米国 NIST SP 800-18 Rev.2（初公開ドラフト） システムのセキュリティ、プライバシー、サイバーセキュリティ・サプライチェーン・リスクマネジメント計画の策定 (2025.06.04)

こんにちは、丸山満彦です。

1998年12月に初版が発行され、2006年2月に改訂されたNISTのSP800-18 Rev.1 連邦情報システムのためのセキュリティ計画策定ガイドの改訂版案が公表されていますね...

NISTのリスクマネジメント・フレームワーク (RMF) の理解が前提となっていますね...

ということもあって、現在の版が情報システムのセキュリティであったのが、改定案では、プライバシーとサイバーセキュリティ・サプライチェーン・リスクマネジメントも対象に含まれることになっていますね...

現在の版は、IPAから[PDF]日本語仮訳版が公表されているので、参考にするとよいと思います...

ちなみにNIST RMFに関連するNISTのプロジェクトは次のとおり...

• Cybersecurity Framework
• Cybersecurity Supply Chain Risk Management
• Federal Cybersecurity & Privacy Forum
• macOS Security
• Open Security Controls Assessment Language
• Operational Technology Security
• Privacy Engineering
• Protecting CUI
• Systems Security Engineering (SSE) Project

 

● NIST - ITL

・2025.06.04 NIST SP 800-18 Rev. 2 (Initial Public Draft) Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems

 

