NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門
こんにちは、丸山満彦です。
NISTがNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門を公表し、意見募集をしていますね。。。
宇宙関連の運用の概念的なアーキテクチャの要点
Figure 1. Major Parts of the Conceptual High-Level Architecture of Space Operations
オペレーションのフェーズ
● NIST - ITL
・2021.06.29 NISTIR 8270 (Draft) Introduction to Cybersecurity for Commercial Satellite Operations
Announcement | 発表 |
Space operations are vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. However, cyber-related threats to space assets and supporting infrastructure pose increasing risks to the economic promise of emerging markets in space. | 宇宙活動は、国家の安全保障、経済的繁栄、科学的知識の向上に不可欠です。しかし、宇宙資産とそれを支えるインフラに対するサイバー関連の脅威は、宇宙における新興市場の経済的な将来性にますます大きなリスクをもたらしています。 |
This draft report describes cybersecurity concepts with regard to crewless, commercial space operations. The document is an information reference for managing cybersecurity risks and considering how cybersecurity requirements might coexist within space vehicle system requirements. NIST is specifically interested in feedback on the document’s overall approach, the example use case, and the identified controls for the use case. (Note that the use case is only notional for illustrative purposes and is not intended to be a set of specific cybersecurity recommendations.) | この草稿では、クルーレスでの商業宇宙活動に関するサイバーセキュリティの概念を説明しています。 この文書は、サイバーセキュリティのリスクを管理し、宇宙機のシステム要件の中にサイバーセキュリティの要件をどのように共存させるかを検討するための参考資料です。NISTは、この文書の全体的なアプローチ、ユースケースの例、ユースケースのために特定されたコントロールについてのフィードバックに特に関心があります。(ユースケースは説明のための概念的なものであり、特定のサイバーセキュリティの推奨事項を意図したものではないことに注意してください)。 |
Based on feedback from this publication, NIST will also consider the utility of publishing similar reports discussing other areas of space operations as needed. | この出版物からのフィードバックに基づき、NISTは、必要に応じて、宇宙運用の他の分野を論じた同様のレポートを発行することの有用性についても検討します。 |
Abstract | 概要 |
Space is an emerging commercial critical infrastructure sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving commercial space – including those affecting commercial satellite vehicles – need to be understood and managed alongside other types of risks to ensure safe and successful operations. This report provides a general introduction to cybersecurity risk management for the commercial satellite industry as they seek to start managing cybersecurity risk in space. This document is by no means comprehensive in terms of addressing all of the cybersecurity risks to commercial satellite infrastructure nor does it explore risks to satellite vehicles, which may be introduced by implementing cybersecurity controls. The intent is to introduce basic concepts, generate discussions, and provide sample references for additional information on pertinent cybersecurity risk management concepts. | 宇宙は、新たな商業的重要インフラ分野であり、もはや国家政府当局だけの領域ではありません。そのため、商業衛星車両を含む商業宇宙に関わるサイバーセキュリティ・リスクを理解し、他の種類のリスクとともに管理して、安全で成功した運用を確保する必要があります。本報告書は、商業衛星産業が宇宙におけるサイバーセキュリティ・リスクの管理を始めようとする際に、サイバーセキュリティ・リスク管理の一般的な紹介を行うものです。本書は、商業衛星インフラに対するサイバーセキュリティ・リスクのすべてに対応するという点で、決して包括的なものではなく、また、サイバーセキュリティ管理を実施することによってもたらされる可能性のある衛星ビークルに対するリスクについても検討していません。その目的は、基本的な概念を紹介し、議論を喚起し、関連するサイバーセキュリティ・リスク管理の概念に関する追加情報の参考例を提供することです。 |
Audience | 想定読者 |
The primary audience for this publication includes chief information officers (CIOs), chief technology officers (CTOs), and risk officers of organizations who are using or plan to use commercial satellite operations and are new to cybersecurity risk management for these operations. | 本書の主な対象者は、商業衛星運用を利用している、または利用を計画している組織の最高情報責任者(CIO)、最高技術責任者(CTO)、リスク管理担当者で、これらの運用のためのサイバーセキュリティ・リスク管理を初めて行う人です。 |
・[PDF] NISTIR 8270 (Draft)
Executive Summary | エグゼクティブサマリー |
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government considers unfettered access to and freedom to operate in space vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. However, cyber-related threats to space assets (e.g., commercial satellites) and supporting infrastructure pose increasing risk to this economic promise and commercial space emerging markets. | 2018年9月の米国国家サイバー戦略で述べられているように、米国政府は、宇宙への自由なアクセスと活動の自由は、国家の安全保障、経済的繁栄、科学的知識を前進させるために不可欠であると考えています。しかし、宇宙資産(商業衛星など)とそれを支えるインフラに対するサイバー関連の脅威は、この経済的な約束と商業宇宙の新興市場にますます大きなリスクをもたらしています。 |
