NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です。

NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。

昨年3月から初期ドラフトを段階的に発表してきたものです。

これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。

執筆には、NSA、MITREのメンバーに加えてベンダーからは、Archer、Dell Technologies、Eclypsium、Hewlett Packard Enterprise、HP Inc.、IBM、Intel、Seagateが参加していますね。。。

 

● NIST - ITL

・2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices

SP 1800-34 (Draft) Validating the Integrity of Computing Devices	SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
Announcement	発表
What Is This Guide About?	このガイドは何について書かれているのか？
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes.	今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。
Share Your Expertise	専門知識を共有する
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback.	実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。
Additional NIST Supply Chain Work	NISTのサプライチェーンに関するその他の作業
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here.	NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ（NIICS）」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。
Abstract	概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution.	組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。

 

・NIST SP 1800-34 ipd

・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft

・[PDF] NIST SP 1800-34: Complete Guide

 

 

目次...

1  Summary	1 概要
1.1  Challenge	1.1 課題
1.2  Solution	1.2 解決策
1.3  Benefits	1.3 利点
2  How to Use This Guide	2 このガイドの使い方
2.1 Typographic Conventions	2.1 タイポグラフィの規則
3 Approach	3 アプローチ
3.1  Audience	3.1 対象者
3.2  Scope	3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts	3.2.1 シナリオ1：検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing	3.2.2 シナリオ2：受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use	3.2.3 シナリオ3：使用時のコンポーネントの検証
3.3  Assumptions	3.3 前提条件
3.4  Risk Assessment	3.4 リスクアセスメント
3.4.1  Threats	3.4.1 脅威
3.4.2  Vulnerabilities	3.4.2 脆弱性
3.4.3  Risk	3.4.3 リスク
3.5  Security Control Map	3.5 セキュリティコントロールマップ
3.6  Technologies	3.6 技術
3.6.1  Trusted Computing Group	3.6.1 トラステッドコンピューティンググループ
4  Architecture	4 アーキテクチャ
4.1  Architecture Description	4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems	4.2 既存の企業IT管理システム
4.2.1  SIEM Tools	4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System	4.2.2 資産発見・管理システム
4.2.3  Configuration Management System	4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards	4.2.4 エンタープライズダッシュボード
4.3  Supporting Platform Integrity Validation Systems	4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25	4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局（HIRS ACA）
4.3.2  Network Boot Services	4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System	4.3.3 プラットフォームマニフェスト相関システム
4.3.4  Eclypsium Analytic Platform	4.3.4 分析プラットフォーム
4.4  Computing Devices	4.4 コンピューティングデバイス
4.4.1  HP Inc	4.4.1 HP Inc.
4.4.2  Dell Technologies	4.4.2 デル・テクノロジー
4.4.3  Intel	4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE)	4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate	4.4.5 シーゲイト
5  Security Characteristic Analysis	5 セキュリティ特性分析
5.1  Assumptions and Limitations	5.1 前提条件と制限事項
5.2  Build Testing	5.2 ビルドテスト
5.2.1  Scenario 1	5.2.1 シナリオ1
5.2.2  Scenario 2	5.2.2 シナリオ2
5.2.3  Scenario 3	5.2.3 シナリオ3
5.3  Scenarios and Findings	5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC)	5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM)	5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC)	5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS)	5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM)	5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations	6 今後の構築に関する考察
Appendix A List of Acronyms	附属書 A 頭字語（英語）リスト
Appendix B References	附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams	附属書 C プロジェクトシナリオシーケンスダイアグラム

 

---

● まるちゃんの情報セキュリティティ気まぐれ日記

 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証（初期ドラフト）

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践（第2次ドラフト）

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証（初期ドラフト）

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices （コンピューティングデバイスの完全性の検証）(Preliminary Draft)

 

