« 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」 | Main | 個人情報保護委員会 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載 »

2022.02.28

NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

こんにちは、丸山満彦です。

NISTがNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)を公表し、意見募集をしていますね。。。これは、2021.06.29に公表されたNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門に得られたコメントを反映し、再度意見募集をしているものになりますね。。。


1_20220227213101

図1:衛星運用の概念的なハイレベル・アーキテクチャの主要部分
NISTIR 8270 2nd Draft


 

1_20220227214001

図2:主な検討事項とコミュニケーション
NISTIR 8270 2nd Draft

 

1_20220227215801

図3:運用のフェーズ
NISTIR 8270 2nd Draft

日本でもつい先日(21日)、経済産業省から、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」に対する意見募集についてが公表されていますね。。。

このブログの「・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」」を参考にしてくださいませ。

 

NIST - ITL

・2022.02.25 NISTIR 8270 (Draft) Introduction to Cybersecurity for Commercial Satellite Operations (2nd Draft)

 
Announcement 発表内容
Space operations are vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. However, cyber-related threats to space assets and their supporting infrastructure pose increasing risks to the economic promise of emerging markets in space. This second draft of NISTIR 8270, Introduction to Cybersecurity for Commercial Satellite Operations, presents a specific method for applying the Cybersecurity Framework (CSF) to commercial space business and describes an abstracted set of cybersecurity outcomes, requirements, and suggested controls. 宇宙活動は、国家の安全保障、経済的繁栄、科学的知識を向上させるために不可欠である。しかし、宇宙資産とそれを支えるインフラに対するサイバー関連の脅威は、宇宙における新興市場の経済的な有望性に増大するリスクをもたらしている。このNISTIR 8270「Introduction to Cybersecurity for Commercial Satellite Operations」の第2草案は、サイバーセキュリティ・フレームワーク(CSF)を商業宇宙事業に適用するための具体的な方法を示し、サイバーセキュリティの成果、要件、および推奨制御を抽象化して記述している。
The draft also: また、この草案は
・Clarifies scope with an emphasis on the satellite itself, ・衛星そのものに重点を置いて範囲を明確化し、
・Updates examples for clarity, ・例を分かりやすくするために更新し、
・Adds more detailed steps for developing a current and target profile and risk analysis, and ・現在およびターゲットのプロファイルとリスク分析を開発するための、より詳細なステップを追加し、
・Provides references for relevant regulations around commercial space. ・商業宇宙をめぐる関連規制の参考文献を提供しています。
Reviewers are asked to provide feedback on additional threat models that might help in the development of organization profiles, informative references on the application of security controls to satellites, and standards or informative references that might benefit all readers. レビュアーは、組織プロファイルの開発に役立つかもしれない脅威モデルの追加、衛星へのセキュリティ制御の適用に関する有益な参考資料、すべての読者に有益かもしれない規格や有益な参考資料に関するフィードバックを求めています。
Abstract 概要
Space is a newly emerging commercial critical infrastructure sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving commercial space – including those affecting commercial satellite vehicles – need to be understood and managed alongside other types of risks to ensure safe and successful operations. This report provides a general introduction to cybersecurity risk management for the commercial satellite industry as they seek to start managing cybersecurity risks in space. This document is by no means comprehensive in terms of addressing all of the cybersecurity risks to commercial satellite infrastructure, nor does it explore risks to satellite vehicles, which may be introduced through the implementation of cybersecurity controls. The intent is to present basic concepts, generate discussions, and provide sample references for additional information on pertinent cybersecurity risk management models. 宇宙は、もはや国家政府当局だけの領域ではなく、新たに出現した商業的重要インフラ部門です。宇宙は本質的にリスクの高い環境であるため、商業衛星に影響を与えるものを含め、商業宇宙に関わるサイバーセキュリティリスクは、安全で成功した運用を確保するために他の種類のリスクと合わせて理解し管理する必要がです。本報告書は、商業衛星業界が宇宙におけるサイバーセキュリティリスクの管理を開始しようとする際に、サイバーセキュリティリスク管理の一般的な入門書を提供するものです。本書は、商業衛星インフラに対するすべてのサイバーセキュリティリスクを取り上げるという点では決して包括的なものではありませんし、サイバーセキュリティ管理の実施によってもたらされるかもしれない衛星機に対するリスクも探求していません。その意図は、基本的な概念を提示し、議論を喚起し、関連するサイバーセキュリティリスク管理モデルに関する追加情報への参考文献のサンプルを提供することです。

