米国 NIST SP 1800-43(初期公開ドラフト)ゲノムのプライバシー脅威モデル
こんにちは、丸山満彦です。
ゲノムデータのプライバシー脅威モデリングについて、
・A編:エグゼクティブサマリー
・C編:プライバシー
についての公開草案が公表され、意見募集が行われていますね。
・B編は、すでにCSWP 35として意見募集されている「ゲノムデータシーケンスおよび分析のための脅威モデル実装例」になるようですね。。。
● NIST - ITL
プレス...
| NIST Draft Special Publication (SP) 1800-43, Genomic Data Threat Modeling. Volumes A (Executive Summary) and C (Privacy) are Available for Public Comment | NIST特別刊行物(SP)1800-43ドラフト、ゲノムデータ脅威モデリング。A巻(エグゼクティブサマリー)とC巻(プライバシー)はパブリックコメント募集中。 |
| The NIST National Cybersecurity Center of Excellence (NCCoE) has just published draft Volumes A and C of NIST Special Publication (SP) 1800-43, Genomic Data Threat Modeling. Volumes A (Executive Summary) and C (Privacy) are open for public comment through September 4, 2025. | NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST特別刊行物(SP)1800-43「ゲノムデータ脅威モデリング」のドラフトA巻とC巻を公表した。A編(エグゼクティブサマリー)とC編(プライバシー)は2025年9月4日までパブリックコメントを受け付けている。 |
| Cybersecurity and privacy attacks pose significant challenges to genomic data processing environments due to the potentially sensitive and highly personal nature of genomic information. Unauthorized access, data breaches, or malicious tampering can derail business operations, compromise patient privacy, and erode trust. This NIST publication series describes a threat modeling approach that includes a methodological analysis of cybersecurity and privacy risks to system components and data transfers on representative genomic data workflows. | サイバーセキュリティとプライバシー攻撃は、ゲノム情報の潜在的な機密性と高度に個人的な性質のために、ゲノムデータの処理環境に重大な課題をもたらす。不正アクセス、データ侵害、または悪意のある改ざんは、業務運営を狂わせ、患者のプライバシーを損ない、信頼を損なう可能性がある。この NIST 出版物シリーズでは、代表的なゲノムデータワークフローにおけるシステムコンポー ネント及びデータ転送に対するサイバーセキュリティ及びプライバシーリスクの方法論的分析を含む脅威モデ リングアプローチについて説明する。 |
| Note: The Cybersecurity Threat Modeling for Genomic Data, previously released for public comment as a NIST Cybersecurity White Paper (CSWP) 35, will be published as Volume B of this special publication when finalized later this year. | 注:「ゲノムデータのサイバーセキュリティ脅威モデリング」は、NISTサイバーセキュリティ白書(CSWP)35としてパブリックコメント用に発表されたものであるが、本年末に最終版が発行される際には、本特別刊行物の第B巻として発行される予定である。 |
文書...
・2025.08.05 NIST SP 1800-43 (Initial Public Draft) Genomics Privacy Threat Modeling
| NIST SP 1800-43 (Initial Public Draft) Genomics Privacy Threat Modeling | NIST SP 1800-43(初期公開ドラフト)ゲノムのプライバシー脅威モデル |
| Announcement | 発表 |
| The NIST National Cybersecurity Center of Excellence (NCCoE) has just published draft Volumes A and C of NIST Special Publication (SP) 1800-43, Genomic Data Threat Modeling. Volumes A (Executive Summary) and C (Privacy) are open for public comment through September 4, 2025. | NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST特別刊行物(SP)1800-43「ゲノムのプライバシー脅威モデリング」のドラフトA巻とC巻を公表した。A編(エグゼクティブサマリー)とC編(プライバシー)は、2025年9月4日までパブリックコメントを受け付けている。 |
| Cybersecurity and privacy attacks pose significant challenges to genomic data processing environments due to the potentially sensitive and highly personal nature of genomic information. Unauthorized access, data breaches, or malicious tampering can derail business operations, compromise patient privacy, and erode trust. This NIST publication series describes a threat modeling approach that includes a methodological analysis of cybersecurity and privacy risks to system components and data transfers on representative genomic data workflows. | サイバーセキュリティとプライバシー攻撃は、ゲノムデータの潜在的な機密性と高度に個人的な性質のために、ゲノムデータの処理環境に重大な課題をもたらす。不正アクセス、データ侵害、または悪意のある改ざんは、業務運営を狂わせ、患者のプライバシーを損ない、信頼を損なう可能性がある。この NIST 出版物シリーズでは、代表的なゲノムデータワークフローにおけるシステムコンポー ネント及びデータ転送に対するサイバーセキュリティ及びプライバシーリスクの方法論的分析を含む脅威モデ リングアプローチについて説明する。 |
