米国 NIST IR 8286 Rev. 1(初期公開草案) サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合他 (2025.02.26)
こんにちは、丸山満彦です。
NISTのIR 8286といえば、サイバーセキュリティとERMを統合させる文書として有名ですが...
以下のように確定版と改訂ドラフトが公表されています...
CSF2.0への改訂に合わせて行われたものですね...
| Draft | IR | 8286 Rev.1 | Integrating Cybersecurity and Enterprise Risk Management (ERM) | サイバーセキュリティとエンタープライズ・リスクマネジメント(ERM)の統合 |
| Draft | IR | 8286A Rev.1 | Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの識別と評価 |
| Final | IR | 8286B | Prioritizing Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの優先順位付け |
| Draft | IR | 8286C Rev.1 | Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | エンタープライズ・リスクマネジメントとガバナンスの監督のためのサイバーセキュリティリスクの段階的評価 |
| Final | IR | 8286D | Using Business Impact Analysis to Inform Risk Prioritization and Response | ビジネスインパクト分析によるリスクの優先順位付けと対応策の策定 |
関係...
経済産業省のサイバーセキュリティ経営ガイドライン Ver.3.0もこれを意識して策定されていますね...
⚫︎ NIST - ITL
まずは、本編のドラフト...
・2025.02.26 NIST IR 8286 Rev. 1 (Initial Public Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
・[PDF] NIST.IR.8286r1.ipd
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Document Structure | 1.2. 文書構成 |
| 2. Gaps in Managing Cybersecurity Risk as an ERM Input | 2. ERM インプットとしてのサイバーセキュリティリスク管理におけるギャップ |
| 2.1. Overview of ERM | 2.1. ERM の概要 |
| 2.1.1. Common Use of ERM | 2.1.1. ERM の一般的な利用 |
| 2.1.2. ERM Framework Steps | 2.1.2. ERM の枠組みのステップ |
| 2.2. The Gap Between CSRM Output and ERM Input | 2.2. CSRM アウトプットと ERM インプットのギャップ |
| 3. Cybersecurity Risk Considerations Throughout the ERM Process | 3. ERM プロセス全体におけるサイバーセキュリティリスクの考慮事項 |
| 3.1. Identify the Context | 3.1. 状況の識別 |
| 3.1.1. Notional Risk Management Roles | 3.1.1. 概念上のリスクマネジメントの役割 |
| 3.1.2. Risk Management Strategy | 3.1.2. リスクマネジメント戦略 |
| 3.2. Identify the Risks | 3.2. リスクの識別 |
| 3.2.1. Inventory and Valuation of Assets | 3.2.1. 資産の目録作成と評価 |
| 3.2.2. Determination of Potential Threats | 3.2.2. 潜在的な脅威の特定 |
| 3.2.3. Determination of Exploitable and Susceptible Conditions | 3.2.3. 悪用可能な状況および脆弱な状況の特定 |
| 3.2.4. Evaluation of Potential Consequences | 3.2.4. 潜在的な結果の評価 |
| 3.3. Analyze the Risks | 3.3. リスクの分析 |
| 3.3.1. Risk Analysis Types | 3.3.1. リスク分析の種類 |
| 3.3.2. Techniques for Estimating Likelihood and Impact of Consequences | 3.3.2. 結果の発生可能性と影響度を推定する手法 |
| 3.4. Prioritize Risks | 3.4. リスクの優先順位付け |
| 3.5. Plan and Execute Risk Response Strategies | 3.5. リスク対応戦略の計画と実行 |
| 3.5.1. Applying Security Controls to Reduce Risk Exposure | 3.5.1. リスクエクスポージャーを低減するためのセキュリティ管理策の適用 |
| 3.5.2. Responding to Residual Risk | 3.5.2. 残留リスクへの対応 |
| 3.5.3. When a Risk Event Passes Without Triggering the Event | 3.5.3. リスク事象が発生したが、事象がトリガーされることなく経過したずに過場合 |
| 3.6. Monitor, Evaluate, and Adjust | 3.6. 監視、評価、および調整 |
| 3.6.1. Continuous Risk Monitoring | 3.6.1. 継続的なリスク監視 |
| 3.6.2. Key Risk Indicators and Key Performance Indicators | 3.6.2. 主なリスク指標および主な業績評価指標 |
| 3.6.3. Continuous Improvement | 3.6.3. 継続的な改善 |
| 3.7. Considerations of Positive Risks as an Input to ERM | 3.7. ERMへのインプットとしてのポジティブリスクの考慮 |
| 3.8. Creating and Maintaining an Enterprise-Level Cybersecurity Risk Register | 3.8. エンタープライズレベルのサイバーセキュリティリスクレジスターの作成と維持 |
| 3.9. Cybersecurity Risk Data Conditioned for Enterprise Risk Roll-Up | 3.9. エンタープライズ・リスクの集約に適したサイバーセキュリティリスクデータ |
| 4. Cybersecurity Risk Management as Part of a Portfolio View | 4. ポートフォリオの視点の一部としてのサイバーセキュリティ・リスクマネジメント |
| 4.1. Applying the Enterprise Risk Register and Developing the Enterprise Risk Profile | 4.1. エンタープライズ・リスクレジスターの適用とエンタープライズ・リスクプロファイルの策定 |
| 4.2. Translating the Risk Profile to Inform Leadership Decisions | 4.2. リスクプロファイルを経営陣の意思決定に反映させる |
| 4.3. Information and Decision Flows in Support of ERM | 4.3. ERMをサポートする情報と意思決定の流れ |
| 4.4. Conclusion | 4.4. 結論 |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書 A. 記号、略語、および頭字語の一覧 |
| Appendix B. Glossary | 附属書 B. 用語集 |
| Appendix C. Federal Government Sources for Identifying Risks | 附属書 C. リスクを識別するための連邦政府の情報源 |
| Appendix D. Notional Enterprise Risk Register | 附属書 D. 想定エンタープライズ・リスクレジスター |
| Appendix E. Change Log | 附属書 E. 変更履歴 |
| List of Tables | 表の一覧 |
| Table 1. Descriptions of notional cybersecurity risk register template elements | 表1. 想定サイバーセキュリティリスクレジスターテンプレートの要素の説明 |
| Table 2. Response types for negative cybersecurity risks | 表2. ネガティブなサイバーセキュリティリスクに対する対応の種類 |
| Table 3. Examples of proactive risk management activities | 表3. 積極的なリスクマネジメント活動の例 |
| Table 4. Response types for positive cybersecurity risks | 表4. ポジティブなサイバーセキュリティリスクへの対応の種類 |
| Table 5. Excerpt from a notional enterprise risk register | 表5. 想定エンタープライズ・リスクレジストリからの抜粋 |
| Table 6. Descriptions of the notional enterprise risk register elements | 表6. 想定エンタープライズ・リスクレジストリ要素の説明 |
| Table 7. Illustrative example of a risk profile (derived from [3]) | 表7. リスクプロファイルの例示 [3] |
| Table 8. Notional enterprise risk portfolio view for a private corporation | 表8. 非公開企業の想定エンタープライズ・リスクポートフォリオビュー |
| Table 9. Notional enterprise risk register | 表9. 想定エンタープライズ・リスクレジストリ |
| List of Figures | 図の一覧 |
| Fig. 1. Enterprise hierarchy for cybersecurity risk management | 図1. サイバーセキュリティ・リスクマネジメントのためのエンタープライズ階層 |
| Fig. 2. Notional risk management life cycle | 図2. 想定リスクマネジメントライフサイクル |
| Fig. 3. Risk register information flow among system, organization, and enterprise levels | 図3. システム、組織、エンタープライズレベル間のリスクレジスター情報フロー |
| Fig. 4. Notional cybersecurity risk register template | 図4. 想定サイバーセキュリティ・リスクレジスター・テンプレート |
| Fig. 5. Likelihood and impact matrix derived [15] | 図5. 発生可能性と影響度マトリックス[15] |
| Fig. 6. Example of a quantitative risk matrix | 図6. 定量的リスクマトリックスの例 |
| Fig. 7. Excerpt from a notional cybersecurity risk register | 図7. 想定サイバーセキュリティ・リスクレジスターからの抜粋 |
| Fig. 8. Integration of CRRs into enterprise risk profile | 図8. エンタープライズ・リスクプロファイルへのCRRの統合 |
| Fig. 9. Notional information and decision flows diagram from the CSF | 図9. CSF からの想定情報および意思決定フロー図 |
