内部統制 / リスクマネジメント

2021.05.08

NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・今回は、昨年11月に公表されたドラフトのアップデート版となる第2ドラフトです。。。

 

NIST - ITL - Computer Security Resource Center

・2021.05.06 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem (2nd Draft)

 

パブコメの対象は、

Publication: 
・[PDF] Second Draft SP 1800-30

20210508-65408

その他情報は、

Supplemental Material:
・[web]  Project homepage

 

Announcement 発表
Increasingly, healthcare delivery organizations (HDOs) incorporate telehealth and remote patient monitoring (RPM) as part of a patient’s care regimen. RPM systems may offer convenience and may be cost effective for patients and HDOs, which promotes increased adoption rates. Without adequate privacy and cybersecurity measures, however, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、患者治療の一環として、テレヘルスや遠隔患者モニタリング(RPM)を導入するケースが増えています。RPMシステムは、利便性が高く、患者やHDOにとって費用対効果が高いことから、導入率が高まっています。しかし、適切なプライバシー保護とサイバーセキュリティ対策がなければ、権限のない者が機密データを漏洩させたり、患者モニタリングサービスを妨害したりする可能性があります。
The NCCoE developed a reference architecture that demonstrates how HDOs may use standards-based approaches and commercially available cybersecurity technologies to implement privacy and cybersecurity controls, thereby enhancing the resiliency of the telehealth RPM ecosystem. NCCoEは、HDOが標準ベースのアプローチと市販のサイバーセキュリティ技術を用いてプライバシーとサイバーセキュリティ対策を実施する方法を示すリファレンスアーキテクチャを開発し、それによって遠隔医療RPMエコシステムの回復力を高めました。
After adjudicating all the comments from the first draft, notable adjustments were made to the RPM Practice Guide, including: 第一次ドラフトに寄せられたすべてのコメントを精査した結果、「RPM実践ガイド」には以下のような注目すべき調整が加えられました。
・Adjusted the security and privacy control mapping in accordance with NIST SP 800-53 Revision 5. ・NIST SP 800-53 Revision 5 に準拠した、セキュリティおよびプライバシー管理のマッピングの調整。
・Enhanced cybersecurity capabilities in the Identity Management and Data Security sections. ・アイデンティティ管理」と「データセキュリティ」のセクションでの、サイバーセキュリティ機能の強化。
・Updated the final architecture to include secure broadband communication between the patient's home and the telehealth platform provider. ・患者の自宅と遠隔医療プラットフォーム提供者との間の安全なブロードバンド通信を含むように最終的アーキテクチャの更新。
・Included guidance from NIST’s Cybersecurity for the Internet of Things program on device cybersecurity capabilities and nontechnical supporting capabilities that telehealth platform providers should be aware of in their biometric device acquisition processes. ・NISTの「Cybersecurity for the Internet of Things」プログラムによる、生体認証機器の取得プロセスにおいて遠隔医療プラットフォーム提供者が留意すべき機器のサイバーセキュリティ機能および非技術的なサポート機能に関するガイダンスを掲載。
Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed risk factors regarding an RPM ecosystem by using risk assessment based on the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに基づくリスクアセスメントを用いて、RPMエコシステムに関するリスク要因を分析しました。また、NIST Cybersecurity Framework、NIST Privacy Framework、およびその他の関連規格を活用して、エコシステムを保護するための手段を特定しました。NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境で RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました.
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s capabilities include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy, and limiting HDO risk when implementing an RPM solution. この実践ガイドは、組織がRPMソリューションを導入する際に、RPMソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、HDOリスクを制限することを支援します。

 

目次はこちら

 


 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

Continue reading "NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)"

| | Comments (0)

2021.05.07

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」という白書を公表していますね。。。

欧米人は、自然環境の違い(温帯から寒帯にかけた比較的シンプルな自然環境)で文化を作ってきたからでしょうか、養老孟司のいうところの「ああすれば、こうなる」がわからないと気持ちが悪いのかもしれませんね。。。だから宗教や科学が発達してきたのでしょう...一方、熱帯から温帯にかけた環境で生まれ育った文化は、複雑な自然をそのまま受けれいれるしかなく、全体で丸ごと感じるようになったのかもしれません。。。

機械学習というある意味、綺麗な実験環境から、複雑な環境、例えば自然環境での実験と言えるかもしれません。自然環境で育てたパラメータがたくさんある(よってその組み合わせがたくさんある)システムは「ああすればこうなる」と100%説明することはできないと思います。

皆さんには一卵性の双子の知り合いがいるかもしれませんが、彼ら、彼女らは全く同じ遺伝子です。でも全く同じ顔、身長、体重、性格でしょうか?

