« NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減 | Main | NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け »

2021.09.03

NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する(初期ドラフト)を公表していますね。。。これは重要な問題ですよね。。。

 

SP 1800-34 (Draft)  Validating the Integrity of Computing Devices (Preliminary Draft) SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
Announcement 発表
Organizations throughout the world face the challenge of identifying trustworthy computing devices to function daily. Cyber supply chains are constantly at risk of compromise, whether intentional or unintentional. Once a supply chain has been compromised, the security of that device may no longer be trusted. Some cyber supply chain risks include counterfeiting, unauthorized production, and tampering.  世界中の企業は、日々の業務を遂行する上で、信頼できるコンピュータデバイスを特定するという課題に直面しています。サイバーサプライチェーンは、意図的であるか否かにかかわらず、常に危険にさらされています。いったんサプライチェーンが危険にさらされると、そのデバイスのセキュリティはもはや信頼できないかもしれません。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざんなどがあります。
NIST's National Cybersecurity Center of Excellence (NCCoE) is collaborating with industry to create an example cybersecurity solution that helps organizations verify that the internal components of their computing devices are genuine and have not been tampered with. This project will result in a publicly available practice guide to help organizations decrease the risk of compromise to products in their supply chain, and in turn reduce the risk for customers and end users. NISTのNational Cybersecurity Center of Excellence(NCCoE)は、産業界と協力して、組織がコンピューティングデバイスの内部コンポーネントが本物であり、改ざんされていないことを確認するためのサイバーセキュリティソリューションの例を作成しています。このプロジェクトでは、組織がサプライチェーン上の製品の危険性を低減し、ひいては顧客やエンドユーザのリスクを低減するための実践ガイドを作成し、公開する予定です。
Abstract 概要

Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes.

組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの危険性にますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で予期せず変更されていないことを検証する方法を示します。

 

・[PDF] SP 1800-34B (Prelim. Draft)

20210903-14141

目次...

