« 中国 デジタル村開発業務の要点 (2022.04.20) | Main | NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト) »

2022.04.28

SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-33 5G Cybersecurity の本文部分 (1800-33B) の初期ドラフトを公開し、意見を求めていますね。。。

● NIST - ITL

・2022.04.25 SP 1800-33 (Draft)  5G Cybersecurity (Preliminary Draft)

SP 1800-33 (Draft)  5G Cybersecurity (Preliminary Draft) SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)
Announcement 発表
NIST’s National Cybersecurity Center of Excellence (NCCoE) has published portions of a preliminary draft practice guide, “5G Cybersecurity,” and is seeking the public's comments on the contents. Our proposed solution contains approaches that organizations can use to better secure 5G networks through a combination of 5G security features and third-party security controls. We also demonstrate how commercial tools can build a 5G standalone network that operates on—and uses—a trusted, secure, cloud-native hosting infrastructure. We also demonstrate how to strengthen a 5G network’s supporting IT infrastructure to make it more resistant to cyber attacks. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、実践ガイド「5Gサイバーセキュリティ」の初期ドラフトの一部を公開し、その内容に関する一般からのコメントを求めています。私たちが提案するソリューションは、5Gのセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて、5Gネットワークのセキュリティを向上させるために組織が利用できるアプローチを含んでいます。また、商用ツールにより、信頼性が高く安全なクラウドネイティブのホスティングインフラ上で動作する5Gスタンドアロンネットワークを構築し、それを使用する方法を示しています。さらに、5Gネットワークを支えるITインフラを強化し、サイバー攻撃への耐性を高める方法も紹介します。
Abstract 概要
Organizations face significant challenges in transitioning from 4G to 5G usage, particularly the need to safeguard new 5G-using technologies at the same time that 5G development, deployment, and usage are evolving. Some aspects of securing 5G components and usage lack standards and guidance, making it more challenging for 5G network operators and users to know what needs to be done and how it can be accomplished. To address these challenges, the NCCoE is collaborating with technology providers to develop example solution approaches for securing 5G networks. This NIST Cybersecurity Practice Guide explains how a combination of 5G security features and third-party security controls can be used to implement the security capabilities organizations need to safeguard their 5G network usage. 組織は、4Gから5Gへの移行において大きな課題に直面しています。特に、5Gの開発、展開、利用が進化するのと同時に、5Gを使用する新しいテクノロジーを保護する必要があります。5Gのコンポーネントや利用を保護するためのいくつかの側面には、標準やガイダンスがないため、5Gネットワークの運用者や利用者が、何を行う必要があり、どのように達成できるかを知ることがより困難になっています。これらの課題に対処するため、NCCoEは技術プロバイダーと協力し、5Gネットワークのセキュリティを確保するためのソリューションアプローチの例を開発しています。このNISTサイバーセキュリティ実践ガイドは、5Gセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて、組織が5Gネットワークの利用を保護するために必要なセキュリティ機能を実装する方法を説明します。

 

・[PDF] SP 1800-33B (Prelim. Draft)

