NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
こんにちは、丸山満彦です。
NISTがホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準を公表していますね。。。大統領令14028の Sec.4(t)の目標を満たす IoT 製品規準を補完するものということです。。。
● NIST - ITL
・2022.02.04 White Paper: Recommended Criteria for Cybersecurity Labeling of Consumer Software
White Paper: Recommended Criteria for Cybersecurity Labeling of Consumer Software | ホワイトペーパー 消費者向けソフトウェアのサイバーセキュリティ・ラベルの推奨規準 |
Abstract | 概要 |
Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” tasks the National Institute of Standards and Technology (NIST), in coordination with the Federal Trade Commission (FTC) and other agencies, to initiate pilot programs for cybersecurity labeling. These labeling programs are intended to educate the public on the security capabilities of …software development practices. To inform this effort, the EO directs NIST to “…identify secure software development practices or criteria for a consumer software labeling program….” This document seeks to fulfill this directive by detailing the following areas: 1) the role of a scheme owner in a labeling program, 2) baseline technical criteria that can inform a label, 3) labeling presentation criteria, 4) conformity assessment criteria, and 5) a detailed discussion concerning consumer education and usability. | 大統領令(EO)14028「国家のサイバーセキュリティの向上」では、米国連邦取引委員会(FTC)やその他の機関と協力して、米国標準技術研究所(NIST)にサイバーセキュリティラベルのパイロットプログラムを開始するよう指示しています。これらのラベリングプログラムは、ソフトウェア開発手法のセキュリティ機能について一般の人々を教育することを目的としています。この取り組みを行うために、大統領令はNISTに「消費者向けソフトウェアラベリングプログラムのための安全なソフトウェア開発手法または基準を特定すること」を指示しています+B2:B4。本文書は、この指令を実現するために、以下の分野について詳細に説明しています。1) ラベリングプログラムにおけるスキームオーナーの役割、2) ラベリングに役立つ基本的な技術規準、3) ラベリングの表示規準、4) 適合性評価規準、5) 消費者教育とユーザビリティに関する詳細な議論。 |
・[PDF] White Paper
1 Introduction | 1 序文 |
1.1 Background | 1.1 背景 |
1.2 Document Scope and Goals | 1.2 スキームとスキームオーナー |
1.3 Labeling Schemes and Scheme Owners | 1.3 文書の範囲と目標 |
1.4 Document Structure | 1.4 文書の構成 |
2 Baseline Technical Criteria for Consumer Software Labels | 2 消費者向けソフトウェアラベルのベースライン技術規準 |
2.1 Methodology | 2.1 方法論 |
2.2 Recommended Criteria | 2.2 推奨規準 |
3 Labeling Criteria | 3 ラベリングに関する規準 |
3.1 Binary Label | 3.1 バイナリラベル |
3.2 Layered Approach | 3.2 層化アプローチ |
4 Conformity Assessment Criteria | 4 適合性評価に関する規準 |
References | 参考文献 |
Appendix A— Additional Context for Labeling Criteria | 附属書A-ラベル表示基準のための追加コンテキスト |
A.1 Introduction | A.1 はじめに |
A.2 Methodology | A.2 方法論 |
A.3 Labeling Approaches | A.3 ラベリング・アプローチ |
A.3.1 Label Types | A.3.1 ラベルの種類 |
A.3.2 Recommended Label Approach | A.3.2 推奨されるラベルアプローチ |
A.3.3 Label Presentation | A.3.3 ラベルの表示 |
A.3.4 Addressing Potential Weaknesses | A.3.4 潜在的な弱点への対応 |
A.4 Consumer Education | A.4 消費者教育 |
A.5 Consumer Usability and Testing | A.5 消費者の使いやすさとテスト |
A.5.5 Usability Considerations | A.5.5 ユーザビリティに関する検討事項 |
A.5.6 Consumer Testing | A.5.6 消費者によるテスト |
Appendix B— Abbreviated SSDF Example | 附属書B- 省略されたSSDFの例 |
1 Introduction | 1 序文 |
1.1 Background | 1.1 背景 |
