NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約
こんにちは、丸山満彦です。
NISTがNIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて2021.04.22に開催したオンラインワークショップの要約を公表していますね。。。
このワークショップの基調講演がGAOというのが興味深いですよね。。。日本でいう会計検査院です。
監査した結果を報告しています。
連邦政府90機関のうち56機関でIoTが利用されているようですね。。。翻って日本政府はどうなんでしょうね。それなりに利用していると思いますが、データがないかもですね。。。
関連するNIST文書は、
Draft SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements | ドラフトSP 800-213「連邦政府のためのIoTデバイスサイバーセキュリティガイダンス:IoTデバイスのサイバーセキュリティ要件の確立」 |
Draft NISTIR 8259D, Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government | ドラフトNISTIR 8259D「連邦政府のためのIoTコアベースラインおよび非技術ベースラインを使用したプロファイル 」 |
Draft NISTIR 8259C, Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline | ドラフトNISTIR 8259C「IoTコアベースラインと非技術ベースラインを使用したプロファイルの作成」 |
NISTIR 8259B, IoT Non-Technical Supporting Capability Core Baseline | NISTIR 8259B「 IoT非技術的支援能力コアベースライン」 |
です。
● NIST - ITL
・[PDF]
1 Introduction | 1 はじめに |
1.1 About the NIST Cybersecurity for the Internet of Things Program | 1.1 NIST Cybersecurity for the Internet of Things Programについて |
1.2 Background | 1.2 背景 |
1.3 About the Workshop Addressing Public Comment on NIST Cybersecurity for IoT Guidance | 1.3 NISTのIoT向けサイバーセキュリティガイダンスに対するパブリックコメントを受けたワークショップについて |
2 Event Summary and Key Takeaways | 2 イベントの概要と主な成果 |
2.1 Plenary Sessions | 2.1 全体会議 |
2.1.1 Introduction: NIST Cybersecurity for IoT Program Manager | 2.1.1 はじめに IoTのためのNISTのサイバーセキュリティプログラムマネージャー |
2.1.2 Keynote: GAO Survey of Federal IoT Use | 2.1.2 基調講演:GAOによる連邦政府のIoT利用に関する調査 |
2.1.3 Groundwork: Overview of Comment Themes and Paths Forward for the Documents | 2.1.3 グラウンドワーク:コメントテーマの概要とドキュメントの今後の進め方 |
2.1.4 Online Informative Reference Program | 2.1.4 オンライン参考資料プログラム |
2.1.5 Facilitator Panel Discussion & Wrap-Up | 2.1.5 ファシリテーターによるパネルディスカッションとラップアップ |
2.2 Summary and Takeaways from Breakout Session Discussions | 2.2 分科会での議論のまとめと得られたもの |
2.2.1 Breakout 1: Risk Descriptors | 2.2.1 分科会1:リスク記述子(Risk Descriptors) |
2.2.2 Breakout 2: System and Architecture Descriptors | 2.2.2 分科会2:システムおよびアーキテクチャ記述子 |
2.2.3 Breakout 3: IoT Ecosystem | 2.2.3 分科会3:IoTエコシステム |
3 Next Steps | 3 今後に向けて |
References | 参考文献 |
Appendix A: Descriptor Definitions | 附属書A:記述子の定義 |
Appendix B: Acronyms | 附属書B:頭字語 |
2.2.1 Breakout 1: Risk Descriptors | 2.2.1 分科会1:リスク記述子 |
The stated objective for this breakout session was to obtain feedback on the utility of the proposed risk descriptors for: | この分科会の目的は、提案されたリスク記述子の有用性について、以下のようなフィードバックを得ることでした。 |
● Selection of additional needed system controls and IoT capabilities (Note that additional controls/capabilities may be non-technical) | ●追加で必要となるシステム制御および IoT 機能の選択(追加の制御/機能は非技術的なものである可能性があることに留意してください。) |
● Adding or deleting requirements from NISTIR 8259D to support needed additional controls (Note that this uses the NIST SP 800-213 process and the capabilities catalogs) | ●必要な追加コントロールをサポートするためのNISTIR 8259Dからの要求事項の追加または削除(これはNIST SP 800-213プロセスと能力カタログを使用することに注意してください。) |
A goal for the descriptors is to support better understanding between manufacturers and customers about federal organizations’ expectations and requirements. | 記述子の目的は、連邦組織の期待と要件について、メーカーと顧客の間の理解を深めることにあります。 |
Takeaway 1: IoT device use risk cannot be independently described without the context of device deployment and system architecture. | 要点1:IoTデバイスの使用リスクは、デバイスの配置やシステムアーキテクチャのコンテキストなしに独立して記述することはできない。 |
Takeaway 2: Unintended uses can create unanticipated risks. | 論点2:意図しない使い方は、予期しないリスクを生む可能性がある。 |
Takeaway 3: The descriptors could be useful as a communications tool. | 論点3:記述子は、コミュニケーションツールとして有用である。 |
2.2.2 Breakout 2: System and Architecture Descriptors | 2.2.2 分科会2:システムおよびアーキテクチャ記述子 |
