« NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス | Main | NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準 »

2022.02.06

NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

こんにちは、丸山満彦です。

NISTがホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準を公表していますね。。。

NIST - ITL

・2022.02.04 White Paper Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products

White Paper: Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products ホワイトペーパー 消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
Abstract 概要
Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” tasks the National Institute of Standards and Technology (NIST), in coordination with the Federal Trade Commission (FTC) and other agencies, to initiate pilot programs for cybersecurity labeling. NIST is, among other actions, directed “… to identify IoT cybersecurity criteria for a consumer labeling program…” This document seeks to fulfill this directive by recommending consumer IoT product label criteria, label design and consumer education considerations, and conformity assessment considerations for use by a scheme owner to inform a consumer Internet of Things (IoT) product labeling program. 大統領令(EO)14028「国家のサイバーセキュリティの向上」では、米国連邦取引委員会(FTC)やその他の機関と協力して、米国標準技術研究所(NIST)にサイバーセキュリティラベルのパイロットプログラムを開始するよう指示しています。NISTは、特に「消費者向けラベリングプログラムのためのIoTサイバーセキュリティ規準を特定する」ことを指示されています。本文書は、消費者向けIoT製品ラベリングプログラムに情報を提供するために、スキームオーナーが使用する消費者向けIoT製品ラベリング規準、ラベルデザインと消費者教育に関する検討事項、および適合性評価に関する検討事項を推奨することで、この指令を満たすことを目的としています。

 

・[PDF]  White Paper

20220206-13313

1 Introduction 1 序文
1.1 Background 1.1 背景
1.2 Scheme and Scheme Owner 1.2 スキームとスキームオーナー
1.3 Document Scope and Goals 1.3 文書の範囲と目標
1.4 Document Structure 1.4 文書の構成
2 Baseline Product Criteria 2 ベースライン製品規準
2.1 Scope of an IoT Product 2.1 IoT製品の範囲
2.2 Recommended Baseline Product Criteria 2.2 推奨されるベースライン製品規準
2.3 IoT Product Vulnerabilities Related to Recommended Criteria 2.3 推奨規準に関連するIoT製品の脆弱性
2.4 Risk, Tailoring, and Tiering Considerations 2.4 リスク、テーラーリング、階層化の考慮事項
2.5 Utilizing Existing Standards, Programs, and Schemes 2.5 既存の規格、プログラム、スキームの活用
2.6 Harmonization Considerations 2.6 ハーモナイゼーションに関する考察
3 Labeling Considerations 3 ラベリングに関する検討事項
3.1 Recommended Label Approach 3.1 推奨される表示方法
3.2 Label Presentation 3.2 ラベルの表示
3.3 Consumer Education 3.3 消費者教育
4 Conformity Assessment Considerations 4 適合性評価に関する検討事項
References 参考文献

 

