NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ
こんにちは、丸山満彦です。
NISTが、
- SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立
- SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ
の確定版を公表しましたね。。。
SP 800-53、NISTIR 8259、NISTIR 8259A、NISTIR 8259B、NISTIR 8259C、NISTIR 8379とも関係してくるのですが、その関係を理解するためのに、NISTの過去のブログの記事が参考になります。。。(NISTIR 8259Dは今回のタイミングで廃止され、内容はSP800-213Aの附属書Aに移っています。。。)
●NIST- Cybersecurity Insight
・2020.12.15 Rounding Up Your IoT Security Requirements: Draft NIST Guidance for Federal Agencies
を踏まえた上で、、、
● NIST - ITL
SP 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements | SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立 |
Abstract | 概要 |
Organizations will increasingly use Internet of Things (IoT) devices for the mission benefits they can offer, but care must be taken in the acquisition and implementation of IoT devices. This publication contains background and recommendations to help organizations consider how an IoT device they plan to acquire can integrate into a system. IoT devices and their support for security controls are presented in the context of organizational and system risk management. This publication provides guidance on considering system security from the device perspective. This allows for the identification of device cybersecurity requirements—the abilities and actions an organization will expect from an IoT device and its manufacturer and/or third parties, respectively. | IoTデバイスが提供するミッション上のメリットを考慮して、組織はますますIoTデバイスを使用するようになるでしょうが、IoTデバイスの取得と実装には注意が必要です。本書では、取得を予定しているIoTデバイスがシステムにどのように統合されるかを組織が検討する際に役立つ背景と推奨事項を記載しています。IoTデバイスとそのセキュリティ管理への対応を、組織およびシステムのリスク管理の観点から紹介しています。本書では、デバイスの観点からシステムセキュリティを検討する際の指針を示しています。これにより、デバイスのサイバーセキュリティ要件(組織がIoTデバイスとその製造者および/またはサードパーティにそれぞれ期待する能力と行動)を特定することができます。 |
・[PDF]
SP 800-213A IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog | SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ |
Abstract | 概要 |
This publication provides a catalog of internet of things (IoT) device cybersecurity capabilities (i.e., features and functions needed from a device to support security controls) and non-technical supporting capabilities (i.e., actions and support needed from device manufacturers and other supporting entities to support security controls) that can help organizations as they use Special Publication (SP) 800-213 to determine and establish device cybersecurity requirements. This catalog cross references the capabilities in the catalog to the cybersecurity controls in NIST SP 800-53. Organizations should refer to SP 800-213 as that publication provides necessary context to effectively use this catalog and related material. | 本書は、IoTデバイスのサイバーセキュリティ能力(セキュリティ対策をサポートするためにデバイスに必要な機能や特徴)と非技術的なサポート能力(セキュリティ対策をサポートするためにデバイスの製造者やその他のサポート団体に必要な行動やサポート)のカタログを提供するもので、組織がSP 800-213を使用してデバイスのサイバーセキュリティ要件を決定し確立する際に役立つものです。このカタログは、カタログ内の機能をNIST SP 800-53のサイバーセキュリティ対策と相互参照しています。SP 800-213は、本カタログおよび関連資料を効果的に使用するために必要なコンテキストを提供しているため、組織はSP 800-213を参照する必要があります。 |
・[PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?
・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨
・2021.09.13 NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した
・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過
・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?
