NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
こんにちは、丸山満彦です。
NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。
昨年3月から初期ドラフトを段階的に発表してきたものです。
これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。
執筆には、NSA、MITREのメンバーに加えてベンダーからは、Archer、Dell Technologies、Eclypsium、Hewlett Packard Enterprise、HP Inc.、IBM、Intel、Seagateが参加していますね。。。
● NIST - ITL
・2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices
SP 1800-34 (Draft) Validating the Integrity of Computing Devices | SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証 |
Announcement | 発表 |
What Is This Guide About? | このガイドは何について書かれているのか? |
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes. | 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。 |
Share Your Expertise | 専門知識を共有する |
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback. | 実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。 |
Additional NIST Supply Chain Work | NISTのサプライチェーンに関するその他の作業 |
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here. | NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。 |
Abstract | 概要 |
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution. | 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。 |
・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft
・[PDF] NIST SP 1800-34: Complete Guide
目次...
1 Summary | 1 概要 |
1.1 Challenge | 1.1 課題 |
1.2 Solution | 1.2 解決策 |
1.3 Benefits | 1.3 利点 |
2 How to Use This Guide | 2 このガイドの使い方 |
2.1 Typographic Conventions | 2.1 タイポグラフィの規則 |
3 Approach | 3 アプローチ |
3.1 Audience | 3.1 対象者 |
3.2 Scope | 3.2 スコープ |
3.2.1 Scenario 1: Creation of Verifiable Platform Artifacts | 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成 |
3.2.2 Scenario 2: Verification of Components During Acceptance Testing | 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証 |
3.2.3 Scenario 3: Verification of Components During Use | 3.2.3 シナリオ3:使用時のコンポーネントの検証 |
3.3 Assumptions | 3.3 前提条件 |
3.4 Risk Assessment | 3.4 リスクアセスメント |
3.4.1 Threats | 3.4.1 脅威 |
3.4.2 Vulnerabilities | 3.4.2 脆弱性 |
3.4.3 Risk | 3.4.3 リスク |
3.5 Security Control Map | 3.5 セキュリティコントロールマップ |
3.6 Technologies | 3.6 技術 |
3.6.1 Trusted Computing Group | 3.6.1 トラステッドコンピューティンググループ |
4 Architecture | 4 アーキテクチャ |
4.1 Architecture Description | 4.1 アーキテクチャの説明 |
4.2 Existing Enterprise IT Management Systems | 4.2 既存の企業IT管理システム |
4.2.1 SIEM Tools | 4.2.1 SIEMツール |
4.2.2 Asset Discovery and Management System | 4.2.2 資産発見・管理システム |
4.2.3 Configuration Management System | 4.2.3 コンフィギュレーション管理システム |
4.2.4 Enterprise Dashboards | 4.2.4 エンタープライズダッシュボード |
4.3 Supporting Platform Integrity Validation Systems | 4.3 サポートするプラットフォーム整合性検証システム |
4.3.1 Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25 | 4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA) |
4.3.2 Network Boot Services | 4.3.2 ネットワークブートサービス |
4.3.3 Platform Manifest Correlation System | 4.3.3 プラットフォームマニフェスト相関システム |
4.3.4 Eclypsium Analytic Platform | 4.3.4 分析プラットフォーム |
4.4 Computing Devices | 4.4 コンピューティングデバイス |
4.4.1 HP Inc | 4.4.1 HP Inc. |
4.4.2 Dell Technologies | 4.4.2 デル・テクノロジー |
4.4.3 Intel | 4.4.3 インテル |
4.4.4 Hewlett Packard Enterprise (HPE) | 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE) |
4.4.5 Seagate | 4.4.5 シーゲイト |
5 Security Characteristic Analysis | 5 セキュリティ特性分析 |
5.1 Assumptions and Limitations | 5.1 前提条件と制限事項 |
5.2 Build Testing | 5.2 ビルドテスト |
5.2.1 Scenario 1 | 5.2.1 シナリオ1 |
5.2.2 Scenario 2 | 5.2.2 シナリオ2 |
5.2.3 Scenario 3 | 5.2.3 シナリオ3 |
5.3 Scenarios and Findings | 5.3 シナリオと調査結果 |
5.3.1 Supply Chain Risk Management (ID.SC) | 5.3.1 サプライチェーンリスクマネジメント(ID.SC) |
5.3.2 Asset Management (ID.AM) | 5.3.2 アセットマネジメント(ID.AM) |
5.3.3 Identity Management, Authentication and Access Control (PR.AC) | 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC) |
5.3.4 Data Security (PR.DS) | 5.3.4 データセキュリティ(PR.DS) |
5.3.5 Security Continuous Monitoring (DE.CM) | 5.3.5 セキュリティ継続監視(DE.CM) |
6 Future Build Considerations | 6 今後の構築に関する考察 |
Appendix A List of Acronyms | 附属書 A 頭字語(英語)リスト |
Appendix B References | 附属書 B 参考文献 |
Appendix C Project Scenario Sequence Diagrams | 附属書 C プロジェクトシナリオシーケンスダイアグラム |
● まるちゃんの情報セキュリティティ気まぐれ日記
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
[1] Diamond et al., Validating the Integrity of Computing Devices: Supply Chain Assurance, National Institute of Standards and Technology (NIST), Gaithersburg, Md., March 2020, 14 pp. Available: https://www.nccoe.nist.gov/sites/default/files/library/project-descriptions/tpm-scaproject-description-final.pdf.
[2] Regenscheid, Platform Firmware Resiliency Guidelines, NIST Special Publication (SP) 800-193, Gaithersburg, Md., May 2018, 45 pp. Available: https://doi.org/10.6028/NIST.SP.800-193.
Comments