1 Summary	1 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring  the integrity of the cyber supply chain and its products and services. This prototype implementation  will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes.	組織は、意図的であるか否かを問わず、サイバー・サプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要がある。このプロトタイプの実装では、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通過程で予期せぬ変更が加えられていないことを確認する方法を実証する予定である。
This is an initial public draft version of the document which addresses gaps in the preliminary draft content (see Future Build Considerations in the preliminary draft). This draft may be updated in the future to address public comments or significant advances in the technology.	この文書は、予備草案の内容のギャップに対処した初期公開草案版である（予備草案のFuture Build Considerationsを参照）。このドラフトは、パブリックコメントや技術の大きな進歩に対応するため、将来更新される可能性がある。
Further, this guide includes proof-of-concept software tools and services which have not been commercialized by our partner collaborators. We encourage early adopters to experiment with the guidelines in a test or development environment, with the understanding that they will identify gaps and challenges. The National Institute of Standards and Technology (NIST) welcomes early informal feedback and comments, which will be adjudicated after the specified public comment period.	さらに、このガイドには、パートナーの共同研究者によって商品化されていない概念実証のソフトウェアツールやサービスが含まれている。ガイドラインを早期に採用される方は、ギャップや課題が明らかになることを理解した上で、テスト環境や開発環境で実験されることを推奨する。米国標準技術局（NIST）は、初期の非公式なフィードバックやコメントを歓迎し、指定されたパブリックコメント期間の後に裁定される。
This project has been conducted in two phases: laptop and server builds. The preliminary draft focused  on validating the integrity of laptop hardware contributed by our technology partners. In this version of the publication, we incorporate hardware from our server manufacturing and component partners. The server build leverages and extends much of the laptop build architecture that is documented in the preliminary draft. In this update, we have also added a Security Information and Event Management (SIEM) component to the architecture that enhances our ability to monitor and detect unauthorized component swaps and firmware changes. We hope that this approach will provide organizations with a holistic methodology for managing supply chain risk.	このプロジェクトは、ノートパソコン用とサーバー用の2つのフェーズで実施されている。予備草稿では、技術パートナーから提供されたノートパソコンのハードウェアの完全性を検証することに焦点を当てた。このバージョンの出版物では、サーバーの製造およびコンポーネントパートナーからのハードウェアを組み込んでいる。サーバー構築は、予備草稿に記載されているノートパソコン構築アーキテクチャの多くを活用し、拡張している。この更新では、アーキテクチャにセキュリティ情報およびイベント管理（SIEM）コンポーネントを追加し、未承認のコンポーネント交換やファームウェア変更を監視および検出する能力を強化した。私たちは、このアプローチが、サプライチェーンのリスクを管理するための全体的な方法論を組織に提供することを期待している。
For ease of use, the following provides a short description of each section in this volume.	利便性を考慮して、以下では、本編の各セクションについて簡単に説明する。
Section 1, Summary, presents the challenge addressed by this National Cybersecurity Center of Excellence (NCCoE) project, including our approach to addressing the challenge, the solution demonstrated, and the benefits of the solution.	セクション 1「概要」では、このナショナル・サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE） プロジェクトが取り組む課題、課題への取り組みアプローチ、実証されたソリューション、およびソリューションの利点を紹介する。
Section 2, How to Use This Guide, explains how business decision makers, program managers, and information technology (IT) and operational technology (OT) professionals might use each volume  of the guide.	セクション 2「本ガイドの使用方法」では、ビジネス意思決定者、プログラムマネージャー、情報技術（IT）および運用技術（OT）の専門家が、本ガイドの各巻をどのように使用するかを説明する。
Section 3, Approach, offers a detailed treatment of the scope of the project, the risk assessment that informed the solution, and the technologies and components that industry collaborators supplied to build the example solution.	セクション3「アプローチ」では、プロジェクトの範囲、ソリューションの根拠となったリスク評価、サンプルソリューションを構築するために業界の協力者が提供した技術やコンポーネントについて詳しく説明している。
Section 4, Architecture, specifies the components of the prototype implementation and details how data and communications flow between validation systems.	セクション4「アーキテクチャ」では、プロトタイプ実装のコンポーネントを特定し、検証システム間のデータおよび通信の流れを詳述している。
Section 5, Security Characteristic Analysis, provides details about the tools and techniques used to test and understand the extent to which the project prototype implementation meets its objective:	セクション 5「セキュリティ特性分析」では、プロジェクトのプロトタイプ実装がその目的をどの程度満たしているかをテストし、理解するために使用したツールや技術について詳しく説明する。