| Note: The Cybersecurity Threat Modeling for Genomic Data, previously released for public comment as a NIST Cybersecurity White Paper (CSWP) 35, will be published as Volume B of this special publication when finalized later this year. | 注:「ゲノムデータのサイバーセキュリティ脅威モデリング」は、NISTサイバーセキュリティ白書(CSWP)35としてパブリックコメント用に発表されたものであるが、本年後半に最終版が発行される際には、本特別刊行物の第B巻として発行される予定である。 |
| Abstract | 要旨 |
| This paper provides an example of how to conduct genomic data threat modeling for privacy on a data processing environment, including documenting the architecture, identifying threats, applying sample interventions, and iterating the process as needed. The paper complements the earlier NIST CSWP 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow. | 本書は、データ・処理環境におけるプライバシーのためのゲノムデータ脅威モデリング(アーキテクチャの文書化、脅威の識別、介入サンプルの適用、および必要に応じてプロセスの反復を含む)の実施方法の例を示す。この論文は、先のNIST CSWP 35「ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング」を補完するものである。 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| Genomic data is a digital representation of the DNA in a biological sample. DNA encodes hereditary information for cells to function, but this same information poses cybersecurity and privacy challenges as it can reveal potentially sensitive details about an individual’s kinship, traits, and health status. Genome sequencing refers to the laboratory process of converting a physical sample to digital format using purpose-built equipment. The data output for common sequencing experiments ranges from multiple gigabytes to terabytes, which is then analyzed for research or in clinical diagnostics. Genomic data processing systems can include proprietary sequencing equipment or utilization of genome sequencing service providers followed by genomic analysis computations occurring on premise or in a cloud environment. Given the varied landscape of genome data processing systems, this Special Publication (SP) 1800-series from the National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) describes a threat modeling exercise—methodical analysis of cybersecurity and privacy risks to system components and data transfers across a product or environment lifecycle—on an example genomic data workflow. | ゲノム・データとは、生体サンプル中のDNAをデジタル化したものである。DNAは細胞が機能するための遺伝情報をコード化しますが、この同じ情報は、個人の血縁関係、形質、健康状態に関する潜在的にセンシティブな詳細を明らかにする可能性があるため、サイバーセキュリティとプライバシーに関する課題を提起します。ゲノムシーケンスとは、専用の装置を用いて物理的なサンプルをデジタル形式に変換する実験室のプロセスを指す。一般的なシーケンス実験で出力されるデータは、数ギガバイトからテラバイトに及び、その後、研究用または臨床診断用に解析される。ゲノムデータ処理システムには、独自のシーケンシング機器やゲノムシーケンシング・サービス・プロバイダの利用があり、その後にゲノム解析の計算がオンプレミスまたはクラウド環境で行われる。国立標準技術研究所(NIST)の国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のこの特別刊行物(SP)1800 シリーズでは、ゲノム・データ処理システムの多様な状況を踏まえ、脅威モデリング演習(製品や環境のライフサイクル全体にわたるシステム機構やデータ転送に対するサイバーセキュリティ・リスクとプライバシー・リスクの方法論的分析)について、ゲノム・データのワークフロー例を用いて説明している。 |
| CHALLENGE | 課題 |
