NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
こんにちは、丸山満彦です。
NISTがSP 800-213 連邦政府向け IoTデバイスサイバーセキュリティ要件の確立、及び、NIST NISTIR 8259B、8259C、8259Dの合計4つの文書のドラフトを発表し、意見募集をしていますね。。。
● NIST - ITL
概要
- 連邦政府が導入しようとしている IoT デバイスが連邦政府の情報システムにどのように統合できるかを検討するために役立つ背景と推奨事項を示している。
- IoT デバイスとそのセキュリティ管理への対応は、組織およびシステムのリスク管理の視点から示している。
- システム・セキュリティを検討するためのガイダンスは、デバイスの観点から示されている。
よって、デバイスのサイバーセキュリティ要件(つまり、連邦政府が IoT デバイスとその製造者、その委託事業者にそれぞれ期待する能力と行動)を特定することが可能になる。
NISTIR 8259シリーズがIoT関連の文書としてあります。今回、8259B、8259C、8259Dの3つも意見募集しています。。。
・2020.05.29 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers
「IoTデバイス製造事業者向け 基本的なサイバーセキュリティ活動」
IoTデバイスを顧客に販売する前に製造事業者が検討すべき事項であるサイバーセキュリティに関連した推奨活動について説明している。
・・[PDF] NISTIR 8259 (DOI)
・・Supplemental Material:
・・・ Blog post (web)
・・・ Video overview of NIST recommendations (web)
・2020.05.29 NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline
「IoTデバイスのサイバーセキュリティ機能のコアベースライン」
IoTデバイスのサイバーセキュリティ能力のコアベースライン(組織のデバイスやデバイスデータ、システム、エコシステムを保護する一般的なサイバーセキュリティ管理をサポートするために一般的に必要とされるデバイス能力のセット)を定義している。
・・[PDF] NISTIR 8259A (DOI)
・・Supplemental Material:
・・・ Federal Profile of NISTIR 8259A (other)
・・・ NIST Cybersecurity for IoT Program (web)
・2020.12.15 NISTIR 8259B (Draft) IoT Non-Technical Supporting Capability Core Baseline
「IoT非技術的サポート機能のコアベースライン」
製造業者及びその委託事業者から一般的に必要とされる追加の非技術的な支援活動を詳述することにより、「NISTIR 8259A IoTデバイスのサイバーセキュリティ機能のコアベースライン」を補完する。この非技術的ベースラインは、文書化、トレーニング、顧客からのフィードバックなどの支援能力を収集し、明示する。
・・[PDF] NISTIR 8259B (Draft)
・・Supplemental Material:
・・・ IoT Device Cybersecurity Requirement Catalogs (web)
・2020.12.15 NISTIR 8259C (Draft) Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline
NISTIR 8259A と 8259B で提供されているコア・ベースラインから始まり、特定の IoT デバイスの顧客やアプリケーションに適した IoT サイバーセキュリティ・プロファイルを開発するために、それらのベースラインを組織やアプリケーション固有の要件(業界標準、規制ガイダンスなど)と統合する方法を説明する、どのような組織でも利用可能なプロセスを記述している。
・・[PDF] NISTIR 8259C (Draft)
「連邦政府向け IoTコアベースラインと非技術ベースラインを使用したプロファイル」
FISMAのプロセスの要件と SP 800-53 セキュリティとプライバシーの制御カタログが本質的なガイダンスである連邦政府の顧客に焦点を当てた NISTIR 8259C プロセスを適用した結果の実例を提供する。
NISTIR 8259Dは、連邦政府のユースケースのための最小限の安全性の基準の例としてNIST SP 800-53Bに記載されているFISMAの低ベースラインに対して校正されたNISTIR 8259Aと8259Bのコアベースラインのデバイス中心のサイバーセキュリティ指向のプロファイルを提供する。
・・[PDF] NISTIR 8259D (Draft)
NISTのブログが全体像を理解するのにはわかりやすいですね!!!