This document provides recommended criteria for a cybersecurity labeling effort for consumer software practices. Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” issued on May 12, 2021, directed the National Institute of Standards and Technology (NIST) to develop these criteria in coordination with the Federal Trade Commission (FTC) and other agencies for use in a pilot program . NIST is identifying key elements of a potential labeling program which could be established by another organization. The criteria that NIST is recommending are stated in terms of minimum requirements and desirable attributes; NIST is not establishing its own program. Aspects of a pilot program are described in a separate document. | 本書は、消費者向けソフトウェアの実践のためのサイバーセキュリティラベリングの取り組みのための推奨規準を提供するものです。2021年5月12日に発行された大統領令(EO)14028「国家のサイバーセキュリティの向上」は、米国標準技術研究所(NIST)に対し、パイロットプログラムで使用するために、連邦取引委員会(FTC)およびその他の機関と連携してこれらの規準を開発するよう指示しました。NISTは、他の組織が設立する可能性のあるラベリングプログラムの重要な要素を特定しています。NISTが推奨する規準は、最低限の要求事項と望ましい属性という観点から述べられており、NISTが独自のプログラムを確立するわけではありません。パイロットプログラムについては、別の文書に記載されています。 |
NIST was directed to “…identify secure software development practices or criteria for a consumer software labeling program….” to “reflect a baseline level of security practices, and if practicable... increasingly comprehensive levels of testing and assessment that a product may have undergone.” | NISTは、「消費者向けソフトウェアのラベリングプログラムのために、安全なソフトウェア開発手法または規準を特定する」よう指示されました。これは、「セキュリティ手法の基本レベルを反映し、実行可能であれば、製品が受けたであろうテストと評価の包括的レベルを増加させる」ためです。 |
NIST also was directed to “examine all relevant information, labeling, and incentive programs, employ best practices, and identify, modify, or develop a recommended label or, if practicable, a tiered software security rating system.” This review “shall focus on ease of use for consumers and a determination of what measures can be taken to maximize participation.” This document addresses these tasks. | また、NISTは、「関連するすべての情報、ラベリング、およびインセンティブプログラムを検証し、ベストプラクティスを採用し、推奨ラベルや、実行可能な場合は段階的なソフトウェアセキュリティ評価システムを特定、修正、または開発する」よう指示されました。この検討は、「消費者にとっての使いやすさに焦点を当て、参加者を最大限に増やすためにどのような手段を講じることができるかを判断するものとする」とされています。本文書は、これらの課題に取り組むものです。 |
1.2 Document Scope and Goals | 1.2 文書の範囲と目標 |
Software is an integral part of life for the modern consumer. Nevertheless, most consumers take for granted and are unaware of the software upon which many products and services rely. From the consumer’s perspective, the very notion of what constitutes software may even be unclear. While enabling many benefits to consumers, that software – that is, software normally used for personal, family, or household purposes – can also have cybersecurity flaws or vulnerabilities which can directly affect safety, property, and productivity. | 現代の消費者にとって、ソフトウェアは生活に欠かせないものです。それにもかかわらず、ほとんどの消費者は、多くの製品やサービスが依存しているソフトウェアを当然のものと考え、認識していません。消費者の視点から見ると、何がソフトウェアであるかという概念自体が不明確であることもあります。消費者に多くの利益をもたらす一方で、そのソフトウェア、つまり、個人、家族、家庭のために通常使用されるソフトウェアには、安全性、財産、生産性に直接影響を与えるサイバーセキュリティ上の欠陥や脆弱性が存在する可能性があります。 |
There is no one-size-fits-all definition for cybersecurity that can be applied to all types of consumer software. The risk associated with software is tightly bound to that software’s intended use (both in function and operating environment), as well as its post deployment configuration. The cybersecurity considerations appropriate for a mobile game will differ from those applied to an online banking app or to run the media station on an automobile. | すべての種類の消費者向けソフトウェアに適用できる、サイバーセキュリティに関する万能の定義はありません。ソフトウェアに関連するリスクは、そのソフトウェアの意図された用途(機能と動作環境の両方)、および展開後の構成に密接に関連しています。モバイルゲームに適したサイバーセキュリティの考慮事項は、オンラインバンキングアプリや自動車のメディアステーションに適用されるものとは異なります。 |