彼ら、彼女らは、最初のアルゴリズム(遺伝子)は同じです。その後の学習(母親の体内にいる時からの育つ環境)の違いで全く同じ全く同じ顔、身長、体重、性格にはなりませんね、特に、複雑な脳の神経のつながり方は同じ遺伝子でも、その後の育ってきた環境によって大きく変わるでしょう。

機械学習もそう考えると、同じアルゴリズム(遺伝子)であっても、与えるデータ等のインプットを変えると違うシステムになりますよね。。。しかもそのパターンは膨大すぎて全てを理解しようとすれば、さらにそれ以上に複雑な機械学習マシーンが必要となり、終わりがありませんね。。。

ということで、私的には、Auditable AI Systemというのは、どのような学習をさせたかを説明することにより、複雑なケースであれば70%くらい予想がつけば良いのではないかと思っています。(人間だってそんなもんでしょう。。。)

一つ一つのステップで99.99%予想がつけば、直列的な思考で1000ステップ踏んでも90%は予測がつくことにはなりますね。。。

と前置きが長くなりましたが、、、

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.05.06 BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen

BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen BSI、AIシステムの監査可能性の現状に関する白書を発行
Künstlich Intelligente (KI) Systeme spielen eine immer größer werdende Rolle als automatisierte Entscheidungs- und Kontrollsysteme in verschiedenen, zum Teil sicherheitskritischen Anwendungsbereichen. Hierzu gehören u. a. autonome Fahrzeuge und biometrische Zugangskontrollsysteme. Neben den immensen Chancen, die sich durch den Einsatz von KI-Technologie eröffnen, ergeben sich gleichzeitig zahlreiche, qualitativ neue Probleme hinsichtlich u. a. der Sicherheit, der Robustheit und der Vertrauenswürdigkeit. Um diesen Problemen angemessen zu begegnen, wird eine Rahmenstruktur für die Prüfung von KI-Systemen benötigt, die neben Prüfstrategien und -werkzeugen auch entsprechende Standards umfasst. Diese Strategien, Werkzeuge und Standards sind aktuell noch nicht hinreichend für den praktischen Einsatz verfügbar. 人工知能(AI)システムは、様々なアプリケーション分野において、自動化された意思決定や制御システムとしての役割がますます高まっており、その中には安全性が求められるものもあります。これらには、自律走行車や生体認証アクセス制御システムなどが含まれます。AI技術の活用によってもたらされる大きな可能性がある一方、セキュリティ、堅牢性、信頼性などについて、質的に新しい問題が同時に数多く発生します。これらの問題に適切に対処するためには、テスト戦略、ツール、標準を含む、AIシステムのテストのフレームワークが必要です。これらの戦略、ツール、基準は、現状ではまだ十分に実用化されていません。
Basierend auf einem gemeinsam vom BSI, vom Verband der TÜVs (VdTÜV) und vom Fraunhofer HHI ausgetragenen internationalen Expertenworkshop im Oktober 2020 wurde nun, zusammen mit zahlreichen nationalen und internationalen Experten, ein Whitepaper zum aktuellen Stand, offenen Fragen und zukünftig wichtigen Aktivitäten bezüglich der Prüfbarkeit von KI-Systemen verfasst. Das Whitepaper beleuchtet verschiedene Aspekte der Sicherheit von KI-Systemen, u.a. deren Lebenszyklus, Online-Lernverfahren, qualitativ neue Angriffe, mögliche Verteidigungsmaßnahmen, Verifikation, Prüfung, Interpretation und Standardisierung. Bei all diesen Betrachtungen wird deutlich, dass es zahlreiche Zielkonflikte zwischen den gewünschten Eigenschaften eines operativen KI-Systems einerseits und den Eigenschaften des KI-Modells, der ML-Algorithmen, der Daten und weiteren Randbedingungen gibt, die letztlich die Skalierbarkeit und Generalisierbarkeit von sicher prüfbaren KI-Systemen beschränken. Basierend auf zwei grundlegenden Strategien zur Verbesserung der Prüfbarkeit, Sicherheit und Robustheit von KI-Systemen, d.h. einerseits der Schaffung verbesserter Rahmenbedingungen und andererseits der erhöhten Investition in Forschung und Entwicklung, werden Lösungsvorschläge und -ideen zur Mitigation der bekannten Probleme benannt, bewertet und Folgeschritte vorgeschlagen. このたび、2020年10月にBSI、ドイツ技術検査機関協会(VdTÜV)、フラウンホーファーHHIが共同で開催した国際専門家ワークショップをもとに、国内外の多数の専門家とともに、AIシステムのテスト可能性に関する現状、未解決の問題、今後の重要な活動についてホワイトペーパーを作成しました。この白書では、AIシステムのライフサイクル、オンライン学習方法、質的に新しい攻撃、考えられる防御策、検証、テスト、解釈、標準化など、AIシステムのセキュリティに関するさまざまな側面を紹介しています。これらの考察から、運用可能なAIシステムに求められる特性と、AIモデルの特性、MLアルゴリズム、データ、その他の制約との間には、数多くのトレードオフがあり、最終的には安全にテスト可能なAIシステムのスケーラビリティとジェネラビリティを制限していることが明らかになりました。AIシステムのテスト可能性、セキュリティ、堅牢性を向上させるための2つの基本的な戦略、すなわち、一方では改善されたフレームワーク条件の作成、他方では研究開発への投資の増加に基づいて、既知の問題を軽減するための提案されたソリューションとアイデアが挙げられ、評価され、フォローアップのステップが提案されています。