20220428-52805

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 メリット
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 文字種の規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 対象範囲
3.3  Assumptions 3.3 前提条件
3.4  Reference System Architecture Description / Components 3.4 参照システムアーキテクチャの説明/構成要素
3.4.1  High-Level Architecture 3.4.1 ハイレベルアーキテクチャー
3.4.2  Data Center Architecture 3.4.2 データセンターアーキテクチャ
3.4.3  Trusted Compute Cluster Architecture 3.4.3 信頼されたコンピュートクラスターアーキテクチャ
3.5  Risk Assessment 3.5 リスクアセスメント
3.5.1  Security Category 3.5.1 セキュリティカテゴリ
3.5.2  Security Capabilities 3.5.2 セキュリティ能力
3.5.3  Mitigated Threats and Vulnerabilities 3.5.3 軽減された脅威と脆弱性
3.5.4  Industry Security References 3.5.4 業界のセキュリティに関する参考文献
4  Components of the Example Solution 4 ソリューション例の構成要素
4.1  Collaborators 4.1 協働者
4.1.1  AMI 4.1.1 AMI
4.1.2  AT&T 4.1.2 AT&T
4.1.3  CableLabs 4.1.3 ケーブルラボ
4.1.4  Cisco 4.1.4 シスコ
4.1.5  Dell Technologies 4.1.5 デル・テクノロジー
4.1.6  Intel 4.1.6 インテル
4.1.7  Keysight Technologies 4.1.7 キーサイト・テクノロジー
4.1.8  MiTAC 4.1.8 MiTAC
4.1.9  Nokia 4.1.9 ノキア
4.1.10 Palo Alto Networks 4.1.10 パロアルトネットワークス
4.1.11 Red Hat 4.1.11 レッドハット
4.1.12 T-Mobile 4.1.12 ティモバイル
4.2  Technologies 4.2 テクノロジー
4.3  System Architecture Components 4.3 システムアーキテクチャコンポーネント
4.3.1  Dell Technologies 4.3.1 デルテクノロジー
4.3.2  MiTAC Computing Technology Corporation 4.3.2 MiTACコンピューティングテクノロジー株式会社
4.3.3  Intel Hardware Root of Trust Technologies 4.3.3 インテルハードウェアルートオブトラスト技術
4.3.4  AMI TruE 4.3.4 AMI TruE
4.3.5  Network Infrastructure 4.3.5 ネットワークインフラ
4.3.6  Cisco Secure Network Analytics (formerly known as Stealthwatch) 4.3.6 シスコ セキュア ネットワーク アナリティックス(旧名称:ステルスウォッチ)
4.3.7  Cisco Secure Firewall (Security Gateway) 4.3.7 シスコ セキュア フィアウォール (セキュリティゲートウェイ)
4.3.8  Nokia (5G System) 4.3.8 ノキア(5Gシステム)
4.3.9  Palo Alto Networks 4.3.9 パロ・アルト・ネットワークス
4.3.10 Keysight Technologies 5G LoadCore 4.3.10 キーサイト・テクノロジー社 5G ロードコア
5  Security Characteristic Demonstration 5 セキュリティ特性の実証実験
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Functional Demonstration Scenarios 5.2 機能的なデモのシナリオ
5.2.1  Scenario 1 – 5G SA deployment using single PLMN 5.2.1 シナリオ1 - 単一PLMNを使用した5G SA展開
5.3  Findings 5.3 調査結果
Appendix A Security Control Maps 附属書A セキュリティ・コントロール・マップ
Appendix B Future Capabilities 附属書B 将来の機能
Appendix C List of Acronyms 附属書C 頭字語(英語)リスト
Appendix D References 附属書D 参考文献

 

プロジェクトのページはこちら・・・

 NIST -NCCoE

5G Cybersecurity

 

2021.02.01に公開された、サマリーの部分

・[PDF] SP 1800-33A (Prelim. Draft)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.03 NIST SP 1800-33 (Draft) 5G Cybersecurity (Preliminary Draft) - 本当に暫定ドラフトです(^^)

 

 

 