This document addresses the need to develop appropriate cybersecurity criteria for consumer software. It also informs the development and use of a label for consumer software. This in turn can improve consumers’ ability to take cybersecurity into account when making decisions about software selection and use. The following key recommendations are addressed: | 本文書は、消費者向けソフトウェアに対する適切なサイバーセキュリティ規準を策定する必要性に対応するものです。また、消費者向けソフトウェアのラベルの作成と使用方法についても説明しています。これにより、消費者がソフトウェアの選択と使用に関する意思決定を行う際に、サイバーセキュリティを考慮に入れる能力を向上させることができます。以下の主要な提言を取り上げています。 |
・ Establish a baseline set of technical criteria to help organizations wishing to make claims about security via a software label. These convey to the consumer that good practices for secure software development were employed during the lifecycle of the software and that security-related software architecture, functionality, and other attributes follow baseline technical criteria. | ソフトウェアのラベルを通してセキュリティに関する主張をしたいと考えている組織を支援するために、技術的な規準のベースラインを確立する。ソフトウェアのライフサイクルにおいて安全なソフトウェア開発のためのグッドプラ クティスが採用され、セキュリティに関連するソフトウェアのアーキテクチャ、機能、 その他の属性が基本的な技術規準に従っていることを消費者に伝えるものである。 |
・ Provide criteria for the label including: | ・ 以下を含むラベルの基準を提供します。 |
o How cybersecurity-related risks and attributes could be represented | o サイバーセキュリティ関連のリスクと属性をどのように表現するか |
o How labels can be tested for effectiveness | o どのようにしてラベルの有効性をテストするか |
o How the public can be educated about the label and its meaning | o ラベルとその意味について一般市民をどのように教育するか |
・ Describe conformity criteria for use by organizations | ・組織が使用する適合性規準の記述 |
It is important to stress that these criteria define a baseline of due diligence related to the cybersecurity and related labeling of consumer software products. They are intended to increase purchasers’ and users’ awareness and information about consumer software cybersecurity. They also aim to avoid overconfidence in the level and type of cybersecurity related to the software at a particular point in time. | これらの規準は、消費者向けソフトウェア製品のサイバーセキュリティおよび関連するラベリングに関連するデューデリジェンスのベースラインを定義するものであることを強調することが重要です。この規準は、消費者向けソフトウェアのサイバーセキュリティに関する購入者と利用者の認識と情報を高めることを目的としています。また、特定の時点でのソフトウェアに関連するサイバーセキュリティのレベルと種類に対する過信を避けることも目的としています。 |
These criteria identify key elements of labeling programs in terms of minimum recommendations and desirable attributes. | これらの規準は、最低限の推奨事項と望ましい属性の観点から、ラベリングプログラムの主要な要素を特定しています。 |
This document is not intended to describe how a cybersecurity label should be explicitly represented (either physically or digitally) – nor is it intended to detail how a labeling program should be owned or operated. | 本書は、サイバーセキュリティラベルがどのように(物理的またはデジタル的に)明示的に表現されるべきかを説明することを意図したものではなく、ラベリングプログラムがどのように所有または運営されるべきかを詳述することを意図したものではありません。 |
NIST is not designing a particular label – nor is NIST establishing its own labeling scheme for consumer software. Rather, these criteria set out desired outcomes, allowing and enabling the marketplace of providers and consumers to make informed choices. | NISTは、特定のラベルを設計しているわけではなく、消費者向けソフトウェアに対する独自のラベリングスキームを確立しているわけでもありません。むしろ、これらの規準は、望ましい結果を示し、市場の提供者と消費者が情報に基づいた選択をすることを可能にします。 |
These criteria are intended to complement and not to conflict with the IoT Product Criteria which meet the goals of Sec. 4 (t) of Executive Order 14028 [EO14028] | これらの規準は、大統領令 14028(EO14028)の Sec.4(t)の目標を満たす IoT 製品規準を補完することを意図しており、これに抵触するものではない。 |
