英国 NCSC サイバーレジリエンスの信頼を高める新たな２つの保証イニシアティブ（サイバーレジリエンス試験施設（CTRFs）プログラム 、サイバー敵対シミュレーション（CyAS）スキーム） そのためのアセスメント原則とクレーム（APC）(2025.05.08)

こんにちは、丸山満彦です。

英国のNCSCが、サイバーレジリエンスの信頼を高める新たな２つの保証イニシアティブ

• サイバーレジリエンス試験施設（CTRFs）プログラム
• サイバー敵対シミュレーション（CyAS）スキーム

を開始すると発表していますね。

Cyber Resilience Test Facilities (CTRFs) は、技術ベンダーが一貫した構造的な方法で自社製品のサイバーレジリエンスを実証し、英国政府を含む官民組織による独立した監査やアセスメントを可能にする、保証された施設の全国ネットワークを構築するものということのようです...

技術アシュアランスについては2年前にこのブログでも紹介しています...

Scheme for Cyber Adversary Simulation (CyAS) の下で認定された企業は、組織のサイバーレジリエンスをテストするサービスを提供する。これには、模擬サイバー攻撃を防止、検知、対応する能力も含まれる。

英国は、国家のサイバーレジリエンスを高めるために、サイバーセキュリティ技術のある会社を育成し、その能力を保証し、政府が利用しやすくするとともに、政府が利用していることを通じて、民間への利用を促進しようと考えていますよね...

文化や、商習慣が違うところはありますが、日本でもこのコンセプトを参考にすることは良いかもしれませんね...

Cyber Essensialsの制度も含め、英国のサイバーセキュリティ政策には学ぶことが多いようにも思います...ちなみに2021年12月に公表された英国のサイバー戦略は、日本語でも読めます。（このブログ）

 

● NCSC

発表...

・2025.05.08 New assurance initiatives to help boost confidence in cyber resilience

