米国 NIST IR 7621 Rev.2（初期公開ドラフト）中小企業のサイバーセキュリティ：非雇用企業: まるちゃんの情報セキュリティ気まぐれ日記

June 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

2025.05.04

米国 NIST IR 7621 Rev.2（初期公開ドラフト）中小企業のサイバーセキュリティ：非雇用企業

こんにちは、丸山満彦です。

NISTが、中小企業向けのサイバーセキュリティの内部文書、IR 7621の改訂2版のドラフトが公開され、意見募集がされています。

これは2009年に最初の文書が、2016年に現在の改訂1版が確定しています。今回は10年ぶり？の改訂に向けてのドラフトとなります。

今回のドラフトでは、対象範囲を絞って、より明確にしているところがポイントです。

まず、

・「情報セキュリティ」からそのサブセットの「サイバーセキュリティ」に

次に

・「中小企業一般」から「個人事業主」に

絞っています。

そして、CSF 2.0を利用したものになっているのがポイントですね。。。

・個人事業主を対象としているという点と、

・にもかかわらず、ガバナンスの観点を強化したCSF2.0を使っている点

が非常に興味深い...

日本の零細企業のセキュリティ対策にも参考となるかもですね...

● NIST - ITL

・2025.05.01 NIST IR 7621 Rev. 2 (Initial Public Draft) Small Business Cybersecurity: Non-Employer Firms

