NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス
こんにちは、丸山満彦です。
NISTIR 8235 Security Guidance for First Responder Mobile and Wearable Devices | NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス |
Abstract | 概要 |
Public safety officials utilizing public safety broadband networks will have access to devices, such as mobile devices, tablets, and wearables. These devices offer new ways for first responders to complete their missions but may also introduce new security vulnerabilities to their work environment. To investigate this impact, the security objectives identified in NIST Interagency Report (NISTIR) 8196, Security Analysis of First Responder Mobile and Wearable Devices, were used to scope the analysis of public safety mobile and wearable devices and the current capabilities that meet those security objectives. The purpose of this effort is to provide guidance that enables jurisdictions to select and purchase secure devices, and assist industry to design and build secure devices tailored to the needs of first responders. | 公共安全のブロードバンド・ネットワークを利用する公共安全担当者は、モバイル機器、タブレット、ウェアラブルなどの機器にアクセスすることになる。これらの機器は、初動対応者が任務を遂行するための新しい方法を提供するが、彼らの作業環境に新たなセキュリティ脆弱性をもたらす可能性もある。この影響を調査するために、NIST 共同報告 (NISTIR) 8196, 「初動対応者用モバイル・ウェアラブル機器のセキュリティ分析」で特定されたセキュリティ目標を使用して、公共安全のモバイル機器とウェアラブル機器の分析およびこれらのセキュリティ目標を満たす現在の機能の範囲を決定した。この取り組みの目的は、管轄部署が安全な機器を選択・購入できるようにし、業界が初動対応者のニーズに合わせた安全な機器を設計・構築できるよう支援するガイダンスを提供することである。 |
・[PDF] NISTIR 8235
Table of Contents | 目次 |
1 Introduction | 1 はじめに |
1.1 Purpose | 1.1 目的 |
1.2 Scope | 1.2 スコープ |
1.3 Document Structure | 1.3 文書の構成 |
2 Technology Overview | 2 技術の概要 |
2.1 Public Safety Mobile Devices | 2.1 公共安全モバイル機器 |
2.2 Public Safety Wearable Devices | 2.2 公共安全ウェアラブル機器 |
3 Analysis Methodology | 3 分析方法論 |
3.1 Test Plan | 3.1 テスト計画 |
3.2 Testing & Analysis | 3.2 テストと分析 |
3.3 Develop Guidance | 3.3 開発ガイダンス |
4 Test Overview | 4 テスト概要 |
4.1 Mobile Test Results Summary | 4.1 モバイルテスト結果概要 |
4.2 Wearable Test Results Summary | 4.2 ウェアラブルテスト結果概要 |
5 Best Practices and Guidance | 5 ベストプラクティスとガイダンス |
5.1 Guidance for Mobile and Wearable Devices | 5.1 モバイル・ウェアラブル機器のためのガイダンス |
6 Conclusion | 6 結論 |
References | 参考文献 |
Appendix A— Acronyms | 附属書A - 略語集 |
Appendix B— Tests and Results | 附属書B - テストと結果 |
B.1 Mobile Test Results | B.1 モバイルテスト結果 |
B.1.1 Test 1: Obtain General Hardware Information | B.1.1 テスト1: 一般的なハードウェア情報の取得 |
B.1.2 Test 2: Obtain General Software Information | B.1.2 テスト2: 一般的なソフトウェア情報の取得 |
B.1.3 Test 3: Device Ruggedization Ratings | B.1.3 テスト3: 機器の耐久性評価 |
B.1.4 Test 4: Obtaining Vulnerability Information from OS version and known databases | B.1.4 テスト4: OSのバージョンと既知のデータベースからの脆弱性情報の取得 |
B.1.5 Test 5: Vulnerability Scan via Mobile Threat Defense (MTD) Application | B.1.5 テスト5: モバイル脅威防御(MTD)アプリケーションを介した脆弱性スキャン |