| Fig. 10. Notional information and decision flows diagram with numbered steps | 図10. 番号付きステップによる想定情報および意思決定フロー図 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [1]. The effect of uncertainty on enterprise mission and business objectives may then be considered an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level is known as enterprise risk management (ERM) and calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio rather than addressing risks only within silos” [1]. | 連邦政府機関にとって、行政管理予算局(OMB)の通達A-11ではリスクを「目的に対する不確実性の影響」と定義している[1]。 企業ミッションや事業目的に対する不確実性の影響は、「エンタープライズ・リスク」とみなされ、同様に管理される必要がある。 エンタープライズとは、独自のリスクマネジメント責任を担う階層構造の最上位に位置する組織である。そのレベルでのリスクマネジメントはエンタープライズ・リスクマネジメント(ERM)と呼ばれ、企業が直面する主要なリスクを理解し、それらのリスクに最適に対処する方法を決定し、必要な措置が確実に講じられるようにすることが求められる。連邦政府では、ERMは「組織の重要なリスクの全領域に対処するための効果的な機関全体のアプローチであり、リスクをサイロの中でのみ対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解する」ものとされている[1]。 |
| Cybersecurity risk is an important type of risk for any enterprise. Other risks include but are not limited to financial, legal, legislative, operational, privacy, reputational, safety, strategic, and supply chain risks [2]. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks, including cybersecurity risk. The individual organizations that comprise every enterprise are experiencing an increase in the frequency, creativity, and severity of cybersecurity attacks. All organizations and enterprises, regardless of size or type, should ensure that cybersecurity risks receive appropriate attention as they carry out their ERM functions. Since enterprises are at various degrees of maturity regarding the implementation of risk management, this document offers NIST’s cybersecurity risk management (CSRM) expertise to help organizations improve the cybersecurity risk information they provide as inputs to their enterprise’s ERM programs. | サイバーセキュリティリスクは、あらゆるエンタープライズにとって重要なリスクのひとつである。その他のリスクには、財務、法律、規制、業務、プライバシー、評判、安全、戦略、サプライチェーンリスクなどがあるが、これらに限定されるものではない。ERMプログラムの一環として、シニアリーダー(企業役員、政府高官など)は、他の組織のステークホルダーにはない受託者責任や報告義務を負うことが多いため、サイバーセキュリティリスクを含む複合的なリスクを総合的に管理する独自の責任を負っている。あらゆる企業を構成する個々の組織は、サイバーセキュリティ攻撃の頻度、巧妙さ、深刻さが増していることを経験している。規模や業種に関わらず、すべての組織や企業は、ERM機能を実行する際に、サイバーセキュリティリスクが適切に考慮されるようにすべきである。企業はリスクマネジメントの導入に関してさまざまな成熟度にあるため、本書では、NISTのサイバーセキュリティ・リスクマネジメント(CSRM)の専門知識を提供し、組織がエンタープライズERMプログラムへのインプットとして提供するサイバーセキュリティリスク情報の改善に役立ててもらう。 |
| Many resources document ERM frameworks and processes, such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), Office of Management and Budget (OMB) circulars, and the International Organization for Standardization (ISO). They generally include similar approaches: identify context, identify risks, analyze risks, estimate risk importance, determine and execute risk response, and identify and respond to changes over time. A critical risk document used to track and communicate risk information for all of these steps throughout the enterprise is called a risk register [1].[1] The risk register provides a formal communication vehicle for sharing and coordinating cybersecurity risk activities as an input to ERM decision-makers. For example, cybersecurity risk registers are key aspects of managing and communicating about those particular risks.[2] | ERMの枠組みやプロセスを文書化したリソースは数多くあり、その中には、委員会組織委員会(COSO)の有名な枠組み、行政管理予算局(OMB)の通達、国際標準化機構(ISO)などがある。これらは一般的に、状況の識別、リスクの識別、リスクの分析、リスクの重要度の推定、リスク対応の決定と実行、そして時間の経過に伴う変化の識別と対応といった、同様のアプローチを含んでいる。これらのステップすべてについて、エンタープライズ全体でリスク情報を追跡し、コミュニケーションを行うために使用される重要なリスク文書は、リスクレジスターと呼ばれる。[1] リスクレジスターは、ERMの意思決定者へのインプットとして、サイバーセキュリティリスク活動を共有し、調整するための正式なコミュニケーション手段を提供する。例えば、サイバーセキュリティリスクレジスターは、それらの特定のリスクを管理し、コミュニケーションを行う上での重要な要素である。[2] |
| At higher levels in the enterprise structure, those cybersecurity and other risk registers are aggregated, normalized, and prioritized into risk profiles. A risk profile is defined by OMB Circular A-123 as “a prioritized inventory of the most significant risks identified and assessed through the risk assessment process versus a complete inventory of risks” [3]. While it is critical that enterprises address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states in Circular A-123 that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats).” Enterprise-level decision-makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM programs should define terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise. | エンタープライズ構造の上位レベルでは、それらのサイバーセキュリティおよびその他のリスクレジスターは集約され、標準化され、リスクプロファイルとして優先順位付けされる。リスクプロファイルは、OMB通達A-123により、「リスクアセスメントプロセスを通じて識別およびアセスメントされた最も重大なリスクの優先順位付きインベントリであり、リスクの完全なインベントリではない」と定義されている[3]。企業がミッションや事業目標に対する潜在的な悪影響に対処することは極めて重要であるが、企業が成功を計画することも同様に重要である(連邦政府機関には必須である)。OMBは通達A-123において、「(エンタープライズ・リスク)プロファイルは、ポジティブな(機会)側面とネガティブな(脅威)側面の両方における不確実性の原因を識別しなければならない」と述べている。 エンタープライズレベルの意思決定者は、リスクプロファイルを使用して、どのエンタープライズ・リスクに対処するかを決定し、リソースを割り当て、適切なリスクオーナーに責任を委任する。 ERMプログラムは、エンタープライズのより下位レベルからのリスクインプットに関する用語、フォーマット、規準、その他のガイダンスを定義すべきである。 |
| Cybersecurity risk inputs to ERM programs should be documented and tracked in written cybersecurity risk registers[3] that comply with the ERM program guidance. However, many enterprises do not communicate their cybersecurity risk guidance or risk responses in consistent, repeatable ways. Methods such as quantifying cybersecurity risk in dollars and aggregating cybersecurity risks are often ad hoc and are sometimes not performed with the same rigor as methods for quantifying other types of risk within the enterprise. | ERMプログラムへのサイバーセキュリティリスクのインプットは、ERMプログラムのガイダンスに準拠した書面によるサイバーセキュリティリスクレジスター[3]に記録し、追跡すべきである。しかし、多くの企業はサイバーセキュリティリスクのガイダンスやリスク対応について、一貫性のある再現可能な方法でコミュニケーションを行っていない。サイバーセキュリティリスクを金額で定量化したり、サイバーセキュリティリスクを集約したりする方法は、多くの場合、その場限りの対応であり、企業内の他のタイプのリスクを定量化する方法ほど厳密に実施されていないこともある。 |
| In addition to widely using cybersecurity risk registers, improving the risk measurement and analysis methods used in CSRM will boost the quality of the risk information provided to ERM. In turn, this practice promotes better management of cybersecurity at the enterprise level and correlates directly with the enterprise’s objectives. | サイバーセキュリティリスクレジストリを広く使用することに加え、CSRMで使用されるリスク測定および分析方法を改善することで、ERMに提供されるリスク情報の質が向上する。その結果、この手法はエンタープライズレベルでのサイバーセキュリティのより良い管理を促進し、企業の目標と直接相関する。 |
