超える自動化による統制のテストをサポートする。IR 8011 は、セキュリティおよびプライバシー統制の実施(RMF 実施ステップ)の自動化に関するものではない。本書では、SP 800-53A13 のアセスメント手順における決定文をテストの基礎として活用し、SP 800-53 の管理策を監視するための自動化可能なテストを作成するための基本的な概念と方法論を提案している。これらのテストは、特定の継続的なセキュリティのモニタリング能力14、すなわち共通の防御目的を持つ管理策のグループにまで遡ることができる。IR 8011 方法論の主要な要素は、サブ能力15テストの開発から、特定のセキュリティ能力に対する共通の目的を持つテスト可能な統制の特定に至るまで、図1に示されている。 |
| 12 [SP800-53A] states that “detailed scripts may need to be developed for the specific operating system, network component, middleware, or application employed within the system to adequately assess certain characteristics of a particular security or privacy control. Such test scripts are at a lower level of detail than provided by the assessment procedures contained in SP 800-53A and are beyond the scope of SP 800-53A.” | 12 [SP800-53A] では、「特定のセキュリティまたはプライバシー管理の特性を適切に評価するために、システム内で使用される特定のオペレーティングシステム、ネットワークコンポーネント、ミドルウェア、またはアプリケーションについて、詳細なスクリプトを開発する必要がある場合がある。このようなテストスクリプトは、SP 800-53A に記載されているアセスメント手順で提供されるものよりも詳細度が低く、SP 800-53A の適用範囲を超える」と述べている。 |
| 13 Although these tests derive from SP 800-53A assessment procedures that have been designed to assess SP 800-53 controls, IR 8011 is primarily a continuous monitoring initiative. | 13 これらのテストは、SP 800-53 コントロールを評価するために設計された SP 800-53A アセスメント手順に由来するものであるが、IR 8011 は主に継続的なモニタリングのイニシアティブである。 |
| 14 Security capabilities are discussed in more detail in Sec. 2.3. | 14 セキュリティ能力については、セクション 2.3 でさらに詳しく説明する。 |
| 15 Sub-capabilities are discussed in more detail in Sec. 2.3. | 15 サブ能力については、セクション 2.3 でさらに詳しく説明する。 |
| Section 3 describes each element in Fig. 1 and their contributions toward meeting the methodology’s two main objectives: | 第3項では、図1の各要素と、方法論の2つの主要目的の達成に向けた貢献について説明する。 |
| 1. Sub-capability test development | 1. サブ能力テストの開発 |
| 2. Capability control identification | 2. 能力統制の特定 |
| These objectives are highlighted by the arrows in Fig. 2 and described in detail in Sec. 3.1 and Sec. 3.2. | これらの目的は図2の矢印で強調されており、セクション3.1およびセクション3.2で詳細に説明されている。 |
対象読者...
| 1.3. Target Audience | 1.3. 対象読者 |
| The primary target audience for this publication are the two groups involved with the potential implementation of an automated control testing solution in support of an organization’s continuous monitoring program: solution developers/providers and adopters. | この文書の主な対象読者は、組織の継続的モニタリングプログラムを支援する自動統制テストソリューションの導入を検討している2つのグループ、すなわちソリューション開発者/プロバイダと採用者である。 |
| Solution developers/providers | ソリューション開発者/プロバイダ |
| Solution developers or providers are the actual implementers of the IR 8011 methodology. | ソリューション開発者またはプロバイダは、IR 8011 方法論を実際に導入する立場にある。 |
| They take the IR 8011 blueprints and package test functionalities into a product or solution. Solution providers are system integrators and/or service providers that offer solutions based on the methodology provided in this overview volume to solution adopters, whether as a stand-alone solution or integrated into another product. The automated control testing strategy used by the organization may leverage commercial off-the-shelf, community-built, in-house developed products, or any combination of the three. An IR 8011 solution could be, for instance, an add-on feature to an existing security management application, such as a Governance, Risk, and Compliance (GRC) application. | IR 8011 の設計図を基に、テスト機能を製品またはソリューションにパッケージ化する。ソリューションプロバイダは、システムインテグレータおよび/またはサービスプロバイダであり、この概要で提供されている方法論に基づくソリューションを、ソリューション採用者に単独ソリューションとして、または他の製品に統合した形で提供する。組織が使用する自動制御テスト戦略は、市販の既製品、コミュニティで構築された製品、社内開発製品、またはこれら3つの組み合わせを活用することができる。IR 8011ソリューションは、例えば、ガバナンス、リスク、コンプライアンス(GRC)アプリケーションなどの既存のセキュリティ管理アプリケーションへの追加機能として実装することができる。 |