demonstrating how organizations can verify that the components of their acquired computing devices are genuine and have not been tampered with or otherwise modified throughout the devices’ life cycles.	これは、組織が入手したコンピューティングデバイスのコンポーネントが本物であり、デバイスのライフサイクルを通じて改ざんやその他の変更が行われていないことを、どのように検証できるかを示すものである。
Section 6, Future Build Considerations, conveys the technical characteristics we plan to incorporate as we continue to prototype with our collaborators.	セクション 6「将来の構築に関する考察」では、共同研究者とともにプロトタイプを作成し続ける際に取り入れる予定の技術的特性を伝えている。
Appendices A through C provide acronyms, a list of references cited in this volume, and project scenario sequence diagrams, respectively.	附属書 A～C には、それぞれ略語、本編で引用した文献のリスト、プロジェクトシナリオのシーケンス図が記載されている。
1.1 Challenge	1.1 課題
Technologies today rely on complex, globally distributed, and interconnected supply chain ecosystems  to provide highly refined, cost-effective, and reusable solutions. Most organizations’ security processes consider only the visible state of computing devices. The provenance and integrity of a delivered device and its components are typically accepted without validating through technology that there have been no unexpected modifications. Provenance is the comprehensive history of a device throughout the entire life cycle from creation to ownership, including changes made within the device or its components. Assuming that all acquired computing devices are genuine and unmodified increases the risk of a compromise affecting products in an organization’s supply chain, which in turn increases risks to customers and end users, as illustrated in Figure 1-1. Mitigating this risk is not addressed at all in many cases.	今日の技術は、高度に洗練され、費用対効果が高く、再利用可能なソリューションを提供するために、複雑で、グローバルに分散し、相互接続されたサプライチェーンのエコシステムに依存している。ほとんどの組織のセキュリティプロセスは、コンピューティングデバイスの目に見える状態のみを考慮している。納品されたデバイスとそのコンポーネントの出所と完全性は、通常、予期せぬ変更がなかったことを技術的に検証することなく受け入れられる。プロベナンスとは、デバイスまたはそのコンポーネント内で行われた変更を含む、作成から所有までの全ライフサイクルにおけるデバイスの包括的な履歴のことである。入手したすべてのコンピューティングデバイスが純正であり、変更されていないと仮定すると、図1-1に示すように、組織のサプライチェーン内の製品に影響を及ぼす侵害のリスクが高まり、ひいては顧客とエンドユーザーに対するリスクも高まる。このリスクを軽減することは、多くの場合、全く取り組まれていない。
Figure 1-1 Supply Chain Risk	図1-1 サプライチェーンにおけるリスク
Organizations currently lack the ability to readily distinguish trustworthy products from others. At best, government organizations could access an information source on counterfeit components such as the Government-Industry Data Exchange Program (GIDEP), which contains information on equipment, parts,	組織は現在、信頼できる製品を他の製品と容易に区別する能力を欠いている。政府機関はせいぜい、政府-産業データ交換プログラム（GIDEP）のような偽造部品に関する情報源にアクセスすることができる程度である。
and assemblies that are suspected to be counterfeit. Additionally, organizations with sufficient resources could have acquisition quality assurance programs that examine manufacturer supply chain practices, perform spot-checks of deliveries, and/or require certificates of conformity.	このような情報源には、偽造の疑いのある機器、部品、組立品に関する情報が含まれている。さらに、十分な資源を持つ組織は、メーカーのサプライチェーンの慣行を調査し、納入品の抜き取り検査を行い、適合証明書を要求する買収品質保証プログラムを持つことができる。
Having this ability is a critical foundation of cyber supply chain risk management (C-SCRM). C-SCRM  is the process of identifying, assessing, and mitigating the risks associated with the distributed and interconnected nature of supply chains. C-SCRM presents challenges to many industries and sectors, requiring a coordinated set of technical and procedural controls to mitigate cyber supply chain risks throughout manufacturing, acquisition, provisioning, and operations.	このような能力を持つことは、サイバー・サプライチェーン・リスク管理（C-SCRM）の重要な基盤である。C-SCRMは、分散し相互接続されたサプライチェーンの性質に関連するリスクを特定、評価、軽減するプロセスである。C-SCRMは、多くの産業や部門に課題をもたらし、製造、取得、供給、運用を通してサイバーサプライチェーンリスクを軽減するための技術的、手続き的な管理の協調を必要とする。
1.2 Solution	1.2 解決策
To address these challenges, the NCCoE is collaborating with technology vendors to develop a prototype implementation. Once completed, this project [1] will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and implementers using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. By doing this, organizations can reduce the risk of compromise to products within their supply chains.	これらの課題に対処するため、NCCoEは技術ベンダーと協力して、プロトタイプの実装を開発している。このプロジェクト[1]が完了すれば、組織が取得したコンピューティングデバイスの内部コンポーネントが本物であり、改ざんされていないことを確認する方法を実証することができる。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、実装者が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。これにより、企業はサプライチェーン内の製品が危険にさらされるリスクを低減することができる。