| CSRM and ERM are concurrent cycles with many points of commonality and integration. NIST framework documents, specifically the Cybersecurity Framework (CSF) 2.0 and Special Publication (SP) 800-221A, provide methods for performing CSRM and integrating the results. The concepts detailed in this IR 8286 series are directly incorporated into both the CSF 2.0 (CSRM) and SP 800-221A (integrating with ERM) frameworks. Improving the measurement and communications methods used (e.g., using cybersecurity risk registers) can improve the quality of risk information, promote enterprise-wide CSRM, and support enterprise-level decision making in language that is already understood by senior executives. Improved communications will also help executives and corporate officers understand the challenges that cybersecurity professionals face when providing the information that they are accustomed to receiving for other types of risk. | CSRMおよびERMを改善することは、多くの共通点と統合点を持つ同時進行のサイクルである。NIST枠組み文書、特にサイバーセキュリティ枠組み(CSF)2.0および特別刊行物(SP)800-221Aは、CSRMの実行と結果の統合のための方法を提供している。IR 8286シリーズで詳細に説明されている概念は、CSF 2.0(CSRM)およびSP 800-221A(ERMとの統合)の両方の枠組みに直接組み込まれている。使用する測定およびコミュニケーションの方法(例えば、サイバーセキュリティリスクレジストリの使用)を改善することで、リスク情報の質が向上し、全社的なCSRMが促進され、経営幹部がすでに理解している言語で企業レベルの意思決定をサポートすることができる。また、コミュニケーションの改善は、経営陣や企業役員が、サイバーセキュリティの専門家が他の種類のリスクについて受け取ることになれている情報と同じものを入手する際に直面する課題を理解する上でも役立つ。 |
| [1] OMB Circular A-11 defines a risk register as “a repository of risk information including the data understood about risks over time” [1]. | [1] OMB通達A-11では、リスクレジストリを「リスクに関する経時的な理解データを含むリスク情報の保管場所」と定義している。[1] |
| [2] Organizations creating a risk management program for the first time should not wait until the risk register is completed before addressing obvious issues. However, over time, it should become the ordinary means of communicating risk information. | [2] 初めてリスクマネジメントプログラムを作成する組織は、明らかな問題に対処する前にリスクレジストリが完成するのを待つべきではない。しかし、時が経つにつれ、リスク情報を伝達する通常の手段となるべきである。 |
| [3] Formats include risk register data displayed on dashboards, GRC tools, and file formats for communicating risk register data, such as the spreadsheet (CSV) and JSON formats. | [3] フォーマットには、ダッシュボードに表示されるリスクレジストリデータ、GRCツール、リスクレジストリデータを伝達するためのファイルフォーマット(スプレッドシート(CSV)やJSONフォーマットなど)がある。 |
リスクマネジメントの全体像...
システム、組織、エンタープライズの各レベルにおけるリスクレジストリの情報フロー
| NIST IR 8286A Rev. 1 (Initial Public Draft) Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | NIST IR 8286A Rev. 1(初期公開草案) エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの識別と評価 |
| Abstract | 概要 |
| This document supplements NIST Interagency Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information to illustrate risk tolerance, risk appetite, and methods for determining risks in that context. To support the development of an Enterprise Risk Register, this report describes documentation of various scenarios based on the potential impact of threats and vulnerabilities on enterprise assets. Documenting the likelihood and impact of various threat events through cybersecurity risk registers integrated into an enterprise risk profile helps to later prioritize and communicate enterprise cybersecurity risk response and monitoring. This document has been updated to reflect changes in other NIST documentation (IR 8286 series, SP 800-221/221A, and Cybersecurity Framework 2.0). | 本書は、NIST内部報告書8286「サイバーセキュリティとエンタープライズ・リスクマネジメント(ERM)の統合」を補足するものであり、リスクに関する指針、識別、分析に関する詳細情報を提供する。本報告書では、リスク許容度、リスク選好度、およびその文脈におけるリスクの決定方法を示すための例や情報を提供する。エンタープライズ・リスクレジストリの開発を支援するために、本報告書では、企業資産に対する脅威や脆弱性の潜在的な影響に基づくさまざまなシナリオの文書化について説明する。サイバーセキュリティリスクレジストリをエンタープライズ・リスクプロファイルに統合することで、さまざまな脅威事象の可能性と影響を文書化し、その後のエンタープライズサイバーセキュリティリスク対応とモニタリングの優先順位付けとコミュニケーションに役立てることができる。この文書は、他のNIST文書(IR 8286シリーズ、SP 800-221/221A、およびサイバーセキュリティフレームワーク2.0)の変更を反映して更新されている。 |
・[PDF] NIST.IR.8286Ar1.ipd
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Supporting CSRM as an Integrated Component of ERM | 1.1. ERMの統合要素としてのCSRMのサポート |
| 1.2. Purpose and Scope | 1.2. 目的と範囲 |
| 1.3. Document Structure | 1.3. 文書構成 |
| 2. Cybersecurity Risk Considerations Throughout the ERM Process | 2. ERMプロセス全体におけるサイバーセキュリティリスクの考慮事項 |
| 2.1. Risk Scope, Context, and Criteria | 2.1. リスクの範囲、コンテクスト、規準 |
| 2.1.1. Risk Appetite and Risk Tolerance | 2.1.1. リスク選好度とリスク許容度 |
| 2.1.2. Enterprise Strategy for Cybersecurity Risk Coordination | 2.1.2. サイバーセキュリティリスク調整のためのエンタープライズ戦略 |
| 2.1.3. Detailed Risk Integration Strategy | 2.1.3. 詳細なリスク統合戦略 |
| 2.1.4. Enterprise Strategy for Cybersecurity Risk Reporting | 2.1.4. サイバーセキュリティリスク報告のためのエンタープライズ戦略 |
| 2.2. Risk Identification | 2.2. リスクの識別 |
| 2.2.1. Inventory and Valuation of Assets | 2.2.1. 資産の目録作成と評価 |
| 2.2.1.1. Business Impact Analysis | 2.2.1.1. 事業への影響分析 |
| 2.2.1.2. Determination of High-Value Assets | 2.2.1.2. 高価値資産の決定 |
| 2.2.1.3. Automation Support for Inventory Accuracy | 2.2.1.3. 目録の正確性を確保するための自動化サポート |
| 2.2.2. Determination of Potential Threats | 2.2.2. 潜在的な脅威の特定 |
| 2.2.2.1. Threat Enumeration | 2.2.2.1. 脅威の列挙 |
| 2.2.2.2. Reducing Unwanted Bias in Threat Considerations | 2.2.2.2. 脅威の考慮における不要なバイアスの低減 |
| 2.2.2.3. Threat Enumeration Through SWOT Analysis | 2.2.2.3. SWOT分析による脅威の列挙 |
| 2.2.2.4. Use of Gap Analysis to Identify Threats | 2.2.2.4. ギャップ分析による脅威の識別 |
| 2.2.2.5. Technical Threat Enumeration | 2.2.2.5. 技術的な脅威の列挙 |
| 2.2.3. Vulnerability Identification | 2.2.3. 脆弱性の識別 |
| 2.2.3.1. Determination of Vulnerabilities and Predisposing Conditions | 2.2.3.1. 脆弱性および素因状態の特定 |
| 2.2.3.2. System Complexity as a Vulnerability | 2.2.3.2. 脆弱性としてのシステムの複雑性 |
| 2.2.3.3. Vulnerability Identification Automation | 2.2.3.3. 脆弱性の自動識別 |
| 2.2.4. Determining Potential Impact | 2.2.4. 潜在的な影響の特定 |
| 2.2.5. Recording Identified Risks | 2.2.5. 識別されたリスクの記録 |
| 2.2.6. Risk Categorization | 2.2.6. リスクの分類 |
| 2.3. Detailed Risk Analysis | 2.3. 詳細なリスク分析 |
| 2.3.1. Selecting Risk Analysis Methodologies | 2.3.1. リスク分析方法の選択 |
| 2.3.2. Techniques for Estimating Likelihood and Impact | 2.3.2. 発生可能性と影響度の推定手法 |
| 2.3.2.1. Improving Estimation Based on Knowledge of Prior Events | 2.3.2.1. 過去の事象に関する知識に基づく推定の改善 |
