NIST (プロジェクトの説明)信頼できるIoTデバイス ネットワーク層のオンボーディングとライフサイクル管理:IPベースのIoTデバイスとネットワークセキュリティの強化
こんにちは、丸山満彦です。
NISTから信頼できるIoTデバイス ネットワーク層のオンボーディングとライフサイクル管理:IPベースのIoTデバイスとネットワークセキュリティの強化に関するプロジェクトの説明文書(ドラフト)が公開されていますね。。。
● NIST - ITL
・2021.03.16 White Paper (Draft) [Project Description] Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security
・[PDF] TRUSTED INTERNET OF THINGS (IOT) DEVICE NETWORKLAYER ONBOARDING AND LIFECYCLE MANAGEMENT - Enhancing Internet Protocol-Based IoT Device and Network Security
1 Executive Summary | 1 エグゼクティブサマリー |
Purpose | 目的 |
Scope | 範囲 |
Assumptions/Challenges | 前提条件/課題 |
2 Scenarios | 2 シナリオ |
Scenario 1: Trusted network-layer onboarding | シナリオ1:信頼できるネットワーク層でのオンボーディング |
Scenario 2: Validation of device authenticity and integrity | シナリオ2:デバイスの信頼性と完全性の検証 |
Scenario 3: Trusted application-layer onboarding | シナリオ3:信頼できるアプリケーション層でのオンボーディング |
Scenario 4: Re-onboarding a wiped device | シナリオ4:削除されたデバイスの再オンボーディング |
Scenario 5: Onboarding with device intent enforcement | シナリオ5:デバイスの意図を強制するオンボーディング |
3 High-Level Architecture | 3 ハイレベル・アーキテクチャ |
Logical Architecture | 論理的なアーキテクチャ |
High-Level Solution Architecture | ハイレベルソリューションアーキテクチャ |
Component List | 部品一覧(コンポーネントリスト) |
Desired Capabilities | 望ましい機能 |
4 Relevant Standards and Guidance | 4 関連する規格とガイダンス |
Appendix A References | 附属書A 参考文献 |
PurposeとScopeの仮訳はこちら・・・
・[html]] Project homepage
1 EXECUTIVE SUMMARY | 1 エグゼクティブサマリー |
Purpose | 目的 |
Network-layer onboarding of an Internet of Things (IoT) device is the provisioning of network credentials to that device. Network credentials are needed so that only authorized devices can connect to and use an organization’s networks. However, the established approaches to network-layer onboarding for IoT devices all have major challenges: | IoTデバイスのネットワーク層オンボーディングとは、そのデバイスにネットワーク認証情報を提供することです。ネットワーク資格情報は、許可されたデバイスのみが組織のネットワークに接続して使用できるようにするために必要です。しかし、IoTデバイスのネットワーク層オンボーディングに関する既存のアプローチは、いずれも大きな課題を抱えています。 |
• Using the same pre-shared credential for every device is the simplest approach, but it does not identify each device, nor does it give devices a way to verify they are connecting to the correct network. | ・すべてのデバイスに同じ事前共有クレデンシャルを使用することは最もシンプルなアプローチですが、これでは各デバイスを識別することはできず、デバイスが正しいネットワークに接続していることを確認する方法もありません。 |
• Manually provisioning a unique credential for each device often makes the onboarding process complex, resource intensive, error prone, and insecure. | ・各デバイスに固有のクレデンシャルを手動でプロビジョニングすると、オンボーディング・プロセスが複雑になり、リソースが集中し、誤りが発生しやすく、安全性が損なわれることがよくあります。 |
• Having manufacturers assign a unique credential to each device during the manufacturing process is expensive and inefficient. | ・また、メーカーが製造過程で各デバイスに固有のクレデンシャルを割り当てることは、コストがかかり、非効率的です。 |
A different approach to secure onboarding that avoids these flaws is needed. The desired process, called trusted network-layer onboarding, would be an automated approach with these characteristics: | このような欠陥を回避するために、安全なオンボーディングのための別のアプローチが必要です。信頼できるネットワーク層のオンボーディングと呼ばれる望ましいプロセスは、次のような特徴を持つ自動化されたアプローチです。 |
