NIST CPRT(サイバーセキュリティ・プライバシーリファレンスツール)

NISTのCSFツールを便利に使っていましたが、他にCPRT(サイバーセキュリティ・プライバシーリファレンスツール)というものが提供されていることに気づきましたので、まとめてみます。

Cybersecurity and Privacy Reference Tool | CSRC

NISTからは、サイバーセキュリティフレームワーク(CSF)を初めとしてSP800シリーズなどが様々提供されています。また、ISOの規格も存在します。それらの関連をみたいときにPDFでは限界があるので、内容をデータベース化して関連付けて参照できるようにするためのツールのようです。説明文には、何百ページにも及ぶ説明文を確認することなく、NIST リソース内およびリソース間でコンテンツを識別、検索、比較、カスタマイズすることが簡単になりますと書かれています。コンテンツは、一般的な形式 (XSLS および JSON) でダウンロードできます。

コンテンツ

参照データセットとして、CSFや、SP800-53、SP800-171などがあり、RevごとにDB化されたコンテンツをWEB上で参照可能になっています（もちろんダウンロードも可能）。文書のこの部分と示すのに、WEBになっていると便利ですよね。また、旧版も利用可能でした。

利用可能な文書の一覧（一部）

NIST文書へのマッピング

専門家が自分のドキュメントの要素とCSFやSP800-53などの NISTドキュメントの要素との間でオンライン参考資料(OLIR)を定義できるようにしているそうです。SP800-53とISO27001の間のマッピングが提供されていました。
検索もできるようです。

National Online Informative References Program | CSRC

機能ロードマップ

ロードマップを見ると、フェーズ1、フェーズ2、フェーズ3とわかれており、2024年5月現在は、フェーズ3の「UXの拡張」にあり、新しいツールを開発が行われて公開されているようです。
例として次のようなものが記載されていました。

1. さまざまなデータセット間の関係性と依存関係をナビゲートして検出します。

2. NIST と業界セクター固有の参照データセット間のクロスウォーキング。

3. 制御、機能、カテゴリ、実践、スキルなどのデータ要素レベルでコミュニティからの入力とコメントを募集します。

4. データ要素レベルで更新をリリースします。

5. データ要素レベルでの変更の履歴記録を提供します。

6. 関係者が NIST 参照データに基づいて独自のプロファイル、オーバーレイ、ベースライン、テンプレートを構築できるようにします。

7. それらはPDFで提供されていますが ガイダンスを構築したいですか? このツールは、さまざまな NIST サイバーセキュリティおよびプライバシー標準、ガイドライン、フレームワークからの参照データに簡単にアクセスする方法を提供します。

さいごに

サイバーセキュリティ・プライバシーリファレンスツールを触ってみてわかったこととまとめてみました。