| 2.3.2.2. Three-Point Estimation | 2.3.2.2. 三点推定 |
| 2.3.2.3. Event Tree Analysis | 2.3.2.3. イベントツリー分析 |
| 2.3.2.4. Monte Carlo Simulation | 2.3.2.4. モンテカルロ・シミュレーション |
| 2.3.2.5. Bayesian Analysis | 2.3.2.5. ベイズ分析 |
| 2.4. Determination and Documentation of Risk Exposure | 2.4. リスクエクスポージャーの決定と文書化 |
| 3. Conclusion | 3. 結論 |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms Appendix B. Notional Example of a Risk Detail Record (RDR) | 附属書 A. 記号、略語、および頭字語の一覧 附属書 B. リスク詳細レコード(RDR)の想定例 |
| Appendix C. Change Log | 附属書 C. 変更履歴 |
| List of Tables | 表一覧 |
| Table 1. Notional examples of risk appetite and risk tolerance | 表1. リスク選好度とリスク許容度の想定例 |
| Table 2. Inputs and outputs for ERM governance and integrated CSRM | 表2. ERM ガバナンスと統合 CSRM の入力と出力 |
| Table 3. Example threat modeling analysis | 表3. 脅威モデリング分析の例 |
| Table 4. Example bias issues to avoid in risk management | 表4. リスクマネジメントで回避すべきバイアス問題の例 |
| Table 5. Example SWOT analysis | 表5. SWOT分析の例 |
| Table 6. Cybersecurity Framework current state profiles help consider threats | 表6. サイバーセキュリティ枠組みの現状プロファイルは脅威の検討に役立つ |
| Table 7. Example sources of threat information | 表7. 脅威情報の情報源の例 |
| Table 8. Example negative and positive impact scenarios | 表8. ネガティブおよびポジティブな影響シナリオの例 |
| Table 9. Example risk tolerance results assessment | 表9. リスク許容度の結果アセスメントの例 |
| Table 10. Notional risk detail record | 表10. 想定リスク詳細レコード |
| List of Figures | 図の一覧 |
| Fig. 1. IR 8286 series publications describe detailed CSRM/ERM integration | 図1. IR 8286シリーズの出版物は、詳細なCSRM/ERM統合について説明している |
| Fig. 2. IR 8286A activities as part of CSRM/ERM integration | 図2. IR 8286Aの活動は、CSRM/ERM統合の一部である |
| Fig. 3. Integration of various risk management activities into the enterprise risk register and risk profile | 図3. エンタープライズ・リスクレジスタおよびリスクプロファイルへの各種リスクマネジメント活動の統合 |
| Fig. 4. Notional cybersecurity risk register template | 図4. 想定されるサイバーセキュリティリスクレジスタのテンプレート |
| Fig. 5. Illustration of enterprise risk and coordination | 図5. エンタープライズ・リスクと調整の説明 |
| Fig. 6. Continuous interaction between ERM and CSRM using the risk register | 図6:リスクレジストリを使用したERMとCSRMの継続的な相互作用 |
| Fig. 7. CSRR highlighting risk description column | 図7:リスク説明欄を強調したCSRR |
| Fig. 8. Inputs to risk scenario identification | 図8:リスクシナリオの特定への入力 |
| Fig. 9. Threats as an input to risk scenario identification (Part B) | 図9:リスクシナリオの特定への入力としての脅威(パートB) |
| Fig. 10. Vulnerability inputs to risk scenario identification (Part C) | 図10:リスクシナリオの特定への入力としての脆弱性(パートC) |
| Fig. 11. Adverse impact inclusion in risk scenario identification (Part D) | 図11:リスクシナリオの特定への悪影響の包含(パートD) |
| Fig. 12. Example risk register with sample risk descriptions | 図12:リスク記述のサンプルを含むリスクレジストリの例 |
| Fig. 13. CSRR highlighting risk category and current assessment columns | 図13:リスクカテゴリーと現在のアセスメント欄を強調したCSRR |
| Fig. 14. Example three-point estimate graph (triangle distribution) | 図14:3点推定グラフの例(三角分布 |
| Fig. 15. Example three-point estimate graph (normal distribution) | 図15:3点推定グラフの例(正規分布 |
| Fig. 16. Example event tree analysis | 図16:イベントツリー分析の例 |
| Fig. 17. Illustration of a histogram from a Monte Carlo estimation simulation | 図17:モンテカルロ推定シミュレーションによるヒストグラムの例 |
| Fig. 18. Example quantitative analysis results | 図18. 定量的分析結果の例 |
| Fig. 19. Example qualitative analysis results | 図19. 定性的分析結果の例 |
| Fig. 20. Use of a cybersecurity risk register improves risk communications | 図20. サイバーセキュリティリスクレジストリの利用によるリスクコミュニケーションの改善 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| All organizations face a broad array of risks, including cybersecurity risk. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives.” An organization’s mission and business objectives can be impacted by such effects and must be managed at various levels within the organization. | あらゆる組織は、サイバーセキュリティリスクを含むさまざまなリスクに直面している。連邦政府機関の場合、行政管理予算局(OMB)の通達A-11では、リスクを「目的に対する不確実性の影響」と定義している。組織のミッションや事業目標は、このような影響を受ける可能性があり、組織内のさまざまなレベルで管理する必要がある。 |
| This report highlights aspects of cybersecurity risk management (CSRM) inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; however, without an understanding of organizational structure, effective risk management is impossible. For the purposes of this document, an organization is defined as an entity of any size, complexity, or position within a larger organizational structure. The enterprise exists at the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems. This report describes CSRM activities at each level. | 本レポートでは、企業、組織、システムに内在するサイバーセキュリティ・リスクマネジメント(CSRM)の側面を強調する。組織とエンタープライズという用語は、しばしば互換的に使用されるが、組織構造を理解しなければ、効果的なリスクマネジメントは不可能である。本書では、組織を、より大きな組織構造内のあらゆる規模、複雑性、または位置付けの事業体と定義する。エンタープライズは、シニアリーダーが独自のリスクガバナンス責任を負う階層の最上位に存在する。企業や政府機関などの各エンタープライズは、システムによってサポートされる組織によって構成される。本報告書では、各レベルにおけるCSRMの活動を説明する。 |
| Note that there may be iterative levels within the enterprise and that positions may be relative. For example, a given enterprise (e.g., a bureau or corporate division) may represent an organization to the overarching agency or corporation. | エンタープライズ内に反復的なレベルが存在する場合や、役職が相対的な場合があることに留意されたい。例えば、特定のエンタープライズ(局や企業ディビジョンなど)が、包括的な機関や企業に対する組織の代表者となる場合がある。 |
| Enterprise risk management (ERM) calls for understanding the core (i.e., significant) risks that an organization faces, and this document provides supplemental guidance for aligning cyber security risks within an organization’s overall ERM program. Lessons learned from historical cybersecurity incidents demonstrate the importance of collaboration among CSRM and ERM. This document helps enterprises to apply, improve, and monitor the quality of that cooperation and communication. | エンタープライズ・リスクマネジメント(ERM)では、組織が直面する主要な(すなわち、重要な)リスクを理解することが求められる。本書では、組織の全体的なERMプログラム内でサイバーセキュリティリスクを調整するための補足的なガイダンスを提供する。過去のサイバーセキュリティインシデントから得られた教訓は、CSRMとERM間の連携の重要性を示している。本書は、企業が連携とコミュニケーションの質を適用、改善、監視するのに役立つ。 |
| This NIST Interagency Report (IR) is part of a series of publications supporting IR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) [1]. Each publication in the series, illustrated in Fig. 1, provides additional detail and guidance to supplement topics in that document: | このNIST機関間報告書(IR)は、IR 8286『サイバーセキュリティとエンタープライズ・リスクマネジメント(ERM)の統合』[1]をサポートする一連の出版物の一部である。図1に示されているように、このシリーズの各出版物は、その文書のトピックを補足する追加の詳細とガイダンスを提供している。 |