• provides each device with unique network credentials, | ・各デバイスに固有のネットワーク認証情報を提供する。 |
• provides the device and the network an opportunity to mutually authenticate, | ・デバイスとネットワークが相互に認証する機会を提供する。 |
• is performed over an encrypted channel (to protect credential confidentiality), | ・暗号化されたチャネルで実行される(認証情報の機密性を保護するため)。 |
• does not provide anyone with access to the credentials, and | ・誰にも認証情報へのアクセスを提供しない。 |
• can be performed repeatedly throughout the device lifecycle. | ・デバイスのライフサイクルを通じて繰り返し行うことができる。 |
Trusted network-layer onboarding could provide assurance that a network is not put at risk as new IoT devices are added to it and also safeguard IoT devices from being taken over by unauthorized networks. | 信頼できるネットワーク層のオンボーディングは、新しいIoTデバイスが追加されてもネットワークが危険にさらされないことを保証し、またIoTデバイスが不正なネットワークに乗っ取られないように保護することができます。 |
This document defines a National Cybersecurity Center of Excellence (NCCoE) project, for which we are seeking feedback. The project focuses on trusted network-layer onboarding of IoT devices and lifecycle management of the devices. The project’s objective is to define best practices for performing trusted network-layer onboarding, which will aid in the implementation and use of trusted onboarding solutions for IoT devices at scale. This project seeks to define and demonstrate onboarding solutions that can be broadly adopted for use by many industry sectors. | 本文書では、National Cybersecurity Center of Excellence(NCCoE)のプロジェクトを定義し、そのフィードバックを求めています。このプロジェクトは、IoTデバイスの信頼できるネットワーク層でのオンボーディングと、デバイスのライフサイクル管理に焦点を当てています。このプロジェクトの目的は、信頼できるネットワーク層のオンボーディングを実行するためのベストプラクティスを定義することであり、これによりIoTデバイスの信頼できるオンボーディングソリューションを大規模に実装・使用することが可能になります。このプロジェクトでは、多くの産業分野で広く採用されるオンボーディングソリューションを定義し、実証することを目指しています。 |
This project will result in products such as a publicly available NIST Cybersecurity Practice Guide Special Publication (SP) 1800, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge. Additional artifacts such as blogs, white papers, demonstration videos, and infographics will be developed to supplement the SP 1800. | このプロジェクトでは、この課題に対応するサイバーセキュリティリファレンスデザインを実装するために必要な実用的な手順を詳細に説明した、一般に公開されているNISTサイバーセキュリティ・プラクティスガイド特別出版物(SP)1800などの成果物を提供します。また、SP 1800を補完するために、ブログ、ホワイトペーパー、デモンストレーションビデオ、インフォグラフィックなどの追加成果物を作成します。 |
Scope | 対象範囲 |
The project encompasses trusted network-layer onboarding of IoT devices deployed across different internet protocol-based environments using wired, Wi-Fi, and broadband networking technologies. The scope also includes additional security capabilities that can be integrated with and enhanced by the onboarding mechanism to protect the device and the network to which it connects throughout the device’s lifecycle. | このプロジェクトは、有線、Wi-Fi、ブロードバンドネットワーク技術を使用して、さまざまなインターネットプロトコルベースの環境に配置されたIoTデバイスの、信頼できるネットワーク層へのオンボーディングを網羅しています。また、オンボーディング・メカニズムと統合したり、オンボーディング・メカニズムによって強化したりすることで、デバイスのライフサイクルを通じてデバイスや接続先のネットワークを保護する追加のセキュリティ機能も対象としています。 |
« 欧州委員会 デジタル・コンパス2030 at 2020.03.09 | Main | NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft) »
Comments