 

・[PDF] NISTIR 8270 (Draft)

20220228-61241

想定読者

Audience 想定読者
The primary audience for this publication includes chief information officers (CIOs), chief technology officers (CTOs), and risk officers of organizations who are using or plan to use commercial satellite operations and are new to cybersecurity risk management for these operations. 本書の主な対象者は、商業衛星運用を利用している、または利用を計画している組織の最高情報責任者(CIO)、最高技術責任者(CTO)、リスク管理担当者で、これらの運用のためのサイバーセキュリティ・リスク管理を初めて行う人です。

 

Executive Summary  エグゼクティブサマリー 
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government considers unfettered access to and freedom to operate in space vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. Space Policy Directive 5 (SPD-5) was released in 2020 to address the need for cybersecurity in space systems and directed federal agencies to work with non-government space operators to define and establish cybersecurityinformed norms for space systems. This profile is part of NIST’s effort to support SPD-5 and its goals for securing space.  2018年9月の米国国家サイバー戦略で述べられているように、米国政府は、宇宙への自由なアクセスと活動の自由は、国家の安全保障、経済的繁栄、科学的知識を前進させるために不可欠であると考えています。宇宙システムにおけるサイバーセキュリティの必要性に対処するため、2020年に宇宙政策指令5(SPD-5)が発表され、連邦政府機関に対し、非政府の宇宙事業者と協力して宇宙システムのサイバーセキュリティに配慮した規範を定義・確立するよう指示された。このプロファイルは、SPD-5と宇宙の安全確保に関する目標を支援するためのNISTの取り組みの一部です。
Cyber-related threats to space assets (e.g., commercial satellites) and supporting infrastructure pose increasing risk to this economic promise and commercial space emerging markets. Commercial satellite operations occur in an inherently risky environment. Physical risks to these operations are generally quantifiable and have the most likely potential to adversely impact the businesses that operate commercial satellites, usually in low-earth orbit. While this is the primary risk consideration for satellite operations, continued growth in this new commercial infrastructure allows for opportunities to address cybersecurity risks along with other risk elements.[1]  宇宙資産(商業衛星など)とそれを支えるインフラに対するサイバー関連の脅威は、この経済的な約束と商業宇宙の新興市場にますます大きなリスクをもたらしています。   商業衛星の運用は、本質的にリスクの高い環境で行われます。これらの事業に対する物理的なリスクは、一般的に定量化可能であり、通常は低軌道で商業衛星を運用する事業に悪影響を及ぼす可能性が最も高いと考えられます。これは衛星運用の主なリスクであるが、この新しい商業インフラの継続的な成長は、他のリスク要素とともにサイバーセキュリティリスクに対処する機会を与えてくれるものです[1]。
Methods for the creation, maintenance, and implementation of a cybersecurity program for many of the commercial and international markets include products in national and international standard-setting organizations (SSOs), as well as the use of risk management guidance from the National Institute of Standards and Technology (NIST). NIST risk management guidance includes specific technical references, cybersecurity control catalogues, the IT Risk Management Framework, and the Cybersecurity Framework (CSF).  多くの商業および国際市場向けのサイバーセキュリティプログラムの作成、維持、実施の方法には、国内および国際標準設定機関(SSO)の製品や、米国標準技術局(NIST)のリスク管理ガイダンスの使用が含まれます。NISTのリスク管理ガイダンスには、特定の技術文献、サイバーセキュリティ・コントロール・カタログ、ITリスク管理フレームワーク、サイバーセキュリティ・フレームワーク(CSF)などがあります。
The intent of this document is to introduce the CSF to commercial space businesses. This includes describing a specific method for applying the CSF to a small portion of commercial satellite operations (e.g., a small sensing satellite), creating an example CSF set of desired security outcomes based on missions and anticipated threats, and describing an abstracted set of cybersecurity outcomes, requirements, and suggested cybersecurity controls.   この文書の目的は、商業宇宙ビジネスにCSFを紹介することです。これには、商業衛星運用のごく一部(例えば、小型のセンシング衛星)にCSFを適用するための具体的な方法を説明すること、ミッションと予想される脅威に基づいて望ましいセキュリティ成果のCSFセットの例を作成すること、サイバーセキュリティ成果、要件、および推奨されるサイバーセキュリティ制御の抽象化されたセットを説明することが含まれます。 
NIST asks the commercial satellite operations community to use this document as an informative reference to assist in managing cybersecurity risks and to consider how cybersecurity requirements might coexist within space vehicle system requirements. The example requirements listed in this document could be used to create an initial baseline. However, NIST recommends that organizations use this document in coordination with the set of NIST references and applicable SSO materials to create cybersecurity outcomes, requirements, and controls customized to support an organization’s particular business needs and address its individual threat models.  NISTは、商業衛星運用コミュニティに対し、サイバーセキュリティ・リスクの管理を支援し、宇宙機システム要件の中にサイバーセキュリティ要件をどのように共存させるかを検討するための参考資料として本文書を使用するよう求めています。本書に記載されている要件の例は、初期のベースラインを作成するために使用することができます。しかし、NISTは、組織の特定のビジネスニーズをサポートし、個々の脅威モデルに対処するためにカスタマイズされたサイバーセキュリティの成果、要件、およびコントロールを作成するために、NISTの一連の参考文献および適用可能なSSOの資料と連携して本書を使用することを推奨します。
This report focuses on uncrewed commercial space vehicles that will not dock with human occupied spacecraft.  本報告書は、人間が乗っている宇宙船とドッキングしないクルーレスの商用宇宙機に焦点を当てています。 
[1] These can include, but are not limited to, physical risks, EMI/EMC, financial risks, and supplier and customer risks.  これらには、物理的なリスク、EMI/EMC、財務的なリスク、サプライヤーや顧客のリスクなどが含まれますが、これらに限定されるものではありません。