| • IR 8286A (this report) provides additional detail regarding risk context, scenario identification, and analysis of likelihood and impact. It also includes methods to convey risk information, such as through cybersecurity risk registers (CSRRs) and risk detail records (RDRs). Similar processes, and the general use of risk registers, are helpful to identify and manage other types of risk, including those for Cyber Supply Chain and Privacy. | • IR 8286A(本書)では、リスクの背景、シナリオの識別、可能性と影響の分析に関する詳細が提供されている。また、サイバーセキュリティリスクレジストリ(CSRR)やリスク詳細レコード(RDR)などを通じたリスク情報の伝達方法も記載されている。同様のプロセスやリスクレジストリの一般的な使用は、サイバーサプライチェーンやプライバシーに関するリスクなど、他のタイプのリスクの識別や管理にも役立つ。 |
| • IR 8286B [2] describes ways to apply risk analysis to prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy. | • IR 8286B [2] では、企業 CSRM 戦略の一環として、リスク分析を適用してサイバーセキュリティリスクの優先順位付けを行い、適切なリスク対応を評価・選択し、リスク活動のコミュニケーションを行う方法を説明している。 |
| • IR 8286C [3] describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor achievement of risk objectives, consider any changes to risk strategy, and use the combined information to maintain awareness of risk factors and positive risks (or opportunities). | • IR 8286C [3] では、企業全体における CSRM 活動からの情報を集約するプロセスを説明している。その情報が統合され、調整されると、組織およびエンタープライズのリーダーはリスク目標の達成状況を監視し、リスク戦略の変更を検討し、統合された情報を使用してリスク要因とポジティブリスク(または機会)に対する認識を維持する。 |
| • IR 8286D [4] describes specific considerations for the documentation and analysis of business impacts that result in a full or partial loss of the confidentiality, integrity, or availability of a mission-essential resource. | • IR 8286D [4] は、ミッションに不可欠なリソースの機密性、完全性、または可用性の全部または一部の損失につながる事業への影響の文書化と分析に関する具体的な考慮事項を説明している。 |
 |
|
| Fig. 1. IR 8286 series publications describe detailed CSRM/ERM integration | 図1 IR 8286シリーズの刊行物は、CSRM/ERM統合の詳細を説明している |
| A key CSRM success factor is setting leadership expectations, such as through risk appetite and risk tolerance. Section 2.1 of this report provides examples of setting and communicating those expectations and provides input into Sec. 2.2, which describes methods for identifying CSRM scenarios. Each of the potential risk scenarios are analyzed, as described in Sec. 2.3, to consider specific likelihood and impact on the organization. Throughout these processes, risk data is developed and recorded in cybersecurity risk registers (and risk detail records) in support of ongoing risk communication. This information becomes the input to risk prioritization and response, which is described in IR 8286B. | CSRMの成功要因の鍵となるのは、リスク許容度やリスク許容度などを通じたリーダーシップの期待値の設定である。本報告書のセクション2.1では、これらの期待値の設定とコミュニケーションの例を示し、セクション2.2のCSRMシナリオの識別方法に関するインプットを提供する。各潜在的なリスクシナリオは、セクション2.3で説明されているように分析され、組織への具体的な可能性と影響を考慮する。これらのプロセス全体を通じて、リスクデータは、継続的なリスクコミュニケーションを支援するために、サイバーセキュリティリスクレジストリ(およびリスク詳細記録)に開発され、記録される。この情報は、リスクの優先順位付けと対応への入力となり、これはIR 8286Bで説明されている。 |
・2025.02.25 NIST IR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management
目次...
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| All organizations face a broad array of risks, including cybersecurity risks. For U.S. Federal Government agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [1]. An organization’s business objectives can be impacted by such effects, so this uncertainty must be managed at various hierarchical levels. | すべての組織は、サイバーセキュリティリスクを含む広範なリスクに直面している。米国連邦政府機関の場合、行政管理予算局(OMB)の通達 Circular A-11 では、リスクを定義している 「性の影響」と目的に対する不確実[1]。組織の事業目標はこのような影響によって影響を受ける可能性があるため、この不確実性はさまざまな階層レベルで管理されなければならない |
| This report highlights Cybersecurity Risk Management (CSRM) aspects that are inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; for the purposes of this document, both an organization and an enterprise are defined as an entity of any size, complexity, or positioning within a larger organizational structure. The term enterprise level refers to the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems.[1] The term organizational level refers to the various middle levels of the hierarchy between the system level (lowest level) and the enterprise level (highest level). | 本報告書では、エンタープライズ、組織、システムに固有のサイバーセキュリティリスクマネジメント(CSRM) の側面に焦点を当てる。用語は組織とエンタープライズという、しばしば互換的に使用される。本書では、両方を組織とエンター プライズの、より大きな組織構造の中でのあらゆる規模、複雑さ、位置づけの事業体として定義する。用語はエンタープライズレベルという、シニアリーダーが独自のリスクガバナンス責任を有する 階層の最上位レベルを指す。企業や政府機関などの各エンタープライズは、構成されている�システムに支えられた組織で[1]�組織レベルという用語は、間の階層の様々な中間レベルを指す。 システムレベル(最下位レベル)とエンタープライズレベル(最上位レ ベル)の階層の様々な中間レベルを指す。 |
| Enterprise risk management (ERM) calls for understanding the key risks that an organization faces. This document provides supplemental guidance for aligning cybersecurity risks with an organization’s overall ERM program. To minimize the extent to which cybersecurity risks impede enterprise missions and objectives, there must be effective collaboration among CSRM and ERM managers. This document helps enterprises apply, improve, and monitor the quality of that cooperation and communication. | エンタープライズリスクマネジメント(ERM)では、組織が直面する主要なリスクを理解することが求められる。本文書は、サイバーセキュリティリスクを組織の ERM プログラム全体と整合させるための補足ガイダンスを提供する。サイバーセキュリティリスクがエンタープライズのミッションや目標を阻害する程度を最小化するためには、CSRM と ERM のマネジャーが効果的に連携する必要がある。本書は、エンタープライズがその協力とコミュニケーションの質を適用、改善、監視することを支援するものである。 |
| This NIST Interagency Report (IR) is part two of a five-part series supporting NIST IR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) [2]. | このNIST Interagency Report(IR)は、NIST IR 8286「を支援する5部構成のシリーズの第2部である。 サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合」[2] |
| |
|
| Fig. 1. NIST IR 8286 series publications describe detailed CSRM/ERM integration | 図1. NIST IR 8286シリーズ刊行物には、CSRM/ERM統合の詳細が記載されている。 |
| Fig. 1 illustrates that additional detail and guidance are provided in each report: | 図1は、各レポートに追加の詳細とガイダンスがプロバイダとして提供されていることを示している: |
