NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
こんにちは、丸山満彦です。
NISTが消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集をしていますね。。。
これも大統領令14028に端を発したものですね。。。IoTについては今回は含まれていないようですね。今後ということなのでしょうね。。。
さて、これ、どうなりますかね。。。
● NIST
・2021.11.01 NIST Seeks Public Input on Consumer Software Labeling for Cybersecurity
NIST is proposing key attributes of a labeling program rather than establishing its own.
NIST Seeks Public Input on Consumer Software Labeling for Cybersecurity | NIST、サイバーセキュリティに関する消費者向けソフトウェアのラベリングについて意見を求める |
NIST is proposing key attributes of a labeling program rather than establishing its own. | NISTは、独自のラベリングプログラムを構築するのではなく、ラベリングプログラムの主要な属性を提案しています。 |
In an effort to improve consumers’ ability to make informed decisions about software they purchase, the National Institute of Standards and Technology (NIST) has drafted a set of cybersecurity criteria for consumer software. The criteria are intended to aid in the development and voluntary use of labels to indicate that the software incorporates a baseline level of security measures. | 米国国立標準技術研究所(NIST)は、消費者が購入するソフトウェアについて十分な情報を得た上で判断できるようにするため、消費者向けソフトウェアのサイバーセキュリティ基準を策定しました。この基準は、ソフトウェアにベースラインレベルのセキュリティ対策が施されていることを示すラベルを開発し、自発的に使用することを目的としています。 |
The document, formally titled Draft Baseline Criteria for Consumer Software Cybersecurity Labeling, forms part of NIST’s response to the May 12, 2021, Executive Order (EO) 14028 on Improving the Nation’s Cybersecurity. The EO specifies that NIST “shall identify secure software development practices or criteria for a consumer software labeling program” — criteria that reflect a baseline level of cybersecurity and that focus on ease of use for consumers. (The EO also instructs NIST to initiate a labeling effort on the cybersecurity aspects of consumer devices associated with the Internet of Things, which the present publication does not address.) | この文書は正式名称を「消費者向けソフトウェアのサイバーセキュリティ表示のためのベースライン規準(草案)」といい、2021年5月12日に発令された「Improving the Nation's Cybersecurity」に関する大統領令14028に対するNISTの対応の一環として作成されました。大統領令では、NISTが「消費者向けソフトウェアのラベリングプログラムのために、安全なソフトウェア開発手法または基準を特定しなければならない」と規定されています。この基準は、サイバーセキュリティの基本レベルを反映し、消費者にとっての使いやすさに重点を置いたものです。(大統領令はまた、IoTに関連した消費者向け機器のサイバーセキュリティ面でのラベリング活動を開始するようNISTに指示していますが、本書ではこれについては触れていません)。 |
“We are establishing criteria for a label that will be helpful to consumers. The goal is to raise consumers' awareness about the various security needs they might have and to help them make informed choices about the software they purchase and use.” —Michael Ogata, NIST computer scientist | 「我々は、消費者に役立つラベルの基準を確立しています。その目的は、消費者が持つ可能性のある様々なセキュリティニーズについての意識を高め、購入・使用するソフトウェアについて十分な情報を得た上で選択できるようにすることです。」NISTのコンピュータサイエンティスト、マイケル・オガタ氏 |
The criteria are based on suggestions from the public via position papers, a workshop, and multiple discussions with interested stakeholders. NIST is seeking public comments on the draft document by Dec. 16, 2021, to inform a final version that NIST will release on or before Feb. 6, 2021 — the deadline set in the EO. This draft is the only version that NIST plans to release before the final publication. | この基準は、ポジションペーパーやワークショップ、関心のあるステークホルダーとの複数回のディスカッションを通じて一般から寄せられた提案に基づいています。NISTは、大統領令で定められた期限である2021年2月6日までにNISTが公開する最終版に反映させるため、2021年12月16日までにドラフト文書に対するパブリックコメントを募集しています。今回のドラフトは、NISTが最終版の発行前に公開する予定の唯一のバージョンです。 |
“We are establishing criteria for a label that will be helpful to consumers,” said Michael Ogata, a NIST computer scientist and co-author of the draft document. “The goal is to raise consumers’ awareness about the various security needs they might have and to help them make informed choices about the software they purchase and use.” | NISTのコンピュータサイエンティストであり、ドラフト文書の共同執筆者であるマイケル・オガタ氏は、「我々は、消費者に役立つラベルの基準を確立しています」と述べています。「その目的は、消費者の様々なセキュリティニーズに対する意識を高め、購入・使用するソフトウェアについて十分な情報を得た上で選択できるようにすることです」と述べています。 |
Part of the challenge is the sheer vastness and variety of the consumer software landscape. Software forms an integral part of most consumers’ lives, and it is subject to vulnerabilities that place the users’ safety, property and productivity at risk — but there is no one-size-fits-all approach to cybersecurity that can be applied to all types of consumer software. The cybersecurity considerations for a smartphone game could differ greatly from, for example, those applied to a banking app. Yet a security label aimed at consumers will need to communicate simply and directly. | 課題の一つは、消費者向けソフトウェアが非常に広大で多様であることです。ソフトウェアは、ほとんどの消費者の生活に欠かせないものであり、ユーザーの安全性、財産、生産性を危険にさらす脆弱性があります。しかし、サイバーセキュリティには、あらゆる種類の消費者向けソフトウェアに適用可能な万能のアプローチはありません。スマートフォン向けゲームのサイバーセキュリティ上の考慮事項は、例えば銀行業務アプリに適用されるものとは大きく異なる可能性があります。しかし、消費者を対象としたセキュリティラベルは、シンプルかつ直接的に伝える必要があります。 |