NIST SP 800-18 Rev. 2 (Initial Public Draft) Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems	NIST SP 800-18 Rev.2（初公開ドラフト） システムのセキュリティ、プライバシー、サイバーセキュリティ サプライチェーンリスクマネジメント計画の策定
Announcement	発表
The system security plan, system privacy plan, and cybersecurity supply chain risk management plan–collectively referred to as system plans– consolidate information about the assets and individuals being protected within an authorization boundary and its interconnected systems. System plans serve as a centralized point of reference for information about the system and tracking risk management decisions to include data being created, collected, disseminated, used, stored, and disposed; individuals responsible for system risk management efforts; details about the environment of operation, system components, and data flows internally and externally; and controls in planned and in place to manage risk.	システムセキュリティプラン、システムプライバシプラン、サイバーセキュリティ・サプライチェーン・リスクマネジメントプランは、総称してシステムプランと呼ばれ、認可バウンダリとその相互接続システム内で保護される資産と個人に関する情報を統合する。システム計画は、作成、収集、普及、使用、保存、廃棄されるデータ、システムリスクマネジメントの取り組みの責任者、運用環境、システム構成要素、内部および外部へのデータの流れに関する詳細、リスクマネジメントのために計画され実施されている管理策など、システムに関する情報およびリスクマネジメントの意思決定を追跡するための一元的な参照ポイントとして機能する。
NIST Special Publication 800-18r2 focuses on the development of system plans that address system-level security, privacy, and CSCRM requirements that may derive from enterprise, organization, and mission/business process requirements.	NIST 特別刊行物 800-18r2 は、エンタープライズ、組織、及びミッション／ビジネスプロセスの要件に由来するシステムレベルのセキュリティ、プライバシー、及び CSCRM の要件に対応するシステム計画の策定に焦点を当てている。
The major changes for this revision include:	この改訂の主な変更点は以下のとおりである：
・Expanded guidance to address the development of system plans within the context of the NIST Risk Management Framework, the NIST Privacy Framework, and NIST SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations.	・NIST リスクマネジメントフレームワーク、NIST プライバシーフレームワーク、及び NIST SP 800-161r1「システム及び組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践」の文脈におけるシステム計画の策定に対処するためのガイダンスの拡充。
・Insights into the development of a consolidated system plan that encompasses security, privacy, and cybersecurity supply chain risk management plan elements.	・セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクマネジメント計画の要素を包含する統合システム計画の策定についての洞察。
・Updated descriptions of system plan elements, with considerations for security, privacy, and cybersecurity supply chain risk management requirements.	・セキュリティ、プライバシー及びサイバーセキュリティサプライチェーンリスクマネジメント要件に配慮したシステム計画要素の説明を更新した。
・Considerations for automating the development and maintenance of system plans using information management tools, such as governance, risk, and compliance (GRC) applications.	・ガバナンス・リスク・コンプライアンス（GRC）アプリケーションなどの情報マネジメントツールを用いたシステム計画の策定及び保守の自動化に関する考察。
Supplemental materials include system plan example outlines; updated roles and responsibilities associated with system plan development.	補足資料には、システム計画例の概要、システム計画策定に関連する役割と責任の更新などが含まれる。
The public comment period is open through July 30, 2025. We encourage you to use this comment template and email it to [mail] .	パブリックコメント期間は2025年7月30日までである。このコメントテンプレートを使用し、[mail] まで電子メールで送付されることを推奨する。
Abstract	要旨
The system security plan, system privacy plan, and cybersecurity supply chain risk management plan are collectively referred to as system plans. They describe the purpose of the system, the operational status of the controls selected and allocated for meeting risk management requirements, and the responsibilities and expected behavior of all individuals who manage, support, and access the system. This publication identifies essential elements of system plans from security, privacy, and cybersecurity supply chain risk management perspectives to promote consistent information collection across the organization, regardless of the system’s mission or business function.	システムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンリスクマネジメントプランを総称してシステムプランと呼ぶ。これらは、システムの目的、リスクマネジメント要件を満たすために選択され、割り当てられた管理 の運用状況、システムを管理、サポート、アクセスするすべての個人の責任と期待される行動を記述する。本書では、セキュリティ、プライバシー、サイバーセキュリティのサプライチェーンリスクマネジメントの観点から、システム計画に不可欠な要素を特定し、システムのミッションや業務機能に関係なく、組織全体で一貫した情報収集を促進する。
Supplemental Content	補足コンテンツ
The following materials are available on the publication details page to supplement the guidance provided in this publication:	本書で提供されるガイダンスを補足するために、出版物の詳細ページで以下の資料を入手できる：
・System Security Plan outline example	・システム・セキュリティ計画の概要例
・System Privacy Plan outline example	・システム・プライバシー計画の概要例
・Cybersecurity Supply Chain Risk Management System Plan outline example	・サイバーセキュリティ サプライチェーンリスクマネジメントシステム計画の概要例
・System Plan Roles and Responsibilities	・システム計画の役割と対応計画
Audience	想定読者
This publication is intended to serve a diverse audience, including:	本書は、以下を含む多様な読者を対象としている：
・Individuals with information security, privacy, and risk management program oversight responsibilities (e.g., authorizing officials, senior agency information security officers, senior agency officials for privacy)	・情報セキュリティ、プライバシー及びリスクマネジメントプログラムの監督責任を有する個人 （例えば、認可担当者、上級機関の情報セキュリティ担当者、プライバシー担当の上級機関職員） ・システム開発責任を有する個人
・Individuals with system development responsibilities (e.g., mission or business owners, program managers, systems engineers, systems security engineers, systems privacy engineers, software developers, systems integrators, acquisition or procurement officials)	・システム開発に責任を有する個人（例えば、ミッション又はビジネスオーナー、プログラ ムマネージャー、システムエンジニア、システムセキュリティエンジニア、システムプライバシエンジニア、ソフトウ ェア開発者、システムインテグレーター、取得又は調達担当者）
・Individuals with system security and privacy implementation and operations responsibilities (e.g., mission or business owners, system owners, information owners or stewards, system administrators, system security officers, system privacy officers)	・システムセキュリティ及びプライバシーの実装と運用を担当する個人 （例えば、ミッション又はビジネスオーナー、システムオーナー、情報オーナ ー又はスチュワード、システム管理者、システムセキュリティオフィサー、シ ステムプライバシーオフィサー）
・Individuals with cybersecurity supply chain risk management-related responsibilities (e.g., C-SCRM program managers)	・サイバーセキュリティサプライチェーンリスクマネジメントに関連する責任を有する個人（例： C-SCRM プログラムマネージャ）
・Individuals with acquisition and procurement-related responsibilities (e.g., acquisition officials, contracting officers)	・取得及び調達に関連する責任を有する個人（例：取得担当者、契約担当者）
・Individuals with logistical or disposition-related responsibilities (e.g., program managers, system integrators, property managers)	・後方支援または処分に関連する責任を有する個人 （例：プログラムマネージャー、システム インテグレーター、資産管理者）
・Individuals with control assessment and monitoring responsibilities (e.g., auditors, Inspectors General, system evaluators, control assessors, independent verifiers and validators, analysts)	・管理評価及び監視に責任を持つ個人（例：監査人、監察官、システム評価者、管理評価者、独立検証者及び妥当性確認者、分析者）
・Commercial entities and industry partners that produce component products and systems, create security and privacy technologies, or provide services or capabilities that support information security or privacy	・コンポーネント製品やシステムを製造し、セキュリティ技術やプライバシー技術を開発し、 情報セキュリティやプライバシーを支援するサービスや機能を提供する営利事業体や業界 パートナー
The material presented in this publication assumes that the audience has a basic understanding of the NIST Risk Management Framework (RMF).	本書に記載されている内容は、読者がNISTリスクマネジメントフレームワーク（RMF）の基本的な理解を持っていることを前提としている。
Note to Reviewers	査読者への注記
NIST welcomes feedback on the quality of the draft revision of this publication, including the technical accuracy of the material presented, the ease of navigating and understanding the material, and the impacts of the added, modified, and removed content.	NISTは、提示された資料の技術的な正確さ、資料のナビゲーションや理解のしやすさ、追加・修正・削除された内容の影響など、本書の改訂ドラフトの品質に関するフィードバックを歓迎する。
This updated guidance for the development of system plans is intended to support:	システム計画策定のためのこの最新ガイダンスは、以下を支援することを意図している：
・The development and maintenance of system plans following the NIST RMF	・NIST RMFに従ったシステム計画の策定と保守を支援する。
・Privacy risk management as reflected in the NIST Privacy Framework, the inclusion of privacy risk management in SP 800-37, and the updated controls in SP 800-53 to more fully support privacy objectives	・NIST Privacy Framework に反映されたプライバシーリスクマネジメント、SP 800-37 に含まれたプライバシーリスクマネジメント、及びプライバシー目標をより完全にサポートするための SP 800-53 の更新されたコントロール
・The increased attention to cybersecurity-related supply chain risks reflected in SP 800161 and the supply chain risk management (SR) controls in SP 800-53	・SP 800161 及び SP 800-53 のサプライチェーンリスクマネジメント(SR)統制に反映され た、サイバーセキュリティ関連のサプライチェーンリスクへの関心の高まり。
・The use of automation to capture, process, and report information in the system plans to facilitate risk management activities and decisions NIST is particularly interested in feedback on the following:	・リスクマネジメント活動と意思決定を促進するためのシステム計画における情報の取得、処理、報告への自動化の利用 NIST は、特に以下の点に関するフィードバックに関心がある：
・How do these guidelines align with your existing organizational practices for documenting or reporting security, privacy, and cybersecurity supply chain risk management efforts at the system level?	・本ガイドラインは、システムレベルでのセキュリティ、プライバシー及びサイバーセキュリティのサプライチェーンリスクマネジメントの取り組みを文書化又は報告するための既存の組織的慣行とどのように整合するか。
・How do you expect the guidelines and supplemental materials to influence your future practices and processes?	・本ガイドライン及び補足資料が、貴社の今後の実務やプロセスにどのような影響を与えることを期待するか。
・What additional system plan elements would improve the usability of the information captured for the system plans?	・システム計画のために取得した情報の使いやすさを改善するために、どのようなシステム計画 要素を追加するか。
・What additional considerations are there for automating the capture of system information using enterprise security tools that would improve organizational risk management efforts and risk decision-making?	・エンタープライズセキュリティツールを使ってシステム情報の取り込みを自動化することに よって、組織のリスクマネジメントの取り組みとリスクの意思決定を改善するために、 どのような追加的な考慮事項があるか。
Comments can be submitted using the comment template posted on the publication details page and sent to [mail] with the subject “SP 800-18r2 ipd comments.”	コメントは、出版物の詳細ページに掲載されているコメントテンプレートを使用し、件名を 「SP 800-18r2 ipd comments 」として、[mail] 宛に提出することができる。