| • NIST IR 8286A [3] provides detail regarding cybersecurity risk context, scenarios, and analysis of likelihood and impact. It includes methods to convey risk information, such as cybersecurity risk registers (CSRRs) and risk detail records (RDRs). | • NIST IR 8286A [3]は、サイバーセキュリティリスクの背景、シナリオ、可能性と影響の分析に関する詳細を提 供する。また、サイバーセキュリティリスクレジス タ(CSRR)やリスク詳細記録(RDR)など、リスク情報を伝達する方法も含まれている。 |
| • NIST IR 8286B (this report) describes ways to apply risk analysis to help prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy. | • NIST IR 8286B(本報告書)では、エンタープライズ CSRM 戦略の一環として、サイバーセキュリティリスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動のコミュニケーションに役立つリスク分析の適用方法を説明している。 |
| • The next document in this series, NIST IR 8286C [4], describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor the achievement of risk objectives, consider any changes to risk strategy, and use the | • 本シリーズの次の文書であるNIST IR 8286C [4]では、エンタープライズ全体のCSRM活動からの情報を集約するためのプロセスについて記述している。これらの情報が統合され調和されるにつれて、組織及びエンタープライズのリーダーは、リスク目標の達成状況を監視し、リスク戦略の変更を検討し、CSRM活動から得られた情報を活用する。 |
| combined information to maintain awareness of risk factors and positive risks (or opportunities). | リスク要因とポジティブなリスク(または機会)に対する認識を維持するために、情報を組み合わせる。 |
| • NIST IR 8286D [5] describes the identification and management of risk as it propagates from system to organization and from organization to enterprise, which in turn better informs ERM deliberations. It expands typical business impact analysis (BIA) discussions to inform risk prioritization and response by quantifying the organizational impact and enterprise consequences of compromised IT assets. | • NIST IR 8286D [5]では、システムから組織へ、組織からエンタープライズへと伝播するリスクの識別とマネジメントについて説明しており、ERMの検討によりよい情報を提供する。これは、典型的なビジネスインパクト分析(BIA)の議論を拡張し、危殆化したIT資産が組織に与える影響とエンタープライズに与える影響を定量化することによって、リスクの優先順位付けと対応に情報を提供するものである。 |
| All participants in the enterprise who play a role in CSRM and/or ERM should use consistent methods to prioritize and respond to risk, including methods for communicating results. This report provides guidance for applying a consistent risk strategy at all enterprise levels (Section 2.1). Based on the risk identification and risk analysis described in NIST IR 8286A and the BIA conducted in NIST IR 8286D, NIST IR 8286B provides recommendations for determining, responding to, and reporting the relative priorities of risks, as documented in the CSRR, in light of the enterprise’s risk strategy (Section 2.2), selecting risk response actions (Section 2.3), finalizing the CSRR (Section 2.4), and conditioning results in preparation for risk report aggregation (Section 2.5). These enriched CSRRs can be aggregated, normalized, analyzed, and optimized as detailed in NIST IR 8286C. | CSRM及び/又はERMの役割を果たすエンタープライズのすべての参加者は、結果のコミュニケーショ ン方法を含め、リスクの優先順位付けと対応に一貫した方法を用いるべきである。本報告書は、すべてのエンタープライズレベルで一貫したリスク戦略を適用するためのガイダンスを提供する(セクション2.1)。NIST IR 8286Aに記載されたリスク識別及びリスク分析、並びにNIST IR 8286Dで実施されたBIAに基づき、NIST IR 8286Bは、CSRRに文書化されたリスクの相対的な優先順位を、決定、対応及び報告するための推奨事項推奨事項ための推奨ための推奨)を提供している。エンタープライズのリスク戦略に照らして(セクション2.2)、選択するためのリスク対応アクションを(セクション2.3)、CSRRを最終化する事項(セクション2.4)、リスク報告書の集計に備えて結果を調整する事項(セクション2.5これらの強化された CSRR は、NIST IR 8286C に詳述されているように、集計、正規化、分析、及び最適化することができる。 |
| [1] A system is defined as “a discrete set of information resources organized expressly for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information.” | [1]システムとは、「定義される情報の収集、処理、保守、利用、共有、普及、処分のために明示的に組織された。 情報資源の個別集合 |
| NIST IR 8286C Rev. 1 (Initial Public Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | NIST IR 8286C Rev. 1(初期公開ドラフト) エンタープライズ・リスクマネジメントおよびガバナンスの監督のためのサイバーセキュリティリスクの段階的評価 |
| Abstract | 概要 |
| This document is the third in a series that supplements NIST Interagency Report (IR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional details regarding enterprise application of cybersecurity risk information; the previous documents, IRs 8286A and 8286B, provide details regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. This report, IR 8286C, describes how information recorded in cybersecurity risk registers (CSRRs) may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register and enterprise risk profile that, in turn, support the achievement of enterprise objectives. | 本書は、NIST 内部報告書(IR)8286「サイバーセキュリティとエンタープライズ・リスクマネジメント(ERM)の統合」を補足するシリーズの第3巻である。このシリーズでは、サイバーセキュリティリスク情報のエンタープライズ・アプリケーションに関する追加情報を提供する。これに先立つIR 8286Aおよび8286Bでは、エンタープライズの目標に照らしたサイバーセキュリティリスクのアセスメントおよびマネジメントの方法と、利害関係者のリスク方針に関する詳細が提供されている。本報告書IR 8286Cでは、情報およびテクノロジーに対するリスクが企業リスクポートフォリオにおいて適切に考慮されることを保証するための包括的なアプローチの一環として、サイバーセキュリティリスクレジストリ(CSRR)に記録された情報を統合する方法について説明している。この統合的な理解は、企業リスクレジストリおよび企業リスクプロファイルを支え、ひいては企業目標の達成を支援する。 |
・[PDF] NIST.IR.8286Cr1.ipd
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Document Structure | 1.2. 文書構成 |
| 2. Aggregation, Normalization, and Analysis of Cybersecurity Risk Registers (CSRRs) | 2. サイバーセキュリティリスクレジストリ(CSRR)の集約、標準化、分析 |
| 2.1. Aggregation of Cybersecurity Risk Information | 2.1. サイバーセキュリティリスク情報の集約 |
| 2.2. Normalization of Cybersecurity Risk Registers | 2.2. サイバーセキュリティリスクレジストリの標準化 |
| 2.3. Analysis of Cybersecurity Risk Registers | 2.3. サイバーセキュリティリスクレジストリの分析 |
| 2.4. Integrating CSRR Details | 2.4. CSRR 詳細の統合 |
| 3. Determining Top-Down Priority: Integration of Cybersecurity Risk into the ERR/ERP | 3. トップダウンによる優先順位の決定:ERR/ERP へのサイバーセキュリティリスクの統合 |
| 3.1. Enterprise Value of Incorporating Enterprise CSRRs into the ERP | 3.1. エンタープライズ CSRR を ERP に統合するエンタープライズバリュー |
| 3.2. Considerations in Priority: Operational Objectives and Enterprise Impact of Cybersecurity | 3.2. 優先順位を決定する際の考慮事項:サイバーセキュリティの運用目標とエンタープライズへの影響 |
| 3.3. Considerations in Priority: Dependencies Among Enterprise Functions and Technology Systems | 3.3. 優先順位付けにおける考慮事項:企業機能とテクノロジーシステム間の依存関係 |
| 4. Risk Governance as the Basis for Cybersecurity Risk Management | 4. サイバーセキュリティリスク管理の基礎としてのリスクガバナンス |
| 4.1. Frameworks in Support of Risk Governance and Risk Management | 4.1. リスクガバナンスとリスクマネジメントを支援する枠組み |
| 4.2. Adjustments to Risk Direction | 4.2. リスクの方向性の調整 |
| 4.2.1. Adjustments to Cybersecurity Program Budget Allocation | 4.2.1. サイバーセキュリティプログラムの予算配分の調整 |
