米国 NIST NIST CSWP 48（初期公開ドラフト）PQC移行プロジェクト能力とNISTサイバーセキュリティフレームワーク2.0および情報システム・組織向けセキュリティ・プライバシー管理策との対応関係

こんにちは、丸山満彦です。

NISTが、PQC移行プロジェクト能力とNISTサイバーフレームワーク2.0, SP800-53との対比表のドラフトを作成し、意見募集をしていますね...

 

● NIST - ITL

・2025.09.20 NIST CSWP 48 (Initial Public Draft) Mappings of Migration to PQC Project Capabilities to NIST Cybersecurity Framework 2.0 and to Security and Privacy Controls for Information Systems and Organizations

 

NIST CSWP 48 (Initial Public Draft) Mappings of Migration to PQC Project Capabilities to NIST Cybersecurity Framework 2.0 and to Security and Privacy Controls for Information Systems and Organizations	NIST CSWP 48（初期公開ドラフト）PQC移行プロジェクト能力とNISTサイバーセキュリティフレームワーク2.0および情報システム・組織向けセキュリティ・プライバシー管理策との対応関係
Announcement	発表
The project is designed to support and align with key NIST cybersecurity frameworks and security controls. Specifically, the project’s capabilities are informed by and mapped to the security objectives and controls outlined in two important NIST documents:	本プロジェクトは、主要なNISTサイバーセキュリティフレームワークおよびセキュリティ管理策との整合性を図り、支援することを目的としています。具体的には、プロジェクトの能力は、以下の2つの重要なNIST文書に概説されているセキュリティ目標および管理策に基づいており、これらに対応しています：
NIST Cybersecurity Framework 2.0 (CSF 2.0). A widely adopted framework that helps organizations manage and reduce cybersecurity risk.	NISTサイバーセキュリティフレームワーク2.0（CSF 2.0）。組織がサイバーセキュリティリスクを管理・低減するのに役立つ、広く採用されているフレームワーク。
Security and Privacy Controls for Information Systems and Organizations (SP 800-53). A comprehensive catalog of security controls that organizations can use to protect their information systems.	情報システムおよび組織のためのセキュリティ・プライバシー管理策（SP 800-53）。組織が情報システムを防御するために利用できる包括的なセキュリティ管理策カタログ。
This white paper provides a mapping of the project’s capabilities to these two resources. This helps organizations align their PQC migration efforts with established security outcomes (and broader cybersecurity risk management practices) and identify specific security controls and objectives needed to successfully implement PQC migration.	本ホワイトペーパーは、プロジェクトの能力をこれら二つのリソースにマッピングしたものです。これにより、組織はPQC移行の取り組みを確立されたセキュリティ成果（およびより広範なサイバーセキュリティリスクマネジメント実践）に整合させ、PQC移行を成功裏に実施するために必要な具体的なセキュリティ管理策と目標を識別することが可能になります。
Abstract	要約
The capabilities demonstrated by the NCCoE Migration to Post-Quantum Cryptography project support several security objectives and controls identified by the NIST Cybersecurity Framework 2.0 (CSWP 29) and Security and Privacy Controls for Information Systems and Organizations (SP 800-53), respectively. A responsible implementation of the demonstrated capabilities depends on adherence to several security objectives and controls identified in these risk framework documents.	NCCoE（国家サイバーセキュリティ卓越センター）の「耐量子暗号への移行」プロジェクトで実証された機能は、NISTサイバーセキュリティフレームワーク2.0（CSWP 29）および情報システム・組織向けセキュリティとプライバシー制御（SP 800-53）でそれぞれ識別された複数のセキュリティ目標と制御を支援します。実証された機能を責任を持って実装するには、これらのリスク枠組み文書で識別された複数のセキュリティ目標と制御への準拠が不可欠です。
This paper identifies the supported and dependent characteristics of capabilities functions that are part of the Migration to Post-Quantum Cryptography project at NIST’s National Cybersecurity Center of Excellence and maps those functions to elements of both the NIST Cybersecurity Framework 2.0 and Special Publication 800-53 Revision 5.	本論文は、NIST国立サイバーセキュリティ・センター・オブ・エクセレンスにおけるポスト量子暗号移行プロジェクトの一部を構成する機能の、サポートされる特性と依存する特性を識別し、それらの機能をNISTサイバーセキュリティ枠組み2.0およびNIST 特別刊行物800-53改訂版5の両方の要素にマッピングする。
The NCCoE Migration to Post-Quantum Cryptography project demonstrates practices to ease migration from the current set of public-key cryptographic algorithms to replacement algorithms resistant to quantum computer-based attacks. Project collaborators demonstrate using cryptographic discovery and inventory tools to allow an organization to learn where and how cryptography protects the confidentiality and integrity of the organization’s important data and digital systems. Project collaborators are also exploring interoperability of the NIST PQC algorithms for key establishment and digital signature schemes in internet communication protocols and hardware security modules (HSMs).	NCCoEの耐量子暗号移行プロジェクトは、現行の公開鍵暗号アルゴリズム群から量子コンピューター攻撃に耐性のある代替アルゴリズムへの移行を容易にする実践手法を実証する。プロジェクト協力者は、暗号発見・インベントリツールを活用し、組織が重要データ及びデジタルシステムの機密性・完全性を暗号技術がどこでどのように保護しているかを把握する手法を実証。さらにインターネット通信プロトコルやハードウェアセキュリティモジュール（HSM）における鍵確立・デジタル署名方式向けNIST PQCアルゴリズムの相互運用性についても調査を進めている。

 

 

・[PDF] NIST.CSWP.48.ipd

 

目次...