●NIST- Cybersecurity Insight
・2020.12.15 Rounding Up Your IoT Security Requirements: Draft NIST Guidance for Federal Agencies
■ 参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した
・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過
・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
原文 | 仮訳 |
SP800-213 (Draft) IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements | SP800-213(草案)連邦政府向け IoTデバイスのサイバーセキュリティガイダンス IoTデバイスのサイバーセキュリティ要件の確立 |
1 Introduction | 1 はじめに |
1.1 Purpose and Applicability | 1.1 目的と適用性 |
1.2 Target Audience | 1.2 想定読者 |
1.3 Relationship to Other Publications | 1.3 他の文書との関係 |
1.4 Document Conventions | 1.4 文書の規約 |
1.5 Publication Organization | 1.5 発行機関 |
2 Background Considerations | 2 背景の考察 |
2.1 Systems and Elements | 2.1 システムと要素 |
2.2 How IoT Devices Support Security | 2.2 IoTデバイスがセキュリティを支える仕組み |
2.3 How IoT Devices May Create Security Challenges | 2.3 IoTデバイスがセキュリティ上の課題を生み出す可能性がある方法 |
3 Identifying Device Cybersecurity Requirements for IoT Devices | 3 IoTデバイスのサイバーセキュリティ要件の特定 |
3.1 Important IoT Device Cybersecurity Considerations | 3.1 IoTデバイスのサイバーセキュリティに関する重要な検討事項 |
3.2 Sources of Device Cybersecurity Requirements | 3.2 デバイスのサイバーセキュリティ要件のソース |
3.3 Use Context and Other Organization-Specific Information | 3.3 コンテキストやその他の組織固有の情報を利用する |
References | 参考文献 |
NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers | NISTIR 8259 IoTデバイス製造事業者向け 基本的なサイバーセキュリティ活動 |
Executive Summary | エグゼクティブサマリー |
1 Introduction | 1 はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 Publication Structure | 1.2 文書の構成 |
2 Background | 2 背景 |
3 Manufacturer Activities Impacting the IoT Device Pre-Market Phase | 3 IoTデバイスのプレマーケットフェーズに影響を与える製造事業者活動 |
3.1 Activity 1: Identify Expected Customers and Define Expected Use Cases | 3.1 活動 1: 期待される顧客の特定と期待されるユースケースの定義 |
3.2 Activity 2: Research Customer Cybersecurity Needs and Goals | 3.2 活動 2: 顧客のサイバーセキュリティのニーズと目標の調査 |
3.3 Activity 3: Determine How to Address Customer Needs and Goals | 3.3 活動 3: 顧客のニーズと目標にどのように対処するかを決定する |
3.4 Activity 4: Plan for Adequate Support of Customer Needs and Goals | 3.4 活動 4: 顧客のニーズと目標への適切な支援のための計画 |
4 Manufacturer Activities Impacting the IoT Device Post-Market Phase | 4 IoTデバイスの市場後のフェーズに影響を与える製造事業者活動 |
4.1 Activity 5: Define Approaches for Communicating to Customers | 4.1 活動 5: 顧客に伝えるためのアプローチの定義 |
4.2 Activity 6: Decide What to Communicate to Customers and How to Communicate It | 4.2 活動 6: 顧客に何を伝え、どのように伝えるかを決める |
4.2.1 Cybersecurity Risk-Related Assumptions | 4.2.1 サイバースセキュリティのリスク関連の仮定 |
4.2.2 Support and Lifespan Expectations | 4.2.2 サポートと寿命への期待 |
4.2.3 Device Composition and Capabilities | 4.2.3 デバイスの構成と機能 |
4.2.4 Software Updates | 4.2.4 ソフトウェアの更新 |
4.2.5 Device Retirement Options | 4.2.5 デバイスの引退オプション |
4.2.6 Technical and Non-Technical Means | 4.2.6 技術的手段と非技術的手段 |
5 Conclusion | 5 結論 |
References | 参考文献 |
NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline | NISTIR 8259A IoTデバイスのサイバーセキュリティ機能のコアベースライン |
1 Introduction | 1 はじめに |
2 IoT Device Cybersecurity Capability Core Baseline Definition | 2 IoTデバイスのサイバーセキュリティ機能のコアベースラインの定義 |
References | 参考文献 |
Appendix A— Understanding the IoT Device Cybersecurity Capability Core Baseline in the Context of Customer Needs and Goals | 付録 A- 顧客のニーズと目標の文脈における IoT デバイスのサイバーセキュリティ機能のコアベースラインの理解 |
Appendix B— Glossary | 付録B- 用語集 |
NISTIR 8259B (Draft) IoT Non-Technical Supporting Capability Core Baseline | NISTIR 8259B(草案)IoT非技術サポート機能のコアベースライン |
1 Introduction | 1 はじめに |
2 The IoT Non-Technical Supporting Capability Core Baseline | 2 IoT非技術的サポート機能のコアベースライン |
References | 参考文献 |
NISTIR 8259C (Draft) Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline | NISTIR 8259C(草案) IoTコアベースラインと非技術ベースラインを使用したプロファイルの作成 |
1 Introduction | 1 はじめに |
2 A Process for Profiling Using the IoT Device Cybersecurity Capability and Non-Technical Supporting Capability Baselines | 2 IoTデバイスのサイバーセキュリティ機能と非技術サポート機能のベースラインを用いたプロファイリングのプロセス |
2.1 Three Central Concepts for Creating a Profile Using the Core Baseline and the Non-Technical Baseline | 2.1 コアベースラインと非技術ベースラインを用いたプロファイル作成のための 3 つの中心概念 |
2.2 Creating a Profile | 2.2 プロファイルの作成 |
3 Conclusion | 3 結論 |
References | 参考文献 |
NISTIR 8259D (Draft) Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government | NISTIR 8259D(草案)連邦政府向け IoTコアベースラインと非技術ベースラインを使用したプロファイル |
1 Introduction | 1 はじめに |
2 The Profile of the IoT Core Baseline and Non-Technical Baseline for the Federal Government | 2 連邦政府向け IoTコアベースラインと非技術ベースラインのプロファイル |
3 Conclusion | 3 結論 |
References | 参考文献 |
Comments