NIST IR 7621 Rev. 2 (Initial Public Draft)　S%mall Business Cybersecurity: Non-Employer Firms	NIST IR 7621 Rev.2（初期公開ドラフト）中小企業のサイバーセキュリティ： Non-Employer Firms
Announcement	発表
According to the U.S. Small Business Administration Office of Advocacy, there are 34.8 million small businesses in the United States, comprising 99% of all U.S. businesses. Of those, 81.7% are non-employer firms with no paid employees other than the owners of the business. These businesses, though small in size, are represented in every industry and sector of the economy and contribute significantly to the Nation’s innovation and industrial competitiveness. This publication specifically addresses cybersecurity basics for non-employer firms with no paid employees other than the owners of the business, helping them to use the NIST Cybersecurity Framework 2.0 to begin managing their cybersecurity risks. The actions included within this publication are ones that small businesses can take on their own with limited technical knowledge or with minimal budget to implement. To make these guidelines applicable to a broader audience, cybersecurity risk management considerations are included for businesses as they grow and hire employees, if they decide to do so.	米国中小企業局によると、米国には3,480万社の中小企業があり、全米企業の99％を占めている。そのうち81.7%は、経営者以外に有給の従業員を持たない非雇用企業である。これらの企業は、規模こそ小さいが、経済のあらゆる産業や部門に代表者を擁し、米国のイノベーションと産業競争力に大きく貢献している。本書では、事業主以外に有給の従業員を持たない非雇用型企業のサイバーセキュリティの基本を特に取り上げ、NIST サイバーセキュリティフレームワーク 2.0 を活用してサイバーセキュリティリスクのマネジメントを開始できるように支援する。本書に含まれるアクションは、技術的な知識が乏しかったり、実施するための予算が最小限であったりしても、中小企業が独自に実施できるものである。このガイドラインをより幅広い読者に適用できるようにするため、企業が成長し、従業員を雇用することになった場合のサイバーセキュリティ・リスクマネジメントに関する考慮事項が含まれている。
One of the most significant changes to this revision is its narrowed scope. The previous versions of this publication discussed the broader topic of information security. To simplify and focus the content, this revised publication is now focused specifically on cybersecurity, which is a subset of information security. Based on community input, the audience has also been narrowed. Whereas prior versions were focused generally on “small business,” which is a very broad and diverse population, this revision is tailored to a more specific population—non-employer firms. Subsequent publications within this series may address other business populations. Revision 2 of this publication also reflects changes in technology and recent updates to NIST publications, including the Cybersecurity Framework (CSF) 2.0 and the NIST IR 8286 series. Another major update is that the information is presented in tabular format to enhance readability.	今回の改訂で最も大きな変更点の一つは、対象範囲を狭めたことである。本書の旧版では、情報セキュリティという広範なトピックを取り上げていた。内容を簡素化し、焦点を絞るため、今回の改訂版では、情報セキュリティのサブセットであるサイバーセキュリティに特化した。コミュニティからの意見に基づき、対象者も絞られた。旧版では、非常に広範で多様な人々である「中小企業」に全般的に焦点を当てていたのに対し、今回の改訂では、より特定の人々、すなわち非雇用者企業に合わせたものとなっている。本シリーズの後続刊行物では、他の企業集団を取り上げる可能性がある。本書の改訂 2 は、技術の変化や、サイバーセキュリティ枠組み（CSF）2.0 や NIST IR 8286 シリーズを含む NIST 出版物の最近の更新も反映している。もう一つの大きな更新点は、読みやすさを高めるために情報を表形式で示したことである。
Abstract	概要
This report is designed to help small firms use the NIST Cybersecurity Framework (CSF) 2.0 to begin managing their cybersecurity risks. The document is tailored to the smallest of businesses—those with no employees, or “non-employer” firms. These firms are also often colloquially referred to as “solopreneurs.” The goal of the publication is to introduce fundamentals of a small business cybersecurity program in non-technical language at the earliest stage of a business to set a solid cybersecurity risk management foundation. Considerations for maturing cybersecurity risk management as the business scales are included to make the document useful for entities of varying sizes. This publication is not all-encompassing, and implementation of a cybersecurity risk management strategy will vary based on the organization’s sector, size, resources, and contractual or regulatory requirements.	本レポートは、小規模企業が NIST サイバーセキュリティフレームワーク（CSF）2.0 を使用してサイバーセキュリティリスクのマネジメントを開始できるように設計されている。本書は、従業員のいない企業、つまり「非雇用」企業といった、最も小規模な企業向けに作成されている。このような企業は、俗に「個人事業主」とも呼ばれる。本書の目的は、事業の初期段階において、中小企業のサイバーセキュリティ・プログラムの基礎を非技術的な言葉で紹介し、サイバーセキュリティ・リスクマネジメントの基礎を固めることである。事業規模に応じてサイバーセキュリティ・リスクマネジメントを成熟させるための考察も含まれており、様々な規模の事業体にとって有用な文書となっている。本書はすべてを網羅するものではなく、サイバーセキュリティリスクマネジメント戦略の実施は、組織の業種、規模、リソース、契約上または規制上の要件によって異なる。

