« GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・ | Main | U.S. Office of Inspectors General(連邦監察官室) »

2021.04.02

NIST SP 1800-27 プロパティ管理システムの保護

こんにちは、丸山満彦です。

NISTがSP 1800-27 Securing Property Management Systems(プロパティ管理システムの保護)を公表しましたね。。。

ホテル向けのサイバーセキュリティガイドですね。

● NIST - ITL

・2021.03.30 SP 1800-27 Securing Property Management Systems

・[PDF]  SP 1800-27

20210331-23135

 

Abstract 概要
Hotels have become targets for malicious actors wishing to exfiltrate sensitive data, deliver malware, or profit from undetected fraud. Property management systems, which are central to hotel operations, present attractive attack surfaces. This example implementation strives to increase the cybersecurity of the property management system (PMS) and offer privacy protections for the data in the PMS. The objective of this guide was to build a standards-based example implementation that utilizes readily available commercial off-the-shelf components that enhance the security of a PMS. ホテルは、機密データの流出、マルウェアの配信、検知されない不正行為などを目的とした悪意ある攻撃者の標的となっています。ホテル運営の中心となるプロパティマネジメントシステムは、攻撃対象として魅力的です。この導入例では、プロパティマネジメントシステム(PMS)のサイバーセキュリティを向上させ、PMS内のデータのプライバシー保護を実現することを目指しています。このガイドの目的は、PMSのセキュリティを強化するために、すぐに入手できる市販のコンポーネントを利用して、標準ベースの実装例を構築することです。
The NCCoE at NIST built a PMS reference design in a laboratory environment to demonstrate methods to improve the cybersecurity of a PMS. The PMS reference design included the PMS, a credit card payment platform, and an analogous ancillary hotel system. In this example implementation, a physical access control system was used as the ancillary system. NISTのNCCoEは、PMSのサイバーセキュリティを向上させる方法を実証するために、ラボ環境でPMSリファレンスデザインを構築しました。このPMSリファレンスデザインには、PMS、クレジットカード決済プラットフォーム、および類似した補助的なホテルシステムが含まれています。この実装例では、物理的なアクセス制御システムが補助的なシステムとして使用されています。
The principal capabilities include protecting sensitive data, enforcing role-based access control, and monitoring for anomalies. The principal recommendations include implementing cybersecurity concepts such as zero trust architecture, moving target defense, tokenization of credit card data, and role-based authentication. 主な機能としては、機密データの保護、ロールベースのアクセスコントロールの実施、異常の監視などが挙げられます。推奨事項としては、ゼロ・トラスト・アーキテクチャ、ムービング・ターゲット・ディフェンス、クレジット・カード・データのトークン化、ロール・ベース認証などのサイバーセキュリティ・コンセプトの導入が挙げられます。
The PMS environment outlined in this guide encourages hoteliers and similar stakeholders to adopt effective cybersecurity and privacy concepts by using standard components that are composed of opensource and commercially available components. このガイドで紹介されているPMS環境は、ホテル経営者や同様の関係者が、オープンソースや市販のコンポーネントで構成された標準的なコンポーネントを使用することで、効果的なサイバーセキュリティとプライバシーのコンセプトを採用することを推奨しています。

 

 

1 Summary 1 要約
Hotel operators rely on a property management system (PMS) for daily administrative tasks such as reservations, availability, pricing, occupancy management, check-in/out, guest profiles, guest preferences, report generation, planning, and record keeping, which includes financials. This PMS controls the on-site property activities for guests and colleagues and connects with other applications such as the hotel point-of-sale (POS) and central reservation system (CRS), which support availability, reservations, and guest profile information. ホテル経営者は、予約、空室状況、価格設定、稼働率管理、チェックイン・アウト、ゲストのプロファイル、ゲストの好み、報告書作成、計画、財務を含む記録管理などの日常的な管理業務を、プロパティマネジメントシステム(PMS)に頼っています。このPMSは、ゲストや従業員のためのオンサイトのプロパティアクティビティを制御し、空室状況、予約、ゲストのプロファイル情報をサポートするホテルのPOS(Point of Sales)やCRS(Central Reservation System)などの他のアプリケーションと接続します。
Additionally, various interfaces are available to create further links from the PMS to internal and external systems such as room-key systems, restaurant and banquet solutions, sales and catering applications, minibars, telephone and call centers, revenue management, on-site spas, online travel agents, guest Wi-Fi, loyalty solutions, and payment providers. さらに、PMSから、ルームキーシステム、レストラン・バンケットソリューション、セールス・ケータリングアプリケーション、ミニバー、電話・コールセンター、収益管理、施設内スパ、オンライン旅行代理店、ゲストWi-Fi、ロイヤリティソリューション、決済プロバイダーなどの社内外のシステムへのリンクを構築するためのさまざまなインターフェースが用意されています。
The value of the data in a PMS and the number of connections to a PMS make it a target for bad actors. This guide documents a system that prevents unauthorized access to a PMS and applies both security and privacy protections to the data used in the PMS. PMS内のデータの価値やPMSへの接続数の多さから、悪質な攻撃者の標的となっています。本ガイドでは、PMSへの不正アクセスを防止し、PMSで使用されるデータにセキュリティとプライバシーの両方の保護を適用するシステムについて説明します。



 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.15 NIST SP 1800-27 (Draft) Securing Property Management Systems

 

|

« GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・ | Main | U.S. Office of Inspectors General(連邦監察官室) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・ | Main | U.S. Office of Inspectors General(連邦監察官室) »