 

・[PDF] NIST.SP.800-18r2.ipd

 

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Relationship to Other NIST Guidelines	1.1. 他の NIST ガイドラインとの関係
1.2. Document Organization	1.2. 文書の構成
2. Overview	2. 概要
2.1. System Security Plan	2.1. システム・セキュリティ計画
2.2. System Privacy Plan	2.2. システム・プライバシー計画
2.3. Cybersecurity Supply Chain Risk Management Plan	2.3. サイバーセキュリティ・サプライチェーン・リスクマネジメント計画
2.4. Consolidated System Plans	2.4. 統合システム計画
3. Elements of System Plans	3. システム計画の要素
3.1. System Name and Identifier	3.1. システムの名称と識別名
3.2. System Plan Reviews and Change Records	3.2. システム計画のレビューと変更記録
3.3. Role Identification and Responsible Personnel	3.3. 役割の特定と責任者
3.4. System Operational Status	3.4. システムの運用状況
3.5. System Description	3.5. システムの説明
3.6. System Information Types and System Categorization	3.6. システム情報の種類とシステムの分類
3.7. Authorization Boundary and System Environment	3.7. 認可境界とシステム環境
3.8. Control Implementation Details	3.8. コントロールの実装の詳細
3.9. Information Exchanges	3.9. 情報交換
3.10. Laws, Regulations, and Policies Affecting the System	3.10. システムに影響を及ぼす法律、規制、政策
3.11. Digital Identity Acceptance Statement	3.11. デジタル ID アクセプタンス・ステートメント
3.12. Referenced Artifacts	3.12. 参照される成果物
3.13. Acronym List and Glossary	3.13. 略語リストおよび用語集
4. System Plan Development and Maintenance	4. システム計画の策定と保守
4.1. Prepare	4.1. 準備
4.2. Categorize	4.2. 分類
4.3. Select	4.3. 選択
4.4. Implement	4.4. 実施
4.5. Assess	4.5. アセスメント
4.6. Authorize	4.6. 認可
4.7. Monitor	4.7. モニター
4.8. Automation Support	4.8. 自動化サポート
References	参考文献
Appendix A. RMF Task Outputs Related to System Plan Elements	附属書A. システム計画要素に関連するRMFタスクのアウトプット
Appendix B. List of Abbreviations and Acronyms	附属書B. 略語と頭字語のリスト
Appendix C. Glossary	附属書C. 用語集
Appendix D. Change Log	附属書D. 変更履歴
List of Tables	表一覧
Table 1. RMF task outputs related to system plan elements	表1. システム計画要素に関連するRMFタスクのアウトプット
List of Figures	図一覧
Fig. 1. Relationship between security and privacy risks	図1. セキュリティリスクとプライバシーリスクの関係
Fig. 2. NIST Risk Management Framework Steps	図2. NISTリスクマネジメントフレームワークのステップ

 

 