In this approach, device vendors create one or more artifacts within each device that securely bind  the device’s attributes to the device’s identity. An organization that acquires the device can validate the artifacts’ source and authenticity, then check the attributes stored in the artifacts against the device’s actual attributes to ensure they match before fielding the device to the end user. A similar process can be used to periodically verify the integrity of computing devices while they are in use.	このアプローチでは、デバイスベンダーは、デバイスの属性とデバイスのIDを安全に結びつける1つまたは複数のアーティファクトを各デバイス内に作成する。デバイスを入手した組織は、デバイスをエンドユーザーに提供する前に、アーティファクトの出所と真正性を検証し、アーティファクトに格納されている属性とデバイスの実際の属性を照合して一致することを確認することができる。同様のプロセスを用いて、使用中のコンピューティングデバイスの整合性を定期的に検証することができる。
Hardware roots of trust are a central technology in our approach to enable the use of authoritative information regarding the provenance and integrity of the components, which provide a strong basis  for trust in a computing device. A hardware root of trust is comprised of highly reliable firmware and software components that perform specific, critical security functions. Hardware roots of trust are the foundation upon which the computing system’s trust model is built, forming the basis in hardware for providing one or more security-specific functions for the system. By leveraging hardware roots of trust as a computing device traverses the supply chain, we can maintain trust in the computing device throughout its operational lifecycle.	ハードウェアルート・オブ・トラストは、コンピューティングデバイスを信頼するための強力な基盤となるコンポーネントの出所と完全性に関する信頼性の高い情報を使用できるようにする、私たちのアプローチの中心的な技術である。ハードウェアルート・オブ・トラストは、特定の重要なセキュリティ機能を実行する高信頼性のファームウェアとソフトウェアコンポーネントで構成されている。ハードウェアの信頼性の根は、コンピューティングシステムの信頼モデルを構築するための基盤であり、システムに対して一つ以上のセキュリティ固有の機能を提供するためのハードウェアにおける基礎を形成する。コンピューティングデバイスがサプライチェーンを通過する際に、ハードウェアの信頼の根を活用することで、コンピューティングデバイスの運用ライフサイクルを通じて、信頼を維持することができる。
Platform firmware and its associated configuration data is critical to the trustworthiness of a computing system [2]. Because of the highly privileged position platform firmware has with hardware, in this prototype we also leverage a system firmware integrity detection component that includes mechanisms for detecting when platform firmware code and critical data have been corrupted. These mechanisms complement the hardware authenticity process described above.	プラットフォーム・ファームウェアとそれに関連するコンフィギュレーション・データは、コンピューティング・システム の信頼性にとって、非常に重要である [2]。プラットフォーム・ファームウェアは、ハードウェアに対して、非常に特権的な立場にあるため、 このプロトタイプでは、プラットフォーム・ファームウェアのコードと重要なデータが破損した場合 を検出するためのメカニズムを含む、システム・ファームウェア完全性検出コンポーネントも活用している。これらのメカニズムは、上述したハードウェア認証プロセスを補完するものである。
This project addresses several processes, including:	このプロジェクトは、以下のようないくつかのプロセスに取り組んでいる。
§  how to create verifiable descriptions of components and platforms, which may be done by original equipment manufacturers (OEMs), platform integrators, and even IT departments;	§ コンポーネントとプラットフォームに関する検証可能な記述を作成する方法（相手先商標製品製造会社 （OEM）、プラットフォーム・インテグレーター、さらには IT 部門によって行われる可能性がある）。
§  how to verify the integrity and provenance of computing devices and components within the single transaction between an OEM and a customer; and	§ OEMと顧客の間の単一の取引において、コンピューティングデバイスとコンポーネントの整合性と出所を検証する方法。
§  how to continuously monitor the integrity of computing devices and components at subsequent stages in the system lifecycle in the operational environment.	§ 運用環境におけるシステムライフサイクルの後続段階において、コンピューティングデバイスとコンポーネントの完全性を継続的に監視する方法。
1.3 Benefits	1.3 利点
This practice guide can help organizations, including but not limited to OEMs and third-party component suppliers, to:	本実践ガイドは、OEM やサードパーティコンポーネントサプライヤーを含むがこれに限定されな い組織が、以下のことを行うのに役立つ。
§  avoid using compromised technology components in your products	§ 製品に危険な技術コンポーネントを使用することを回避する。
§  enable customers to readily verify that OEM products are genuine and trustworthy	§ OEM 製品が本物で信頼できるものであることを顧客が容易に確認できるようにする。
§  prevent compromises of your organization’s information and systems caused by acquiring and using compromised technology products	§ 危殆化した技術製品の入手及び使用による組織の情報及びシステムの危殆化を防止する。

[1] Diamond et al., Validating the Integrity of Computing Devices: Supply Chain Assurance, National Institute of Standards and Technology (NIST), Gaithersburg, Md., March 2020, 14 pp. Available: https://www.nccoe.nist.gov/sites/default/files/library/project-descriptions/tpm-scaproject-description-final.pdf.

[2] Regenscheid, Platform Firmware Resiliency Guidelines, NIST Special Publication (SP) 800-193, Gaithersburg, Md., May 2018, 45 pp. Available: https://doi.org/10.6028/NIST.SP.800-193.