« NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル | Main | GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・ »

2021.03.31

NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

こんにちは、丸山満彦です。

NISTが消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨をNISTIRとして公表していますね。。。

● NIST - ITL

・2021.03.29 NISTIR 8333 - Workshop Summary Report for “Cybersecurity Risks in Consumer Home Internet of Things (IoT) Products” Virtual Worksho

・[PDF] NISTIR 8333

20210330-182620

 

Abstract 概要
This report provides a summary of the discussion and findings from the NIST Cybersecurity Risks in Consumer Home Internet of Things (IoT) Devices virtual workshop in October 2020. NIST Interagency Report (NISTIR) 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, and NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline, provide general guidance on how manufacturers can approach their role of fulfilling their customers’ cybersecurity needs and capabilities. As discussed in those documents, particular sectors and use cases may require more specific guidance than what is included in NISTIR 8259A’s core baseline for Internet of Things (IoT) devices. To better understand the consumer home device sector, NIST collected observations on the cybersecurity device capabilities in a number of devices available in the first half of 2019. These observations were published in Draft NISTIR 8267, Security Review of Consumer Home Internet of Things (IoT) Products. The information in Draft NISTIR 8267 was foundational for the NIST Cybersecurity Risks in Consumer Home Internet of Things (IoT) Devices virtual workshop. The workshop gathered further community input on the concerns with consumer home IoT device cybersecurity. 本報告は、2020年10月に開催された「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」オンラインワークショップでの議論と結果をまとめたものです。NIST 統合報告(NISTIR)8259「IoT機器メーカーのための基礎的なサイバーセキュリティ活動」とNISTIR 8259A「IoTデバイスのサイバーセキュリティ能力のコア・ベースライン」は、顧客のサイバーセキュリティのニーズと能力を満たすという製造業者の役割にどのようにアプローチするかについての一般的なガイダンスを提供しています。これらの文書で議論されているように、特定のセクターやユースケースでは、NISTIR 8259Aのモノのインターネット(IoT)デバイスのコアベースラインに含まれているものよりも、より具体的なガイダンスが必要な場合があります。消費者向け家庭用機器セクターをより深く理解するために、NISTは2019年前半に発売される多数の機器におけるサイバーセキュリティ機器の機能に関する観測を収集しました。これらの観測結果は、ドラフトNISTIR 8267「消費者向け家庭用IoTのセキュリティレビュー 製品情報」に掲載されました。ドラフトNISTIR 8267の情報は、「NIST C消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」のオンラインワークショップの基礎となりました。このワークショップでは、消費者向け家庭用IoT機器のサイバーセキュリティに関する懸念について、コミュニティの意見がさらに集められました。

 

Takeawayです。。。

 1: Creating a more secure IoT ecosystem for consumer devices can benefit all manufacturers and the “common good.”  1: 消費者向けデバイスのためにより安全なIoTエコシステムを構築することは、すべてのメーカーに利益をもたらし、"共通の利益 "となります。
 2: Manufacturers are challenged by balancing the design and functionality of consumer IoT devices against maintaining a viable cost structure for their target market.  2:メーカーは、消費者向けIoTデバイスのデザインや機能性と、ターゲット市場で実行可能なコスト構造の維持とのバランスを取るという課題を抱えています。
 3: Manufacturers can benefit by having a recognized business model around a “connected device lifecycle” that covers the mechanical and information technology (IT) components of a home IoT device.  3:メーカーは、家庭用IoT機器の機械部品と情報技術(IT)部品をカバーする「コネクテッドデバイスのライフサイクル」を中心とした、認知されたビジネスモデルを持つことで利益を得ることができます。
 4: Consumers cannot bear the sole responsibility of maintaining cybersecurity on IoT devices.  4:消費者は、IoT機器のサイバーセキュリティを維持する責任を単独で負うことはできません。
 5: Software and patch updates are critical to maintaining security, but a consumer’s ability to deploy them is limited.  5:ソフトウェアとパッチの更新は、セキュリティを維持するために重要ですが、消費者がそれを展開する能力は限られています。
 6: Privacy plays a role in the manufacture and consumption of home IoT devices but is not well understood by consumers.  6:家庭用IoT機器の製造・消費において、プライバシーは役割を果たしているが、消費者には十分に理解されていない。
 7: Consumer education about home IoT cybersecurity should be an ongoing, shared responsibility among stakeholders.  7:家庭用IoTのサイバーセキュリティに関する消費者教育は、関係者の間で継続的に行われ、共有されるべきものである。