Executive Summary	エグゼクティブサマリー
System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan that describe the design and implementation of security, privacy, and cybersecurity supply chain protections throughout the system life cycle. System plans include information about the data being created, collected, disseminated, used, stored, and disposed; identify individuals who are responsible for system risk management efforts; describe the environment of operation, system components, and data flows within the environment; and account for system risks associated with information exchanges involving systems outside the authorization boundary. The structure and format of system plans are prepared according to organizational needs and the information described in this publication.	システム計画とは、システムのライフサイクル全体を通して、セキュリティ、プライバシー、サイバーセキュリティサプライチェーンマネジメント（C-SCRM）防御の設計と実施を記述するシステムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンマネジメント（C-SCRM）プランを総称したものである。システム計画には、作成、収集、普及、使用、保存及び廃棄されるデータに関する情報を含み、システムリスク マネジメントの取り組みに責任を負う個人を特定し、運用環境、システム構成要素及び環境内のデータフロー を記述し、認可境界外のシステムを含む情報交換に関連するシステムリスクを考慮する。システム計画の構成及び書式は、組織のニーズ及び本書に記載された情報に従って作成される。
NIST Special Publication (SP) 800-18r2 (Revision 2) addresses the development and maintenance of system plans in support of risk management activities, such as tasks in the NIST Risk Management Framework (RMF) steps in [SP800-37]. This revision:	NIST特別刊行物（SP）800-18r2（改訂2）は、[SP800-37]のNISTリスクマネジメントフレームワーク（RMF）のステップにおけるタスクなど、リスクマネジメント活動を支援するシステム計画の策定と保守に対応している。本改訂は、以下の内容を含んでいる：
・ Provides content considerations for elements in system plans;	・システム計画における要素の内容に関する考察を提供する；
・ Discusses the use of automation to develop and maintain system plans over the system life cycle, including sharing and protecting system plan information; and	・システム計画情報の共有と防御を含め、システムライフサイクルを通じたシステム計画の策定と維持のための自動化の利用について説明する。
・ Provides supplemental materials, including system plan outline examples and updated roles and responsibilities associated with system plans that may factor into system plan development.	・システム計画の概要例や、システム計画策定に関連する役割と責任の更新などの補足資料を提供する。
Federal agencies are required to develop and maintain system plans for managing risks, including implementation details for the controls allocated to address the requirements. Nonfederal organizations may voluntarily apply these guidelines to develop and maintain system plans consistent with their risk management strategies.	連邦政府機関は、要件に対応するために割り当てられた管理の実施詳細を含む、リスクマネジメントのためのシステム計画を策定し、維持することが求められる。連邦政府以外の組織は、リスクマネジメント戦略に合致したシステム計画を策定・維持するために、自主的に本ガイドラインを適用することができる。
1. Introduction	1. 序論
All systems that process, store, and transmit information within an organization need safeguards that adhere to an organization-wide risk management strategy to address security, privacy, and cybersecurity supply chain risks. System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan, which describe the assets and individuals being protected within an authorization boundary and the system risks associated with information exchanges that involve systems outside of the authorization boundary.	組織内で情報を処理、保管、伝送するすべてのシステムには、セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクに対処するために、組織全体のリスクマネジメント戦略に準拠したセーフガードが必要である。システム計画は、システムセキュリティプラン、システムプライバシープラン、及びサイバーセキュリティサプライチェーンマネジメント（C-SCRM）プランを総称したものであり、認可バウンダリ内で保護される資産及び個人、並びに認可バウンダリ外のシステムを含む情報交換に関連するシステムリスクを記述する。
・ The system security plan describes the system security requirements, including the controls selected to protect the confidentiality, integrity, and availability of the system and its information.	・システムセキュリティプランは、システム及びその情報の機密性、完全性及び可用性を保護するために選択された管理を含む、システムセキュリティ要件を記述する。
・ The system privacy plan describes the system privacy risk management requirements, including the controls selected to address predictability, manageability, and disassociability.[1]	・システムプライバシー計画は、予測可能性、管理可能性、及び解離可能性に対処するために選択された管理を含む、システムプライバシーリスクマネジメントの要求事項を記述する[1]。
・ The C-SCRM plan describes the system’s C-SCRM requirements, including the controls to manage, implement, and monitor the supply chain and develop and sustain the system across mission and business functions.	・C-SCRM計画は、サプライチェーンを管理し、実施し、監視し、ミッション及びビジネス機能にわたってシステムを開発し、維持するための統制を含む、システムのC-SCRM要件を記述する。
The NIST Risk Management Framework (RMF) [SP800-37] provides a flexible methodology for organizations and systems to manage security, privacy, and supply chain risks. The expected outputs of RMF tasks (see Appendix A) inform the system plan elements that describe the system’s purpose; environment of operation; information that is stored, processed, and transmitted; data flows within the environment and with interconnected systems; control implementation details; and the roles and responsibilities of individuals associated with the system. Automation and information management tools can facilitate the collection,  presentation, and update of system plan information.2	NISTリスクマネジメントフレームワーク（RMF） [SP800-37]は、組織及びシステムがセキュリティ、 プライバシー及びサプライチェーンリスクを管理するための 柔軟な方法論を提供するものである。RMFタスクの期待されるアウトプット（附属書Aを参照）は、システムの目的、運用環境、保存、処理、及び伝送される情報、環境内及び相互接続されたシステムとのデータフロー、統制の実施の詳細、並びにシステムに関連する個人の役割及び責任を記述するシステム計画要素に情報を与える。自動化と情報管理ツールは、システム計画情報の収集、提示、更新を容易にすることができる2。
