NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
こんにちは、丸山満彦です。
サイバーサプライチェーン (C-SCRM) ですね。。。
経済安全保障なのか、半導体分野での競争力強化なのか、コンピュータ分野における安全保障なのかよくわかりませんが、中国製品を使うな的なことを聞くことが増えてきました。しかし、中国生産の部品が使われているコンピュータの利用が安全保障的に不安というのであれば、使うなというよりも、安全に使えるようにするための基準やガイドの作成をするほうが重要な気がします。今の日本ではつくること難しいとは思いますが、米国が作成中なので、参考にしたらよいのでしょうね。。。日本製品版を作らないといけないのでしょうが、日本製品はほぼないので、米国製品使う前提となりますかね。。。
すでに、1800-34A, 1800-34Bは3月、9月に初期ドラフトが公表されていますので、これで全体の初期ドラフトが揃ったことになります。。。
ちなみに、暫定ドラフト[PDF]は以下のとおりです。。。
| NIST SP 1800-34A | Executive Summary | エグゼクティブサマリー |
| NIST SP 1800-34B | Approach, Architecture, and Security Characteristics – what we built and why | アプローチ、アーキテクチャ、セキュリティの特徴 - 何を作ったのか、なぜ作ったのか |
| NIST SP 1800-34C | How-To Guides – instructions for building the example solution | 利用ガイド - サンプルソリューションを構築するための手順 |
● NIST - ITL
・2021.11.22 SP 1800-34 (Draft) Validating the Integrity of Computing Devices (Preliminary Draft)
| Ensuring the Integrity of the Cyber Supply Chain | サイバーサプライチェーンの完全性の確保 |
| Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This practice guide can benefit organizations who want to verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing and distribution process. | 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互に接続されたサプライチェーンのエコシステムに依存しています。組織は、意図的か否かにかかわらず、サイバー・サプライ・チェーンの危殆化のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。この実践ガイドは、コンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを確認したい企業にとって有益です。 |
| Abstract | 概要 |
| Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes. | 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で予期せず変更されていないことを検証する方法を示します。 |
・[PDF] SP 1800-34C (Prelim. Draft)
| 1 Introduction | 1 はじめに |
| 1.1 How to Use This Guide | 1.1 本ガイドの使用方法 |
| 1.1.1 Supplemental Material | 1.1.1 補足資料 |
| 1.2 Build Overview | 1.2 ビルドの概要 |
| 1.3 Typographic Conventions | 1.3 表記規則 |
| 1.4 Logical Architecture Summary | 1.4 論理的なアーキテクチャの概要 |
| 2 Product Installation Guides | 2 製品インストールガイド |
| 2.1 Supporting Systems and Infrastructure | 2.1 サポートシステムとインフラ |
| 2.1.1 Network Boot Services | 2.1.1 ネットワークブートサービス |
| 2.1.2 Platform Manifest Correlation System (PMCS) | 2.1.2 プラットフォーム・マニフェスト相関図作成システム (PMCS) |
| 2.2 Dell | 2.2 デル |
| 2.3 Eclypsium | 2.3 Eclypsium |
| 2.3.1 Download Eclypsium Agent | 2.3.1 Eclypsiumエージェントのダウンロード |
| 2.3.2 Install Eclypsium Agent for Windows | 2.3.2 Windows版Eclypsiumエージェントのインストール |
| 2.4 Host Integrity at Runtime and Start-Up (HIRS) Attestation Certificate Authority (ACA) | 2.4 ランタイムおよびスタートアップ時のホスト・インテグリティ(HIRS)認証認証局(ACA)について |
| 2.4.1 Installing the HIRS-ACA | 2.4.1 HIRS-ACA のインストール |
| 2.5 HP Inc. | 2.5 株式会社HP |
| 2.6 Hewlett Packard Enterprise (HPE) | 2.6 ヒューレット・パッカード・エンタープライズ (HPE) |
| 2.7 Intel | 2.7 インテル |
| 2.8 RSA Archer | 2.8 RSAアーチャー |
| 2.8.1 Prerequisites | 2.8.1 前提条件 |
| 2.8.2 RSA Archer Installation | 2.8.2 RSA Archerのインストール |
| 2.9 Seagate | 2.9 シーゲイト |
| 2.10 Integrations | 2.10 インテグレーション |
| 2.10.1 Microsoft Endpoint Configuration Manager and Intel TSC Tooling | 2.10.1 Microsoft Endpoint Configuration ManagerとIntel TSC Tooling |
| 2.10.2 RSA Archer DataFeed Integrations | 2.10.2 RSA Archer DataFeedインテグレーション |
| 3 Operational Considerations | 3 運用上の検討事項 |
| 3.1 Scenario 2: Verification of Components During Acceptance Testing | 3.1 シナリオ2: 受入テストにおけるコンポーネントの検証 |
| 3.1.1 Technology Configurations | 3.1.1 テクノロジーのコンフィグレーション |
| 3.1.2 Asset Inventory and Discovery | 3.1.2 資産台帳と発見 |
| 3.2 Scenario 3: Verification of Components During Use | 3.2 シナリオ3:使用時のコンポーネントの検証 |
| 3.2.1 Technology Configurations | 3.2.1 テクノロジーのコンフィグレーション |
| 3.2.2 Dashboards | 3.2.2 ダッシュボード |
| Appendix A: List of Acronyms | 附属書A:頭字語リスト |
参考
Supplemental Material:
・[PDF] SP 1800-34B (Prelim. Draft)
・[PDF] SP 1800-34A (Prelim. Draft)
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
Comments