 

白書は英語です(^^)

・[PDF] Towards Auditable AI Systems - Current status and future directions

20210507-64522

目次です。。。

1 AI systems: opportunities and challenges 1 AIシステム:機会と課題
2 Auditability of AI systems: state of the art 2 AIシステムの監査可能性:技術の現状
2.1 Life Cycle 2.1 ライフサイクル
2.2 Online learning and model maintenance in the presence of non-stationary environments. 2.2 非定常環境下でのオンライン学習とモデルメンテナンス
2.3 Attack & Defense 2.3 攻撃と防御
2.3.1 Adversarial Machine Learning 2.3.1 敵対的機械学習(Adversarial Machine Learning
2.3.2 Backdoor Attacks on DNNs 2.3.2 DNNに対するバックドア攻撃
2.3.3 Detection of and Defenses against attacks on DNNs 2.3.3 DNNへの攻撃の検知と防御方法
2.4 Verification of AI systems 2.4 AIシステムの検証
2.5 Auditing safety-critical AI systems 2.5 安全性が求められるAIシステムの監査
2.6 Explaining Black Box AI Models 2.6 ブラックボックスAIモデルの説明
2.7 Overview of AI standardization activities worldwide 2.7 世界のAI標準化活動の概要
3 Open Issues and Promising Approaches 3 未解決の課題と有望なアプローチ
4 Setting Priorities for Work Towards Auditable AI Systems 4 監査可能なAIシステムに向けた作業の優先順位設定
5 References 5 参考文献

 

仮訳です。。[DOCX]

 


■ 参考

養老さんの本は読みやすいです...

● 書籍 - Kindle版

AIの壁 人間の知性を問いなおす 養老 孟司  (PHP新書) 

 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

 

 

| | Comments (0)

2021.05.06

ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法

こんにちは、丸山満彦です。

ENISAがコネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法についての報告書を公開していますね。。。CAMが直面するサイバーセキュリティ上の課題の分析と、課題を軽減するための実行可能な提言が書かれています。。。

自動車産業は急速にEVシフト、自動運転シフトが進んでいくと思いますので、技術動向に合わせて規制がどうあるべきかも含めて検討を進めていくことが重要ですよね。。。人類共通の人命に関わる問題なので、仲良く決められると良いですね。。。

● ENISA

・2021.05.05 (news) How to Secure the Connected & Automated Mobility (CAM) Ecosystem

The European Union Agency for Cybersecurity discloses an in-depth analysis of the cybersecurity challenges faced by the CAM sector and provides actionable recommendations to mitigate them.

報告書の概要は...

Which challenges does the report identify? 報告書ではどのような課題が指摘されていますか?
The report published today provides recommendations for each challenge identified, such as: 本日発表された報告書では、特定された課題ごとに以下の提言を示しています。
Governance and cybersecurity integration into corporate activity 企業活動におけるガバナンスとサイバーセキュリティの統合
Cybersecurity governance in the CAM ecosystem represents an organisational and technical challenge for all stakeholders concerned. Recommendations given include: CAMエコシステムにおけるサイバーセキュリティのガバナンスは、すべての関係者にとって組織的・技術的な課題です。提言は以下の通りです。
・promote the integration of cybersecurity along with digital transformation at the board level in the organisation; ・組織内の役員レベルで、デジタルトランスフォーメーションとともに、サイバーセキュリティの統合を推進する。
・promote procurement processes to integrate cybersecurity risk-oriented requirements. ・サイバーセキュリティのリスク指向の要件を統合するための調達プロセスを促進する。
Technical complexity in the CAM ecosystem CAMエコシステムにおける技術的な複雑さ
Dependencies, interactions and supply chain management in this sector are a well-known challenge acknowledged by the majority of the actors involved. Recommendations given include: この分野における依存関係、相互作用、サプライチェーンマネジメントは、関係者の大半が認める周知の課題です。提言は以下の通りです。
・promote the use of suitable certification schemes; ・適切な認証スキームの使用を促進する。
・promote security assessment for both on-board and off-board solutions and standardise the discovery and remediation of vulnerabilities during the lifetime of the product. ・オンボードおよびオフボードソリューションのセキュリティ評価を促進し、製品のライフタイムにおける脆弱性の発見と修正を標準化する。
Lack of expertise and skilled resources for CAM cybersecurity CAMのサイバーセキュリティに関する専門知識と熟練した人材の不足
The lack of human resources with expertise in cybersecurity on the market is a major obstacle that hinders the adoption of security measures specific to CAM products and solutions. サイバーセキュリティの専門知識を持つ人材が市場に不足していることが、CAM製品やソリューションに特化したセキュリティ対策の採用を妨げる大きな障害となっています。
・encourage cross-functional security and safety knowledge exchange between IT/OT and mobility experts respectively; ・IT/OTとモビリティの専門家の間で、機能横断的なセキュリティと安全の知識交換を促進する。
・introduce programmes at schools and universities to address the lack of security and safety knowledge across the industry. ・業界全体におけるセキュリティと安全に関する知識の不足を解消するため、学校や大学でプログラムを導入する。
Such challenges are only an example of the important challenges addressed in the ENISA Report – Recommendations for the Security of Connected and Automated Mobility (CAM). このような課題は、ENISAレポート「Connected and Automated Mobility (CAM)のセキュリティに関する提言」で取り上げられている重要な課題の一例に過ぎません。