The stated objective for this breakout session to obtain feedback on the utility of the proposed device and system architecture descriptors for: | この分科会の目的は、提案されたデバイスおよびシステムアーキテクチャ記述子の有用性について、以下のようなフィードバックを得ることであった。 |
● Selecting additional needed (or potentially deletion of) controls (Note that the additional controls may be non-technical) | ●必要な追加管理項目の選択(または削除の可能性)(追加管理項目は非技術的なものである可能性があります。 |
● Adding or deleting requirements from the profile in NISTIR 8259D to support needed additional controls for devices (Note that this uses the NIST SP 800-213 process and the capabilities catalogs) | ●必要とされる追加の管理項目をサポートするために、NISTIR 8259Dのプロファイルから要件を追加または削除すること(これは、NIST SP 800-213プロセスと能力カタログを使用することに注意してください)。 |
● Identifying mismatches between manufacturer expectations about usage scenarios from federal organization expectations | ●使用シナリオに関するメーカーの期待値と連邦組織の期待値との間のミスマッチの特定 |
● Supporting allocation of requirements within the system addressing the constraints of device and system architecture | ●デバイスとシステム・アーキテクチャの制約に対応したシステム内での要件の割り当てをサポートします。 |
As with the descriptors discussed in Breakout 1, a goal for these descriptors is to support better understanding between manufacturers and customers about federal organizations’ expectations and requirements. | 分科会1で議論された記述子と同様に、これらの記述子の目標は、連邦組織の期待と要求についてメーカーと顧客の間の理解を深めることです。 |
Takeaway 1: The “device architecture” descriptor definitions have insufficient precision. | 論点1:「デバイス・アーキテクチャ」記述子の定義は、精度が不十分である。 |
Takeaway 2: More “device architecture” descriptors are needed for sufficient granularity. | 要点2:十分な粒度を得るためには、より多くの「デバイスアーキテクチャ」記述子が必要である。 |
Takeaway 3: The “system relationship” descriptors aren’t mutually exclusive. | 要点3:「システム関係」の記述は相互に排他的なものではない。 |
2.2.3 Breakout 3: IoT Ecosystem | 2.2.3 第3分科会:IoTエコシステム |
The stated objective for this breakout session was to gather feedback regarding IoT device customers’ ecosystem risk considerations, and discussion was focused around how the associated risks can be mitigated: | この分科会の目的は、IoT デバイスの顧客が考慮するエコシステムのリスクに関するフィードバックを収集することであり、関連するリスクをどのように軽減できるかを中心に議論が行われました。 |
● What are the technical, administrative, and physical risks? | ●技術的、管理的、物理的なリスクは何か? |
● What do IoT device customers need from manufacturers to support risk mitigation? | ●IoTデバイスのお客様は、リスク軽減のためにメーカーに何を求めているか |
● Why is supply-chain/vendor/manufacturer ecosystem transparency needed? | ●なぜサプライチェーン/ベンダー/メーカーのエコシステムの透明性が必要なのか? |
● Why is IoT platform/cloud ecosystem transparency needed? | ●なぜIoTプラットフォーム/クラウドのエコシステムの透明性が必要なのか? |
● Do international standards, confidence mechanisms, and trustworthiness play a role in risk mitigation, or device purchasing decisions? In what ways? | ●国際標準、信頼メカニズム、および信頼性は、リスク軽減やデバイス購入の意思決定において役割を果たしますか?どのような点で? |
Takeaway 1: A single set of ideally international requirements, standards, and associated confidence mechanisms is needed to address market fragmentation. | 要点1:市場の断片化に対処するためには、理想的な国際的要件、標準、および関連する信頼性メカニズムの単一セットが必要である。 |
Takeaway 2: Standards need to encourage cybersecurity by default. | 論点2:基準はデフォルトでのサイバーセキュリティを推奨する必要がある。 |
Takeaway 3: Supply chain security and transparency are important but very complex. | 論点3:サプライチェーンのセキュリティと透明性は重要だが、非常に複雑である。 |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?
・2021.04.25 英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性
・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き
・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
・2021.01.29 Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した
・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過
・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
Comments