B.1.6 Test 6: External Fingerprinting | B.1.6 テスト6: 外部からのフィンガープリントの取得 |
B.1.7 Test 7: External Vulnerability Scan | B.1.7 テスト7: 外部からの脆弱性スキャン |
B.1.8 Test 8: MAC Address Randomization | B.1.8 テスト8: MAC アドレスのランダム化 |
B.1.9 Test 9: Device Update Policy | B.1.9 テスト9: 機器の更新ポリシー |
B.1.10Test 10: Rogue Base Station Detection | B.1.10 テスト10: 不正な基地局の検出 |
B.1.11Test 11: Configuration Guidance | B.1.11 テスト11: 設定ガイダンス |
B.1.12Test 12: Wi-Fi PitM, Denial of Service, and Rogue Access Point Detection | B.1.12 テスト12: Wi-Fi PitM、サービス妨害、不正アクセスポイント検出 |
B.1.13Test 13: Boot Integrity | B.1.13 テスト13: ブートインテグリティ |
B.1.14Test 14: Data Isolation | B.1.14 テスト14: データの分離 |
B.1.15Test 15: Device Encryption | B.1.15 テスト15: 機器の暗号化 |
B.2 Wearable Devices | B.2 ウェアラブル機器 |
B.2.1 Test 1: Obtain General Hardware Information | B.2.1 テスト1:一般的なハードウェア情報の取得 |
B.2.2 Test 2: Obtain General Software Information | B.2.2 テスト2:一般的なソフトウェア情報の取得 |
B.2.3 Test 3: Device Ruggedization Ratings | B.2.3 テスト3:機器の耐久性評価 |
B.2.4 Test 4: Obtaining Vulnerability Information from OS Information | B.2.4 テスト4:OS情報からの脆弱性情報の取得 |
B.2.5 Test 5: Bluetooth Pairing | B.2.5 テスト5:Bluetoothペアリング |
B.2.6 Test 6: Bluetooth Encryption | B.2.6 テスト6:Bluetoothの暗号化 |
B.2.7 Test 7: Configuration Guidance | B.2.7 テスト7:設定ガイダンス |
B.2.8 Test 8: Wearable Device MAC Address Randomization | B.2.8 テスト8:ウェアラブル機器のMACアドレスのランダム化 |
B.2.9 Test 9: Device Update Policy | B.2.9 テスト9:機器の更新ポリシー |
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices
関連しそうなものを集めると...
・2021.08.29 NIST SP 1800-13 モバイルアプリケーションのシングルサインオン:公共安全の初動対応者のための認証の改善
・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices
・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices
・2020.03.25 NIST SP 800-124 Rev. 2(Draft) Guidelines for Managing the Security of Mobile Devices in the Enterprise
...
・2012.07.22 NIST DRAFT SP 800-124 Revision 1, Guide to Enterprise Telework and Remote Access Security
はじめに、、、と結論、、、
↓↓↓
はじめに...
1 Introduction | 1 はじめに |
Public safety first responders are the first at the scene of an emergency incident. Their day-to-day includes life-saving and sometimes life-threatening activities. As commercial and enterprise technology advance, first responders have the opportunity to take advantage of this technology to enhance their efficiency, safety, and capabilities during an incident. The nationwide public safety broadband network (NPSBN), is steadily deployed across the United States. The NPSBN is operated by AT&T under the guidance of the First Responders FirstNet Authority (FirstNet)., per the Middle Class Tax Relief and Job Creation Act of 2012 [2]. Networks like those provided by FirstNet by AT&T and the NPSBN will allow first responders to use modern communication technology (e.g., mobile devices) as well as other Internet of Things (IoT) devices (e.g., wearables) to accomplish their public safety mission. | 公共安全の初動対応者は、緊急事態が発生した際に最初に現場に駆けつける。