・[PDF] NIST.IR.7621r2.ipd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
2. The NIST Cybersecurity Framework	2. NIST サイバーセキュリティ枠組み
Govern Function (GV)	ガバナンス機能（GV）
Identify Function (ID)	識別機能（ID）
Protect Function (PR)	保護機能（PR）
Detect Function (DE)	検知機能（DE）
Respond Function (RS)	対応機能（RS）
Recover Function (RC)	回復機能（RC）
3. Conclusion	3.結論
References	参考文献
Appendix A. Glossary	附属書 A. 用語集
Appendix B. Acronyms	附属書 B. 頭字語
Appendix C. Calculating, Documenting, Categorizing, and Prioritizing Cybersecurity Assets and Risks Worksheet	附属書 C. サイバーセキュリティ資産とリスクの計算、文書化、分類、優先順位付けワークシート
Appendix D. Respond and Recover Worksheet	附属書 D. 対応と回復ワークシート
Appendix E. Authentication Worksheet	附属書 E. 認証ワークシート
Appendix F. Change Log	附属書 F. 変更履歴
List of Tables	表一覧
Table 1: Cybersecurity Risk Management Lifecycle	表 1：サイバーセキュリティリスクマネジメントのライフサイクル
Table 2: Getting Started with an Asset Inventory	表 2：資産インベントリの開始
Table 3: The Six Functions of the CSF	表 3：CSF の 6 つの機能
Table 4: Column Headings with Descriptions	表 4：列見出しと説明
Table 5: Documenting Legal, Regulatory, and Contractual Cybersecurity Requirements	表 5：法的、規制的、および契約上のサイバーセキュリティ要件の文書化
Table 6: MFA Starter Checklist	表 6：MFA スターターチェックリスト
Table 7: Sample Response Contact Table	表 7：対応連絡先表のサンプル
Table 8: Sample Asset Categorization-Appendix	表 8：資産分類のサンプル-附属書
Table 9: Sample Potential Events and Risks to Assets-Appendix	表 9：想定される出来事と資産に対するリスクの例-附属書
Table 10: Sample Contact Table-Appendi	表 10：サンプル連絡先表-附属書
Table 11: Sample Reporting Requirements Table-Appendix	表 11：サンプル報告要件表-附属書
Table 12: Sample MFA Table-Appendix	表 12：サンプル MFA 表-附属書
Table 13: Sample Default Manufacturer Passwords Table-Appendix	表 13：サンプルデフォルト製造事業者パスワード表-附属書
List of Figures	図一覧
Figure 1: Notional Architecture for Non-Employer Firm	図 1：非雇用企業の想定アーキテクチャ
Figure 2: The Cybersecurity Framework Functions	図 2：サイバーセキュリティ枠組みの機能

