米国 NIST NIST SP 1308(初期公開ドラフト) NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティ、エンタープライズリスクマネジメント、要員マネジメント クイックスタートガイド (2025.03.12)
こんにちは、丸山満彦です。
NISTが NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティ、エンタープライズリスクマネジメント、要員マネジメント クイックスタートガイドのドラフトが公開され、意見募集がされています...
2023年3月に経産省から公表して、サイバーセキュリティ経営ガイドラインはVer3.0は、ERMとサイバーセキュリティの融合を意識しました。Cybersecurity Framework 2.0もERMとの連携を意識しています。加えて、Workforce Management(要員マネジメント)との融合を目指していますね...
● NIST - ITL
| NIST SP 1308 (Initial Public Draft) NIST Cybersecurity Framework 2.0: Cybersecurity, Enterprise Risk Management, and Workforce Management Quick Start Guide | NIST SP 1308(初期公開ドラフト) NIST サイバーセキュリティフレームワーク 2.0: サイバーセキュリティ、エンタープライズリスクマネジメント、要員マネジメント クイックスタートガイド |
| Announcement | 発表 |
| This document shows how the Workforce Framework for Cybersecurity (NICE Framework) and the Cybersecurity Framework (CSF) 2.0 can be used together to address cybersecurity risk. It is the newest of the CSF 2.0 Quick Start Guides (QSG) released since February 26, 2024; these resources provide different audiences with tailored pathways into the CSF 2.0, making it easier to implement. | この文書は、サイバーセキュリティのためのワークフォースフレームワーク(NICE フレームワーク)とサイバーセキュリティフレームワーク(CSF)2.0 をどのように併用してサイバーセキュリティリスクに対処できるかを示している。これは、2024 年 2 月 26 日以降にリリースされた CSF 2.0 クイックスタートガイド(QSG)の最新版である。これらのリソースは、CSF 2.0 の導入を容易にするために、様々な対象者に CSF 2.0 の導入方法を提供する。 |
| This QSG draws on three key NIST resources to enable users to align their cybersecurity, ERM, and workforce management practices in a streamlined process: | この QSG は、ユーザが合理的なプロセスでサイバーセキュリティ、ERM、および要員管理の実務を整 備できるように、NIST の 3 つの主要なリソースを活用している: |
| ・Cybersecurity Framework | ・サイバーセキュリティフレームワーク |
| ・NICE Framework | ・NICEフレームワーク |
| ・NIST IR 8286 series, Integrating Cybersecurity and Enterprise Risk Management (ERM) | ・NISTIR 8286 シリーズ、サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合 |
| The public comment period is open through Friday, April 25, 2025. | パブリックコメント募集期間は 2025 年 4 月 25 日(金)までである。 |
| Abstract | 概要 |
| This Quick Start Guide (QSG) shows how the NICE Workforce Framework for Cybersecurity and the Cybersecurity Framework (CSF) can be used together to facilitate communication across business units and improve organizational processes where cybersecurity, enterprise risk management (ERM), and workforce management intersect. | 本クイックスタートガイド(QSG)は、NICE のサイバーセキュリティのためのワークフォースフレームワークとサイバーセキュリティフレームワーク(CSF)を併用することで、事業部門間のコミュニケーションを促進し、サイバーセキュリティ、エンタープライズリスクマネジメント(ERM)、要員マネジメントが交差する組織プロセスを改善する方法を示す。 |
・[PDF] NIST.SP.1308.ipd
序文...