Commercial satellite operations occur in an inherently risky environment. Physical risks to these operations are generally quantifiable and have the most likely potential to adversely impact the businesses that operate commercial satellites, usually in low earth orbit. While this is the primary risk consideration to satellite operations, continued growth in this new commercial infrastructure allows for opportunities to address the cybersecurity risks along with the other risk elements.[1] | 商業衛星の運用は、本質的にリスクの高い環境で行われます。これらの事業に対する物理的なリスクは、一般的に定量化可能であり、通常は低軌道で商業衛星を運用する事業に悪影響を及ぼす可能性が最も高いと考えられます。これは衛星運用の主なリスクであるが、この新しい商業インフラの継続的な成長は、他のリスク要素とともにサイバーセキュリティリスクに対処する機会を与えてくれるものです[1]。 |
Methods for the creation, maintenance, and implementation of a cybersecurity program for many of the commercial and international markets include products in National and International Standard-Setting Organizations (SSOs), as well as the use risk management guidance from the National Institute of Standards and Technology (NIST). NIST risk management guidance includes specific technical references, cybersecurity control catalogues, the IT Risk Management Framework, and the Cybersecurity Framework (CSF). | 多くの商業および国際市場向けのサイバーセキュリティプログラムの作成、維持、実施の方法には、国内および国際標準設定機関(SSO)の製品や、米国標準技術局(NIST)のリスク管理ガイダンスの使用が含まれます。NISTのリスク管理ガイダンスには、特定の技術文献、サイバーセキュリティ・コントロール・カタログ、ITリスク管理フレームワーク、サイバーセキュリティ・フレームワーク(CSF)などがあります。 |
The intent of this document is to introduce the CSF to commercial space businesses. This includes describing a specific method for applying the CSF to a small portion of commercial satellite operations (e.g., a small sensing satellite), creating an example CSF set of desired security outcomes based on missions and anticipated threats, and describing an abstracted set of cybersecurity outcomes, requirements, and suggested cybersecurity controls. | この文書の目的は、商業宇宙ビジネスにCSFを紹介することです。これには、商業衛星運用のごく一部(例えば、小型のセンシング衛星)にCSFを適用するための具体的な方法を説明すること、ミッションと予想される脅威に基づいて望ましいセキュリティ成果のCSFセットの例を作成すること、サイバーセキュリティ成果、要件、および推奨されるサイバーセキュリティ制御の抽象化されたセットを説明することが含まれます。 |
NIST asks the commercial satellite operations community to use this document as an informative reference to assist in managing cybersecurity risks and to consider how cybersecurity requirements might coexist within space vehicle system requirements. The example requirements listed in this document could be used to create an initial baseline. However, NIST recommends that organizations use this document in coordination with the set of NIST references and applicable SSOs material to create cybersecurity outcomes, requirements, and controls customized to support an organization’s particular business needs and address its individual threat models. | NISTは、商業衛星運用コミュニティに対し、サイバーセキュリティ・リスクの管理を支援し、宇宙機システム要件の中にサイバーセキュリティ要件をどのように共存させるかを検討するための参考資料として本文書を使用するよう求めています。本書に記載されている要件の例は、初期のベースラインを作成するために使用することができます。しかし、NISTは、組織の特定のビジネスニーズをサポートし、個々の脅威モデルに対処するためにカスタマイズされたサイバーセキュリティの成果、要件、およびコントロールを作成するために、NISTの一連の参考文献および適用可能なSSOの資料と連携して本書を使用することを推奨します。 |
This report focuses on crewless commercial space vehicles that will not dock with humanoccupied spacecraft. | 本報告書は、人間が乗っている宇宙船とドッキングしないクルーレスの商用宇宙機に焦点を当てている。 |
[1] These can include, but are not limited to, physical risks, EMI/EMC, financial risks, and supplier and customer risks. | これらには、物理的なリスク、EMI/EMC、財務的なリスク、サプライヤーや顧客のリスクなどが含まれますが、これらに限定されるものではありません。 |
目次
Executive Summary | エグゼクティブサマリー |
1 Introduction | 1 はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 Report Structure | 1.2 報告書の構成 |
2 Conceptual High-Level Architecture of Satellite Operations | 2 衛星運用の概念的なハイレベル・アーキテクチャ |
3 An introduction to the Cybersecurity Framework | 3 サイバーセキュリティフレームワークの紹介 |
4 Creating a Cybersecurity Program for Space Operations | 4 宇宙運用のためのサイバーセキュリティプログラムの作成 |
4.1 Using the Cybersecurity Framework | 4.1 サイバーセキュリティフレームワークの使用 |
4.2 Case Study Example | 4.2 ケーススタディの例 |
4.3 Conclusion | 4.3 結論 |
References | 参考文献 |
List of Appendices | 附属書リスト |
Appendix A— Examples of Relevant Regulations | 附属書A- 関連する規制の例 |
Appendix B— Acronyms | 附属書B- 頭字語 |
Appendix C— Glossary | 附属書C-用語集 |
■ 参考
● NIST - ITL
・2021.02.11 (PUBLICATIONS) NISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用
・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。
« 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について | Main | 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。 »
Comments