New assurance initiatives to help boost confidence in cyber resilience	サイバーレジリエンスへの信頼を高める新たな保証イニシアティブ
・Two initiatives designed to help boost confidence in cyber resilience announced at flagship CYBERUK conference	・サイバーレジリエンスの信頼性を高めるための2つの取り組みが、CYBERUK会議で発表された。
・A new ecosystem of assured Cyber Resilience Test Facilities will allow vendors to demonstrate the cyber resilience of their products	・保証されたサイバー・レジリエンス試験施設の新たなエコシステムにより、ベンダーは自社製品のサイバー・レジリエンスを実証できるようになる
・A Cyber Adversary Simulation scheme will launch in summer to help organisations test their defences	・サイバー・アドバサリー・シミュレーション・スキームが夏に開始され、組織の防御テストを支援する。
The National Cyber Security Centre (NCSC) – a part of GCHQ – has today announced two initiatives to help improve national cyber resilience.	GCHQの一部である国家サイバーセキュリティセンター（NCSC）は本日、国家のサイバーレジリエンス向上を支援する2つのイニシアチブを発表した。
The new Cyber Resilience Test Facilities (CTRFs) programme is developing a national network of assured facilities which will allow technology vendors to demonstrate the cyber resilience of their products in a consistent and structured way, enabling independent audits and assessments by public and private sector organisations, including the UK government.	新しいサイバーレジリエンス試験施設（CTRFs）プログラムは、技術ベンダーが一貫した構造的な方法で自社製品のサイバーレジリエンスを実証し、英国政府を含む官民組織による独立した監査やアセスメントを可能にする、保証された施設の全国ネットワークを構築するものである。
The CRTFs will adopt a Principles-Based Assurance (PBA) methodology, moving away from traditional compliance-based schemes, to enhance consumer confidence in the cyber resilience of products and broaden the range of assured products.	CRTFsは、従来のコンプライアンスベースのスキームから原則ベースの保証（PBA）手法を採用し、製品のサイバーレジリエンスに対する消費者の信頼を高め、保証される製品の範囲を広げる。
The NCSC will also be launching a new scheme for Cyber Adversary Simulation (CyAS) in early summer. Companies assured under the Cyber Adversary Simulation Scheme will deliver services to test an organisation’s cyber resilience, including their ability to prevent, detect and respond to simulated cyber attacks.	NCSCはまた、初夏に新たなサイバー敵対シミュレーション（CyAS）スキームを立ち上げる予定である。サイバー敵対シミュレーションスキームの下で認定された企業は、組織のサイバーレジリエンスをテストするサービスを提供する。これには、模擬サイバー攻撃を防止、検知、対応する能力も含まれる。
Both of these initiatives have been formally announced at this year’s CYBERUK, the government’s flagship cyber security conference.	これら2つのイニシアチブは、政府の主要なサイバーセキュリティ会議である今年のCYBERUKで正式に発表された。
They are the latest in the NCSC’s efforts to help organisations bolster resilience and work towards addressing concerns raised by CEO Richard Horne in December 2024 about the growing gap between cyber threats and existing defences.	これらは、NCSCが組織のレジリエンスを強化し、2024年12月にリチャード・ホーン最高経営責任者（CEO）が提起した、サイバー脅威と既存の防御の間のギャップが拡大しているという懸念に対処するための取り組みの最新版である。
NCSC Director for National Resilience Jonathon Ellison said:	NCSCのジョナソン・エリソン国家レジリエンス担当ディレクターは、次のように述べた：
“The Cyber Resilience Test Facilities and Cyber Adversary Simulation schemes mark a significant step forward in our mission to enhance the UK’s cyber resilience.	「サイバーレジリエンス試験施設とサイバー敵シミュレーション計画は、英国のサイバーレジリエンスを強化するという我々の使命において、大きな前進を意味する。
“The test facilities will allow consumers to be more confident in the security of connected products. And through testing their response to simulated cyber attacks, the UK’s most critical infrastructure will be further empowered to defend against evolving online threats.”	「この試験施設によって、消費者はコネクテッド製品の安全性をより確信できるようになる。また、模擬的なサイバー攻撃への対応をテストすることで、英国の最も重要なインフラは、進化するオンラインの脅威から防衛する力をさらに強化されるだろう。
The CyAS scheme has been developed in partnership with cyber oversight bodies, cyber regulators and government, who are exploring the use of the scheme in their sectors. It has been designed as a means of providing end-to-end assurance and evidence for any organisation of sufficient maturity and criticality to test their cyber defences.	CyASスキームは、サイバー監視団体、サイバー規制当局、政府とのパートナーシップにより開発された。CyASスキームは、十分な成熟度と重要性を持つ組織がサイバー防御をテストするために、エンドツーエンドの保証と証拠を提供する手段として設計された。
The scheme will launch as a Minimum Viable Product and is expected to evolve as the user community grows.	このスキームは、ミニマム・ヴァイブル・プロダクトとして立ち上げられ、ユーザー・コミュニティの成長とともに進化していくことが期待されている。
Find out more about CRTFs by visiting the NCSC's Cyber Resilience Testing pages.	CRTFの詳細については、NCSCのサイバー・レジリエンス・テストのページを参照されたい。

 

サイバーレジリエンス試験施設（CTRFs）プログラム

・Cyber Resilience Test Facilities

 