それぞれの目次
・[PDF] SP 800-213
1 Introduction | 1 はじめに |
1.1 Purpose and Applicability | 1.1 目的と適用 |
1.2 Target Audience | 1.2 想定読者 |
1.3 Relationship to Other Publications | 1.3 他の発行物との関係 |
1.4 Document Conventions | 1.4 文書における規則 |
1.5 Publication Organization | 1.5 本文書の構成 |
2 Background Considerations | 2 背景として考慮すべき事項 |
2.1 Systems and Elements | 2.1 システムと要素 |
2.2 How IoT Devices Support Security | 2.2 IoTデバイスがどのようにセキュリティを支援するか |
2.3 How IoT Devices May Create Security Challenges | 2.3 IoTデバイスがどのようにしてセキュリティの課題を生み出すか |
3 Identifying Device Cybersecurity Requirements for IoT Devices | 3 IoTデバイスに対するデバイス・サイバーセキュリティ要件の特定 |
3.1 IoT Device Cybersecurity Considerations | 3.1 IoTデバイスのサイバーセキュリティに関する検討事項 |
3.2 Assessing Risk and Determining Required Security Controls | 3.2 リスクの評価と必要なセキュリティコントロールの決定 |
3.2.1 Effects on Threat Sources and Events | 3.2.1 脅威の発生源とイベントへの影響 |
3.2.2 Effects on Vulnerabilities and Predisposing Conditions | 3.2.2 脆弱性および素因となる条件への影響 |
3.2.3 Effects on Likelihood(s) of Occurrence of Threats | 3.2.3 脅威の発生可能性への影響 |
3.2.4 Effects on Magnitude(s) of Impact of Threats | 3.2.4 脅威の影響の大きさへの影響 |
3.2.5 Determine Updated Risk Assessment | 3.2.5 最新のリスクアセスメントの決定 |
3.3 Identifying Device Cybersecurity Requirements | 3.3 デバイスのサイバーセキュリティ要件の特定 |
3.3.1 Identifying Requirements using SP 800-213A | 3.3.1 SP 800-213A を用いた要件の特定 |
3.3.2 Identifying Requirements using Other Resources | 3.3.2 他のリソースを用いた要件の特定 |
4 Understanding Risk Management Options for IoT Devices | 4 IoTデバイスのリスク管理オプションの理解 |
4.1 Potential Challenges Meeting Device Cybersecurity Requirements | 4.1 デバイスのサイバーセキュリティ要件を満たすための潜在的な課題 |
4.2 Managing Gaps in IoT Device Cybersecurity Requirements | 4.2 IoTデバイスのサイバーセキュリティ要件のギャップの管理 |
References | 参考文献 |
・[PDF] SP 800-213A
1 Introduction | 1 はじめに |
1.1 Purpose and Applicability | 1.1 目的と適用 |
1.2 Target Audience | 1.2 想定読者 |
1.3 Relationship to Other Publications | 1.3 他の発行物との関係 |
1.4 Publication Organization | 1.4 本文書の構成 |
2 Device Cybersecurity Capability Catalog | 2 デバイス・サイバーセキュリティ・ケイパビリティ・カタログ |
DI - DEVICE IDENTIFICATION | DI - デバイス識別 |
(IMS) Identifier Management Support | (IMS) 識別子管理サポート |
(AID) Actions Based on Device Identity | (AID)デバイス識別に基づくアクション |
(PID) Physical Identifiers | (PID) 物理的な識別子 |
DC - DEVICE CONFIGURATION | DC - デバイスの設定 |
(PRV) Logical Access Privilege Configuration | (PRV) 論理的アクセス権限の設定 |
(AUT) Authentication and Authorization Configuration | (AUT) 認証および認可の設定 |
(INT) Interface Configuration | (INT) インターフェースの設定 |
(DSP) Display Configuration | (DSP) ディスプレイの設定 |
(CTL) Device Configuration Control | (CTL) デバイス設定コントロール |
DP - DATA PROTECTION | DP - データ保護 |
(CRY) Cryptography Capabilities and Support | (CRY) 暗号技術の機能とサポート |
(KEY) Cryptographic Key Management | (KEY) 暗号鍵管理 |
(STO) Secure Storage | (STO) 安全な保存 |
(STX) Secure Transmission | (STX) 安全な移動 |
LA - LOGICAL ACCESS TO INTERFACES | LA - インターフェースへの論理的アクセス |
(AUN) Authentication Support | (AUN) 認証サポート |
(ACF) Authentication Configuration | (ACF) 認証設定 |
(USE) System Use Notification Support | (USE) システム使用通知サポート |
(AUZ) Authorization Support | (AUZ) 認証サポート |