1  Introduction   1 序文
1.1  Background  1.1 背景 
This document provides recommended criteria for a cybersecurity labeling effort for consumer internet of things (IoT) products. Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” [EO14028] issued on May 12, 2021, directed the National Institute of Standards and Technology (NIST) to develop these criteria for use in a pilot program.   本書は、消費者向けのIoT製品に対するサイバーセキュリティのラベリング活動のための推奨基準を提供するものです。2021年5月12日に発行された大統領令(EO)14028「国家のサイバーセキュリティの向上」[EO14028]は、米国標準技術研究所(NIST)に対し、パイロットプログラムで使用するこれらの規準を開発するよう指示しました。 
NIST was directed to “identify IoT cybersecurity criteria for a consumer labeling program, and shall consider whether such a consumer labeling program may be operated in conjunction with or modeled after any similar existing government programs consistent with applicable law. The criteria shall reflect increasingly comprehensive levels of testing and assessment that a product may have undergone, and shall use or be compatible with existing labeling schemes that manufacturers use to inform consumers about the security of their products.”  NISTは、「消費者向けラベリングプログラムのためのIoTサイバーセキュリティ規準を特定し、そのような消費者向けラベリングプログラムが、適用される法律と整合性のある類似の既存の政府プログラムと連携して運営されるか、またはそれをモデルにして運営されるかどうかを検討しなければならない」と指示されました。規準は、製品が受けた可能性のあるテストと評価の包括的なレベルを反映するものとし、メーカーが製品のセキュリティについて消費者に知らせるために使用している既存のラベリングスキームを使用または互換性のあるものとする。」と指示されました。
NIST was also directed to “examine all relevant information, labeling, and incentive programs and employ best practices. This review shall focus on ease of use for consumers and a determination of what measures can be taken to maximize manufacturer participation.”   また、NISTは「関連するすべての情報、ラベリング、インセンティブプログラムを検討し、ベストプラクティスを採用する」よう指示されました。この検討では、消費者にとっての使いやすさを重視し、メーカーの参加を最大限に引き出すためにどのような手段があるのかを判断しなければならない」とされています。 
NIST began developing the proposed product criteria by building on its existing work in IoT cybersecurity – including the NISTIR 8259 family of documents [IR8259] [IR8259A] [IR8259B] defining baseline cybersecurity capabilities for IoT devices from an analysis of international standards and guidance – and by leveraging available standards and guidance, reviewing vulnerabilities that enabled recent compromises of IoT products, and seeking feedback from the community through workshops and comments on draft versions of the criteria. Reviews of available international standards and guidance addressing consumer IoT product cybersecurity and recent public news stories about compromised IoT products and their vulnerabilities contributed to the profiling of the NISTIR 8259A [IR8259A] and NISTIR 8259B [IR8259B] core baseline for the consumer IoT sector. Draft versions of the criteria released on August 31 and December 3, 2021, were available for community feedback at workshops on September 14 and December 9, 2021, and in writing.   NISTは、国際的な基準やガイダンスの分析からIoT機器のベースラインのサイバーセキュリティ能力を定義したNISTIR 8259ファミリーの文書[IR8259] [IR8259A] [IR8259B]など、IoTサイバーセキュリティに関する既存の作業をベースにして、利用可能な規準やガイダンスを活用し、最近のIoT製品の侵害を可能にした脆弱性をレビューし、ワークショップや基準のドラフト版に対するコメントを通じてコミュニティからのフィードバックを求めることで、製品規準案の開発を開始しました。消費者向けIoT製品のサイバーセキュリティに対応する利用可能な国際的な基準とガイダンスのレビュー、および最近のIoT製品の危殆化とその脆弱性に関する一般的なニュース記事は、消費者向けIoT分野のNISTIR 8259A [IR8259A]およびNISTIR 8259B [IR8259B]コアベースラインのプロファイリングに貢献しました。2021年8月31日と12月3日に公開された基準のドラフト版は、2021年9月14日と12月9日に開催されたワークショップや書面で、コミュニティのフィードバックに供されました。 
1.2  Scheme and Scheme Owner  1.2 スキームとスキームオーナー 
NIST is identifying key elements of a potential labeling scheme that could be established by another organization or program. The criteria that NIST is recommending are stated in terms of minimum requirements and desirable attributes; NIST is not establishing its own scheme or program, nor is NIST designing or proposing a design of a consumer IoT product label. The key elements of the recommendations criteria include a proposed baseline product criteria as well as labeling and conformity assessment considerations. The product criteria in this document specify desired outcomes, allowing providers and customers to choose the best approaches for their devices and environments. One size will not fit all, and multiple solutions might be offered by label providers.   NISTは、他の組織やプログラムによって設立される可能性のあるラベリングスキームの主要な要素を特定している。NISTが推奨している基準は、最低限の要求事項と望ましい属性の観点から述べられており、NISTは独自のスキームやプログラムを確立しているわけではなく、消費者向けIoT製品のラベルの設計や提案を行っているわけでもない。推奨規準の主要な要素には、提案されたベースライン製品規準のほか、ラベルや適合性評価に関する検討事項が含まれています。本文書の製品規準は、望ましい結果を規定しており、プロバイダーや顧客は、それぞれのデバイスや環境に最適なアプローチを選択することができます。1つのサイズがすべてに適合するわけではなく、ラベルプロバイダーによって複数のソリューションが提供される可能性があります。 