This publication focuses on the development of system plans that address system-level security, privacy, and C-SCRM requirements that are derived from enterprise, organization, and mission/business process requirements. These guidelines can also be extended to:	本書は、エンタープライズ、組織、及びミッション／ビジネ スプロセスの要求事項に由来する、システムレベルのセキュリ ティ、プライバシー、及びC-SCRMの要求事項に対応するシ ステム計画の作成に焦点を当てている。これらのガイドラインはまた、以下のように拡張することができる：
・ Common control providers that provide implementation details for controls available to be inherited by other systems;	・他のシステムに継承可能な制御の実装の詳細を提供する共通制御プロバイダ；
・ Requirements identified in [SP800-171] and [SP800-172] for the development of system security plans for nonfederal organizations protecting Controlled Unclassified Information (CUI); and	・管理対象非機密情報（CUI）を保護する連邦政府以外の組織のシステム・セキュリティ計画の策定に関する[SP800-171]及び[SP800-172]で識別される要件。
・ Organizations developing system plans for service offerings from cloud service providers, including software as a service (SaaS), infrastructure as a service (IaaS), and platform as a service (PaaS).	・SaaS、IaaS、PaaSなど、クラウドサービスプロバイダが提供するサービスのシステム計画を策定する組織。
System plans are required for federal systems in accordance with Office of Management and Budget (OMB) Circular A-130 [OMBA-130] and the provisions of the Federal Information Security Modernization Act (FISMA) of 2014 [FISMA].[2] Nonfederal organizations — including private and small businesses, academic institutions, and state, local, and tribal governments — may also utilize these guidelines to support their risk management programs.	システム計画は、行政管理予算局（OMB）通達A-130[OMBA-130]および2014年連邦情報セキュリティ近代化法（FISMA）[FISMA]の規定に従って、連邦政府のシステムに対して要求される[2]。民間企業、中小企業、学術機構、州政府、地方政府、部族政府を含む連邦政府以外の組織も、リスク管理プログラムを支援するために本ガイドラインを利用することができる。
1.1. Relationship to Other NIST Guidelines	1.1. 他のNISTガイドラインとの関係
This publication is designed to support the NIST portfolio of risk management initiatives and publications[3] that address security, privacy, and supply chain risk management concepts and methodologies, including:	本書は、セキュリティ、プライバシー、及びサプライチェーンリスクマネジメントの概念と方法論を扱った NIST のリスクマネジメントのイニシアティブ及び出版物[3]のポートフォリオを支援するように設計されている：
・ SP 800-37, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy [SP800-37]	・SP 800-37「情報システム及び組織のためのリスクマネジメント枠組み」： セキュリティとプライバシーのためのシステムライフサイクルアプローチ[SP800-37]。
・ SP 800-53, Security and Privacy Controls for Information Systems and Organizations [SP800-53]	・SP 800-53、情報システム及び組織のためのセキュリティ及びプライバシー管理 [SP800-53]
・ SP 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations [SP800-53A]	・SP 800-53A、情報システム及び組織におけるセキュリティ及びプライバシーコントロールのアセスメント [SP800-53A］
・ SP 800-53B, Control Baselines for Information Systems and Organizations [SP800-53B]	・SP 800-53B、情報システム及び組織のコントロール・ベースライン[SP800-53B]。
・ SP 800-161, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [SP800-161]	・SP 800-161、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[SP800-161]。
・ SP 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations [SP800-171]	・SP 800-171、連邦政府以外のシステム及び組織における管理対象非機密情報の防御 [SP800-171] [SP800-172
・ SP 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information [SP800-172]	・SP 800-172、管理対象非機密情報を保護するための拡張セキュリティ要件 [SP800-172] [SP800-172
・ NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management [NISTPF]	・NIST プライバシー枠組み： エンタープライズリスクマネジメントを通じてプライバシーを改善するためのツール[NISTPF]。
・ The NIST Cybersecurity Framework (CSF) [NISTCSF]	・NIST サイバーセキュリティ枠組み（CSF）[NISTCSF]。
1.2. Document Organization	1.2. 文書の構成
The publication is organized into the following sections:	本書は以下のセクションで構成されている：
・ Section 2 describes system security, system privacy, and C-SCRM plans.	・セクション2は、システムセキュリティ、 システムプライバシー及びC-SCRM計画について記述 している。
・ Section 3 identifies elements that may be included in system security, privacy, and C-SCRM plans.	・セクション3は、システムセキュリティ、プライバシー及び C-SCRM計画に含まれ得る要素を特定する。
・ Section 4 describes how system plans are developed and maintained in relation to the RMF and with the support of automation.	・セクション4は、RMFに関連し、自動化の支援を受けて、システ ム計画がどのように策定され、維持されるかを記述する。
・ The References section lists the source materials cited in this publication.	・参考文献のセクションは、本書で引用した出典を列挙している。
The following appendices provide additional information and resources that support the development of system plans:	以下の附属書は、システム計画の策定を支援する追加的な情報とリソースを提供する：
・ Appendix A summarizes the RMF task outputs included in system plans.	・附属書Aは、システム計画に含まれるRMFタスクアウトプットをまとめたものである。
・ Appendix B lists the abbreviations and acronyms used in this publication.	・附属書Bは、本書で使用されている略語と頭字語の一覧である。
・ Appendix C provides a glossary of the terms used in this publication.	・附属書Cは、本書で使用されている用語の解説である。
・ Appendix D provides a publication change log.	・附属書Dは、本書の変更履歴を示す。
2. Overview	2. 概要
System plans are based on the organization’s risk management strategy and NIST guidelines (e.g., [SP800-37], [SP800-53], [SP800-161]). They:	システム計画は、組織のリスクマネジメント戦略及びNISTガイドライン（[SP800-37]、[SP800-53]、[SP800-161]など）に基づいている。それらは以下のとおりである：
・ Define the authorization boundary of the system;	・システムの認可境界を定義する；
・ Support the organization’s security, privacy, and C-SCRM objectives;	・組織のセキュリティ、プライバシー、C-SCRM の目的をサポートする；
・ Define capabilities to defend the organization against threats and threat actors;	・脅威及び脅威アクターから組織を防御する能力を定義する；
