« ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題 | Main | NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察 »

2021.02.13

NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

こんにちは、丸山満彦です。

NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)を確定させ公表しましたね。。。

PNTに関連するサービスを提供している組織が提供するデータが中断したり、誤ったデータになっている大きな影響が出るからでしょうね。。。今年2月12日に出された大統領令13905「測位・航法・計時サービスの責任ある使用による国家のレジリエンスの強化」(Executive Order 13905 Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing Services)に対応したものです。

 

● NIST - ITL

・2021.02.11 (PUBLICATIONSNISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services


・[PDF] NISTIR 8323

1_20210213014401

・Supplemental Material:

 ・[PDF] PNT Profile Quick Guide

 ・[web] NIST news article

 ・[web] PNT homepage

 

Abstract 概要
The national and economic security of the United States (US) is dependent upon the reliable functioning of the nation’s critical infrastructure. Positioning, Navigation, and Timing (PNT) services are widely deployed throughout this infrastructure. In a government wide effort to mitigate the potential impacts of a PNT disruption or manipulation, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services was issued on February 12, 2020. The National Institute of Standards and Technology (NIST) as part of the Department of Commerce (DoC), produced this voluntary PNT Profile in response to Sec.4 Implementation (a), as detailed in the EO. The PNT Profile was created by using the NIST Cybersecurity Framework and can be used as part of a risk management program to help organizations manage risks to systems, networks, and assets that use PNT services. The PNT Profile is intended to be broadly applicable and can serve as a foundation for the development of sector-specific guidance. This PNT Profile provides a flexible framework for users of PNT to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. 米国の国家および経済の安全保障は、国家の重要なインフラの信頼性の高い機能に依存している。測位・航法・計時(PNT)サービスは、このインフラ全体に広く展開されている。PNTの中断や操作による潜在的な影響を緩和するための政府全体の取り組みとして、2020年2月12日に、大統領令 (EO) 13905, 測位・航法・計時サービスの責任ある利用による国家のレジリエンスの強化が発行さた。商務省(DoC)の一部である国立標準技術研究所(NIST)は、EOに詳述されているように、Sec.4実施(a)に対応して、この自主的なPNTプロファイルを作成した。PNTプロファイルは、NISTサイバースセキュリティフレームワークを使用して作成され、組織がPNTサービスを使用するシステム、ネットワーク、および資産に対するリスクを管理するためのリスク管理プログラムの一部として使用することができる。PNTプロファイルは、広く適用できることを意図しており、セクター固有のガイダンスを開発するための基盤として機能することができる。このPNTプロファイルは、自然なもの、製造されたもの、意図的なもの、意図的でないものなど、混乱や操作の影響を受けやすいPNT信号やデータを形成し、使用する際のリスクを管理するために、PNTサービスの利用者に柔軟なフレームワークを提供している。
   
Executive Summary エグゼクティブサマリー
Executive Order 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing (PNT) Services, was issued on February 12, 2020 [EO 13905]. It seeks to protect the national and economic security of the United States from the disruption or manipulation of systems that form or use PNT data and information vital to the functioning of U.S. critical infrastructure and technology-based industries. The Executive Order (EO) directs the Department of Commerce to develop a PNT Profile that will address the four components of responsible use of PNT, as stated in the EO:  大統領令13905「測位・航法・計時サービスの責任ある利用による国家のレジリエンスの強化 」は、2020年2月12日に発令された[EO 13905]。これは、米国の重要インフラや技術ベースの産業の機能に不可欠なPNTデータや情報を形成または使用するシステムの破壊や操作から、米国の国家および経済の安全保障を守ることを目的としている。大統領令(EO)は、商務省に、EOに記載されているように、PNTの責任ある使用の4つの要素に対処するPNTプロファイルを開発するよう指示している。
1. Identify systems that use or form PNT data.2. Identify PNT data sources.3. Detect disruption and manipulation of the systems that form or use PNT services and data.4. Manage risk regarding responsible use of these systems. 1. PNTデータを使用または形成するシステムを特定する。
2. PNTデータのソースを特定する。
3. PNTのサービスやデータを形成・利用しているシステムの破壊や操作を検知する。
4. これらのシステムの責任ある使用に関するリスクを管理する。
The PNT Profile provides a flexible framework for users of PNT services to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, and unintentional. It was created by applying the NIST Cybersecurity Framework (CSF) [NIST CSF] and can be applied to all organizations that use PNT services, irrespective of the level of familiarity or knowledge that they have with the CSF. Organizations that have fully or partially adopted, or who have not adopted the CSF can benefit. PNTプロファイルは、自然なもの、製造されたもの、意図的なもの、意図的でないものなど、混乱や操作の影響を受けやすいPNT信号やデータを形成し、使用する際のリスクを管理するために、PNTサービスの利用者に柔軟なフレームワークを提供している。これは、NIST サイバーセキュリティフレームワーク (CSF) [NIST CSF]を適用して作成されたもので、PNTサービスを利用するすべての組織に適用することができ、CSFの精通度や知識のレベルに関係なく適用することができる。CSF を完全にまたは部分的に採用している組織も、CSF を採用していない組織も恩恵を受けることができる。
The PNT Profile is voluntary and does not: issue regulations, define mandatory practices, provide a checklist for compliance, or carry statutory authority. It is intended to be a foundational set of guidelines. Sector-specific agencies (SSAs) and entities may wish to augment or further develop their own PNT cybersecurity efforts via full or partial implementation of the recommended practices in this document. Any implementation of its recommendations will not necessarily protect organizations from all PNT disruption or manipulation. Each organization is encouraged to make their risk management decisions in the context of their own cyber ecosystem, architecture, and components. The PNT Profile’s strategic focus is to supplement preexisting resilience measures and elevate the postures of less mature initiatives. PNT プロファイルは自主的なものであり、規制を発行したり、強制的な慣行を定義したり、遵守のためのチェックリストを提供したり、法的な権限を与えたりするものではない。PNTプロファイルは、基礎となるガイドラインを提供することを意図している。セクター別の機関(SSA)や事業体は、本文書の推奨プラクティスの全面的または部分的な実施を通じて、独自の PNT サイバーセキュリティの取り組みを強化したり、さらに発展させたりすることを望むかもしれない。本文書の推奨事項を実施したからといって、すべての PNT の混乱や操作から組織を保護できるとは限らない。各組織は、独自のサイバーエコシステム、アーキテクチャ、およびコンポーネントの文脈の中でリスク管理の決定を行うことが推奨される。PNT プロファイルの戦略的な焦点は、既存のレジリエンス対策を補完し、あまり成熟していないイニシアティ ブの姿勢を向上させることである。