報告書は...

・2021.05.05 (publish) Recommendations for the security of CAM

・[PDF] Recommendations for the security of CAM

20210506-50611

1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査の目的と範囲
1.2 TARGET AUDIENCE 1.2 対象者
1.3 DOCUMENT STRUCTURE 1.3 ドキュメントの構成
2. CYBERSECURITY CHALLENGES AND RECOMMENDATIONS IN THE CAM AREA 2. CAM領域におけるサイバーセキュリティの課題と提言
2.1 GOVERNANCE AND CYBERSECURITY INTEGRATION INTO CORPORAT ACTIVITIES 2.1 企業活動におけるガバナンスとサイバーセキュリティの統合
2.2 LACK OF TOP MANAGEMENT SUPPORT AND CYBERSECURITY PRIORITISATION 2.2 トップマネジメントの支援とサイバーセキュリティの優先順位付けの欠如
2.3 TECHNICAL COMPLEXITY IN THE CAM ECOSYSTEM 2.3 CAMエコシステムにおける技術的複雑さ
2.4 TECHNICAL CONSTRAINTS FOR IMPLEMENTATION OF SECURITY INTO CAM 2.4 CAMにセキュリティを実装する際の技術的制約
2.5 FRAGMENTED REGULATORY ENVIRONMENT 2.5 断片化された規制環境
2.6 LACK OF EXPERTISE AND SKILLED RESOURCES FOR CAM CYBERSECURITY 2.6 CAMのサイバーセキュリティに関する専門知識と熟練したリソースの不足
2.7 LACK OF INFORMATION SHARING AND COORDINATION ON SECURITY ISSUES AMONG THE CAM ACTORS  2.7 CAM関係者の間でのセキュリティ問題に関する情報共有と調整の欠如 

 


参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.20 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

・2021.04.10 欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました

・2020.04.30 NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

・2020.03.31 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

少し古くなりますが・・・

・2016.10.26 U.S. DOT issues Federal guidance to the automotive industry for improving motor vehicle cybersecurity

・2012.06.21 IPA 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開 ~ネットワーク化・オープン化の進む自動車にセキュリティを~

・2012.04.25 自動車のオープンソース化は危険ではないか、という意見

 

 

| | Comments (0)

2021.05.05

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

運用における標準約款契約を含む国際的多層委託モデルが複数存在し、かつオンプレ環境もある状況が当たり前になってくる中で、インシデント対応はより複雑になってきますよね。。。これ、日本語化してくれるといいかもですね。。。

● Cloud Security Alliance

・2021.05.04 (press) Cloud Security Alliance’s New Cloud Incident Response Framework Serves as Transparent, Common Blueprint Through Which to Share Best Practices

・2021.05.04 (published) Cloud Incident Response Framewor

Key Takeaways: Key Takeaways
How to effectively manage cloud incidents through the entire lifecycle of a disruptive event, including: 破壊的イベントのライフサイクル全体を通して、クラウド・インシデントをいかに効果的に管理するかについての
・Preparation ・準備
・Detection and analysis ・検知と分析
・Containment, eradication, and recovery ・封じ込め、根絶、回復
・Post-mortem ・事後処理
How to coordinate and share information with stakeholders and other organizations ステークホルダーや他の組織といかに調整や情報共有をするか
Who It’s For: 想定読者
All cloud customers すべてのクラウド利用者
Cloud service providers who need a clear framework for sharing incident response practices with customers インシデント対応方法を利用者と共有するための明確なフレームワークを必要とするクラウドサービスプロバイダー

 