| INTRODUCTION | 序文 |
| Purpose of this Guide | 本ガイドの目的 |
| This Quick Start Guide (QSG) shows how the NICE Workforce Framework for Cybersecurity and the Cybersecurity Framework (CSF) can be used together to facilitate communication across business units and improve organizational processes where cybersecurity, enterprise risk management (ERM), and workforce management intersect. | 本クイックスタートガイド(QSG)は、NICEサイバーセキュリティのためのワークフォースフレームワークとサイバーセキュリティフレームワーク(CSF)を併用することで、事業部門間のコミュニケーションを促進し、サイバーセキュリティ、エンタープライズリスクマネジメント(ERM)、要員マネジメントが交差する組織プロセスを改善する方法を示す。 |
| Overview of Risk | リスクの概要 |
| Risk is the effect of uncertainty on business objectives. Cybersecurity risk is an important type of risk that all enterprises face, alongside others including financial, legal, reputational, and safety risks. Although cybersecurity risks frequently intersect with additional risk types — in the form of lost revenue or stakeholder trust, for example — some organizations do not conduct cybersecurity risk management with the same consistency and rigor that are applied to other types of risk. | リスクとは、事業目標に対する不確実性の影響である。サイバーセキュリティリスクは、財務リスク、法的リスク、評判リスク、安全リスクなど他のリスクと並んで、すべてのエンタープライズが直面する重要なリスクの一種である。サイバーセキュリティリスクは、例えば、収益の損失や利害関係者の信頼といった形で、他のリスクタイプと交差することが多いが、一部の組織では、他のリスクタイプに適用されるのと同じような一貫性と厳格さでサイバーセキュリティリスクマネジメントを行っていない。 |
| CSF Organizational Profiles | CSF 組織プロファイル |
| An Organizational Profile describes an organization’s current and/or target cybersecurity posture in terms of cybersecurity outcomes from the CSF Core. Organizational Profiles are used to understand, tailor, assess, and prioritize cybersecurity risk based on an organization’s mission objectives, stakeholder expectations, threat landscape, and requirements. The organization can then act strategically to achieve those outcomes. Organizational Profiles can also be used to assess progress toward targeted outcomes and to communicate pertinent information to stakeholders. This QSG assumes that an Organizational Profile has been completed already. | 組織プロファイルは、CSF コアのサイバーセキュリティの成果という観点から、組織の現 在のサイバーセキュリティ態勢および/または目標とするサイバーセキュリティ態勢を記述する。組織プロファイルは、組織のミッション目標、利害関係者の期待、脅威の状況、要件に基づいて、サイバーセキュリティリスクを理解し、調整し、アセスメントし、優先順位を付けるために使用される。そして、組織はこれらの成果を達成するために戦略的に行動することができる。組織プロファイルは、目標とする成果に対する進捗状況を評価し、利害関係者に適切な情報を伝達するためにも使用できる。この QSG では、組織プロファイルがすでに完成していることを前提としている。 |
| Integrating Cybersecurity, ERM, and Workforce Management | サイバーセキュリティ、ERM、および要員マネジメントの統合 |
| Once current and/or target cybersecurity posture in terms of CSF cybersecurity outcomes is documented, you can then use the NICE Framework to dentify the people and skills needed to implement the outcomes. People, processes, and technology combine to achieve acceptable levels of enterprise and cybersecurity risk. The NICE Framework focuses on people, providing a common language for describing cybersecurity work, including the Work Roles an organization’s cybersecurity staff must perform. | CSF のサイバーセキュリティ成果の観点から、現在および/または目標とするサイバーセキュリティ態勢が文書化されたら、次に NICE フレームワークを使用して、成果を実施するために必要な人材とスキルを明確にすることができる。エンタープライズリスクとサイバーセキュリティリスクの許容レベルを達成するためには、人材、プロセス、テクノロジを組み合わせる必要がある。NICE フレームワークは「人」に焦点を当て、組織のサイバーセキュリティ担当者が果たすべきワーク・ロールを含め、サイバーセキュリティ業務を記述するための共通言語を提供する。 |
クイックスタートのウェブページ...
利用可能なガイド:
| Available Guides: | Language | |
| CSF 2.0 Overview | En | Ja |
| Organizational Profiles | En | Ja |
| Community Profiles | En | |
| Small Business | En | Ja |
| Cybersecurity SCRM | En | Ja |
| Tiers | En | Ja |
| Enterprise Risk Management | En | Ja |
| Cybersecurity, ERM and Workforce Management | En | |
● まるちゃんの情報セキュリティ気まぐれ日記
CSF 2.0
・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0
IR8286
・2025.03.10 米国 NIST IR 8286 Rev. 1(初期公開草案) サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合他 (2025.02.26)
・2024.03.10 米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング
・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用
・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
SP800-221関係...
経営ガイドライン Veer3.0
・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)
・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0
・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見
« オーストラリア ACSC DoS攻撃への準備と対応 (2025.03.17) | Main | 米国 NIST IR 8523(初期公開ドラフト) 刑事司法情報システムのための多要素認証: 刑事司法情報を保護するための実装上の考慮事項 (2025.03.13) »
Comments