 

Next Stepです

The NIST Cybersecurity for IoT program has identified the following next steps taking into account the takeaways from the workshop, the feedback on draft NISTIR 8267, and ongoing efforts:  NIST Cybersecurity for IoTプログラムでは、ワークショップで得られた成果、NISTIR 8267草案へのフィードバック、継続的な取り組みを考慮して、次のステップを特定しました。
1. Survey the Options for Confidence Mechanisms for IoT
Devices. NIST should work with consumer groups, industry, standards bodies, and other stakeholders to survey options for confidence mechanisms that enable identification of cybersecurity device capabilities in consumer home IoT devices. 
1. IoTデバイスの信頼性メカニズムのオプションを調査する。
NISTは、消費者団体、産業界、標準化団体、その他の利害関係者と協力して、消費者の家庭用IoT機器におけるサイバーセキュリティ機器の能力の識別を可能にする信頼性メカニズムのオプションを調査するべきです。
2. Address Software Update and Patching Complexity.
NIST could explore ways to work with consumer groups, industry, academia, and other interested stakeholders to address the complexity of software updating/patching and the limits of consumers’ ability to manage updates/patches. 
2. ソフトウェアの更新とパッチ適用の複雑さに対処する。
NISTは、消費者団体、産業界、学界、その他の関心のあるステークホルダーと協力して、ソフトウェアの更新・パッチの複雑さや、消費者の更新・パッチ管理能力の限界に対処する方法を検討することができます。
3. Consider a Consumer Home IoT Device Profile.
NIST could consider how a consumer home IoT device profile of the core baseline might be structured to address the specific concerns of this market. 
3. 消費者の家庭用IoTデバイスプロファイルを検討する。
NISTは、この市場特有の懸念に対応するために、コアベースラインの消費者向け家庭用IoTデバイスプロファイルをどのように構成するかを検討することができます。
4. Perform an Analysis of the Available Guidance for Consumer IoT Cybersecurity.
NIST could conduct an analysis to identify the standards, guidance, and tools currently available; how the standards and guidance overlap and where any critical gaps exist; and what would best support consumer IoT device manufacturers in implementing better security in IoT devices. 
4. 消費者向けIoTサイバーセキュリティのための利用可能なガイダンスの分析を行う。
NISTは、現在利用可能な規格、ガイダンス、ツールを特定するための分析を行い、規格やガイダンスがどのように重複しているか、どこに重大なギャップが存在するか、消費者向けIoT機器メーカーがIoT機器に優れたセキュリティを実装するために何が最も適しているかを明らかにすることができます。
5. Determine appropriate revisions for the Product Security Survey.
NIST should consider revising NISTIR 8267, Security Survey of Consumer Home Internet of Things (IoT) Products with comments from the workshop. 
5. 製品セキュリティ調査の適切な改訂する。
NISTは、ワークショップで得られたコメントをもとに、NISTIR 8267「Security Survey of Consumer Home Internet of Things(IoT) Products」の改訂を検討すべきです。

 

■ 参考

・2020.05.29 NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers

 ・[PDF] NISTIR 8259

 

・2020.05.29 NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline

 ・[PDF] NISTIR 8259A

 

・2019.10.01 Draft NISTIR 8267, Security Review of Consumer Home Internet of Things (IoT) Products

 ・[PDF] NISTIR 8267 (Draft)

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

2020.11.19 2020年IoTサイバーセキュリティ法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

2020.05.30 NISTIoT機械製造者ハラのセキュリティセキュリティNISTIR8259 IoTデバイスメーカー向けの基本的なサイバーセキュリティ活動、NISTIR 8259AIoTデバイスのサイバーセキュリティ機能コアベースライン

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

|

« NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル | Main | GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・ »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル | Main | GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・ »