20210505-53437

Table of Contents 目次
1. Introduction  1. 序文
Purpose  目的
Target Audience 想定読者
2. Normative References 2. 規範となる文献
3. Definitions 3. 定義
4. CIR Overview 4. CIRの概要
5. CIR Framework 5. CIRの枠組み
5.1 Phase 1: Preparation and Follow-on Review 5.1 フェーズ1:準備とフォローオンレビュー
5.1.1 Documentation 5.1.1 文書化
5.2 Phase 2: Detection and Analysis 5.2 フェーズ2:検知と分析
5.2.1 Inducement 5.2.1 誘引
5.2.1.1 Cause of Cloud Incident 5.2.1.1 クラウドインシデントの原因
5.2.1.2 Signs of an Incident 5.2.1.2 インシデントの兆候
5.2.1.3 Common Sources of Precursors and Indicators 5.2.1.3 前兆と指標の一般的な情報源
5.2.2 Incident Analysis to Determine Impacts 5.2.2 影響を決めるためのインシデント分析
5.2.2.1 Incident Analysis 5.2.2.1 インシデントの分析
5.2.2.2 Incident Notification 5.2.2.2 インシデントの通知
5.2.2.2.1 Incident Notification Timing 5.2.2.2.1 インシデントの通知タイミング
5.2.2.3 Incident Impacts 5.2.2.3 インシデントの影響
5.2.3 Evidence Gathering and Handling 5.2.3 証拠の収集と処理
5.3 Phase 3: Containment, Eradication, and Recovery 5.3 フェーズ3:封じ込め、根絶、回復
5.3.1 Choosing a Containment Strategy 5.3.1 封じ込め戦略の選択
5.3.2 Eradication and Recovery 5.3.2 封じ込めと回復
5.4 Phase 4: Post-Mortem 5.4 フェーズ4:事後処理
5.4.1 Incident Evaluation 5.4.1 インシデントの評価
5.4.1.1 Incident Evaluation Metrics 5.4.1.1 インシデントの評価指標
5.4.1.2 Incident Classification 5.4.1.2 インシデントの分類
5.4.2 Incident Closing Report 5.4.2 インシデントの終結報告
5.4.2.1 Lessons Learned 5.4.2.1 学んだ教訓
5.4.3 Incident Evidence Retention 5.4.3 インシデントの証拠の保持
6. Coordination and Information Sharing 6. 連携と情報共有
6.1 Coordination 6.1 コーディネーション
6.1.1 Coordination Relationships 6.1.1 協調関係
6.1.2 Sharing Agreements and Reporting Requirements 6.1.2 共有契約及び報告要件
6.2 Information-Sharing Techniques 6.2 情報共有の手法
6.3 Granular Information Sharing 6.3 概要レベルの情報共有
6.3.1 Business Impact Information 6.3.1 ビジネスインパクト情報
6.3.2 Technical Information 6.3.2 技術情報
6.4 Table-Top Exercises and Incident Simulations 6.4 テーブルトップ演習とインシデントシミュレーション
7. Summary 7. まとめ

 

 

| | Comments (0)

カナダ サイバーセキュリティセンター がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター (Canadian Centre for Cyber Security) がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

多少の専門的な知識があることが前提となるとは思いますが、比較的平易に説明されていると思います。が、Bluetoothのガイダンスで記載されている内容は、利用者にとっては厳し目に感じるかもしれませんが、個人使用ではなく、組織の重要な情報を扱う端末での利用を考えると思いますので、、、

 

● Canadian Centre for Cyber Security

・2021.05.03 Using Encryption to Keep Your Sensitive Data Secure (ITSAP.40.016)

The cccs recommends CCCSの推奨事項
Evaluate the sensitivity of your information (e.g. personal and proprietary data) to determine where it may be at risk and implement encryption accordingly. 情報の機密性(個人情報や非公開専有情報など)を評価し、どこにリスクがあるかを判断し、それに応じて暗号化を導入する。
Choose a vendor that uses standardized encryption algorithms (e.g. CC and CMVP supported modules). 標準化された暗号化アルゴリズムを使用しているベンダーを選択する(例:CCおよびCMVP対応モジュール)。
Review your IT lifecycle management plan and budget to include software and hardware updates for your encryption products. ITライフサイクル管理計画と予算を見直し、暗号化製品のソフトウェアおよびハードウェアの更新を含める。
Update and patch your systems frequently. システムを適時に更新し、パッチを当てる。

20210505-51102

 

・2021.05.03 Using Bluetooth Technology (ITSAP.00.011)

Summary of security tips セキュリティに関する注意事項のまとめ
Keep all Bluetooth devices up to date (e.g. phones, headphones, keyboards, gaming equipment) すべてのBluetooth機器を最新の状態に保つ(例:携帯電話、ヘッドホン、キーボード、ゲーム機など)
Turn off Bluetooth when you’re not using itFootnote* Bluetoothを使用しないときは、Bluetoothをオフにする。
Turn off discovery mode when you’re not connecting devices デバイスを接続していないときはディスカバリーモードをオフにする
Avoid pairing devices in public spaces 公共の場でのデバイスのペアリングを避ける
Pair only with devices that you know and trust 知っていて信頼できるデバイスとのみペアリングする
Never transfer sensitive information over Bluetooth 機密情報をBluetoothで転送しない
Avoid using Bluetooth-enabled keyboards to enter sensitive information or passwords Bluetooth対応のキーボードを使って機密情報やパスワードを入力しない
Remove lost or stolen devices from your list of paired devices 紛失または盗難にあったデバイスをペアリング済みデバイスのリストから削除する
Delete all stored data and devices from Bluetooth enabled cars Bluetooth対応車から保存されたデータやデバイスをすべて削除する
Avoid pairing devices with rental cars レンタカーとデバイスのペアリングを避ける