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Small businesses are a substantial and critical part of the U.S. and global economy. According to the U.S. Small Business Administration Office of Advocacy [3], there are 34.8 million small businesses in the United States, comprising 99% of all U.S. businesses. Of those, 81.7% are nonemployer firms with no paid employees other than the owners of the business. These businesses, though small in size, are represented in every industry and sector of the economy and contribute significantly to the Nation’s innovation and industrial competitiveness.	中小企業は、米国経済および世界経済において重要かつ重要な役割を担っている。米国および世界経済にとって重要かつ重要な役割を担っている。米国中小企業局（U.S. Small Business Administration Office of Advocacy）[3]によると、米国には 3,480 万の中小企業があり、米国企業全体の 99%を占めている。そのうち81.7%は、経営者以外に有給の従業員を持たない非雇用企業である。これらの企業は、規模こそ小さいものの、経済のあらゆる産業と部門に代表者を擁し、国の技術革新と産業競争力に大きく貢献している。
As small businesses have become more reliant upon data and technology to operate and scale a modern business, cybersecurity has become a fundamental risk that must be addressed alongside other business risks (e.g., financial risks, natural disasters, competitors) as part of broader enterprise risk management (ERM) planning. A cybersecurity incident can be devastating to a small business and can negatively impact its ability to deliver goods and services, with effects cascading to customers, employees, business partners, and potentially the community. Establishing a strong cybersecurity culture early in the business’ development, even before employees are hired, creates a foundation from which to build a resilient business in the face of ever-increasing cybersecurity risks. No business - of any size - can prevent every cybersecurity incident from occurring. But it can implement a cybersecurity plan that will enhance security while achieving business objectives.	中小企業が近代的なビジネスを運営し、規模を拡大するためにデータやテクノロジーへの依存度が高まるにつれ、サイバーセキュリティは、より広範なエンタープライズ・リスク・マネジメント（ERM）計画の一環として、他のビジネスリスク（財務リスク、自然災害、競合他社など）と並んで対処しなければならない基本的なリスクとなっている。サイバーセキュリティのインシデントは、中小企業に壊滅的な打撃を与え、商品やサービスを提供する能力に悪影響を及ぼし、その影響は顧客、従業員、ビジネス・パートナー、そして潜在的には地域社会にまで連鎖する可能性がある。従業員を雇用する前の早い段階から、強力なサイバーセキュリティ文化を確立することで、増大し続けるサイバーセキュリティ・リスクに直面してレジリエンスに優れたビジネスを構築する基盤が構築される。どのような規模の企業であっても、すべてのサイバーセキュリティ・インシデントの発生を防ぐことはできない。しかし、ビジネス目標を達成しながらセキュリティを強化するサイバーセキュリティ計画を実施することはできる。
NIST IR 7621, Revision 2 Updates	NIST IR 7621改訂第2版更新箇所
One of the most significant changes to this revision is its narrowed scope. The previous versions of this publication discussed the broader topic of information security. To simplify and focus the content, this revised publication is now focused specifically on cybersecurity, which is a subset of information security. Based on community input, the audience has also been narrowed. Whereas prior versions were focused generally on “small business,” which is a very broad and diverse population, this revision is tailored to a more specific population—non-employer firms [2]. Subsequent publications within this series may address other business populations. Revision 2 of this publication also reflects changes in technology and recent updates to NIST publications, including the Cybersecurity Framework (CSF) 2.0 and the NIST IR 8286 series. Another major update is that the information is presented in tabular format to enhance readability.	今回の改訂の最も大きな変更点の一つは、対象範囲を狭めたことである。本書の以前のバージョンでは、情報セキュリティという広範なトピックについて論じていた。内容を簡素化し、焦点を絞るために、この改訂版では、情報セキュリティのサブセットであるサイバーセキュリティに特化した。コミュニティからの意見に基づき、対象者も絞られた。旧版では、非常に広範で多様な「中小企業」を対象としていたのに対し、本改訂版では、より具体的な「非雇用者企業」を対象としている[2]。本シリーズの後続刊行物では、他の企業集団を取り上げる可能性がある。本書の改訂 2 は、技術の変化や、サイバーセキュリティ枠組み（CSF）2.0 や NIST IR 8286 シリーズを含む NIST 出版物の最近の更新も反映している。もう一つの大きな更新点は、情報が表形式で表示され、読みやすくなったことである。
Relationship to the CSF 2.0 and Other NIST Publications	CSF 2.0 および他の NIST 出版物との関係
This publication uses the CSF 2.0 [1] and the CSF 2.0 Small Business (SMB) Quick Start Guide (QSG) as a foundation from which to address cybersecurity for a specific audience—nonemployer firms. This publication goes into significantly more detail than the SMB QSG and brings in additional NIST publications as reference material to connect and demonstrate important concepts through graphics, tables, and appendices.	本書は、CSF 2.0 [1]および CSF 2.0 小規模企業（SMB）クイックスタートガイド（QSG）を基礎として、特定の対象者（非雇用者企業）向けのサイバーセキュリティに取り組んでいる。本書は、SMB QSG よりも大幅に詳細な内容となっており、NIST の追加刊行物を参考資料として取り入れ、図、表、附属書を通じて重要な概念を結びつけ、実証している。
“No business - of any size - can prevent every cybersecurity incident from occurring. But it can implement a cybersecurity plan that will enhance security while delivering business objectives.”	「どのような規模の企業であっても、すべてのサイバーセキュリティインシデントの発生を防ぐことはできない。しかし、ビジネス目標を達成しながらセキュリティを強化するサイバーセキュリティ計画を実施することはできる。

IR7621の履歴...

2025.05.01	IR	7621 Rev. 2	Small Business Cybersecurity: Non-Employer Firms	Draft
2024.03.18	IR	7621 Rev. 2	PRE-DRAFT Call for Comments \| Small Business Information Security: The Fundamentals	Draft (Obsolete)
2016.11.03	IR	7621 Rev. 1	Small Business Information Security: The Fundamentals	Final
2014.12.16	IR	7621 Rev. 1	Small Business Information Security: the Fundamentals	Draft (Obsolete)
2009.10.01	IR	7621	Small Business Information Security: the Fundamentals	Withdrawn