彼らの日常は、人命救助や、時には命にかかわるような活動も含まれている。商用および企業向け技術の進歩に伴い、初動対応者はこの技術を活用し、事故発生時の効率、安全、能力を向上させる機会を得ている。全米公共安全ブロードバンド・ネットワーク(NPSBN)は、米国全土で着実に展開されている。NPSBNは、2012年中産階級税制改革・雇用創出法 [2] に基づき、First Responders FirstNet Authority (FirstNet) の指導のもと、AT&Tによって運用されている。AT&TによるFirstNetやNPSBNが提供するようなネットワークにより、初動対応者は最新の通信技術(モバイル機器など)やその他のIoT(Internet of Things)機器(ウェアラブルなど)を使用して、公共安全のミッションを達成することができるようになる。 |
As with any new technology, there are security concerns, such as the vulnerabilities and threats to their data and users. In the case of public safety there are concerns that exploits of vulnerabilities may inhibit first responders from performing their duties and put their safety at risk. NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices, is a document that was produced in a previous study to understand the specific security needs of mobile and wearable devices for first responders [1]. The document captures the various use cases of public safety mobile and wearable device, the known attacks on public safety mobile and wearable devices, and information received from interviews with actual public safety officials. Due to their unique roles, environments, and situations, the information in NISTIR 8196 is important to grasp the first responder perspective and analyze the security objectives necessary for all first responder devices. | 新しい技術は同時に、そのデータやユーザーに対する脆弱性や脅威など、セキュリティに関する懸念がある。公共安全の場合、脆弱性が悪用されることで、初動対応者の職務遂行が阻害され、安全が脅かされることが懸念される。NISTIR 8196初動対応者用モバイル・ウェアラブル機器のセキュリティ分析は、初動対応者向けのモバイル・ウェアラブル機器の特定のセキュリティニーズを理解するために、以前の調査で作成された文書である[1]。この文書は、公共安全のモバイル・ウェアラブル機器のさまざまな使用例、公共安全のモバイル・ウェアラブル機器に対する既知の攻撃、実際の公共安全関係者とのインタビューから得た情報を捉えている。そのユニークな役割、環境、状況により、NISTIR 8196の情報は、初動対応者の視点を把握し、すべての初動対応者の機器に必要なセキュリティ目標を分析するために重要である。 |
Mass production of mobile and wearable devices makes it easy to find and buy any device that may meet one’s wants and needs. Technology is primarily produced for the general consumer or enterprise and not specifically designed with public safety in mind. This could lead to potential repercussions if the appropriate device is procured without consideration of the security and safety of first responders. When it comes to selecting mobile and wearable devices, there is little security guidance that focuses on the particular needs of public safety. During an emergency, a first responder should have some assurance that their devices are reliable and secure. | モバイル機器やウェアラブル機器の大量生産により、自分の希望やニーズを満たすような機器を簡単に見つけ、購入することができるようになった。技術は主に一般消費者や企業向けに生産され、特に公共の安全を念頭に置いて設計されているわけではない。したがって、初動対応者のセキュリティや安全性を考慮せずに適切な機器を調達した場合、潜在的な影響を及ぼす可能性がある。モバイル機器やウェアラブル機器を選択する際、公共安全の特定のニーズに焦点を当てたセキュリティ・ガイダンスはほとんど存在しない。緊急時には、初動対応者は自分の機器が信頼でき、安全であることをある程度保証される必要がある。 |
結論...