 

20210505-51225

| | Comments (0)

2021.05.01

U.K. 王立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

こんにちは、丸山満彦です。

英国の王立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。前のバージョンは2019年に4月でしたから2年ぶりの更新です。記述が増えましたね(^^)

U.K. National Audit Office: NAO

・2021.04.30 Guidance for audit committees on cloud services


このガイダンスでは、クラウドサービスの概要と、その利用に関する政府の方針を説明しています。その上で、監査委員会が経営陣と関わる際に、3つの段階で質問することを検討するための具体的な質問を示しています。

  • クラウドサービスの評価:組織戦略やデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環としてクラウドサービスを検討する。
  • クラウドサービスの導入:システム構成、データ移行、サービスのリスクとセキュリティを考慮する。
  • クラウドサービスの管理と最適化:運用上の考慮点、第三者による保証の必要性、本番稼動を管理するために必要な能力を説明する。

本ガイダンスは、他で配布されている詳細なクラウド・ガイダンスを参照・補完するものです。


ということのようです。。。

・[PDF] Guidance for audit committees on cloud services

20210430-235829

目次

Foreword 序文
Introduction はじめに
 Why this requires attention  なぜこれが必要なのか
 What is government policy on cloud services?  クラウドサービスに関する政府の政策とは?
 Other guidance available  その他のガイダンス
An overview of cloud services クラウドサービスの概要
 Pricing of cloud services  クラウドサービスの価格
 Legacy systems  従来のシステム
 Lock-in and exit strategy  ロックインと出口戦略
Part One: Assessment of cloud services 第1部:クラウドサービスの評価
 Digital strategy  デジタル戦略
 Business case  ビジネスケース
 Due diligence  デューディリジェンス
Part Two: Implementation of cloud services 第2部:クラウドサービスの導入
 System configuration  システム構成
 Risk and security  リスクとセキュリティ
 Implementation  実装
Part Three: Management and optimisation of cloud services  第3部:クラウドサービスの管理と最適化 
 Operations  運用
 Assurance  保証
 Capability  キャパシティ
Appendix One: National Cyber Security Centre guidance 附属書1:王立サイバーセキュリティセンターのガイダンス
Appendix Two: Assurance arrangements: Service Organisation Controls(SOC) reports, Cyber Essentials and ISO 27001 附属書2:保証体制:Service Organisation Controls(SOC)レポート、Cyber Essentials、ISO 27001

 

2019年4月に初版が公表された時のページです。

・2019.04.24 Guidance for audit committees on cloud services

20210501-00430

 

2018年5月に監査委員会向けの啓発をした時のページです。

・2018.05.24 Transformation guidance for audit committees


このガイダンスは、監査委員会が、経営陣が変革によって何を意図しているのか、サービスはどのように変化するのか、そして目的を達成するための戦略を明確にすることを促すためのものです。本ガイダンスでは、3つの段階での質問と、注目すべき証拠や指標を示しています。

  • セットアップ:ビジョン、戦略、ガバナンス、アーキテクチャ、および変革の進化する性質を含みます。
  • 提供:変更と実装、およびサービスとパフォーマンスの管理をカバーします。
  • 実運用と便益の実現:人、プロセス、技術を対象とします。

変革においてデータが中心的な役割を果たすことを踏まえ、本ガイダンスでは、監査委員会がデータの役割と管理について質問できる項目も用意されています。


20210501-60920

 

2017年に監査委員会向けにサイバーセキュリティについて発表した資料

・2017.09.13 Cyber security and information risk guidance for Audit Committees


以下をカバーする質問と問題のチェックリストを提供します。

  • サイバーセキュリティとリスク管理についての全体的なアプローチ
  • サイバーセキュリティを管理するために必要な機能
  • 情報リスク管理、ネットワークセキュリティ、ユーザー教育、インシデント管理、マルウェア保護、監視、在宅およびモバイル作業などの特定の側面
  • クラウドサービスの利用や新しいサービス・テクノロジーの開発などの関連分野

20210501-61608

 

| | Comments (0)

NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

こんにちは、丸山満彦です。

NISTがSP 800-161 Rev. 1 (ドラフト) 「システムと組織のためのサイバー・サプライチェーン・リスク管理の実践」を公表し、意見募集をしておりますね。。。

6月14日に締め切った後、9月に第2次ドラフトを公開する予定ですね。。。ボストンコンサルティングの方がメンバーですね。。。

NIST - ITL - Computer Security Resource Center

・2021.04.29 SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations

 

パブコメの対象は、

Publication: 