・ Identify individuals who are responsible for managing and supporting the system;	・システムの管理及びサポートに責任を持つ個人を識別する；
・ Help organizational personnel understand how to manage risks to an acceptable level throughout the system life cycle and respond to changing risks in a timely manner;	・組織の要員が、システムのライフサイクルを通じてリスクを許容可能なレベルまで管理し、変化するリスクに適時に対応する方法を理解するのを支援する；
・ Consider requirements for information technology, operational technology, and emerging technologies that may be informed by system artifacts, such as risk assessments, business impact analyses (BIAs), and information exchange agreements;	・リスクアセスメント、ビジネス影響度分析（BIA）、情報交換契約などのシステム成果物 から得られる情報技術、運用技術、及び新たな技術に関する要件を分析する；
・ Provide sufficient evidence to support risk-based decisions regarding the ongoing operation or use of the system; and	・システムの継続的な運用または使用に関するリスクベースの決定を裏付ける十分な証拠を提供する。
・ Require methodical reviews and periodic updates to maintain information about the system’s mission, technologies, components, personnel, and implemented controls.	・システムの使命、技術、構成要素、要員、及び実施された管理に関する情報を維持するために、体系的なレビュー及び定期的な更新を要求する。
The information contained in system plans can be captured as documents or using different Governance, Risk and Compliance (GRC) tools. This section addresses the objectives and purposes of the system security plan, system privacy plan, and C-SCRM plan.	システム計画に含まれる情報は、文書として、またはさまざまなガバナンス・リスク・コンプライアンス（GRC）ツールを使用して取得することができる。本節では、システムセキュリティ計画、システ ムプライバシー計画、C-SCRM 計画の目的と目 的について述べる。
2.1. System Security Plan	2.1. システムセキュリティ計画
The system security plan identifies the system’s security requirements and the protections that are planned or in place to meet those requirements. The security plan:	システムセキュリティ計画は、システムのセキュリ ティ要件と、それらの要件を満たすために計画され た、あるいは実施されている防御を特定する。セキュリティ計画
・ Enables organizational leadership and system management personnel to manage security risks and make effective risk management decisions throughout the system life cycle;	・組織の指導者及びシステムマネジメントの職員が、システムのライフサイクルを通じてセキュリティリスクを管理し、効果的なリスクマネジメントの意思決定を行うことができるようにする；
・ Describes implemented or planned controls that address the system’s security requirements;	・システムのセキュリティ要件に対応する、実装済みまたは計画済みの管理策を記述する；
・ Identifies the individuals responsible for maintaining the security protections for information and information systems;	・情報及び情報システムのセキュリティ保 護を維持する責任を負う個人を 識別する
・ Consolidates details about the system, including its purpose, authorization boundary, [FIPS199] security categorization, operational status, and environment of operations; and	・システムの目的、認可境界、[FIPS199]セキュリティ分類、運用状況、運用環境など、システムに関する詳細がまとめられている。
・ Demonstrates how security objectives (i.e., confidentiality, integrity, and availability) are achieved by following security engineering approaches to building resilient and trustworthy systems.	・レジリエンスと信頼性のあるシステムを構築するためのセキュリティ工学的アプローチに従って、セキュリティ目的（すなわち、機密性、完全性、可用性）がどのように達成されるかを実証する。
2.2. System Privacy Plan	2.2. システムプライバシー計画
The system privacy plan identifies controls that are allocated and implemented to address privacy risks related to both cybersecurity events and data processing. The privacy plan:	システム・プライバシー計画は、サイバーセキュリティ事象とデータ・処理の両方に関連するプライバシ ー・リスクに対処するために割り当てられ、実施される管理者を特定する。プライバシー計画は以下のとおりである：
• Aligns the system’s privacy objectives with the organization’s mission, risk tolerance,	・システムのプライバシー目標を、組織のミッション、リスク許容度、プライバシー目標と整合させる、
and privacy goals;	プライバシー目標に整合させる；
• Defines system requirements with respect to the privacy engineering objectives of predictability, manageability, and disassociability and the Fair Information Practice Principles (FIPPs)[4]; and	・予測可能性、管理可能性、および分離可能性というプライバシー工学の目的と、公正情報慣行原則（FIPPs）[4]に関してシステム要件を定義する；
• Describes planned and implemented controls to address privacy requirements and data processing activities that may compromise privacy (i.e., problematic data actions[5]).	・プライバシー要件及びプライバシーを侵害する可能性のあるデータ・プロセッシング活動（すなわち、問題のあるデータ・アクション[5]）に対処するために計画され実施された管理者を記述する。
Privacy requirements may be informed by legal and regulatory obligations as well as privacy activities and artifacts, such as Privacy Impact Assessments (PIAs), Privacy Risk Assessments (PRAs),[6] System of Records Notices (SORNs), Memorandums of Understanding (MOUs), or other types of contracts or agreements. This includes identifying and cataloging key inputs, such as data actions, contextual factors that describe the circumstances surrounding data processing, privacy capabilities, and privacy engineering and security objectives based on organizational mission needs, risk tolerance, and privacy goals. The tasks in the RMF Prepare step identify sources of system privacy requirements.	プライバシー要件は、プライバシー影響アセスメント（PIA）、プライバシーリスクアセスメ ント（PRA）[6]、記録システム通知（SORN）、覚書（MOU）、または他のタイプの契約や合意など、プライバ シーの活動や成果物だけでなく、法律や規制上の義務によって知らされることがある。これには、組織のミッション・ニーズ、リスク許容度、プライバシー目標に基づき、データ・アクション、データ処理を取り巻く状況を説明する文脈的要因、プライバシー能力、プライバシー・エンジニアリングおよびセキュリティ目標などの主要なインプットを特定し、カタログ化することが含まれる。RMF準備ステップのタスクは、システムのプライバシー要件の情報源を特定する。
2.2.1. Relationship Between the System Security Plan and System Privacy Plan	2.2.1. システム・セキュリティ計画とシステム・プライバシー計画の関係
Organizational security and privacy programs have complementary objectives and overlappingrisks with regard to confidentiality, integrity, and availability, as shown in Fig. 1.	組織のセキュリティ計画とプライバシー計画には、図 1 に示すように、機密性、完全性、可用性に関して相補的な目的と重複するリスクがある。