Cyber Resilience Test Facilities	サイバーレジリエンス試験設備
Cyber Resilience Testing	サイバーレジリエンス試験
About Cyber Resilience Test Facilities (CRTF)	サイバーレジリエンス試験施設（CRTF）について
Focus on risk, not compliance	コンプライアンスではなくリスクに焦点を当てる
CRTF Vision Statement	CRTFビジョンステートメント
Information for CRTFs	CRTFのための情報
What will CRTFs do?	CRTFは何をするのか？
Requirements for CRTFs	CRTFの要件
Application process	申請プロセス
Information for technology vendors	テクノロジー・ベンダー向け情報
How does it work?	どのように機能するのか？
How will this help you?	どのように役立つのか？
Who is this for?	誰のためのものか？
Assurance Principles and Claims documents	保証原則とクレーム文書
Cyber Resilience Testing	サイバーレジリエンス試験
About Cyber Resilience Test Facilities (CRTF)	サイバー・レジリエンス試験施設（CRTF）について
As the cyber risk continues to grow, organisations need greater understanding and increased confidence in the resilience of their connected products and technology.	サイバーリスクが増大し続ける中、企業は、接続された製品や技術のレジリエンスに対する理解を深め、信頼性を高める必要がある。
To meet this need the NCSC has developed a new UK assurance methodology to enable vendors to demonstrate the cyber resilience of their connected products in a structured and consistent way. This will also enable industry and government services to independently audit and assess those products in a consistent way.	このニーズに応えるため、NCSCは、ベンダーが構造化された一貫した方法で接続製品のサイバーレジリエンスを実証できるよう、英国の新しい保証手法を開発した。これにより、産業界や政府は、一貫した方法でこれらの製品を独自に監査・評価できるようになる。
To deliver this new assurance methodology NCSC is setting up Cyber Resilience Test Facilities (CRTFs) that will deliver assurance for a wide range of internet connected products. The CRTFs delivering this new service will conduct these evaluations against the Principles Based Assurance (PBA) methodology, as part of a wider NCSC transition away from compliance-based assurance schemes. This will enable consumers of technology to have confidence in the cyber resilience of the connected products they purchase whilst at the same time extending the reach of NCSC by harnessing industry to deliver assurance for a much wider range of cyber products than is possible today.	この新しい保証方法を提供するため、NCSCは、幅広いインターネット接続製品の保証を提供するサイバーレジリエンス試験施設（CRTFs）を設立する。この新しいサービスを提供するCRTFは、コンプライアンスに基づく保証スキームから脱却するNCSCの幅広い移行の一環として、原則に基づく保証（PBA）手法に照らして評価を実施する。これにより、技術消費者は購入するコネクテッド製品のサイバーレジリエンスに自信を持つことができるようになると同時に、産業界を活用することでNCSCの活動範囲を拡大し、現在よりもはるかに広範なサイバー製品に保証を提供できるようになる。
The initial service offering assesses products against the Cyber Resilience Testing (CRT) Assurance Principles and Claims (APC) standard. This standard has been aligned with Software Security Code of Practice.	初期のサービスでは、サイバー・レジリエンス・テスト（CRT）のアセスメント原則と主張（APC）標準に照らして製品を評価する。この標準は、ソフトウェア・セキュリティ規範（Software Security Code of Practice）と整合している。
The service will be delivered through a national ecosystem of CRTFs that have been assured by the NCSC to conduct this third-party evaluation.	このサービスは、このサードパーティ評価を実施することがNCSCによって保証されたCRTFの国内エコシステムを通じて提供される。
Focus on risk, not compliance	コンプライアンスではなくリスクに焦点を当てる
The NCSC’s new approach to Technology Assurance is Principles Based Assurance (PBA) - an approach that puts the focus on risk outcomes.	NCSCの技術保証に対する新しいアプローチは、原則に基づく保証あり、リスクの結果に重点を置くアプローチである。
Cyber Resilience Testing is the application of PBA to gain confidence in a product’s cyber resilience against attacks from its public interfaces – usually the internet.	サイバーレジリエンス試験は、PBAを応用して、製品のパブリックインターフェース（通常はインターネット）からの攻撃に対する製品のサイバーレジリエンスに対する信頼性を得るものである。