1 Summary  1 概要
The National Cybersecurity Center of Excellence (NCCoE) at the National Institute of Standards and Technology (NIST) recognizes the challenges that organizations face in transitioning from 4G to 5G. Of particular concern is the need to safeguard new 5G-using technologies at the same time that 5G development, deployment, and usage are evolving. Some aspects of securing 5G components and usage lack standards and guidance, making it more challenging for 5G network operators and users to know what needs to be done and how it can be accomplished.   米国国立標準技術研究所(NIST)の国立サイバーセキュリティセンター・オブ・セクセレンス(NCCoE)は、組織が4Gから5Gに移行する際に直面する課題を認識しています。特に懸念されるのは、5Gの開発、展開、利用が進化するのと同時に、新しい5G利用技術を保護する必要があることです。5Gのコンポーネントや使用方法の安全確保には、標準やガイダンスがないため、5Gネットワーク事業者や利用者が何をすべきか、どのようにすれば達成できるかを知ることが難しくなっている側面もあります。 
The NCCoE developed the 5G Cybersecurity project to provide sample approaches for securing 5G networks through a combination of 5G security features defined in the 5G standards and third-party security controls. This project will also seek to identify gaps in 5G cybersecurity standards that should be addressed. This project is utilizing commercial tools to implement a 5G standalone network that operates on and leverages a trusted and secure cloud-native hosting infrastructure.   NCCoEは、5G標準に定義された5Gセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて5Gネットワークを保護するためのアプローチ例を提供するために、5Gサイバーセキュリティ・プロジェクトを開発しました。また、このプロジェクトでは、5Gサイバーセキュリティ標準の中で対処すべきギャップを特定することを目指します。このプロジェクトでは、商用ツールを活用して、信頼性と安全性の高いクラウドネイティブホスティングインフラ上で動作し、それを活用する5Gスタンドアロンネットワークを実装しています。 
This preliminary draft volume explains why we are building the example solution to address 5G cybersecurity challenges, including the risk analysis to be performed and the security capabilities that the example solution will enable and demonstrate. It will include actionable and prescriptive guidance on using standards and recommended practices for multiple use case scenarios. Characteristics of the example solution already documented here may change slightly based on the results of the demonstrations, technical implementation changes, and the continued evolution of 5G standards, products, and services. There will be at least one additional draft of this volume made available for comment.  この初期ドラフトでは、5Gサイバーセキュリティの課題に対処するために、実施すべきリスク分析や、例のソリューションが可能にし実証するセキュリティ機能など、例のソリューションを構築する理由を説明します。また、複数のユースケースシナリオに対応した標準や推奨プラクティスの使用に関する実用的かつ規定的なガイダンスが含まれる予定です。ここに記載されているサンプルソリューションの特性は、実証実験の結果、技術的な実装の変更、および5G標準、製品、サービスの継続的な進化に基づいて、若干変更される可能性があります。本編は、少なくとも 1 回の追加ドラフトを作成し、コメントを受け付ける予定です。
1.1 Challenge  1.1 課題 
5G is at a transition point where the technologies are simultaneously being specified in standards bodies, implemented by equipment vendors, deployed by network operators, and adopted by consumers. Although standards for some 5G cybersecurity features have been published by standards bodies, organizations planning to deploy, operate, and use 5G networks are challenged to determine what security capabilities 5G can provide and how they can deploy these features to safeguard data and communications.  5G は、技術が標準化団体で規定され、機器ベンダーによって実装され、ネットワーク事業者によって展開され、消費者によって採用される過渡期に位置しています。一部の5Gサイバーセキュリティ機能の標準は標準化団体から発表されていますが、5Gネットワークの導入、運用、利用を計画している組織は、5Gが提供できるセキュリティ機能と、データと通信を保護するためにこれらの機能をどのように展開できるかを判断することが課題となっています。
