NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために：どうすればいいのか？

こんにちは、丸山満彦です。

NISTがIoTデバイスのセキュリティの信頼を確立するためにどうすれば良いのか？について白書のドラフトが公開され、意見募集していますね。。。

● NIST - ITL - Computer Security Resource Center

・2021.05.14 White Paper (Draft) Establishing Confidence in IoT Device Security: How do we get there?

・[PDF] 

Announcement	発表内容
The purpose of this draft paper is to start a conversation about what it means to have confidence in the cybersecurity of IoT devices used by individuals and organizations and the various ways of gaining that confidence. This paper describes the landscape of confidence mechanisms that are currently available for establishing the security of IoT devices in the marketplace.  In preparing this paper, NIST conducted extensive research on initiatives that can help to instill confidence in IoT device security and held a series of meetings with government and industry experts to glean information on the unique aspects and challenges in this space.	このドラフトペーパーの目的は、個人や組織が使用するIoTデバイスのサイバーセキュリティに確信を持つことの意味と、その確信を得るための様々な方法について、会話を始めることです。本ペーパーでは、市場でIoTデバイスのセキュリティを確立するために現在利用可能な信頼性メカニズムの状況について説明しています。  本ペーパーを作成するにあたり、NISTは、IoTデバイスのセキュリティに対する信頼性の確立に役立つ取り組みについて広範な調査を行い、政府や業界の専門家と一連の会合を開いて、この分野に特有の側面や課題に関する情報を収集しました。
Abstract	概要
NIST conducted a review of the available alternative approaches for providing confidence in the cybersecurity of Internet of Things (IoT) devices in November 2020 through January 2021, conducting interviews with government and private sector organizations who are experts on these approaches. This white paper describes the available landscape of approaches and draws out themes commonly heard during the interviews.	NISTは、2020年11月から2021年1月にかけて、モノのインターネット（IoT）機器のサイバーセキュリティに対する信頼性を提供するために利用可能な代替アプローチのレビューを実施し、これらのアプローチの専門家である政府および民間の組織にインタビューを行いました。このホワイトペーパーでは、利用可能なアプローチの状況を説明するとともに、インタビューでよく聞かれたテーマを紹介しています。

 

サイバーフィジカルシステムの信頼性の構造は次のように考えているようですね。。。

 

Figure 1 - Trustworthiness of Cyber Physical Systems（サイバー・フィジカル・システムの信頼性）

 

目次です。。。

1 Introduction	1 はじめに
1.1 Background and Purpose	1.1 背景と目的
1.2 Scope	1.2 対象範囲
1.3 Intended Audience	1.3 想定される読者層
1.4 Organization	1.4 組織
2 Security of IoT Devices	2 IoTデバイスのセキュリティ
3 Confidence Mechanisms for IoT Device Security	3 IoTデバイスのセキュリティに関する信頼性のメカニズム
3.1 Sources of Confidence	3.1 信頼性の源泉
3.2 Framework for Customer Confidence	3.2 顧客の信頼感の枠組み
3.3 Benefits of Confidence in IoT Device Security	3.3 IoTデバイス・セキュリティの信頼性がもたらすメリット
4 Landscape of Non-Regulatory Confidence Mechanisms	4 規制外の信頼性メカニズムの状況
4.1 Consumer Advocacy Groups	4.1 消費者保護団体（Consumer Advocacy Groups
4.2 Industry Consortia (Trade Associations and Business Advocacy Groups)	4.2 業界コンソーシアム（業界団体や企業の擁護団体
4.3 Third Party Confidence Mechanisms	4.3 第三者による信頼性向上のための仕組み
5 Landscape of Policy-Based Confidence Mechanisms	5 政策的信頼性メカニズムの状況
5.1 National Level Efforts	5.1 国家レベルの取り組み
5.2 State Government Efforts	5.2 州政府の取り組み
5.3 International Efforts	5.3 国際的な取り組み
6 Confidence Mechanisms - Discussion	6 信頼性の高いメカニズム - 考察
6.1 Emerging Themes	6.1 新たなテーマ
6.2 The Way Forward	6.2 進むべき道
References	参考文献
Appendix A— Conformity Assessment	附属書A-適合性評価
A.1 Requirements	A.1 要求事項
A.2 Determination	A.2 判定
A.3 Attestation	A.3 証明
A.4 Surveillance	A.4 調査
A.5 Examples of Existing Conformity Assessment Programs	A.5 既存の適合性評価プログラムの例
List of Figures	図の一覧
Figure 1 - Trustworthiness of Cyber Physical Systems	図1 - サイバー・フィジカル・システムの信頼性
Figure 2: Framework for Customer Confidence	図2：顧客信頼感の枠組み
Figure 3: Conformity Assessment Components	図3：適合性評価の構成要素

 

---

■ 参考

・NIST Cyber​​security for IoT Program

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.25 英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2021.01.29 Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.11.19 2020年IoT膨迫改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている？

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。