| From a cybersecurity perspective, the size and compute requirements for genomic data analysis make it difficult to ensure the confidentially, integrity, and availability of computing environments. Regarding privacy engineering, since genomic data represents immutable personal information, designing and maintaining data processing systems with the objectives of predictability, manageability, and disassociability is complex. These challenges are compounded by the involvement of multiple stakeholders which can include researchers, healthcare providers, and third-party vendors. | サイバーセキュリティの観点からは、ゲノムデータ解析の規模と計算要件により、コンピューティング環境の機密性、完全性、可用性を確保することが困難である。プライバシー・エンジニアリングの観点からは、ゲノムデータは不変の個人情報であるため、予測可能性、管理可能性、分離可能性を目的としたデータ処理システムの設計と維持は複雑である。このような課題は、研究者、医療プロバイダ、サードパーティベンダーなど、複数の利害関係者が関与することでさらに複雑化する。 |
| This SP 1800-series can help your organization: | この SP 1800 シリーズは、以下の項目についてあなたの組織を支援する: |
| ・Understand how to conduct threat modeling for cybersecurity and privacy | ・サイバーセキュリティとプライバシーのための脅威モデリングの実施方法を理解する。 |
| ・Establish a cybersecurity and privacy baseline by leveraging the methodology and dataflows described in this guide | ・このガイドに記載されている方法論とデータフローを活用して、サイバーセキュリティとプライバシーのベースラインを確立する。 |
| ・Identify and mitigate threats with security controls and privacy safeguards | ・セキュリティ制御とプライバシー保護措置による脅威の識別と緩和 |
| SOLUTION | 解決策 |
| To gain insights into actual processes and system designs, the NCCoE collaborated with stakeholders to solution illustrate how to perform threat modeling in a real-world genomic data processing scenario. The project used a multi-step approach to analyze system components and dataflows for possible threats, then map threats to taxonomies of tactics, techniques, and procedures. Privacy threat modeling analyses utilized the NIST Privacy Risk Assessment Methodology (PRAM) as well as LINDUNN. For cybersecurity threat modeling, the STRIDE technique identified threats to components and dataflows. These analysis findings were mapped to known taxonomies for cybersecurity and privacy resulting in a structured view of threats along with possible mitigations. | 実際のプロセスとシステム設計に関する洞察を得るために、NCCoE は利害関係者と協力し、実世界のゲノ ムデータ処理シナリオにおける脅威モデリングの実行方法をソリューションで説明した。このプロジェクトでは、可能性のある脅威についてシステムコンポーネントとデータフローを分析し、脅威を戦術、技術、手順の分類にマッピングする多段階アプローチを使用した。プライバシーの脅威モデリング分析では、LINDUNN と同様に NIST のプライバシー・リスクアセスメント手法(PRAM)を利用した。サイバーセキュリティの脅威モデリングでは、STRIDE手法によりコンポーネントとデータフローに対する脅威を識別した。これらの分析結果は、サイバーセキュリティとプライバシーの既知の分類法にマッピングされ、可能な緩和策とともに脅威の構造化されたビューが得られた。 |
| The approaches used in the solution support security and privacy standards and guidelines such as the NIST PRAM, NIST Privacy Framework, and NIST SP 800-53r5. This SP 1800-series uses technology and security capabilities (shown below) from our project partners. | このソリューションで使用されているアプローチは、NIST PRAM、NIST Privacy Framework、NIST SP 800-53r5などのセキュリティとプライバシーの標準とガイドラインをサポートしている。この SP 1800 シリーズは、プロジェクト・パートナーの技術とセキュリティ機能(以下に示す)を使用している。 |
目次と図表一覧
| Summary | 概要 |
| 1 Introduction to the Guide | 1 ガイドの序論 |
| 1.1 Audience and Purpose | 1.1 聴衆と目的 |
| 1.2 Scope and Use Cases | 1.2 適用範囲と使用例 |
| 1.3 Genomic Data Characteristics | 1.3 ゲノムデータの特徴 |
| 1.4 Privacy Landscape | 1.4 プライバシーの状況 |
| 1.5 Risk Modeling | 1.5 リスクのモデル化 |
| 1.6 Threat Modeling | 1.6 脅威モデリング |
| 2 Genomic Data Threat Modeling Example | 2 ゲノムデータ脅威モデリングの例 |
| 2.1 Question 1: “What are we working on?” | 2.1 質問1:「我々は何に取り組んでいるのか?」 |
| 2.1.1 Context | 2.1.1 コンテクスト |
| 2.1.2 Environmental Context | 2.1.2 環境のコンテキスト |
| 2.1.3 System Context | 2.1.3 システムのコンテキスト |
| 2.1.4 Operational Description | 2.1.4 運営上の説明 |
| 2.2 Question 2: “What could go wrong?” | 2.2 質問2:「何がうまくいかないのか?」 |
| 2.2.1 LINDDUN Analysis | 2.2.1 LINDDUN分析 |