| Solution adopters | ソリューションの採用者 |
| Solution adopters are the users or consumers of the product or service solution. Adopters may also be the entity that commissions custom IR 8011 solutions, whether developed inhouse or externally contracted. Within the solution-adopting organization, there are additional roles that are identified for a specific security capability, such as operational and managerial roles for a capability (e.g., Device Manager [DM]; Desired State Managers and Authorizers [DSM]; Risk Executive, System Owner, and/or Authorizing Official [RiskExec]). These roles complement existing SP 800-37-defined risk management responsibilities and continuous monitoring operational responsibilities. The capability-specific roles are identified in each capability-specific volume. | ソリューションの採用者は、製品またはサービスソリューションのユーザーまたは消費者である。採用者は、カスタム IR 8011 ソリューションを委託する事業体である可能性もあり、そのソリューションは社内開発または外部委託のいずれかである。ソリューションを採用する組織内には、特定のセキュリティ機能ごとに識別される追加の役割があり、例えば、機能の運用および管理の役割(例えば、デバイス管理者(DM)、望ましい状態管理者および認可者(DSM)、リスクエグゼクティブ、システム所有者、および/または認可当局者(RiskExec)など)がある。これらの役割は、SP 800-37で定義された既存のリスクマネジメント責任および継続的な監視の運用責任を補完するものである。能力に特化した役割は、各能力に特化したボリュームで識別される。 |
| A potential third group may or may not be involved with the actual operationalization (implementation) of the IR 8011 methodology: cybersecurity researchers. | 潜在的な第3のグループは、IR 8011の方法論の実際の運用化(実装)に関与する場合も、関与しない場合もある。サイバーセキュリティ研究者。 |
| Cybersecurity researchers | サイバーセキュリティ研究者 |
| Cybersecurity researchers16 constitute a potential third audience group due to the existence of opportunities for further research related to the IR 8011 methodology. Cybersecurity research can contribute to the growth and expansion of the IR 8011 methodology with increased speed and accuracy in mind. For example, research into the use of machine learning and natural language processing to identify control items17 based on context or description could improve the control search process by not relying on the developer to elaborate keywords and the logic behind the keyword search rules. Reliance on an individual’s knowledge of a control or a control catalog may result in inaccurate or incomplete identification of controls and limit the full potential of the IR 8011 methodology. This third audience group is not necessarily defined to support NIST’s research on improving the IR 8011 methodology, although comments on the methodology are always welcomed. Cybersecurity researchers can be embedded within solution development or adoption teams and contribute problem-solving and innovations that pertain to the development or implementation of an IR 8011 solution. | サイバーセキュリティ研究者16は、IR 8011 方法論に関連するさらなる研究の機会が存在するため、潜在的な第3の対象グループとなる。サイバーセキュリティ研究は、より迅速かつ正確なことを念頭に、IR 8011 方法論の成長と拡大に貢献できる。例えば、文脈や記述に基づいて統制項目を識別する機械学習や自然言語処理の使用に関する研究は、開発者がキーワードやキーワード検索規則の背後にあるロジックを詳しく説明することに頼らずに、統制の検索プロセスを改善できる可能性がある。統制に関する個人の知識や統制カタログに頼ることは、統制の識別が不正確または不完全になる可能性があり、IR 8011 方法論の潜在能力を十分に発揮できない可能性がある。この第3の対象グループは、必ずしもNISTによるIR 8011手法の改善に関する研究を支援するために定義されたものではないが、手法に関するコメントは常に歓迎される。 サイバーセキュリティの研究者は、ソリューションの開発または導入チームに組み込まれ、IR 8011ソリューションの開発または実装に関連する問題解決やイノベーションに貢献することができる。 |
| 16 This refers to cybersecurity researchers outside of NIST. | 16 これは、NIST以外のサイバーセキュリティ研究者に関するものである。 |
| 17 The control item identification process is discussed in Sec. 3.1.4. | 17 管理項目の識別プロセスについては、セクション3.1.4で説明されている。 |