Fig. 1. Relationship between security and privacy risks	図1. セキュリティリスクとプライバシーリスクの関係
Both unauthorized data access and authorized disclosures that are made without sufficient disassociability can introduce privacy issues, physical harms, or economic losses. Systems must comply with laws governing data subject rights (i.e., the right to access, correct, or delete information[7]). The system privacy plan describes how the organization manages the risks of over-collection, unauthorized profiling, or the misuse of data about individuals.	無許可のデータ・アクセスも、十分な分離可能性を持たずに行われた認可された開示も、プライバシーの問題、物理的損害、経済的損失をもたらす可能性がある。システムは、データ対象者の権利（すなわち、情報へのアクセス、訂正、削除の権利[7]）を規定する法律を遵守しなければならない。システム・プライバシー計画は、組織が個人に関するデータの過剰収集、不正なプロファイリング、または悪用のリスクをどのようにマネジメントするかを記述する。
Control implementation details differ between system privacy, security, and C-SCRM plans (see Sec. 3.8). While security-related controls can support system privacy outcomes, privacy risks require additional privacy-focused controls. Some controls may also introduce privacy risks that require additional management, such as controls related to monitoring for insider threats. Incorporating these privacy-focused controls into the system helps ensure that privacy is considered holistically alongside security concerns.	統制の実施の詳細は、システムプライバシー計画、セ キュリティ計画、C-SCRM計画で異なる（3.8節参照）。セキュリティに関連する統制はシステムのプライバ シーの成果を支援することができるが、プライバ シーのリスクは、プライバシーに焦点を絞った 追加的な統制を必要とする。統制の中には、内部脅威の監視に関連する統制のように、追加的な マネジメントを必要とするプライバシーリスクをもたらすものもある。このようなプライバシーに焦点を当てた管理策をシステ ムに組み込むことは、プライバシーがセキュリティ上の懸念事項とともに総合的に考慮されることを 確実にするのに役立つ。
2.3. Cybersecurity Supply Chain Risk Management Plan	2.3. サイバーセキュリティサプライチェーンリスクマネジメント計画
A C-SCRM strategy[8] addresses cybersecurity risks at the organization level throughout the supply chain, including commercial-of-the-shelf (COTS) products, turn-key solutions, and support services. A C-SCRM plan then incorporates those organization-level priorities, policies, and risk tolerances to address system-level risks and interdependencies with controls that enhance trust and protection. The C-SCRM plan:	C-SCRM 戦略[8]は、市販の（COTS）製品、ターンキーソリューション、サポートサービスなど、サプライ チェーン全体を通じて組織レベルでサイバーセキュリティリスクに対処するものである。次に、C-SCRM 計画は、そのような組織レベルの優先事項、方針、リスク許容度を組み込んで、信頼と保護を強化する管理策によってシステムレベルのリスクと相互依存性に対処する。C-SCRM計画
・ Identifies policy implementations, requirements, constraints, and implications that are specific to the cybersecurity supply chain at the system level;	・システムレベルのサイバーセキュリティサプライチェーンに特有なポリシーの実装、要件、制約、意味を識別する；
・ Describes the system’s approach to managing supply chain risks that are associated with the research, development, design, manufacturing, acquisition, delivery, integration, operations, maintenance, and disposal of its components or services;	・コンポーネント又はサービスの研究、開発、設計、製造、取得、引渡し、統合、運用、保守及び廃棄に関連するサプライチェーンリスクを管理するためのシステムのアプローチを記述する；
・ Describes the system in the context of the organizational supply chain risk tolerance, including acceptable supply chain risk response strategies or controls, a process for the continuous evaluation and monitoring of supply chain risks, approaches for implementing and communicating the plan, and a description of and justification for the supply chain risk mitigation measures that are taken; and	・許容可能なサプライチェーンリスク対応戦略又は管理策、サプライチェーンリスクの継続的な評価及びモニ タリングのためのプロセス、計画の実施及びコミュニケーションのためのアプローチ、並びに、実施され るサプライチェーンリスク緩和措置の説明及びその正当性を含む、組織のサプライチェーンリスク許容度の観点か らのシステムの記述。
・ Includes supplier and/or component inventories that specify the associated criticality to the system, key individuals who fill supply chain-relevant roles, security control implementation information that is specific to supply chain considerations, system diagrams, and interdependencies with other systems.	・システムに対する重要性、サプライチェーンに関連する役割を果たす主要な個人、サプライチェーンの考慮事項に特化したセキュリティ管理実施情報、システム図、他のシステムとの相互依存関係を明記した供給業者及び／又は部品のインベントリを含む。
Different types of systems may have specific considerations that can be addressed in the C-SCRM plan, such as the system architecture, security categorization [SP800-60v2], or type of technology used within the system. All security controls from [SP800-53] with supply chain risk management applicability are listed in [SP800-161], Appendix A, which also features an enhanced overlay of control enhancements that are specific to supply chains as well as implementation guidance.	システムの種類が異なれば、システムアーキテ クチャ、セキュリティ分類 [SP800-60v2]、又はシステム内で使用される技術 の種類のように、C-SCRM 計画で扱うことができる特定の考慮事項が あるかもしれない。サプライチェーンリスクマネジメントに適用可能な[SP800-53]のすべてのセキュリティ管理は、[SP800-161]の附属書Aに記載されており、この附属書Aは、実施ガイダンスと同様に、サプライチェーンに特有の管理強化のオーバーレイも特徴としている。
2.4. Consolidated System Plans	2.4. 統合システム計画
Organizations determine whether to consolidate the system security, system privacy, or C-SCRM plans, as described in RMF [SP800-37] Task S-4, Documentation of Planned Control Implementations, and [SP800-161]. For a consolidated plan:	組織は、RMF[SP800-37]の課題S-4「計画されたコントロールの実施の文書化」及び[SP800-161]に記載されているとおり、システムセキュリティ、システムプライバシー又はC-SCRMの計画を統合するかどうかを決定する。統合計画の場合：