 

目次。。。

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Report Structure 1.2 報告書の構成
2 Conceptual High-Level Architecture of Satellite Operations 2 人工衛星運用の概念的なハイレベル・アーキテクチャ
2.1 Space Architecture Segments 2.1 スペースアーキテクチャのセグメント
2.1.1 Space Segment: 2.1.1 スペースセグメント
2.1.2 Key Considerations and Communications: 2.1.2 重要な検討事項と通信
2.1.3 Other Space Architecture Segments 2.1.3 その他のスペース・アーキテクチャ・セグメント
2.2 Spacecraft Vehicle Life Cycle Phases 2.2 宇宙機のライフサイクル・フェーズ
2.2.1 Operational Phase 2.2.1 運用フェーズ
2.2.2 Other Phases 2.2.2 その他のフェーズ
3 An Introduction to the Cybersecurity Framework 3 サイバーセキュリティフレームワークの紹介
4 Creating a Cybersecurity Program for Space Operations 4 宇宙事業のためのサイバーセキュリティプログラムの作成
4.1 Using the Cybersecurity Framework to Develop a Profile 4.1 サイバーセキュリティフレームワークを利用したプロファイルの策定
4.2 Case Study Example 4.2 ケーススタディの例
4.2.1 Scenario Background 4.2.1 シナリオの背景
4.3 Conclusion 4.3 おわりに
References 参考文献
List of Appendices 附属書一覧
Appendix A— Examples of Relevant Regulations 附属書A - 関連する規制の例
Appendix B— Acronyms 附属書B - 頭字語
Appendix C— Glossary 附属書C - 用語集

 


参考

 

● NIST - ITL

・2021.02.11 (PUBLICATIONSNISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services



まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

|

« 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」 | Main | 個人情報保護委員会 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」 | Main | 個人情報保護委員会 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載 »