(AIM) Authentication & Identity Management | (AIM) 認証及びアイデンティティ管理 |
(ROL) Role Support & Management | (ROL) 役割サポートおよび管理 |
(LDU) Limitations on Device Usage | (LDU) デバイス使用の制限 |
(XCN) External Connections | (XCN) 外部接続 |
(IFC) Interface Control | (IFC) インターフェース制御 |
SU - SOFTWARE UPDATE | SU - ソフトウェア・アップデート |
(UPD) Update Capabilities | (UPD) 機能の更新 |
(APP) Update Application Support | (APP) アプリケーションサポートの更新 |
CS - CYBERSECURITY STATE AWARENESS | CS - サイバーセキュリティの状態認識 |
(AEI) Access to Event Information | (AEI) イベント情報へのアクセス |
(EIM) Event Identification & Monitoring | (EIM) イベントの識別と監視 |
(EVR) Event Response | (EVR) イベントの対応 |
(LCT) Logging Capture & Trigger Support | (LCT) ログ取得&トリガー・サポート |
(RDL) Support of Required Data Logging | (RDL) 必要なデータロギングのサポート |
(LSR) Audit Log Storage & Retention | (LSR) 監査ログの保存と保持 |
(SRT) Support for Reliable Time | (SRT) 信頼できる時間のサポート |
(AUP) Audit Support & Protection | (AUP) 監査サポートと保護 |
(AWR) State Awareness Support | (AWR) 状態認識のサポート |
DS - DEVICE SECURITY | DS - デバイス・セキュリティ |
(EXE) Secure Execution | (EXE) 安全な実行 |
(COM) Secure Communication | (COM) 安全な通信 |
(RSC) Secure Resource Usage | (RSC) 安全なリソース使用 |
(DIN) Device Integrity | (DIN) デバイス・インテグリティ |
(ONB) Secure Network Onboarding Support | (ONB) 安全なネットワークオンボーディングサポート |
(OPS) Secure Device Operation | (OPS) 安全なデバイス操作 |
3 Non-Technical Supporting Capability Catalog | 3 非技術的支援能力カタログ |
DO - DOCUMENTATION | DO - 文書化 |
(SMP) Assumptions Made in Product Development | (SMP) 製品開発時の前提条件 |
(CAP) Technical Cybersecurity Capabilities Implemented | (CAP) 実装されている技術的なサイバーセキュリティ能力 |
(DSC) Design and Support Considerations | (DSC) 設計およびサポートに関する考慮事項 |
(MNT) Maintenance Requirements | (MNT) 保守要件 |
(DAU) Device Authenticity Support | (DAU) デバイス認証サポート |
IQ - INFORMATION AND QUERY RECEPTION | IQ - 情報および問い合わせの受信 |
(BUG) Reception of Vulnerability Information | (BUG) 脆弱性情報の受信 |
(QRY) Query Response | (QRY) 問い合わせ応答 |
ID - INFORMATION DISSEMINATION | ID - 情報発信 |
(CRI) Cybersecurity Related Information Alert | (CRI) サイバーセキュリティ関連情報アラート |
(VNT) Cybersecurity Event Notification | (VNT) サイバーセキュリティイベント通知 |
EA - EDUCATION AND AWARENESS | ES - 教育と意識向上 |
(CSC) Cybersecurity Capabilities | (CSC) サイバーセキュリティ機能 |
(EOL) End-of-Life (Reprovisioning and Disposal) | (EOL) 利用終了(再配置および廃棄) |
(RSP) Cybersecurity Responsibilities | (RSP) サイバーセキュリティ上の責任 |
(EXP) Cybersecurity Expectations and Assumptions | (EXP) サイバーセキュリティの期待値と前提条件 |
(BAK) Data Back-up | (BAK) データバックアップ |
(VMG) Vulnerability Management Options | (VMG) 脆弱性管理オプション |
References | 参考文献 |
List of Appendices | 附属書一覧 |
Appendix A - Definition of the Federal Profile for IoT Device Cybersecurity Requirements . | 附属書A - IoTデバイスのサイバーセキュリティ要件のための連邦プロファイルの定義 . |
Appendix B - Mapping of SP 800-53 Controls to Device Cybersecurity Requirements | 附属書B - SP 800-53のコントロールへのデバイス・サイバーセキュリティ要件へのマッピング |
Appendix C - Mapping of Cybersecurity Framework Outcomes to Device Cybersecurity Requirements | 附属書C - サイバーセキュリティフレームワーク文書へのデバイスサイバーセキュリティ要件へのマッピング . |
Appendix D - Acronyms | 附属書D - 頭字語 |
Appendix E - Glossary | 附属書E - 用語集 |
Comments