Implementation of the consumer IoT product labeling program as guided by these recommendations and considerations requires a scheme owner. The role of a consumer labeling scheme owner, which could be a public or private sector organization, is critical. The scheme owner is the entity that manages the labeling scheme and determines its structure and management and performs oversight to ensure that the scheme is functioning consistently in keeping with overall objectives. The scheme owner is responsible for tailoring the product criteria, defining conformity assessment requirements, developing the label and associated information, and conducting related consumer outreach and education. A scheme could be defined at a sector level, or an overall scheme owner could be responsible for multiple categories. There can be flexibility in establishing how the baseline IoT criteria apply to specific ranges of IoT products and which conformity assessment activities are appropriate, but multiple variations of labels or labeling approaches would likely cause confusion among consumers and limit the effectiveness of the efforts.   これらの推奨事項や考慮事項に沿って消費者向けIoT製品ラベリングプログラムを実施するには、スキームオーナーが必要です。消費者向けラベリングのスキームオーナーの役割は重要であり、それは公的機関でも民間団体でも構いません。スキームオーナーは、ラベリングスキームを管理し、その構造と管理を決定し、スキームが全体的な目的に沿って一貫して機能していることを確認するための監視を行う主体です。スキームオーナーは、製品規準の調整、適合性評価要件の定義、ラベルと関連情報の作成、関連する消費者への働きかけと教育の実施に責任を負います。スキームはセクターレベルで定義することもできるし、全体のスキームオーナーが複数のカテゴリーに責任を持つこともできます。ベースラインIoT規準が特定の範囲のIoT製品にどのように適用されるか、また、どの適合性評価活動が適切かを確立することには柔軟性があり得るが、ラベルやラベリング手法に複数のバリエーションがあると、消費者の間で混乱が生じ、取り組みの効果が限定される可能性が高くなります。 
1.3  Document Scope and Goals  1.3 文書の範囲と目標 
This document discusses considerations and recommendations for the development of a consumer IoT product labeling program. The following key recommendations are addressed:  本文書では、消費者向けIoT製品のラベリングプログラムを開発するための検討事項と推奨事項について述べている。以下の主要な推奨事項を取り上げています。
・ Baseline product criteria for consumer IoT products are expressed as outcomes rather than as specific statements as to how they would be achieved.  ・消費者向け IoT 製品のベースライン製品規準は、どのように達成するかという具体的な記述ではなく、結果として表現します。
・ No single conformity assessment approach is appropriate given the variety of ways those baseline criteria could apply to a wide range of products.  ・消費者向け IoT 製品のベースライン規準は、どのように達成されるかという具体的な記述ではなく、 結果として表現します。
・ A single binary label (a “seal of approval” type of label indicating a product has met a baseline standard) is likely most appropriate, coupled with a layered approach that leads interested consumers to additional detail online.  ・シングルバイナリーラベル(ベースライン規準を満たしていることを示す「承認印」のようなラベ ル)が最も適切であると考えられるますが、興味を持った消費者がオンラインで追加の詳細情報を得ることができるような層化アプローチも必要です。
The goal of this document is to provide recommendations, additional information, and context related to these responsibilities for use by a scheme owner creating the consumer IoT product labeling program.   本文書の目的は、消費者向け IoT 製品のラベリング・プログラムを作成するスキーム・オー ナーが使用するために、これらの責任に関する推奨事項、追加情報、および背景を提供することです。 
1.4  Document Structure  1.4 文書の構成 
The remainder of this document is organized as follows:  本文書の構成は以下の通りです。
・ Section 2 - provides the IoT product criteria, the technical foundations of those criteria, and considerations related to the product criteria.  セクション 2 では、IoT 製品規準、その規準の技術的基礎、製品規準に関連する検討事項を示しています。
・ Section 3 - discusses considerations around the label.  セクション 3:ラベルに関する検討事項について説明しています。
・ Section 4 - discusses considerations around the conformity assessment mechanism used. セクション 4 では、使用する適合性評価メカニズムに関する検討を行っています。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

|

« NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス | Main | NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス | Main | NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準 »