| 4.2.2. Adjustments to Risk Appetite and Risk Tolerance | 4.2.2. リスク許容度とリスク耐性の調整 |
| 4.2.3. Reviewing Whether Constraints Are Overly Stringent | 4.2.3. 制約が厳しすぎるかどうかの見直し |
| 4.2.4. Adjustments to Priority | 4.2.4. 優先順位の調整 |
| 5. Cybersecurity Risk Monitoring, Evaluation, and Adjustment | 5. サイバーセキュリティリスクの監視、評価、調整 |
| 5.1. Key CSRM Mechanisms | 5.1. CSRMの主なメカニズム |
| 5.2. Monitoring Risks | 5.2. リスクの監視 |
| 5.3. Evaluating Risks | 5.3. リスクの評価 |
| 5.4. Adjusting Risk Responses | 5.4. リスク対応の調整 |
| 5.5. Monitor, Evaluate, and Adjust Examples | 5.5. 監視、評価、調整の例 |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms Appendix B. Change Log | 附属書 A. シンボル、略語、および頭字語の一覧 附属書 B. 変更履歴 |
| List of Tables | 表の一覧 |
| Table 1. Examples of cybersecurity risk analysis | 表1. サイバーセキュリティリスク分析の例 |
| Table 2. Examples of risk oversight functional roles and responsibilities | 表2. リスク管理機能の役割と責任の例 |
| Table 3. CSF steps as aligned with CSRM/ERM integration | 表3. CSRM/ERM 統合に整合する CSF のステップ |
| Table 4. Examples of proactive risk management evaluation activities | 表4. プロアクティブなリスクマネジメント評価活動の例 |
| Table 5. Notional examples of MEA activities | 表5. MEA 活動の概念例 |
| List of Figures | 図の一覧 |
| Fig. 1. IR 8286 [6] series publications describe CSRM/ERM integration | 図1. IR 8286 [6] シリーズの出版物は、CSRM/ERM統合について説明している |
| Fig. 2. IR 8286C activities as part of CSRM/ERM integration | 図2. CSRM/ERM統合の一部としてのIR 8286Cの活動 |
| Fig. 3. Moving CSRRs through the aggregation, normalization, and analysis phases | 図3. 集約、標準化、分析の各段階におけるCSRRの移動 |
| Fig. 4. OMB A-11 strategic planning concepts | 図4. OMB A-11戦略計画の概念 |
| Fig. 5. Bottom-up integration of risk registers to create E-CSRR, ERR, and ERP Fig. 6. Notional risk breakdown structure depicting enterprise risk impacts | 図5:E-CSRR、ERR、ERPを作成するためのボトムアップ型リスクレジスター統合 図6:エンタープライズ・リスクの影響を示す概念上のリスクブレークダウン構造 |
| Fig. 7. Notional ERP example | 図7:概念上のERPの例 |
| Fig. 8. CSF steps in support of CSRM integration | 図8:CSRM統合を支援するCSFのステップ |
| Fig. 9. Illustration of enterprise CSRM and coordination | 図9:エンタープライズCSRMと調整の説明図 |
| Fig. 10. Monitor-Evaluate-Adjust cycle | 図10:モニタリング、評価、調整サイクル |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| This NIST Interagency Report (IR) explores methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite enterprise risk profile to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions, and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Figure 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions. | このNIST機関間報告書(IR)では、企業全体にわたるサイバーセキュリティ・リスクマネジメント(CSRM)のさまざまな情報を統合し、複合的なエンタープライズ・リスクプロファイルを作成して、企業幹部および政府機関職員のエンタープライズ・リスクマネジメント(ERM)の審議、決定、行動に役立てるための方法を検討する。また、財務、評価、ミッション、および評判のエクスポージャーの一部としてサイバーセキュリティリスクを含めることについても説明する。図1は、以前の報告書からエンタープライズ・リスクサイクルを拡大し、外部利害関係者の意見や感情がリスク判断の重要な要素であることを読者に思い出させる。 |
 |
|
| Fig. 1. IR 8286 [6] series publications describe CSRM/ERM integration | 図1 IR 8286 [6] シリーズの出版物は、CSRM/ERMの統合について説明している |
| The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility about risk-related activities to protect enterprise reputation, finances, and objectives. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. The integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. | 企業リスクの状況に対する情報および技術リスクの重要性から、企業評価、財務、目標を防御するために、リスク関連の活動について幅広い可視性を確保することが極めて重要となる。包括的なエンタープライズ・リスクレジスター(ERR)とエンタープライズ・リスクプロファイル(ERP)は、コミュニケーションと情報開示の要件をサポートする。 CSRM活動の統合は、企業報告(損益計算書、貸借対照表、キャッシュフローなど)に関連するエクスポージャーの理解をサポートし、公共部門の事業体に対する同様の要件(認可当局や監督当局への報告など)にも対応する。 |
| This document explores the methods for integrating disparate CSRM information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives. The report continues the discussion where IR 8286B [7] concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points. | 本書では、企業の目的に影響を及ぼす可能性のあるさまざまなサイバーリスクを総合的に理解するために、企業全体から収集したさまざまなCSRM情報を統合する方法について検討する。本書では、IR 8286B [7] の議論を継続し、企業の情報およびテクノロジーに対する機会と脅威の包括的なビューを作成するために、データポイントの統合に焦点を当てる。 特に、サイバーセキュリティリスクは、企業リスクの全体像における数多くのリスクの1つにすぎないため、そのリスクの理解自体が、他の集合的なリスクポイントの類似した集約的な観察結果と統合されることになる。 |
| This document discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, workforce skills) to achieve risk objectives. This report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports ERM and a repeatable and consistent use of terms, including how the context of various terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination. | 本書では、エンタープライズ・リスク戦略、リスク選好度、リスク許容度、リスク対応力などのリスクガバナンスの要素がリスクパフォーマンスにどのように影響するかを論じている。各階層レベルにおける CSRM 活動の結果をモニタリングすることで、シニアリーダーはリスク目標を達成するために、さまざまなガバナンス要素(ポリシー、手順、従業員のスキルなど)を調整することができる。本レポートでは、ERM をサポートする CSRM のモニタリング、評価、調整(MEA)プロセスについて説明し、企業の視点によってさまざまな用語のコンテクストがどのように異なる可能性があるかを含め、用語の反復可能かつ一貫した使用方法についても説明する。こうした理解は、効果的な CSRM コミュニケーションと調整を確実に行うのに役立つ。 |
| While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Further points of discussion include IR 8286D’s focus on business impact analysis (BIA), which is a foundation of understanding exposure and opportunity [8]. NIST also continues to perform extensive research and publication development regarding metrics, a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication. | ERMは確立された分野であるが、サイバーセキュリティリスク管理者と最高経営責任者レベルのリスク管理者の間の調整に関する知識体系を拡大し改善する余地がある。このシリーズは、さらなる研究と協力の必要性を認識しながら、この統合を紹介することを目的としている。さらに議論すべき点として、エクスポージャーと機会を理解するための基礎であるビジネスインパクト分析(BIA)にIR 8286Dが重点を置いていることが挙げられる[8]。また、NISTは、ERM/CSRMのパフォーマンス測定、モニタリング、コミュニケーションを確実にサポートするトピックであるメトリクスに関する広範な研究と出版物の開発も継続している。 |
| This document continues the discussion regarding the inclusion of CSRM priorities and results in support of an improved understanding about organization and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations. | 本書では、財務、評判、ミッション上の懸念に対するサイバーセキュリティリスクの組織およびエンタープライズへの影響に関する理解の改善を目的として、CSRMの優先事項と結果の組み込みに関する議論を継続している。 |
・2025.02.25 NIST IR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response
| NIST IR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response | NIST IR 8286D ビジネスインパクト分析によるリスクの優先順位付けと対応の決定 |
| Abstract | 概要 |