| All target audience groups are encouraged to collaborate and communicate requirements, requirement specifications, maintenance and support strategies, and other development and acquisition concerns to ensure adherence to any applicable organizational requirement for managing security and privacy risks. This may include determining how the solution developers or solution providers keep up with NIST updates to SP 800-53 controls and SP 800-53A assessment procedures and how the products or solutions are kept up to date. | セキュリティおよびプライバシーリスクの管理に関する組織の要件を確実に満たすため、すべての対象グループは、要件、要件仕様、保守およびサポート戦略、その他の開発および取得に関する懸念事項について、協力しコミュニケーションを図ることが推奨される。これには、ソリューション開発者またはソリューションプロバイダが、NISTによるSP 800-53管理およびSP 800-53Aアセスメント手順の更新にどのように対応しているか、また、製品またはソリューションがどのように最新の状態に保たれているかを判断することが含まれる。 |
| Individuals who are responsible for the design, development, and implementation of continuous monitoring and control assessment processes may also find interest in the IR 8011 series, including those in the following roles: | 継続的な監視および制御アセスメントプロセスの設計、開発、実装を担当する個人も、IR 8011シリーズに関心を持つ可能性がある。以下のような役割の個人も含まれる。 |
| • Solution development and integration (e.g., software developers, service providers) | • ソリューションの開発および統合(例:ソフトウェア開発者、サービスプロバイダ) |
| • System development and integration (e.g., program managers, system developers, system integrators, enterprise architects, security and privacy architects) | • システム開発および統合(例:プログラムマネージャー、システム開発者、システムインテグレーター、エンタープライズアーキテクト、セキュリティおよびプライバシーアーキテクト) |
| • System management (e.g., senior leaders, risk executives, authorizing officials, chief information officers, chief information security officers, chief privacy officers, system owners, security and privacy officers, data managers) | • システム管理(例:上級リーダー、リスク管理責任者、認可当局者、最高情報責任者、最高情報セキュリティ責任者、最高プライバシー責任者、システムオーナー、セキュリティおよびプライバシー担当責任者、データ管理者) |
| • Control assessment and monitoring (e.g., system evaluators, control assessors, control assessment teams, independent verification and validation assessors, auditors, testers, security operations center personnel) | • 統制の評価およびモニタリング(例:システム評価者、統制アセスメント担当者、統制アセスメントチーム、独立検証および妥当性確認アセスメント担当者、監査人、テスター、セキュリティ・オペレーション・センター職員) |
| • Security and privacy control implementation and operations (e.g., system owners; common control providers; information owners or stewards; mission and business process owners; security and privacy architects; security and privacy engineers; security and privacy officers; system, network, database, or application administrators) | • セキュリティおよびプライバシー管理の実施と運用(例:システム所有者、共通管理プロバイダ、情報所有者またはスチュワード、ミッションおよびビジネスプロセスの所有者、セキュリティおよびプライバシーアーキテクト、セキュリティおよびプライバシーエンジニア、セキュリティおよびプライバシーオフィサー、システム、ネットワーク、データベース、またはアプリケーションの管理者) |
| • Information technology modernization (e.g., chief modernization officers, chief transformation officers, continuous process improvement managers or specialists) | • 情報技術の近代化(例:最高近代化責任者、最高変革責任者、継続的プロセス改善マネージャーまたは専門家) |
ちなみに現在のバージョンは...
| IR | 8011 | Automation Support for Security Control Assessments | セキュリティ管理策アセスメントの自動化サポート | 発行日 |
| Vol. 1 | Volume 1: Overview | 第1巻:概要 | 2017.06.06 | |
| Vol. 2 | Volume 2: Hardware Asset Management | 第2巻:ハードウェア資産管理 | 2017.06.06 | |
| Vol. 3 | Software Asset Management | ソフトウェア資産管理 | 2018.12.06 | |
| Vol. 4 | Software Vulnerability Management | ソフトウェア脆弱性管理 | 2020.04.28 |
● まるちゃんの情報セキュリティ気まぐれ日記
IR 8011
・2023.12.11 NIST CSWP 30 コントロール・アセスメントの自動化支援プロジェクトの最新情報とビジョン
・2023.02.26 NIST 「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援:第1巻:概要」についての意見募集
« 米国 NIST IR 8532 サプライチェーン全体におけるデバイスおよびコンポーネントのセキュリティ強化に関するワークショップ (2025.02.18) | Main | 米国 NIST IR 8475 Web3パラダイムのセキュリティの観点 (2025.02.25) »
Comments