 

マッピング表の読み方...

2.2. Mapping Terminology	2.2. 用語のマッピング
In this publication, we use the following relationship types from NIST IR 8477 Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings [4] to describe how the functions in project demonstrations relate to the NIST reference documents. In NIST IR 8477, this is called a supportive relationship mapping.	本出版物では、プロジェクト実証における機能がNIST参照文書とどのように関連するかを記述するため、NIST IR 8477『文書基準、規制、枠組み、ガイドライン間の関係性マッピング：サイバーセキュリティとプライバシー概念マッピングの開発』[4]から以下の関係タイプを用いる。NIST IR 8477ではこれを「支援的関係マッピング」と呼ぶ。
The “Supports” relationship applies only to use case 1 which focuses on why organizations should implement discovery, interoperability, and performance capabilities. The “Is Supported By” relationship applies only to use case 2 which focuses on how organizations can implement discovery, interoperability, and performance capabilities.	「サポートする」関係は、組織が発見、相互運用性、性能能力を実装すべき理由に焦点を当てるユースケース1にのみ適用される。「サポートされる」関係は、組織が発見、相互運用性、性能能力を実装する方法に焦点を当てるユースケース2にのみ適用される。
3. Supports: Demonstration component function X supports security control/Subcategory Y when X can be applied alone or in combination with one or more other component functions to achieve Y in whole or in part.	3. サポートする：実証コンポーネント機能Xがセキュリティ制御／サブカテゴリーYをサポートするとは、Xが単独で、または他のコンポーネント機能と組み合わせて適用され、Yを全体または一部達成できる場合を指す。
4. Is Supported By: A demonstration component function X is supported by security control/Subcategory Y when Y can be applied alone or in combination with one or more other security controls/Subcategories to achieve X in whole or in part.	4. サポートされる：実証コンポーネント機能Xがセキュリティ制御／サブカテゴリーYによってサポートされるとは、Yが単独で、または他のセキュリティ制御／サブカテゴリーと組み合わせて適用され、Xを全体または一部達成できる場合を指す。
Each Supports and Is Supported By relationship have one of the following properties assigned to them:	各「サポートする」および「サポートされる」関係には、以下のいずれかの特性が割り当てられる：
5. Example of: The supporting concept X is one way (an example) of achieving the supported concept Y in whole or in part. However, Y could also be achieved without applying X.	5. 例示：サポートする概念Xは、サポートされる概念Yを全体または一部達成する一つの方法（例）である。ただし、YはXを適用せずに達成することも可能である。
6. Integral to: The supporting concept X is integral to, and a component of the supported concept Y. X must be applied as part of achieving Y.	6. 不可欠要素：サポート概念Xはサポート対象概念Yの不可欠な要素であり、その構成部分である。Yを達成するにはXを適用しなければならない。
7. Precedes: The supporting concept X precedes the supported concept Y when X must be achieved before applying Y. In other words, X is a prerequisite for Y.	7. 前提条件：サポート概念Xはサポート対象概念Yに先行する。つまりXはYの前提条件である。
When determining whether a demonstration component function’s support for a given CSF Subcategory or SP 800-53 control is integral to that support versus an example of that support, we do not consider how that function may, in general, be used to support the Subcategory or control. Rather, we consider only how that function is intended to support that Subcategory or control within the reference design.	特定のCSFサブカテゴリーまたはSP 800-53のコントロールに対する実証コンポーネント機能の支援が、その支援に不可欠要素か、それとも支援の例示に過ぎないかを判断する際、我々はその機能が一般的にサブカテゴリーやコントロールを支援するためにどのように使用されるかは考慮しない。むしろ、参照設計内でその機能が当該サブカテゴリーやコントロールを支援するために意図されている方法のみを考慮する。
Also, when determining whether a function is supported by a CSF Subcategory outcome or SP 800-53 control with the relationship property of precedes, we do not consider whether applying the function without first achieving the Subcategory or control is possible. Instead, we consider whether, according to our reference design, the Subcategory or control will be achieved prior to applying that function.	また、機能がCSFサブカテゴリーの成果またはSP 800-53のコントロールによって「前提条件」の関係でサポートされているかを判断する際、サブカテゴリーまたはコントロールを達成せずにその機能を適用できるかどうかは考慮しない。代わりに、参照設計において、その機能を適用する前にサブカテゴリーまたはコントロールが達成されるかどうかを検討する。

 

マッピング表の部分だけ仮訳...

・[DOCX][PDF]