Current 5G cybersecurity standards development primarily focuses on the security of the standardsbased, interoperable interfaces between 5G components. The 5G standards do not specify cybersecurity protections to deploy on the underlying information technology (IT) components that support and operate the 5G system. This lack of information increases the complexity for organizations planning to leverage 5G. With the 5G architecture based on cloud technology, 5G systems could potentially leverage the robust security features available in cloud computing architectures to protect 5G data and communications.  現在の5Gサイバーセキュリティ標準の開発は、主に5Gコンポーネント間の標準ベースの相互運用可能なインターフェースのセキュリティに重点を置いています。5G標準は、5Gシステムをサポートし運用する基盤となる情報技術(IT)コンポーネントに展開するサイバーセキュリティ保護について規定していません。この情報不足は、5Gの活用を計画している組織の複雑さを増大させます。クラウド技術に基づく5Gアーキテクチャにより、5Gシステムはクラウドコンピューティングアーキテクチャで利用可能な堅牢なセキュリティ機能を活用して、5Gデータおよび通信を保護できる可能性があります。
1.2 Solution  1.2 解決策 
To address these challenges, the NCCoE is collaborating with 5G and cybersecurity technology providers to develop an example solution. In its first phase, it will demonstrate a 5G standalone (SA) network deployment that operates on and leverages a trusted and secure cloud-native hosting infrastructure. The example implementation will demonstrate how cloud technologies can provide foundational security features outside the scope of the 3rd Generation Partnership Project (3GPP)’s 5G security architecture. The first phase of the project will also showcase how 5G security features can be utilized to address known security challenges found in previous generations of cellular networks such as Long-Term Evolution (LTE). It will demonstrate how commercial products can leverage cybersecurity standards and recommended practices for different 5G use case scenarios. If gaps in 5G cybersecurity standards are identified during the project, the appropriate standards development organizations (SDOs) will be notified, and some of the project’s collaborators may contribute to SDO efforts to address the gaps.  これらの課題に対処するため、NCCoEは5Gおよびサイバーセキュリティ技術のプロバイダーと協力し、ソリューションの例を開発しています。その第一段階では、信頼できる安全なクラウドネイティブホスティングインフラ上で動作し、それを活用する5Gスタンドアロン(SA)ネットワーク展開を実証します。この実装例では、第3世代パートナーシッププロジェクト(3GPP)の5Gセキュリティアーキテクチャの範囲外で、クラウド技術がどのように基礎的なセキュリティ機能を提供できるかが示されます。また、プロジェクトの第一段階では、LTE(Long Term Evolution)などの前世代の携帯電話ネットワークに見られる既知のセキュリティの課題に対処するために、5Gのセキュリティ機能をどのように活用できるかを紹介します。また、さまざまな5Gのユースケース・シナリオに対して、商用製品がどのようにサイバーセキュリティの標準や推奨事項を活用できるかを実証します。プロジェクト期間中に5Gサイバーセキュリティ標準のギャップが特定された場合、適切な標準化団体(SDOs)に通知され、プロジェクトの協力者の一部はそのギャップに対処するためのSDOの取り組みに貢献する可能性があります。
Based on expertise from the industry collaborators participating in the effort, and given the evolution of the standards, the availability of commercial products, and the alignment with commercial networks, this project is focused on the security characteristics of 5G SA networks. Telecom carriers have started or are planning to incorporate 5G SA, since the newest 3rd Generation Partnership Project (3GPP) standards-based 5G security enhancements are available only in a 5G SA network (not a 5G nonstandalone [NSA] network). To fully demonstrate and showcase these 5G security capabilities, the NCCoE project is focused on a typical implementation of a secure 5G SA deployment.  この取り組みに参加している業界の協力者からの専門知識に基づき、また標準の進化、商用製品の入手可能性、商用ネットワークとの整合性を考慮して、このプロジェクトは5G SAネットワークのセキュリティ特性に焦点を合わせています。最新の第3世代パートナーシッププロジェクト(3GPP)標準ベースの5Gセキュリティ強化は、5G SAネットワーク(5G非標準(NSA)ネットワークではない)でのみ利用できるため、通信事業者は5G SAを取り入れ始めたか、計画しています。これらの5Gセキュリティ機能を完全に実証し、紹介するために、NCCoEプロジェクトは、セキュアな5G SA展開の典型的な実装に焦点を当てています。
The solution will be designed around two focus areas:  このソリューションは、2つのフォーカスエリアを中心に設計される予定です。