・[PDF]  SP 800-161 Rev. 1 (Draft)

20210430-211045

その他参考情報は

Workshop (web)

NIST’s Cyber Supply Chain Risk Management Program (other)

現在の文書

SP 800-161 (web) 

 

Announcement 発表
More than ever, organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks can decrease an enterprise’s visibility into and understanding of how the technology that they acquire is developed, integrated, and deployed. They can also affect and be affected by the processes, procedures, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of products and services. 企業はこれまで以上に、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバーサプライチェーン内での不適切な製造・開発行為による脆弱性に関連するリスクを懸念しています。これらのリスクは、企業が取得したテクノロジーがどのように開発、統合、展開されているかについて、企業の可視性や理解を低下させる可能性があります。また、製品やサービスのセキュリティ、耐障害性、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、実践にも影響を与え、影響を受ける可能性があります。
That is why NIST is inviting comments on a major revision to Cyber Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161). The updates are designed to better help organizations identify, assess, and respond to cyber supply chain risks while still aligning with other fundamental NIST cybersecurity risk management guidance. そのため、NISTは、「システムと組織のためのサイバーサプライチェーンリスクマネジメントの実践」(SP 800-161)の大幅な改訂についてコメントを募集しています。今回の改訂は、NISTの他の基本的なサイバーセキュリティ・リスク管理ガイダンスとの整合性を保ちつつ、組織がサイバー・サプライチェーン・リスクを特定し、評価し、対応するのに役立つように設計されています。
The revision to this foundational NIST publication represents a 1-year effort to incorporate next generation cyber supply chain risk management (C-SCRM) controls, strategies, policies, plans, and risk assessments into broader enterprise risk management activities by applying a multi-level approach. The changes focus on making implementation guidance more modular and consumable for acquirers, suppliers, developers, system integrators, external system service providers, and other information and communications technology (ICT)/operational technology (OT)-related service providers. Additionally, the references have been updated and expanded. このNISTの基本的な出版物の改訂は、次世代のサイバーサプライチェーンリスク管理(C-SCRM)の統制、戦略、方針、計画、リスク評価を、マルチレベルのアプローチを適用することで、より広範な企業のリスク管理活動に組み込むための1年間の取り組みを表しています。今回の変更点は、買収者、供給者、開発者、システムインテグレーター、外部システムサービスプロバイダー、その他の情報通信技術(ICT)/運用技術(OT)関連のサービスプロバイダー向けに、実施ガイダンスをよりモジュール化し、消費可能にすることに重点を置いています。さらに、参考文献も更新・拡充されています。
..... .....
Abstract 概要
Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、サイバー・サプライチェーンにおいて、悪意のある機能が含まれていたり、偽造品であったり、製造や開発の不備により脆弱であったりする製品やサービスに関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。

 

目次 ↓

Continue reading "NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践"

| | Comments (0)

2021.04.30

NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

こんにちは、丸山満彦です。

NISCの重要インフラチームがが連休を前に、「ランサムウエアによるサイバー攻撃に関する注意喚起について」を発表していますね。。。


万が一被害に遭った場合は、被害拡大防止の観点から、一人で解決しようとせず、警察など関係機関に御相談ください。


 

NISC

・2021.04.30 [PDF] ランサムウエアによるサイバー攻撃に関する注意喚起について

20210430-154438

 

端末やサーバ等のデータを暗号化し身代金を要求し、身代金を払わない場合は搾取した個人情報や機密情報を公表するぞと脅す、いわゆる二重脅迫が行われるケースも増えてきているので、厄介な問題ですよね。。。

チェックポイント等も記載してくれているので、参考になりますかね。。。

 

会社名 脆弱性 CVE(NIST) 参考URL
Fortinet 製  Virtual Private Network(VPN)装置 CVE-2018-13379 https://www.nisc.go.jp/active/infra/pdf/fortinet20201203.pdf
Ivanti 製  VPN 装置 Pulse Connect Secure CVE-2021-22893
CVE-2020-8260
CVE-2020-8243
CVE-2019-11510
https://blog.pulsesecure.net/pulse-connect-secure-security-update/
Citrix 製 Citrix Application Delivery Controller
Citrix Gateway
Citrix SD-WAN WANOP
CVE-2019-19781 https://support.citrix.com/article/CTX267027
Microsoft  Exchange Server  CVE-2021-26855 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
SonicWall  Secure Mobile Access (SMA) 100 シリーズ CVE-2021-20016 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
QNAP Systems 製  NAS(Network Attached Storage)製品 QNAP CVE-2021-28799
CVE-2020-36195
CVE-2020-2509
https://www.qnap.com/en/security-news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
Microsoft Windows のドメインコントローラー CVE-2020-1472 https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-1472

| | Comments (0)

NISC 「政府機関等における情報システム運用継続計画ガイドライン」の改定について

こんにちは、丸山満彦です。

NISCから「政府機関等における情報システム運用継続計画ガイドライン(第3版)」と「同 付録(第2版)」が公表されていますね。。。8年ぶりの改訂ですね。。。


平成24年5月に内閣官房情報セキュリティセンターが改定した「中央省庁における情報システム運用継続計画ガイドライン(以下「本ガイドライン」という。)」について、感染症の流行及び技術動向の変化を踏まえて改定しましたので、お知らせいたします。

...