To enable evidence and assessment against principles, the NCSC has created a set of artefacts called Assurance Principles & Claims (APCs). CRTFs can be employed by technology vendors to independently verify the resilience of a product against these APCs to enable the vendor to demonstrate the cyber resilience of their products in a structured, accessible and consistent way.	原則に対する証拠と評価を可能にするために、NCSC はアセスメント原則とクレーム（APC）と呼ばれる一連の成果物を作成した。CRTF は、技術ベンダーが製品のレジリエンスをこれらの APC に照らして独自に検証するために利用することができ、ベンダーは構造化され、利用しやすく、一貫性のある方法で製品のサイバーレジリエンスを実証することができる。
CRTF Vision Statement	CRTFビジョンステートメント
A national ecosystem of assured test facilities to provide buyers with confidence in the cyber resilience of the connected products they purchase.	購入するコネクテッド製品のサイバーレジリエンスに対する信頼性をプロバイダに提供するために、保証されたテスト施設の国家エコシステムを構築する。
In addition to identifying risks and the implications to vendors and customers - allowing better risk management decisions to be taken by organisations and businesses - CRTFs will:	リスクとベンダーや顧客への影響を識別することに加え、CRTFは、組織や企業がより良いリスクマネジメントを決定できるようにする：
・Boost confidence in the technology supply chain through enabling better decision-making.	・より良い意思決定を可能にすることで、技術サプライチェーンに対する信頼を高める。
・Enhance the wider UK resilience to cyber threats through the development of deeper understanding of risks.	・リスクをより深く理解することにより、サイバー脅威に対する英国のレジリエンスを強化する。
・Promote best practice amongst technology vendors by encouraging further engagement and understanding of cyber risk across the market.	・市場全体におけるサイバーリスクへのさらなる関与と理解を促すことにより、技術ベンダー間のベストプラクティスを促進する。
Information for CRTFs	CRTFのための情報
CRTFs deliver cyber resilience testing for a wide range of internet connected products. Not only will this raise the bar for cyber resilient product development, it will also widen the range of cyber products that can be assured, while ensuring that this is performed consistently and uniformly.	CRTFは、インターネットに接続された様々な製品のサイバーレジリエンス試験を実施する。これにより、サイバーレジリエンス製品開発の水準が高まるだけでなく、保証できるサイバー製品の幅が広がる。
CRTFs will ensure that modern cyber security assurance approaches, particularly Principles Based Assurance (PBA), can be used to better help security risk decision makers.	CRTFは、最新のサイバーセキュリティ保証アプローチ、特に原則に基づく保証（Principles Based Assurance：PBA）を、セキュリティリスクの意思決定者をよりよく支援するために利用できるようにする。
To enable evidence and assessment against principles in a consistent way, the NCSC has created a set of artefacts called Assurance Principles & Claims (APCs). CRTFs will use the appropriate APC set to define the relevant security outcomes .	一貫した方法で原則に照らした証拠と評価を可能にするため、NCSC はアセスメント原則とクレーム（APC）と呼ばれる一連の成果物を作成した。CRTFは、適切なAPCセットを使用して、関連するセキュリティ成果を定義する。
What will CRTFs do?	CRTFは何をするのか？
The NCSC expects its Cyber Resilience Test Facilities to be able to:	NCSC は、サイバーレジリエンス試験施設に以下を期待する：
・Evaluate vendor-supplied evidence to demonstrate where the product meets the claims set out in the APCs.	・ベンダーが提供したエビデンスを評価し、製品が APC に規定された主張を満たしていることを実証する。
・Identify gaps in evidence and describe the associated risk, to provide vendors and end customers with an appropriate level of information to satisfy their risk appetite.	・ベンダーとエンドカスタマーのリスク選好度を満たす適切なレベルの情報を提供するために、エビデンスにおけるギャップを特定し、関連するリスクを説明する。
・Effectively communicate this to vendors, using the standardised output report format.	・標準化された報告書フォーマットを用いて、ベンダーに効果的に伝える。
Requirements for CRTFs	CRTFの要件
To become a Cyber Resilience Testing Facility (CRTF), it is necessary that your organisation is able to demonstrate the following criteria to NCSC:	サイバーレジリエンス試験施設（CRTF）になるためには、組織が以下の規準をNCSCに証明できることが必要である：
・Completion of training and assessment in the application of Principles Based Assurance (PBA).	・原則に基づくアセスメント（PBA）の適用に関する研修と評価を完了すること。