6 Conclusion | 6 結論 |
Using the public safety security objectives defined in NISTIR 8196, PSCR Engineers analyzed the security capabilities of public safety mobile and wearable devices [1]. The security objectives assisted in framing the test plan used to analyze the devices. The test analysis of devices fed into the development of suggestions and guidance for future public safety mobile and wearable devices. The guidance derived from the test analysis, leverages the Cybersecurity Framework Functions to summarize and easily communicate the guidance to various levels within public safety organizations. PSCR Engineers suggest the following high-level guidance for public safety officials interested in acquiring mobile and wearable devices: Identify your public safety needs and devices; Protect yourself by applying security and training users; Detect issues by logging and monitoring your devices; Respond with a prepared plan; Recover by implementing the plan and constantly improving. In addition to this high-level guidance, PSCR Engineers detail specific information and features that should be taken into consideration to accomplish the guidance. | PSCR エンジニアは、NISTIR 8196 で定義された公共安全のセキュリティ目標を使用して、公共安全のモバイル・ウェアラブル機器のセキュリティ機能を分析した[1]。セキュリティ目標は、機器の分析に使用するテスト計画の策定を支援した。機器のテスト分析は、将来の公共安全のモバイル・ウェアラブル機器のための提案とガイダンスの開発に役立たっている。テスト分析から得られたガイダンスは、サイバーセキュリティフレームワークの機能を活用し、公共安全機関内のさまざまなレベルにガイダンスを要約して簡単に伝達する。PSCRエンジニアは、モバイル・ウェアラブル機器の取得に関心のある公共安全担当者向けに、以下のハイレベルなガイダンスを提案する。公共安全のニーズと機器の特定、セキュリティの適用とユーザーのトレーニングによる保護、機器のログとモニタリングによる問題の検出、準備されたプランによる対応、プランの実行と継続的な改善による回復。このハイレベルなガイダンスに加え、PSCRエンジニアは、ガイダンスを達成するために考慮すべき具体的な情報や機能を詳細に説明している。 |
Throughout the analysis of mobile and wearable devices, PSCR Engineers found that mobile devices have advanced greatly over the years and are capable of meeting most of the public safety security objectives. Mobile technology still has room for improvement when it comes to capabilities, such as rogue base station detection. Wearable devices are still being introduced to the public safety market and due to their limited functionality, wearable devices struggle to meet some of the public safety security objectives. Wearable device information was inconsistently provided in manuals and many devices lack the ability to be updated or reconfigured to apply different security settings. Some wearable devices interact with an API, which allows a little more flexibility in gathering information or applying different settings. While Bluetooth specifications are constantly being improved and updated, commercially available wearables still seem to use older versions of Bluetooth, with minimal security levels. Overall, PSCR Engineers found that few devices are built with features that are specific to public safety, such as a ruggedization rating that meets the needs of firefighters. | モバイル機器とウェアラブル機器の分析を通じて、PSCRエンジニアは、モバイル機器は長年にわたって大きく進歩し、公共安全のセキュリティ目標のほとんどを満たすことが可能であることを発見した。モバイル技術は、不正な基地局の検出などの機能に関しては、まだ改善の余地がある。ウェアラブル端末はまだ公共安全の市場に導入されたばかりで、機能が限定されており、ウェアラブル端末は公共安全のセキュリティ目標のいくつかを満たすのに苦労している。ウェアラブル端末の情報はマニュアルで一貫して提供されておらず、多くの端末は異なるセキュリティ設定を適用するための更新や再設定ができない。一部のウェアラブル端末はAPIと連動しており、情報の収集や異なる設定の適用において、もう少し柔軟な対応が可能である。Bluetoothの仕様は常に改善され更新されているが、市販のウェアラブル端末は依然として旧バージョンのBluetoothを使用しており、セキュリティレベルも最低限となっているようである。全体として、PSCR エンジニアは、消防士のニーズを満たす堅牢性評価など、公共安全に特化した機能を持つ機器はほとんど作られていないことを発見した。 |
Through this security analysis and guidance, PSCR Engineers strive to assist public safety officials interested in acquiring mobile and wearable devices that meet their security objectives. This information may also prove informative to device manufacturers that are interested in building devices that meet the public safety security objectives and include features to support our first responders. PSCR Engineers suggests the following publications as supplemental guidance for public safety mobile and wearable devices: | PSCRエンジニアは、このセキュリティ分析とガイダンスを通じて、セキュリティ目標を満たすモバイル・ウェアラブル機器の入手に関心を持つ公共安全当局を支援するよう努めている。また、この情報は、公共安全のセキュリティ目標を満たし、初動対応者をサポートする機能を含む機器の製造に関心のある機器メーカーにとっても有益な情報となる可能性がある。PSCR エンジニアは、公共安全のためのモバイル・ウェアラブル機器の補足ガイダンスとして、以下の文書を提案する。 |