改訂履歴

  • 2021年4月
      感染症の流行及び技術動向の変化に係る内容を追加し、利便性向上を目的に構成を見直しました。また、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」との整合性を図り、対象組織に独立行政法人及びサイバーセキュリティ戦略本部が指定する法人を加えました。

ということのようです...

 

● NISC

・2021.04.28 政府機関等における情報システム運用継続計画ガイドライン」の改定について

 ・[PDF] 政府機関等における情報システム運用継続計画ガイドライン(第3版)

20210430-143148

 ・[PDF] 同 付録(第2版)

20210430-143201

どこが変わったか見比べないとよくわからない..(^^;;

| | Comments (0)

2021.04.28

NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

こんにちは、丸山満彦です。

NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準案について意見募集をしていますね。

SP 800-171Aと同じく、

  • 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
  • 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
  • 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階

が定義されていて、監査論的にも興味深いですね。。。

 

● NIST - ITL - Computer Security Resource Center - Publication

・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information

・[PDF]  SP 800-172A (Draft)

20210428-65230

Announcement 発表
The protection of controlled unclassified information (CUI) in nonfederal systems and organizations—especially CUI associated with a critical program or high value asset—is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. To determine if the enhanced security requirements in NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171, have been satisfied, organizations develop assessment plans and conduct assessments. 連邦政府以外のシステムや組織における管理下の未分類情報(CUI)、特に重要なプログラムや高価値の資産に関連するCUIの保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を正常に遂行する能力に直接影響を与える可能性があります。”NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information:”A Supplement to NIST Special Publication 800-171”の強化されたセキュリティ要件が満たされているかどうかを判断するために、組織は評価計画を策定し、評価を実施します。
Draft NIST SP 800-172A, Assessing Enhanced Security Requirements for Controlled Unclassified Information, provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST SP 800-172. The generalized assessment procedures are flexible, provide a framework and starting point to assess the enhanced security requirements, and can be tailored to the needs of organizations and assessors. Organizations tailor the assessment procedures by selecting specific assessment methods and objects to achieve the assessment objectives and by determining the scope of the assessment and the degree of rigor applied during the assessment process. The assessment procedures can be employed in self-assessments, independent third-party assessments, or assessments conducted by sponsoring organizations (e.g., government agencies). Such approaches may be specified in contracts or in agreements by participating parties. The findings and evidence produced during assessments can be used by organizations to facilitate risk-based decisions related to the CUI enhanced security requirements. In addition to developing determination statements for each enhanced security requirement, Draft NIST SP 800-172A introduces an updated structure to incorporate organization-defined parameters into the determination statements. ドラフトNIST SP 800-172A「管理対象非機密情報に対する強化版セキュリティ要件の評価」は、NIST SP 800-172の要件の評価を実施するために使用できる評価手順を連邦機関および非連邦組織に提供しています。一般化された評価手順は柔軟性があり、強化版セキュリティ要件を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。組織は、評価目的を達成するために特定の評価方法と評価対象を選択し、評価の範囲と評価プロセスに適用する厳密さの度合いを決定することによって、評価手順を調整します。評価手順は、自己評価、独立した第三者評価、またはスポンサー組織(政府機関など)が実施する評価に利用できます。このようなアプローチは、契約書または参加者による合意書に明記することができます。評価中に得られた所見と証拠は、組織が CUI 強化版セキュリティ要件に関連するリスクベースの 判断を促すために使用することができます。NIST SP 800-172A(ドラフト)では、セキュリティ強化要件ごとに判定書を作成することに加えて、組織が定義したパラメータを判定書に組み込むための最新の構造を導入しています。
NIST is seeking feedback on the assessment procedures, including the assessment objectives, determination statements, and the usefulness of the assessment objects and methods provided for each procedure. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives. NISTは、評価目的、判定文、各手順に用意された評価対象と評価方法の有用性など、評価手順に関するフィードバックを求めている。また、評価目的の決定文に組織で定義されたパラメータを組み込むために取られたアプローチにも関心があります。
Abstract 概要
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements. 連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1)自己評価、2)独立した第三者評価、3)政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。

 

 

 

 


■ 関連文書

● NIST - ITL

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

 ・[PDF] SP 800-172

・2021.01.28 SP 800-171 Rev. 2  Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF]  SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
 SP 800-171A

 SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。

SP 800-172 はEva Aviationが第3章までの機械翻訳(対訳)を出しています。


Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護

・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件(第3章まで機械翻訳(対訳))

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

| | Comments (0)

より以前の記事一覧