| 2.2.2 PANOPTIC Analysis | 2.2.2 PANOPTIC分析 |
| 2.2.3 Threat Validation | 2.2.3 脅威の妥当性確認 |
| 2.3 Question 3: “What are we going to do about it?” | 2.3 質問3:「それに対してどうするか?」 |
| 2.3.1 Threat Prioritization | 2.3.1 脅威の優先順位付け |
| 2.3.2 Response Determination | 2.3.2 対応の決定 |
| 2.4 Question 4: “Did we do a good job?” | 2.4 質問4:「我々は良い仕事をしたか?」 |
| 2.4.1 Did We Do a Good Job Documenting the System and Its Data Actions? | 2.4.1 システムとそのデータ・アクションの文書化はうまくできたか? |
| 2.4.2 Did We Do a Good Job Identifying and Documenting Threats? | 2.4.2 我々は脅威の識別と文書化を適切に行ったか? |
| 2.4.3 Did We Do a Good Job Responding to the Threats? | 2.4.3 脅威への対応は適切だったか? |
| 2.4.4 Additional Activities | 2.4.4 その他の活動 |
| 3 Conclusion | 3 まとめ |
| Appendix | 附属書 |
| Appendix A List of Acronyms | 附属書A 略語リスト |
| Appendix B References | 附属書B 附属書 |
| Appendix C Threat Modeling Approach | 附属書C 脅威モデリングのアプローチ |
| Appendix D Methodology Overview | 附属書D 方法論の概要 |
| Appendix E System Description | 附属書E システムの説明 |
| Appendix F Dataflow Analysis | 附属書F データフロー分析 |
| Appendix G Threat Validation and Prioritization | 附属書G 脅威の妥当性確認と優先順位付け |
| List of Figures | 図一覧 |
| Figure 1. Genomic Data Sequencing Workflow | 図1. ゲノムデータのシーケンスワークフロー |
| Figure 2. Genomic Data Relationships | 図2. ゲノムデータの関係 |
| Figure 3. Overview of the NIST PRAM | 図3. NIST PRAMの概要 |
| Figure 4. Core Example Dataflow Diagram | 図4. コア例のデータフロー図 |
| List of Tables | 表一覧 |
| Table 1. PRAM Worksheet 1, Framing Business Objectives & Organizational Privacy Governance: Task 1 Questions and Responses | 表1. PRAMワークシート1「ビジネス目標の策定と組織のプライバシー・ガバナンス」: タスク1の質問と回答 |
| Table 2. PRAM Worksheet 1, Framing Business Objectives & Organizational Privacy Governance: Task 2 Questions and Responses | 表2. PRAM ワークシート 1、事業目標と組織のプライバシーガバナンスの策定:タスク 2 の質問と回答 |
| Table 3. PRAM Worksheet 2, Assessing System Design: Organizational Contextual Factors | 表3. PRAMワークシート2「システム設計のアセスメント」: 組織の状況要因 |
| Table 4. Worksheet 2, Assessing System Design: Contextual Factors for Individuals | 表4. ワークシート2「システム設計のアセスメント」: 個人の文脈的要因 |
| Table 5. PRAM Worksheet 2, Assessing System Design: System Privacy Capabilities for Clinical Use Case | 表5. PRAMワークシート2「システム設計のアセスメント」: 臨床ユースケースのシステムプライバシー能力 |
| Table 6. PRAM Worksheet 2, Assessing System Design: System Privacy Capabilities for Research Use Case | 表6. PRAMワークシート2「システム設計のアセスメント」: 研究ユースケースのシステムプライバシー能力 |
| Table 7. PRAM Worksheet 2, Assessing System Design: System Contextual Factors . | 表7. PRAMワークシート2「システム設計のアセスメント」: システムコンテキスト要因 . |
| Table 8. PANOPTIC Contextual Mapping for Clinical Use Case | 表8. 臨床ユースケースのPANOPTICコンテキストマッピング |
| Table 9. PANOPTIC Contextual Mapping for Research Use Case | 表9. 研究ユースケースのPANOPTICコンテキストマッピング |
| Table 10. PRAM Data Action Types | 表10. PRAMデータアクションタイプ |
| Table 11. LINDDUN Per Element Threat Mapping Heuristic | 表11. LINDDUN 要素ごとの脅威マッピングヒューリスティック |
| Table 12. LINDDUN Dataflow Analysis for the Core Example | 表12. コアの例のLINDDUNデータフロー分析 |
| Table 13. Threat Actions Identified by the PANOPTIC Privacy Activity Mapping for the Core Example | 表13. コアの例に対するPANOPTICプライバシーアクティビティマッピングによって識別された脅威アクション |
| Table 14. Attack Scenarios Relevant to the Core Example | 表14. コアの例に関連する攻撃シナリオ |
| Table 15. Core Example Attack Validations | 表15. コア例の攻撃妥当性確認 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.12.26 米国 NIST CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例
Comments