1.3 Labeling Schemes and Scheme Owners | 1.3 ラベルのスキームとスキームの所有者 |
A label indicates to consumers that software has been demonstrated to meet specified requirements. Software becomes labeled through a labeling scheme. The scheme owner is the entity that manages the labeling scheme and determines its structure and management and performs oversight to ensure that the scheme is functioning consistently with overall objectives. Scheme owners can be public or private sector organizations. | ラベルとは、ソフトウェアが指定された要件を満たすことが実証されたことを消費者に示すものです。ソフトウェアは、ラベリングスキームによってラベル付けされます。スキームオーナーとは、ラベリングスキームを管理し、その構造と運営を決定し、スキームが全体の目的に沿って機能していることを確認するための監視を行う主体である。スキームオーナーは公的機関でも民間企業でも構いません。 |
A labeling scheme provides answers to the following questions: | ラベリング・スキームは、以下の質問に対する答えを提供します。 |
1. What are the requirements for getting a label? | 1. ラベルを取得するための要件は何か? |
2. What does the label look like and what information should it contain? | 2. ラベルはどのようなもので、どのような情報を含むべきか? |
3. What is the process for obtaining and displaying a label on software? | 3. ソフトウェアにラベルを取得して表示するためのプロセスは何ですか? |
The following sections of this document make recommendations concerning criteria for answering these questions. However, many of the requirements needed to fulfil the recommended criteria will need to be established by the scheme owner. The goal of this document is to provide recommendations, additional information, and context related to these responsibilities for use by a scheme owner creating the consumer software labeling program. | 本書の以下のセクションでは、これらの質問に答えるための規準に関する提言を行っています。ただし、推奨規準を満たすために必要な要件の多くは、スキームの所有者が設定する必要があります。本文書の目的は、消費者向けソフトウェアのラベリングプログラムを作成するスキームオーナーが使用するために、これらの責任に関する推奨事項、追加情報、および背景を提供することです。 |
As previously mentioned, there is no one-size-fits-all definition for cybersecurity that can be applied to all types of consumer software. To achieve the outcomes described in the baseline criteria, the scheme owner will need to adapt and refine scheme requirements that meet the needs of the software seeking labels. | 前述のとおり、サイバーセキュリティには、すべての種類の消費者向けソフトウェアに適用可能な万能の定義はない。ベースライン規準に記載されている成果を達成するためには、スキームオーナーは、ラベルを求めるソフトウェアのニーズを満たすスキーム要件を適応し、改良する必要がある。 |
1.4 Document Structure | 1.4 文書の構成 |
The remainder of this document is organized as follows: | 本文書の構成は以下の通りです。 |
・ Section 2 – contains the baseline technical criteria for the label and methodology used to arrive at those criteria | セクション2:ラベルのベースライン技術規準と、その規準に到達するための方法論を記載する。 |
・ Section 3 – describes criteria for the labeling approach and consumer-focused label information | セクション3:ラベリング手法の規準と消費者向けのラベル情報について記載する。 |
・ Section 4 – describes conformity assessment and proposes multiple approaches for a labeling scheme | セクション4:適合性評価について述べ、ラベリングスキームの複数のアプローチを提案する。 |
・ Appendix A – provides additional details on labeling criteria and considerations, including labeling approaches, consumer education, usability, and consumer testing | 附属書A では、ラベリングのアプローチ、消費者教育、ユーザビリティ、消費者テストなど、ラベリング規準や考慮事項についての詳細を記載している。 |
・ Appendix B – contains an abbreviated excerpt from the Secure Software Development Framework | 附属書B:セキュアプログラミング開発フレームワークの抜粋を掲載している。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨基準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
Comments