・Conduct a Trial Evaluation in order to provide the evidence necessary for UKAS ISO/IEC 17020 accreditation and to demonstrate the ability to conduct a full CRT assessment including the production of the required output reports	・UKAS ISO/IEC 17020認定に必要な証拠を提供し、要求される出力報告書の作成を含む完全なCRTアセスメントを実施する能力を実証するために、トライアル評価を実施すること
・Sign a contract with NCSC, agreeing to carry out Cyber Resilience Testing (CRT) in line with expectations and ongoing continual improvement of processes.	・NCSCと契約を締結し、期待に沿ったサイバーレジリエンス・テスト（CRT）を実施し、継続的にプロセスを改善することに同意すること。
Application process	申請プロセス
If you wish to apply or for more information contact our CRTF team: [mail]	申請を希望する場合、または詳細については、CRTFチームまで連絡すること：[mail]
At the NCSC, we are taking action to remove artificial barriers to entry. So, if you spot something which you think unfairly prevents you from applying, please let us know using our feedback form (opens to Microsoft Forms).	NCSCでは、人為的な参入障壁を取り除くための措置を講じている。そのため、応募を不当に妨げていると思われる点を発見された場合は、フィードバック・フォーム（Microsoft Formsが開きます）を使ってお知らせいただきたい。
Information for technology vendors	技術ベンダー向け情報
Cyber Resilience Test Facilities (CRFT) aim to provide confidence in the technology and products you sell; this confidence can, in turn, be shared to end users and customers.	サイバー・レジリエンス・テスト・ファシリティ（CRFT）は、貴社が販売する技術や製品に対する信頼を提供することを目的としている。
To gain this confidence, a CRTF will conduct a thorough assessment of the cyber risks that may impact your product; the outcome will allow you to make decisions on how you might mitigate or tolerate such risks depending on your risk appetite.	この信頼を得るために、CRTFは貴社の製品に影響を与える可能性のあるサイバーリスクの徹底的なアセスメントを実施する。その結果、貴社のリスクアセメントに応じて、そのようなリスクをどのように緩和するか、またはどのように許容するかを決定することができる。
How does it work?	どのように機能するのか？
All CRTFs have been assured by the NCSC to conduct assessments using Principle Based Assurance (PBA) methodology against the defined Cyber Resilience Testing Assurance Principles and Claims (APC).	すべてのCRTFは、定義されたサイバー・レジリエンス・テストの保証原則と主張（APC）に対して、原則に基づく保証（PBA）手法を使ってアセスメントを実施することをNCSCから保証されている。
As a vendor, you will be expected to work alongside a CRTF to provide the evidence required for the evaluation of your product.	ベンダーとしては、CRTFと協力して、製品の評価に必要な証拠を提供することが期待される。
Once you have chosen a CRTF to work with, you will be asked to provide evidence, from your documentation or testing you have done, to demonstrate how your technology meets the cyber security claims set out within the APC. Find out more about APCs.	協力するCRTFが決まったら、自社の技術がAPCに規定されたサイバーセキュリティの主張をいかに満たしているかを示す証拠を、自社の文書や実施した試験から提出するよう求められる。APCの詳細
Details of our initial list of Cyber Resilience Test Facilities will be published shortly.	サイバーレジリエンス試験施設の初期リストの詳細は、まもなく公表される予定である。
How will this help you?	どのように役立つのか？
The main outcome of this process is an output report which is delivered by the CRTF directly to the vendor, in accordance with NCSC guidelines. It will provide information on a products resilience against the principles outlined in the Cyber Resilience Testing APC.	このプロセスの主な成果は、NCSCのガイドラインに従ってCRTFがベンダーに直接提供する出力報告書である。これは、サイバーレジリエンス試験APCに概説されている原則に対する製品のレジリエンスに関する情報を提供するものである。
Using the information presented in the output report, you may wish to make changes to your product, or you may decide that any risks highlighted are not relevant to your products value to end users. Ultimately, this puts the management and ownership of this risk into the hands of those who will be best positioned to judge the impacts.	出力レポートに示された情報を使って、製品に変更を加えたい場合もあれば、浮き彫りになったリスクはエンドユーザーにとっての製品の価値には関係ないと判断する場合もある。最終的には、このリスクのマネジメントとオーナーシップを、影響を判断するのに最も適した立場にある人の手に委ねることになる。
Who is this for?	誰のためのものなのか？
