NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
こんにちは、丸山満彦です。
NISTが、NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル(ドラフト)を公表し、意見募集をしていますね。。。
● NIST -ITL
・2022.06.17 NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products
消費者プロファイルは次のような項目で考えているようです。。。
IoT Product Capabilities | IoT製品の性能 |
Asset Identification | アセットアイデンティフィケーション |
Product Configuration | 製品構成 |
Data Protection | データ保護 |
Interface Access Control | インターフェースアクセス制御 |
Software Update | ソフトウェアアップデート |
Cybersecurity State Awareness | サイバーセキュリティの状態認識 |
IoT Product Non-Technical Supporting Capabilities | IoT製品の非技術的なサポート能力 |
Documentation | 文書化 |
Information and Query Reception | 情報および問い合わせの受付 |
Information Dissemination | 情報発信 |
Product and Education Awareness | 製品・教育啓発 |
NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products | NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル |
Abstract | 概要 |
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations. | 本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野(家庭用または個人用のIoT製品)に共通して必要なサイバーセキュリティ能力を特定するものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。消費者向けプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されています。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NIST は、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1 年間の取り組みを通じて利害関係者と協力した。 |
・[PDF] NISTIR 8425 (Draft)
1 Introduction | 1 はじめに |
2 Consumer Profile of IoT Core Baseline | 2 IoT コアベースラインの消費者向けプロファイル |
2.1 IoT Product Scope Statement | 2.1 IoT製品スコープステートメント |
2.2 Consumer Profile | 2.2 消費者プロファイル |
2.2.1 IoT Product Capabilities | 2.2.1 IoT製品の能力 |
2.2.2 IoT Product Non-Technical Supporting Capabilities . | 2.2.2 IoT製品の非技術的なサポート能力. |
3 Consumer Sector Considerations Used to Create Profile | 3 プロファイル作成に使用した消費者セクターの考慮事項 |
3.1 Gathering Source Information about Consumer IoT Product Cybersecurity . | 3.1 消費者向けIoT製品のサイバーセキュリティに関する情報源の収集. |
3.2 Assessing Consumer IoT Product Cybersecurity Sources | 3.2 消費者向けIoT製品のサイバーセキュリティの情報源の評価 |
References | 参考文献 |
List of Appendices | 附属書一覧 |
Appendix A— Acronyms | 附属書 A- 略語集 |
Appendix B— Glossary | 附属書 B- 用語集 |
List of Figures | 図一覧 |
Figure 1 – Capabilities Identified for the Consumer Profile. | 図1-消費者プロファイルのために特定された能力 |
List of Tables | 表一覧 |
Table 1 – Example Consumer IoT Vulnerabilities and the Relevant Capabilities from the Consumer Profile. | 表1 - 消費者向けIoT脆弱性の例と、消費者プロファイルの関連機能。 |
Table 2 – Highlighted Insights and Key Takeaways From the Consumer Profiling Process | 表2 - 消費者プロファイリングプロセスから得られた注目すべき洞察と主要な要点 |
Introduction | はじめに |
On May 12, 2021, the President issued Executive Order (EO) 14028 which, among other directives, called for NIST to recommend requirements for a consumer IoT product cybersecurity labeling program. As part of NIST’s response to this directive[1], a profile of the IoT core baseline[2] for consumer IoT products was created. This profile served as part of the recommendations that NIST published in response to the EO in February 2022 titled Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products [EO Criteria]. | 2021年5月12日、大統領は大統領令(EO)14028を発し、他の指令の中で、NISTに消費者向けIoT製品のサイバーセキュリティラベリングプログラムの要件を推奨するよう求めた。この指令[1]に対するNISTの対応の一環として、消費者向けIoT製品のIoTコアベースライン[2]のプロファイルが作成された。このプロファイルは、NISTが2022年2月にEOに対応して発表した「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準 [EO Criteria] 」という勧告の一部となったものである。 |
The profile builds on the NISTIR 8259 series by extending the IoT Core Baseline for consumer | このプロファイルは、NISTIR 8259シリーズをベースに、IoT Core Baselineを消費者向け製品向けに拡張したものである。 |