• NISTIR 8196, Security Analysis of First Responder Mobile and Wearable Devices [1] | - NISTIR 8196 初動対応者用モバイル・ウェアラブル機器のセキュリティ分析 [1] 。 |
• NISTIR 8080, Usability and Security Considerations for Public Safety Mobile Authentication [11] | - NISTIR 8080公共安全モバイル認証のためのユーザビリティとセキュリティの考慮事項 [11] |
• NISTIR 8228, Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks [4] | - NISTIR 8228 IoTのサイバーセキュリティとプライバシーリスクを管理するための考慮事項 [4] |
• NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [5] | - NISTIR 8259 IoT機器製造業者のための基礎的なサイバーセキュリティ活動 [5]。 |
• NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline [14] | - NISTIR 8259A IoT機器サイバーセキュリティ能力コアベースライン[14]。 |
• NIST SP 800-124 Revision 2, Guidelines for Managing the Security of Mobile Devices in the Enterprise [7] | - NIST SP 800-124 第2版 組織体におけるモバイル機器のセキュリティを管理するためのガイドライン [7] |
• NIST SP 1800-13, Mobile Application Single Sign-On: Improving Authentication for Public Safety First Responders [15] | - NIST SP 1800-13、モバイルアプリケーションシングルサインオン:公共安全初動対応者向け認証の改善 [15] 。 |
• NISTIR 8181, Incident Scenarios Collection for Public Safety Communications Research: Framing the Context of Use [16] | - NISTIR 8181、公共安全通信研究のためのインシデントシナリオ収集:使用状況の枠付け [16] |
[1] Franklin JM, Howell G, Ledgerwood S, Griffith JL (2020) Security Analysis of First Responder Mobile and Wearable Devices. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8196. https://doi.org/10.6028/NIST.IR.8196
[2] Middle Class Tax Relief and Job Creation Act of 2012, Pub. L. 112–96, 22
http://www.gpo.gov/fdsys/pkg/PLAW-112publ96/pdf/PLAW-112publ96.pdf
[4] Boeckl KR, Fagan MJ, Fisher WM, Lefkovitz NB, Megas KN, Nadeau EM, Piccarreta BM, Gabel O'Rourke D, Scarfone KA (2019) Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8228. https://doi.org/10.6028/NIST.IR.8228
[5] Fagan MJ, Megas KN, Scarfone KA, Smith M (2020) Foundational Cybersecurity Activities for IoT Device Manufacturers. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8259. https://doi.org/10.6028/NIST.IR.8259
[7] Franklin JM, Howell G, Sritapan V, Souppaya MP, Scarfone KA (2020) Guidelines for Managing the Security of Mobile Devices in the Enterprise. (National Institute of Standards and Technology, Gaithersburg, MD) Draft NIST Special Publication (SP) 800- 124 Rev. 2. https://doi.org/10.6028/NIST.SP.800-124r2-draft
[11] Choong Y-Y, Greene KK, Franklin JM (2016) Usability and Security Considerations for Public Safety Mobile Authentication. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8080. https://doi.org/10.6028/NIST.IR.8080
[14] Fagan MJ, Megas KN, Scarfone KA, Smith M (2020) IoT Device Cybersecurity Capability Core Baseline. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8259A. https://doi.org/10.6028/NIST.IR.8259A
[15] Fisher W, Grassi PA, Dog S, Jha S, Kim W, McCorkill T, Portner J, Russell M, Umarji S, Barker WC (2021) Mobile Application Single Sign-On: Improving Authentication for Public Safety First Responders. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 1800-13. https://doi.org/10.6028/NIST.SP.1800-13
[16] Choong Y-Y, Dawkins S, Greene KK, Theofanos MF (2017) Incident Scenarios Collection for Public Safety Communications Research: Framing the Context of Use. (National Institute of Standards and Technology, Gaithersburg, MD) NIST Interagency or Internal Report (IR)8181. https://doi.org/10.6028/NIST.IR.8181
« 米国 ボランティアをサポートする政府機関(アメリコープス)の侵入テストとフィッシングキャンペーンの評価 (監査報告書) | Main | NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果:ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合 »
Comments