・ Common elements in the security, privacy, and C-SCRM plans (e.g., System Name and Identifier, System Operational Status, System Description, Authorization Boundary and System Environment) provide consistent information about the system’s mission, purpose, and environment of operation.	・セキュリティ、プライバシー及び C-SCRM 計画の共通要素（例えば、システム名と識別 子、システムの運用状況、システムの説明、認可の 境界及びシステム環境）は、システムのミッション、 目的及び運用環境に関する一貫した情報を提供する。
・ Roles and responsibilities are defined to support the ongoing collaboration between individuals who are responsible for meeting system security, privacy, and C-SCRM requirements.	・システムのセキュリティ、プライバシー及びC-SCRM の要求事項を満たす責任を有する個人間の継続的な連携を支援するために、役割と責任が定義される。
・ Each control that is allocated, tailored, and implemented or planned for implementation has details that clearly address system requirements.	・割り当てられ、調整され、実施され、又は実施されることが計画されている各管理には、システム要件に明確に対応する詳細がある。
Automation using information management tools (see Sec. 4.8) can support the collection and compilation of distinct security, privacy, and C-SCRM control implementation details; common system plan elements; and roles and responsibilities.	情報管理ツール（4.8節参照）を用いた自動化は、明確なセキュリ ティ、プライバシー及びC-SCRMの各コントロールの実施の詳細、 共通のシステム計画要素及び役割と責任の収集と取りまとめを 支援することができる。
[1] The NIST Privacy Framework [NIST PF] explains the privacy engineering objectives of predictability, manageability, and disassociability. 2 The NIST Open Security Controls Assessment Language [OSCAL] is designed to standardize the representation, implementation, and assessment of controls using machine-readable data formats (e.g., XML, JSON, YAML). These OSCAL representations can be used in conjunction with the other OSCAL schemas to represent structured and machine-readable system plan information, control assessment plans, and assessment results, which facilitate the continuous assessment and monitoring of system controls. Initially designed for security assessment, OSCAL has been proven suitable for the machine-readable representation of other control types (e.g., privacy, supply chain, accessibility, safety) and to support their continuous assessment and monitoring.	[1] NISTプライバシー枠組み [NIST PF]は、予測可能性、管理可能性、及び 解離可能性というプライバシー工学の目的を説明 している。2 NIST Open Security Controls Assessment Language [OSCAL]は、機械可読データ形式（XML、JSON、YAMLなど）を使用して、統制の表現、実装、および評価を標準化するように設計されている。これらの OSCAL 表現は、他の OSCAL スキーマと組み合わせて使用することで、構造化され機械可読 なシステム計画情報、統制アセスメント計画、アセスメント結果を表すことができ、システム統制の継 続的なアセスメントと監視を容易にする。OSCALは、当初セキュリティアセスメント用に設計されたが、他の種類の統制（プライバシー、サプライチェーン、アクセシビリティ、安全性など）を機械可読で表現し、それらの継続的なアセスメントとモニタリングを支援するのに適していることが証明されている。
[2] [FISMA] includes privacy protections in the definition for confidentiality. as indicated in [44 USC3552].	[2] [FISMA]は、[44 USC3552]に示されるように、機密性の定義にプライバシー防御を含む。
[3] The full range of NIST cybersecurity-related publications can be found in the Information Technology Laboratory (ITL) Computer Security Resource Center [CSRC]. Additional resources are available through the NIST Cybersecurity and Privacy Reference Tool [CPRT].	[3] NIST のサイバーセキュリティ関連出版物の全範囲は、情報技術研究所（ITL）のコンピュータ・セキュリティ・リソース・センター（CSRC）に掲載されている。その他のリソースは、NIST Cybersecurity and Privacy Reference Tool [CPRT]から入手できる。
[4] The FIPPs have been adopted in various forms in law and policy within the U.S. Government and by international organizations, such as the Organization for Economic Cooperation and Development (OECD) and the European Union. [OMB A-130] identifies and explains the FIPPs for U.S. federal agencies.	[4] FIPP は、米国政府内の法律や政策において、また経済協力開発機構（OECD）や欧州連合 （EU）などの国際機関において、様々な形で採用されている。[OMB A-130]は、米国連邦機関のためのFIPPを識別し、説明している。
[5] Per the NIST Privacy Framework [NIST PF], a problematic data action (PDA) may cause an adverse effect for individuals.	[5] NISTプライバシー枠組み[NIST PF]によれば、問題のあるデータ・アクション（PDA）は個人に悪影響を及ぼす可能性がある。
[6] The NIST Privacy Risk Assessment Methodology [PRAM] helps organizations analyze, assess, and prioritize privacy risks to identify appropriate responses and solutions.	[NIST Privacy Risk Assessment Methodology [PRAM]は、組織がプライバシーリスクを分析、評価、優先順位付けし、適切な対応と解決策を特定するのに役立つ。
[7] Many laws, regulations, and guidance focus on a defined scope of information that is covered by privacy protections, such as [OMB A-130] and PII. However, data processing may potentially introduce privacy risks if data does not meet a narrow privacy definition (e.g., some data that is not PII can be combined with other information during processing to become PII).	[7] 多くの法律、規制、およびガイダンスは、[OMB A-130]やPIIのようなプライバシー保護の対象となる情報の定義された範囲に焦点を当てている。しかし、データが狭いプライバシー定義に合致しない場合（例えば、PII でないデータが処理中に他の情報と組み合わされて PII になることがある）、データ処理がプライバシー・リスクをもたらす可能性がある。
[8] The cybersecurity supply chain refers to the linked set of resources and processes between and among multiple levels of the organizational hierarchy. In general practice, C SCRM is at the nexus of SCRM and information security, so C SCRM and SCRM refer to the same concept for the purposes of this publication. Other organizations may use different definitions of C SCRM and SCRM which are outside the scope of this publication. This publication does not address many of the non-cybersecurity aspects of SCRM.	[8] サイバーセキュリティのサプライチェーンとは、組織階層の複数のレベル間及びレベル間のリソー スとプロセスの連携した集合を指す。一般的な実務では、C SCRM は SCRM と情報セキュリティの結節点にあるため、本書では C SCRM と SCRM は同じ概念を指す。他の組織では、C SCRMとSCRMの定義が異なる場合があるが、それは本書の範囲外である。本書は、SCRMのサイバーセキュリティ以外の側面の多くには触れていない。