The initial operating capability of CRTFs will be focused primarily on products which have a direct requirement for robust cyber security – for example, tech products that need to be secure, rather than those that are specifically cyber security products.	CRTFの初期運用能力は、特にサイバーセキュリティ製品ではなく、堅牢なサイバーセキュリティが直接要求される製品（例えば、安全性が要求される技術製品）に主眼を置く。
Further services are under development and will be rolled out to provide a higher level of assurance where cyber security enforcing functionality is paramount to vendors and their customers.	さらなるサービスは現在開発中であり、ベンダーとその顧客にとってサイバーセキュリティを実施する機能が最も重要である場合に、より高いレベルの保証を提供するために展開される予定である。
Assurance Principles and Claims documents	保証原則とクレームに関する文書
Assurance Principles and Claims (APC) documents	保証原則とクレーム（APC）文書
・Product Cyber Resilience Testing APC opens as pdf (also available from the Downloads section, below)	・プロダクト・サイバー・レジリエンス・テストのAPCはPDFで開く。
An APC document is the key artefact for any assurance service using the NCSC Principles Based Assurance (PBA) method. The APC plays the role of a standard in traditional compliance-based assurance activity, defining the scope of the assurance activity and the information needed for an assessment.	APC 文書は、NCSC 原則に基づく保証（PBA）手法を用いた保証サービスにとって重要な成果物である。APCは、従来のコンプライアンスに基づく保証活動における標準の役割を果たし、保証活動の範囲とアセスメントに必要な情報を定義する。
The APC is a collection of Principles and Claims. The principles define the scope of the assurance activity setting out an ideal state that a product can be measured against. To assist with this measurement each principle is deconstructed into a set of claims (using a claims-argument-evidence method) that are designed to be easily evidenced.	APCは、原則とクレームの集合体である。原則は、保証活動の範囲を定義するもので、製品を測定する際の理想的な状態を示す。この測定を支援するため、各原則は（主張-論拠-証拠という方法を用いて）一連の主張に分解され、容易に証明できるように設計されている。
How to use APCs to do Assurance	アセスメントを実施するための APC の利用方法
APCs are downloadable from the NCSC website and can be used by anyone for self-assessment (or continuous improvement) of the cyber security properties of any product, system or service covered by an APC.	APC は NCSC のウェブサイトからダウンロードでき、APC の対象となる製品、システム、サービスのサイバーセキュリティ特性の自己評価（または継続的改善）に誰でも利用できる。
Independent test facilities called Cyber Resilience Test Facilities (CRTFs) are NCSC approved organisations who can carry out independent assessments using these same APCs. A CRTF assessment will follow 3 steps which require the reasoning in the claims trees:	サイバーレジリエンス試験施設（Cyber Resilience Test Facilities：CRTF）と呼ばれる独立した試験施設は、NCSCが承認した組織であり、同じAPCを使用して独立したアセスメントを実施することができる。CRTFのアセスメントは、クレームツリーの推論を必要とする3つのステップを踏む：
1. Claims modifications: A conversation to determine whether the published APC is a good fit. If it is not then it is possible for the CRTF to approve modified claims so long as the formal reasoning can be adjusted to still support a link from the modified claim back to the Principle.	1. クレームの修正：公表されたAPCが適合しているかどうかを判断するための会話。そうでない場合、CRTF は、修正されたクレームからプリンシプルへのリンクをサポートするように形式的な理由を調整できる限り、修正されたクレームを承認することが可能である。
2. Evidence gathering: Once claims are agreed with the CRTF evidence is gathered and submitted to the CRTF for analysis.	2. 証拠収集： クレームがCRTFと合意されたら、証拠を収集し、分析のためにCRTFに提出する。
3. Evidence interpretation and outputs: Where evidence clearly supports a claim this is simply reported. Where evidence is deficient (or not offered) then the CRTF can use the reasoning in the claims trees to interpret this deficiency in the context of the underlying Principle. This is then reported as a risk against the Principle.	3. 証拠の解釈とアウトプット： 証拠がクレームを明確に裏付けている場合は、単に報告される。エビデンスが不足している（又は提出されていない）場合、CRTF はクレームツリーの推論を用い て、この不足を基本原則の文脈で解釈することができる。この場合、プリンシプルに対するリスクとして報告される。