§  The Infrastructure Security Focus Area will concentrate on the trusted and secure cloud resources required to operate a modern mobile network, specifically the supporting infrastructure’s cybersecurity protections. The objective is to provide a trusted infrastructure to support the 5G Core Network functions, radio access network (RAN) components, and associated workloads. Since security for the underlying infrastructure is not within the scope of 3GPP specifications, this focus area is included in the project to provide a trusted platform and holistic security reference architecture for a complete 5G network.  § インフラストラクチャセキュリティのフォーカスエリアは、最新のモバイルネットワークの運用に必要な信頼性の高いセキュアなクラウドリソース、特にサポートするインフラのサイバーセキュリティ保護に焦点を当てます。その目的は、5Gコアネットワークの機能、無線アクセスネットワーク(RAN)コンポーネント、および関連するワークロードをサポートするための信頼できるインフラストラクチャを提供することです。基盤となるインフラストラクチャのセキュリティは3GPP仕様の範囲内ではないため、この重点分野は、完全な5Gネットワークのための信頼できるプラットフォームと全体的なセキュリティの参照アーキテクチャを提供するプロジェクトに含まれています。
§  The 5G Standalone Security Focus Area will deploy a 5G SA network to enable the foundational configuration of the 5G Core’s security features in a manner that demonstrates the cybersecurity capabilities available in a 5G SA deployment. The deployment will include 5G New Radio base stations and a 5G Next Generation Core. The deployment will demonstrate how security capabilities can be used for continuous monitoring of 5G traffic on both signaling and data layers to detect and prevent cybersecurity attacks and threats. The initial deployment will include classical RAN components, potentially leveraging virtualized and desegregated RAN components in the future depending on the availability of commercial technology and collaborator contributions.  § 5G スタンドアロン・セキュリティ重点分野は、5G SA の展開で利用可能なサイバーセキュリティ機能を実証する方法で、5G コアのセキュリティ機能の基本構成を可能にするために、5G SA ネットワークを展開する予定です。この展開には、5G新無線基地局と5G次世代コアが含まれる予定です。この展開では、サイバーセキュリティ攻撃や脅威を検知・防止するために、シグナリング層とデータ層の両方で5Gトラフィックを継続的に監視するためにセキュリティ機能をどのように使用できるかを実証する予定です。最初の展開には従来のRANコンポーネントが含まれますが、将来的には商用技術や共同研究者の貢献に応じて、仮想化および分離されたRANコンポーネントを活用する可能性があります。
The future phases of the project will include an expanded focus on security for 5G-specific use cases.  プロジェクトの将来段階では、5Gに特化したユースケースのセキュリティに重点を置く予定です。
Possible examples of these focus areas are Network Slicing security, Roaming security, and 5G Edge Computing. These expanded areas of focus will build on the foundational system described in this document, leveraging the security capabilities already enabled.  これらの重点分野の例としては、ネットワーク・スライシング・セキュリティ、ローミング・セキュリティ、5Gエッジ・コンピューティングが考えられます。これらの拡張された重点分野は、この文書で説明された基本システムの上に構築され、すでに有効になっているセキュリティ機能を活用することになります。
1.3 Benefits  1.3 利点 
Once completed, the demonstrated approach will offer several benefits to organizations that implement it, including the following:  実証されたアプローチが完成すれば、それを実装する組織に以下のようなメリットを提供します。
§  The components of the 5G network will be less susceptible to cyber attacks and will provide better attack visibility, detection, and control, which will reduce risk, lower the likelihood of an incident occurring, and expedite recovery.  § 5G ネットワークのコンポーネントは、サイバー攻撃を受けにくくなり、攻撃の可視性、検出、および制御が改善されるため、リスクを低減し、インシデント発生の可能性を低下させ、回復を早めることができます。
§  The 5G network’s supporting infrastructure will be more resistant to compromise and provide more visibility into the trust status of the underlying platforms.  § 5G ネットワークのサポートインフラは、妥協に対してより耐性があり、基盤となるプラットフォームの信頼状態についてより多くの可視性を提供します。
§  The contents of 5G communications will be safeguarded from eavesdropping and tampering, and the privacy of 5G users will also be protected.  § 5G の通信内容は盗聴や改ざんから保護され、5G 利用者のプライバシーも保護されます。
The demonstrated practices can play an important role as your organization embarks on a journey to zero trust.  実証されたプラクティスは、あなたの組織がゼロトラストに向かう際に重要な役割を果たすことができます。

 

|

« 中国 デジタル村開発業務の要点 (2022.04.20) | Main | NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 デジタル村開発業務の要点 (2022.04.20) | Main | NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト) »