 

目次。。。パブコメ版にはあっと、5. Conclusionがなくなっています。。。

 

Executive Summary エグゼクティブサマリー
1 PNT Profile: Introduction 1 PNTプロフィールの紹介
1.1 Purpose and Objectives 1.1 目的と目標
1.2 Scope 1.2 範囲
1.3 Audience 1.3 対象者
2 PNT Profile: Intended Use
2 PNTプロファイル:使用目的
3 PNT Profile: Overview 3 PNTのプロフィール:概要
3.1 Risk Management Overview 3.1 リスクマネジメントの概要
3.2 Cybersecurity Framework Overview 3.2 サイバーセキュリティフレームワークの概要
4 The PNT Profile 4 PNTプロファイル
4.1 Identify Function 4.1 識別機能
4.1.1 Asset Management Category 4.1.1 資産管理カテゴリー
4.1.2 Business Environment Category 4.1.2 ビジネス環境カテゴリー
4.1.3 Governance Category 4.1.3 ガバナンスカテゴリー
4.1.4 Risk Assessment Category 4.1.4 リスクアセスメントカテゴリー
4.1.5 Supply Chain Risk Management Category 4.1.5 サプライチェーンリスクマネジメントカテゴリー
4.2 Protect Function 4.2 防御機能
4.2.1 Access Control Category 4.2.1 アクセス制御カテゴリー
4.2.2 Awareness and Training Category 4.2.2 意識向上およびトレーニングカテゴリー
4.2.3 Data Security Category 4.2.3 データセキュリティカテゴリー
4.2.4 Information Protection Processes and Procedures Category 4.2.4 情報を保護するためのプロセスおよび手順カテゴリー
4.2.5 Maintenance Category 4.2.5 保守カテゴリー
4.2.6 Protective Technology Category 4.2.6 保護技術カテゴリー
4.3 Detect Function 4.3 検知機能
4.3.1 Anomalies and Events Category 4.3.1 異常とイベントカテゴリー
4.3.2 Security Continuous Monitoring Category 4.3.2 セキュリティの継続的なモニタリングカテゴリー
4.3.3 Detection Processes Category 4.3.3 検出プロセスカテゴリー
4.4 Respond Function 4.4 対応機能
4.4.1 Response Planning Category 4.4.1 対応計画の作成カテゴリー
4.4.2 Communications Category 4.4.2 コミュニケーションカテゴリー
4.4.3 Analysis Category 4.4.3 分析カテゴリー
4.4.4 Mitigation Category 4.4.4 緩和カテゴリー
4.4.5 Improvements Category 4.4.5 改善カテゴリー
4.5 Recover Function 4.5 復旧機能
4.5.1 Recovery Planning Category 4.5.1 復旧計画カテゴリー
4.5.2 Improvements Category 4.5.2 改善カテゴリー
4.5.3 Communications Category 4.5.3 コミュニケーションカテゴリー
References 参考文献
List of Appendices 付録一覧
Appendix A— Acronyms and Abbreviations 付録 A- 略語と略語
Appendix B— Glossary 付録 B- 用語集
Appendix C— Additional Resources 付録 C- その他のリソース

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

|

« ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題 | Main | NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題 | Main | NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察 »