 

・2025.04.24 [PDF] Product Cyber Resilience Testing (CRT) Assurance Principles and Claims (APC) v1.0 April 2025

・[DOCX][PDF] 仮訳

 

テーマと原則...

Theme 1:	Secure design and development	安全な設計と開発
Principle 1.1	Follow an established secure development framework.	確立された安全な開発フレームワークに従う。
Principle 1.2	Understand the composition of the software and assess risks linked to the ingestion and maintenance of third-party components throughout the development lifecycle.	ソフトウェアの構成を理解し、開発ライフサイクルを通じてサードパーティ製コンポーネントの取り込みと保守に関連するリスクをアセスメントする。
Principle 1.3	Have a clear process for testing software and software updates before distribution.	配布前にソフトウェアやソフトウェアのアップデートをテストするための明確なプロセスを持つ。
Principle 1.4	Follow secure by design and secure by default principles throughout the development lifecycle of the software.	ソフトウェアの開発ライフサイクル全体を通じて、セキュア・バイ・デザインとセキュア・バイ・デフォルトの原則に従う。
Theme 2:	Build environment security	環境セキュリティの構築
Principle 2.1	Protect the build environment against unauthorised access.	ビルド環境を不正アクセスから保護する。
Principle 2.2	Control and log changes to the build environment.	ビルド環境の変更を管理し、履歴を残す。
Theme 3:	Secure deployment and maintenance	安全な展開と保守
Principle 3.1	Distribute software securely to customers.	ソフトウェアを顧客に安全に配布する。
Principle 3.2	Implement and publish an effective vulnerability disclosure process.	効果的な脆弱性開示プロセスを導入し、公表する。
Principle 3.3	Have processes and documentation in place for proactively detecting, prioritising and managing vulnerabilities in software components.	ソフトウェアコンポーネントの脆弱性を積極的に検知、優先順位付け、管理するためのプロセスと文書を整備する。プロセスと文書を整備する。
Principle 3.4	Report vulnerabilities to relevant parties where appropriate.	必要に応じて、脆弱性を関係者に報告する。
Principle 3.5	Provide timely security updates, patches and notifications to customers.	タイムリーなセキュリティアップデート、パッチ、通知を顧客に提供する。
Theme 4:	Communication with customers	顧客とのコミュニケーション
Principle 4.1	Provide information to the customer specifying the level of support and maintenance provided for the software being sold.	販売するソフトウェアのサポートと保守のレベルを明記した情報を顧客に提供する。
Principle 4.2	Provides at least 1 year’s notice to customers of when the software will no longer be supported or maintained by the vendor.	ソフトウェアがベンダーによるサポートや保守を受けられなくなる時期について、少なくとも1年前に顧客に通知する。
Principle 4.3	Make information available to customers about notable incidents that may cause significant impact to customer organisations.	顧客組織に重大な影響を及ぼす可能性のある注目すべきインシデントについて、顧客に情報を提供する。
Theme 5:	Product specific usage, design and operation	製品固有の使用法、設計、操作
Principle 5.1	Design the product to be usable	使いやすい製品を設計する
Principle 5.2	Ensure only authorised users have access to product data and functionality	権限のあるユーザーのみが製品データと機能にアクセスできるようにする。
Principle 5.3	Protect sensitive data and the integrity of the product	機密データと製品の完全性を保護する
Principle 5.4	Enable the logging and monitoring of security events	セキュリティイベントのロギングと監視を有効にする

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.25 英国 NCSC 原則に基づく保証（PBA） (2023.04.17)