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 解決方法
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 文字種の規則
3 Approach 3 アプローチ
3.1 Audience 3.1 想定読者
3.2 Scope 3.2 対象範囲
3.2.1 Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォーム成果物の作成
3.2.2 Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3 Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時におけるコンポーネントの検証
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスク評価
3.4.1 Threats 3.4.1 脅威
3.4.2 Vulnerabilities 3.4.2 脆弱性
3.4.3 Risk 3.4.3 リスク
3.5 Security Control Map 3.5 セキュリティコントロールマップ
3.6 Technologies 3.6 テクノロジー
3.6.1 Trusted Computing Group 3.6.1 トラステッド・コンピューティング・グループ
4 Architecture 4 アーキテクチャ
4.1 Architecture Description 4.1 アーキテクチャの説明
4.2 Existing Enterprise IT Management Systems 4.2 既存の企業向けIT管理システム
4.2.1 Asset Discovery and Management System 4.2.1 資産発見・管理システム
4.2.2 Configuration Management System 4.2.2 構成管理システム
4.3 Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1 Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA) 4.3.1 ランタイムおよびスタートアップ時のホストインテグリティ認証局 (HIRS ACA)
4.3.2 Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3 Platform Manifest Correlation System 4.3.3 プラットフォーム・マニフェスト相関図作成システム
4.3.4 Eclypsium Analytic Platform 4.3.4 Eclypsium分析プラットフォーム
4.4 Computing Devices 4.4 コンピューティングデバイス
4.4.1 HP Inc. 4.4.1 HP Inc.
4.4.2 Dell Technologies 4.4.2 デル・テクノロジーズ
4.4.3 Intel 4.4.3 インテル
5 Security Characteristic Analysis 5 セキュリティ特性の分析
5.1 Assumptions and Limitations 5.1 前提条件と制限事項
5.2 Build Testing 5.2 ビルドテスト
5.2.1 Scenario 1 5.2.1 シナリオ1
5.2.2 Scenario 2 5.2.2 シナリオ2
5.2.3 Scenario 3 5.2.3 シナリオ3
5.3 Scenarios and Findings 5.3 シナリオと調査結果
5.3.1 Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーン・リスクマネジメント (ID.SC)
5.3.2 Asset Management (ID.AM) 5.3.2 資産管理 (ID.AM)
5.3.3 Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証及びアクセスコントロール (PR.AC)
5.3.4 Data Security (PR.DS) 5.3.4 データセキュリティ (PR.DS)
5.3.5 Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティの継続的な監視 (DE.CM)
6 Future Build Considerations 6 将来のビルドに関する検討事項
Appendix A List of Acronyms 附属書A 頭字語のリスト
Appendix B References 附属書B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書C プロジェクト・シナリオ・シーケンス・ダイアグラム
List of Figures 図の一覧
Figure 1-1 Supply Chain Risk 図1-1 サプライチェーン・リスク
Figure 4-1 Notional Architecture 図4-1 概念的なアーキテクチャ
Figure 4-2 Component-Level Architecture 図4-2 コンポーネントレベルのアーキテクチャ
Figure 4-3 HIRS ACA Platform 図4-3 HIRS ACAプラットフォーム
Figure 4-4 Network Boot Services Environment 図4-4 ネットワークブートサービス環境
Figure 4-5 Platform Manifest Correlation System 図4-5 プラットフォーム マニフェスト相関システム
Figure 4-6 Eclypsium Management Console 図4-6 Eclypsium 管理コンソール
Figure 4-7 Eclypsium Analytics Platform 図4-7 Eclypsium Analytics Platform
Figure 5-1 Platform Certificate Binding to Endorsement Credential 図5-1 エンドースメント・クレデンシャルにバインドされるプラットフォーム証明書
Figure 5-2 Intel Transparent Supply Chain Download Portal 図5-2 インテル・トランスペアレント・サプライチェーン・ダウンロード・ポータル
Figure 5-3 HIRS ACA Validation Dashboard 図5-3 HIRS ACA 検証ダッシュボード
Figure 5-4 Asset Inventory and Discovery Example 1 図5-4 資産のインベントリと発見の例1
Figure 5-5 Asset Inventory and Discovery Example 2 図5-5 資産のインベントリと発見の例2
Figure 5-6 Scenario 3 Dashboard 図5-6 シナリオ3のダッシュボード
Figure 6-1 Dell Laptop Scenario 2 Part 1 図6-1 デル製ノートPC シナリオ2 パート1
Figure 6-2 Dell Laptop Scenario 2 Part 2 図6-2 デル製ノートPC シナリオ2パート2
Figure 6-3 Intel Laptop Scenario 2 Part 1 図6-3 インテル製ノートPC シナリオ2 パート1
Figure 6-4 Intel Laptop Scenario 2 Part 2 図6-4 インテル製ノートPC シナリオ2 パート 2
Figure 6-5 Intel Laptop Scenario 3 図6-5 インテル製ノートPC シナリオ3
List of Tables 表の一覧
Table 3-1 NIST SP 800-161 Threat Events 表3-1 NIST SP 800-161 脅威のイベント
Table 3-2 C-SCRM Example Threat Scenario 表3-2 C-SCRM の脅威のシナリオ例
Table 3-3 Security Characteristics 表3-3 セキュリティ特性
Table 3-4 Security Characteristics and Controls Mapping 表3-4 セキュリティ特性とコントロールのマッピング
Table 3-5 Products and Technologies 表3-5 製品及び技術
Table 5-1 Prototype Platform Artifact 表5-1 プロトタイププラットフォーム アーティファクト

 

参考

Supplemental Material:
・[PDF]  SP 1800-34A (Prelim. Draft)
 Project homepage (web)

 

サマリーの仮訳はこちらにのせています。。。

まるちゃんの情報セキュリティ気まぐれ日記

2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

 

|

« NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減 | Main | NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減 | Main | NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け »