| While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. | ビジネスインパクト分析(BIA)は、従来、事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失が企業ミッションに及ぼす潜在的な影響について、より広範な理解を得ることができる。 エンタープライズ・リスクの管理には、ミッションに不可欠な機能(すなわち、何が正しく行われなければならないか)と、それらの機能を脅かす潜在的なリスクシナリオ(すなわち、何が間違って行われる可能性があるか)についての包括的な理解が必要である。本書で説明されているプロセスは、リーダーがミッション目標の達成を可能にする資産を特定し、資産を重要かつ機密性の高いものとする要因を評価するのに役立つ。エンタープライズリーダーは、それらの要因に基づいて、BIAへのインプットとしてリスク指令(リスク許容度やリスク許容範囲など)を提供する。システム所有者は、BIA を資産分類、影響値、および重要または機密資産の防御要件の策定に適用する。BIA の結果は、NIST 内部報告書(IR)8286 シリーズで説明されているように、エンタープライズ・リスクマネジメント(ERM)/サイバーセキュリティ・リスクマネジメント(CSRM)統合プロセスの基礎となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、およびコミュニケーションを可能にする。 |
・[PDF] NIST.IR.8286D-upd1
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Benefits of Extending the BIA for Risk Types | 1.1. リスクタイプのBIAを拡張するメリット |
| 1.2. Foundational Practices for Business Impact Analysis | 1.2. ビジネスインパクト分析のための基本的なプラクティス |
| 1.3. Document Structure | 1.3. 文書構造 |
| 2. Cataloging and Categorizing Assets Based on Enterprise Value | 2. エンタープライズ価値に基づく資産のカタログ化と分類 |
| 2.1. Identification of Enterprise Business Asset Types | 2.1. エンタープライズ・ビジネス資産タイプの特定 |
| 2.2. The Business Impact Analysis Process | 2.2. ビジネスインパクト分析プロセス |
| 2.3. Determining Asset Value to Support CSRM Activities | 2.3. CSRM活動を支える資産価値の決定 |
| 2.4. Determining Loss Scenarios and Their Consequences | 2.4. 損失シナリオとその結果の決定 |
| 2.5. Business Impact Analysis in Terms of Criticality and Sensitivity | 2.5. 重要度と感度の観点からのビジネスインパクト分析 |
| 2.6. Using a BIA to Record Interdependencies | 2.6. BIAを使った相互依存関係の記録 |
| 2.7. Consistent Business Impact Analysis Through an Enterprise Approach | 2.7. エンタープライズ・アプローチによる一貫したビジネスインパクト分析 |
| 2.8. Using a BIA to Support an Enterprise Registry of System Assets | 2.8. BIAを使用したシステム資産のエンタープライズレジストリの支援 |
| 3. Conclusion | 3. 結論 |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書A. 記号、略語、頭字語のリスト |
| Appendix B. Change Log | 附属書B. 変更履歴 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks. | リスクは、エンタープライズのミッションへの影響という観点から測定されるため、そのミッションを可能にする機能を持つ様々な情報・技術(IT)資産を理解することが不可欠である。各資産はエンタープライズにとって価値がある。ガバナンス・エンタープライズにとって、IT資産の多くは、市民に提供される重要なサービスを支える重要なコンポーネントである。企業にとっては、IT資産がエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのタイプのエンタープライズにとって、ミッションに真に影響を与える条件を見極めることは、極めて重要であると同時に困難でもある。ガバナンスの政府機関は、上級指導者からの優先的な指示を守りつつ、重要なサービスを提供しなければならない。商業の世界では、ミッションの優先順位は、長期的な目標や、次の影響するかもしれない要因によって左右されることが多い四半期の。したがって、企業の目標を実現し、サイバーセキュリティリスクによって危険にさらされる可能性のあるエンタープライズリソースを。 継続的に分析し、理解することが非常に重要である。 |
| The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery). | NISTの省庁間報告書(IR)8286シリーズは、リスクデータを保存し、コミュニケーションするための プロセスとして、リスク登録簿を中心にまとめられた[NISTIR8286]。リスクレジスターの構成要素とコミュニケーション手段の両方の役割を果たすリスクマネジメントのもう一つの重要な成果物は、ビジネスインパクト分析(BIA)レジスターである。BIAは損失又は関連する潜在的な影響を検討、エンタープライズの技術関連資産の、それらの資産の重要性及び感受性の定性的又は定量的な評価に基づいてし、その結果をBIA登録簿に保存する。資産の重要性または資源依存性のアセスメントは、支える情報資産を特定し、優先順位をつける劣化にエンタープライズの重要なミッションを。同様に、資産の機密性のアセスメントでは、無権限者に変更または開示されてはならない情報を保存、処理、または送信する情報資産を特定し、優先順位を付ける。サイバーセキュリティの領域では、BIAの使用は歴史的に、インシデントハンドリング(事業継続と災害復旧を含む)のための品質ベースと時間ベースの目標の計算に限られてきた。 |
| Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.[1] That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management[2] (CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring. | BIAはリスク(ミッション上の不確実性の測定である)を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の基礎を提供する。[1]このガイダンスは、サイバーセキュリティリスクマネジメントコミュニケーションし監視するために、エンタープライズ資産の相対的価値に基づくパフォーマンスとリスクの指標を支援するもので[2] )活動をあり、これには主要業績評価指標(KPI)や主要リスク指標(KRI)として決定された指標も含まれる。BIA は、要件、リスクコミュニケーション、モニタリングを推進する資産分類を支援する。 |
| Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations). | BIAの利用を拡大し、機密性と完全性の検討を含めることで、包括的なリスク分析を支援する。エンタープライズに与える影響を資産評価の基礎とすることで、エンタープライズリスク戦略に対するリスク決定の整合性を高めることができる。CSRM/ERM の統合は、NIST IR 8286C に詳述されているように、サイバーセキュリティリスクレジス タ(CSRR)の集計を通じて得られた過去の情報に基づき、影響度分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織やエンタープライズのリーダーは、リスクエクスポージャーと複合的な影響の総和を理解するようになるため、その情報はリスクに対する期待値(資産価値、リソースの最適化、リスクへの配慮の間の継続的なバランスを確保するためのビジネス影響ガイダンスを含む)を調整するのに役立つ。 |
| The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets. | BIAプロセスにより、システム所有者は、特にミッション、財務、評判の側面から、エンタープライズへの貢献を考慮することで、資産からプロバイダが提供される利益を記録することができる。各資産がどのようにエンタープライズの価値を支えているかを知ることができれば、システムオーナーはリスクマネジメントと協力して、それらの資産に不確実性がもたらす影響を判断することができる。 |
| It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary. | エンタープライズがさまざまな種類の情報通信技術(ICT)リソースに依存しており、敵対勢力に狙われることが多くなっているため、BIA登録簿に記録される一元化された信頼できる資産情報がこれまで以上に重要になっている。BIAプロセスは、システムの所有権、主要な利害関係者の連絡先情報、物理的装置(またはサービス)の特性など、重要な資産管理情報を集中登録簿に一貫して記録できる情報を提供する。資産管理はサイバーセキュリティ・リスクマネジメントの重要な要素であるため、この情報は資産を保護し、サイバーイベントを検知し、潜在的な問題に迅速に対応し、必要な場合にはサービスを回復するために非常に価値がある。 |
| Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets. | 公共部門及び民間部門のエンタープライズは、潜在的な事業への影響、それらの影響につながる可 能性のあるリスク状況、及びそれらの影響に対処するための措置(様々なリスク登録簿に記 録され、最終的にはエンタープライズ・リスク・プロファイルに記録される)を継続的に理 解し続けなければならない。多くの場合、企業や機関がリスクについて問われるとき、実際には潜在的な影響について問われる。企業は、エンタープライズの財政状態、経営能力、または企業のキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。エンタープライズ資産の重要性と機密 性を分類するためにBIA手法を使用することにより、効果的なリスクマネジメントと、それに続くエンタープライズレベルでの報告とモニタリングの統合が可能となり、それらの資産の価値に照らしてリスクと資源利用が最適化されることが保証される。 |
| [1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.” | [1]行政管理予算局(OMB)サーキュラーA-123は、リスク定義している選好度を組織が許容する広範なリスク量」とそのミッション/ビジョンを。リスク選好度は追求するために、組織の最上位レベルのリーダーシップによって設定され、戦略を設定し、目標を選択するための道標の」と定義している。役割を果たす同文書では、定義しているリスク許容度を「許容レベル目標達成に対する。 業績のばらつきの |
| [2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology. | [2]サイバーセキュリティ・リスクマネジメント(CSRM)とは、情報や技術に関する不確実性を管理するプロセスである。 |
参考...
● Committee of Sponsoring Organizations; COSO
・Enterprise Risk Management; ERM
・[PDF] Exsecutive Summary
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
IR 8286
・2024.03.10 米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング
・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用
・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
SP800-221関係...
経営ガイドライン Veer3.0
・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)
・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0
・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見
« 欧州 ENISA NIS360 2024 (2025.03.05) 重要インフラのセキュリティの状況... | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 ものを分解すればわかるのか?「還元論的発想とシステム論的発想」 »
Comments