IoT products. NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259], provides foundational guidance for IoT device manufacturers pertaining to developing IoT devices that can be used securely by customers. NISTIR 8259 does not target any specific IoT sector but discusses how manufacturers can approach cybersecurity for IoT devices in general. NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline [IR8259A], and NISTIR 8295B, IoT Non-Technical Supporting Capability Core Baseline [IR8259B] define the IoT device cybersecurity capability core baseline (also referred to as the core baseline), a starting point for manufacturers to use in identifying the cybersecurity capabilities their customers may expect from the IoT devices they create. NISTIR 8259A discusses device cybersecurity capabilities, which are functions or features implemented by the device through its own hardware and software. For example, NISTIR 8259A discusses concepts such as data protection, access control, and software update, among others. NISTIR 8259B discusses non-technical supporting capabilities, which are actions taken by organizations to support the cybersecurity of the device. For example, NISTIR 8259B discusses concepts such as education and awareness, and information and query reception (by manufacturers). | IoT製品に拡張することで、NISTIR 8259シリーズを構築している。NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259]は、顧客が安全に使用できるIoTデバイスの開発に関わるIoTデバイスメーカー向けの基礎的なガイダンスを提供する。NISTIR 8259は、特定のIoT分野を対象としておらず、製造業者がIoTデバイス全般のサイバーセキュリティにどのようにアプローチできるかを論じている。NISTIR 8259A、IoTデバイスサイバーセキュリティ能力コアベースライン [IR8259A]、およびNISTIR 8295B、IoT非技術的支援能力コアベースライン [IR259B] は、IoTデバイスサイバーセキュリティ能力コアベースライン(コアベースラインとも呼ばれる)、製造者がその顧客が作成するIoTデバイスに期待されるサイバーセキュリティ能力を識別するにあたって用いる出発点、を定義している。NISTIR 8259Aは、デバイスが自身のハードウェアとソフトウェアを通じて実装する機能または特徴であるデバイスのサイバーセキュリティ能力について論じている。例えば、NISTIR 8259Aは、データ保護、アクセス制御、ソフトウェア更新などの概念について論じている。NISTIR 8259Bは、非技術的な支援能力について述べており、デバイスのサイバーセキュリティを支援するために組織が取る行動である。例えば、NISTIR 8259Bは、教育や意識向上、(製造業者による)情報や問い合わせの受付といった概念について論じている。 |
Like NISTIR 8259, these baseline documents do not consider any sector or use case specific considerations, and instead present a starting point for any IoT device. Tailoring the baseline capabilities for a specific sector and/or use case requires a form of profiling. The profiling process using NISTIR 8259/A/B directs a profiler to gather sector-/use case-specific information and interpret the relevant impacts of this information to select the baseline capabilities most applicable to and responsive of the needs and goal of customers for the sector/use case. | NISTIR 8259と同様に、これらのベースライン文書では、セクターやユースケースに特有の考慮事項はなく、代わりにあらゆるIoTデバイスの出発点を提示している。特定のセクターやユースケース向けにベースライン能力を調整するには、一種のプロファイリングが必要である。NISTIR 8259/A/Bを用いたプロファイリングプロセスは、プロファイラーにセクター/ユースケース固有の情報を収集し、この情報の関連する影響を解釈して、セクター/ユースケースの顧客のニーズと目標に最も適用でき、対応するベースライン能力を選択するように指示する。 |
The rest of this document describes the results of this profiling process for the consumer sector and is organized as follows: | 本書の残りの部分では、消費者セクターに関するこのプロファイリングプロセスの結果について説明し、以下のように構成されている。 |
• Section 2 explains the intended applicability of the consumer profile to consumer IoT products and defines the consumer profile. | ・ セクション 2 では、消費者プロファイルの消費者向け IoT 製品への意図された適用性を説明し、消費者向けプロファイルを定義している。 |
• Section 3 describes the process used to develop the consumer profile in more depth. | ・ セクション 3 では、消費者プロファイルの開発に使用したプロセスをより深く説明する。 |
• Section 4 explores some additional considerations readers should consider when using the consumer profile. | ・ セクション 4 では、読者が消費者プロファイルを使用する際に考慮すべき追加事項を探る。 |
[1] For more information about NIST’s response to EO 14028’s call for recommendations for a consumer IoT product cybersecurity label, visit [web]. | [1] EO 14028 の消費者向け IoT 製品のサイバーセキュリティラベルに関する勧告の募集に対する NIST の回答の詳細については、[web] を参照。 |
[2] The terms core baseline, IoT core baseline, and IoT device core capability baseline all refer to the set of capabilities presented in NISTIRs 8259A and 8259B. | [2] コアベースライン、IoT コアベースライン、および IoT デバイスコア能力ベースラインという用語はすべて、NISTIRs 8259A および 8259B に示される一連の能力を指す。 |
● まるちゃんの情報セキュリティ気まぐれ日記
NIST IoT関連の歴史...
・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。
White Paper
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
NISTIR 8259関連
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨基準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?
・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
« 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11) | Main | 米国 CISA Trusted Internet Connections 3.0 クラウドユースケース(ドラフト) »
Comments