While NIST’s assignment is straightforward — to establish the criteria that should be the basis for a software label — NIST is not designing the label itself, nor is NIST establishing its own labeling program for consumer software. The EO calls for a voluntary approach, and it will be up to the marketplace to determine which organizations might use cybersecurity labels. | NISTの任務は、ソフトウェアのラベルの基礎となる基準を確立することという単純なものですが、NISTはラベル自体を設計するわけではなく、消費者向けソフトウェアのための独自のラベリングプログラムを確立するわけでもありません。大統領令は自主的なアプローチを求めており、どの組織がサイバーセキュリティラベルを使用するかは市場に委ねられます。 |
Currently, the agency is seeking public input about the baseline of technical requirements for the software and the related label. As proposed by NIST, in order to qualify for a label, the software provider would first need to meet all of the technical requirements. The document refers to these requirements as “attestations,” or claims about the software’s security, which the document organizes into four categories: | 現在、NISTは、ソフトウェアおよび関連するラベルの技術的要件のベースラインについて、一般からの意見を求めています。NISTが提案しているように、ラベルの資格を得るためには、まずソフトウェアの提供者がすべての技術的要件を満たす必要があります。この文書では、これらの要件を「証明」と呼び、ソフトウェアのセキュリティに関する主張を4つのカテゴリーに分類しています。 |
Descriptive attestations — information about the label itself, such as who is making the claims about information within the label, what the label applies to and how the consumer can get more information. | 記述的な証明:ラベル内の情報について誰が主張しているのか、ラベルは何に適用されるのか、消費者はどのように詳細な情報を得ることができるのかなど、ラベル自体に関する情報。 |
Secure software development attestations — how the software developer adheres to security best practices. By fulfilling requirements in this category, the provider communicates to consumers that they can be more confident about the development process. | 安全なソフトウェア開発の証明:ソフトウェア開発者がどのようにセキュリティのベストプラクティスを遵守しているか。このカテゴリーの要件を満たすことで、提供者は消費者に対して、開発プロセスに自信を持てることを伝えます。 |
Critical cybersecurity attributes and capability attestations — features expressed by the software’s functionality, and other attributes that consumers should know, such as whether the software is free from known vulnerabilities or whether encryption is used. | 重要なサイバーセキュリティ属性と能力の証明:ソフトウェアの機能によって表される特徴や、ソフトウェアに既知の脆弱性がないか、暗号化が使用されているかなど、消費者が知っておくべきその他の属性。 |
Data inventory and protection attestations — information about data that consumers may identify as having high cybersecurity-related risk, and the software provider’s descriptions of mechanisms used to protect that data. This data might relate to personally identifiable information, device location information, or any other data the provider has spent time and effort safeguarding. | データのインベントリと保護の証明:消費者がサイバーセキュリティ関連のリスクが高いと認識する可能性のあるデータに関する情報と、そのデータを保護するために使用されるメカニズムに関するソフトウェア提供者の説明。このデータは、個人を特定できる情報、デバイスの位置情報、またはプロバイダが時間と労力をかけて保護しているその他のデータに関連する可能性があります。 |
A software label would not necessarily spell out all of these details, Ogata said, but the overall labeling effort should aim to educate consumers about what the label means and indicate where they can readily get additional information about those cybersecurity attributes. NIST is not itself planning to launch an associated education program, though software providers and others might. | オガタ氏は、「ソフトウェアのラベルには、必ずしもこれらの詳細がすべて記載されているわけではありませんが、ラベル全体の目的は、ラベルの意味するところを消費者に理解してもらい、サイバーセキュリティの属性に関する追加情報をどこで入手できるかを示すことにあります。NIST自体は、関連する教育プログラムを立ち上げることを計画していませんが、ソフトウェアプロバイダーなどが立ち上げる可能性はあります。」と述べています。 |
“As a complement to the labeling approach, a robust consumer education program should be developed to increase label recognition and to provide transparency,” Ogata said. “Consumers should have access to online information including what the label means and does not mean, so that they can avoid potential misinterpretations. They also should know what cybersecurity properties are included in the baseline, and why and how these were selected.” | オガタ氏は、「ラベリング手法を補完するものとして、ラベルの認知度を高め、透明性を提供するために、強力な消費者教育プログラムを開発する必要があります。消費者は、ラベルが意味すること、意味しないことを含むオンライン情報にアクセスして、潜在的な誤解を避けることができなければなりません。また、どのようなサイバーセキュリティ特性がベースラインに含まれているのか、それらがなぜ、どのようにして選択されたのかを知る必要があります。」と述べています。 |
・[PDF] DRAFT Baseline Criteria for Consumer Software Cybersecurity Labeling
・[DOCX] 仮訳
« 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。 | Main | 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減 »
Comments