NIST ホワイトペーパー（ドラフト） 【プロジェクト概要】上下水道事業の安全確保：上下水道システムセクターのためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、【プロジェクト概要】上下水道事業の安全確保：上下水道システムセクターのためのサイバーセキュリティについての白書のドラフトを公開し、意見募集をしていますね。。。

想定している、システム概要

出典：White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector, Figure 1 Example WWS Infrastructure

● NIST -ITL

・2022.11.02 White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector

 

White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector	ホワイトペーパー（ドラフト） 【プロジェクト概要】上下水道事業の安全確保：上下水道システムセクターのためのサイバーセキュリティ
Announcement	発表内容
The National Cybersecurity Center of Excellence (NCCoE) is seeking feedback from all stakeholders in the water and wastewater utilities sector. In our efforts to ensure our guidance can benefit the broadest audience, the NCCOE is especially interested in hearing from water utilities of all sizes: small, medium and large.	National Cybersecurity Center of Excellence (NCCoE)は、上下水道事業分野のすべての関係者からのフィードバックを求めている。NCCoE は、我々のガイダンスが最も多くの人々に利益をもたらすことを確実にするため、特に、小、中、大のあらゆる規模の水道事業体からの意見を聞きたいと思っている。
Many U.S. Water and Wastewater Systems (WWS) sector stakeholders are utilizing data-enabled capabilities to improve utility management, operations, and service delivery.   The increasing adoption of network-enabled technologies by the sector merits the development of best-practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded.	米国の上下水道システム（WWS）セクターの多くの関係者は、公益事業の管理、運営、サービス提供を改善するためにデータ化された機能を利用している。   このセクターではネットワーク対応技術の採用が進んでいるため、施設のサイバーセキュリティを確保するためのベストプラクティス、ガイダンス、ソリューションを開発することが求められている。
The NCCoE project will demonstrate solutions to protect the cybersecurity of infrastructure within the operating environments of WWS sector utilities that address common cybersecurity risks among water and wastewater systems utilities.  This project will address areas that have been identified by WWS stakeholders, including: asset management, data integrity, remote access, and network segmentation.	NCCoEプロジェクトは、上下水道事業者に共通するサイバーセキュリティリスクに対処するため、上下水道システムセクターの事業環境におけるインフラのサイバーセキュリティを保護するソリューションを実証するものである。  このプロジェクトは、資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションなど、上下水道システム関係者が特定した分野に取り組むことになる。
The NCCoE will demonstrate use of existing commercially available products to mitigate and manage these risks.  The findings can be used as a starting point by utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide.	NCCoEは、これらのリスクを軽減・管理するために、既存の市販製品の利用を実証する予定である。  この調査結果は、電力会社がそれぞれの生産環境におけるサイバーセキュリティのリスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。
Get Engaged	参加について
You can continue to help shape and contribute to this and future projects by joining the NCCoE’s Water Sector Community of Interest. Visit our project page to join.	NCCoE の Water Sector Community of Interest に参加することで、このプロジェクトや将来のプロジェクトの形成に貢献することができる。 参加するには、プロジェクトのページを参照すること。
Abstract	概要
The U.S. Water and Wastewater Systems (WWS) sector has been undergoing a digital transformation. Many sector stakeholders are utilizing data-enabled capabilities to improve utility management, operations, and service delivery. The ongoing adoption of automation, sensors, data collection, network devices, and analytic software may also increase cybersecurity-related vulnerabilities and associated risks.	米国の上下水道システム（WWS）セクターは、デジタル変革の時期を迎えている。多くの関係者がデータ機能を活用し、ユーティリティの管理、運営、サービス提供の改善に取り組んでいる。自動化、センサー、データ収集、ネットワーク機器、分析ソフトウェアの継続的な採用は、サイバーセキュリティ関連の脆弱性と関連リスクを増加させる可能性もある。
The NCCoE has undertaken a program to determine common scenarios for cybersecurity risks among WWS utilities. This project will profile several areas, including asset management, data integrity, remote access, and network segmentation. The NCCoE will also explore the utilization of existing commercially available products to mitigate and manage these risks. The findings can be used as a starting point by WWS utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide.	NCCoEは、上下水道システム公益事業者に共通するサイバーセキュリティリスクのシナリオを決定するプログラムに着手している。このプロジェクトでは、資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションなど、いくつかの分野についてプロファイリングする予定である。NCCoEはまた、これらのリスクを軽減し管理するために、既存の市販製品の活用を検討する。調査結果は、上下水道システム・ユーティリティ企業がそれぞれの生産環境におけるサイバーセキュリティリスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Draft Project Description

目次...

1 Executive Summary	1 エグゼクティブサマリー
Purpose	目的
Scope	対象範囲
Assumptions	前提条件
Challenges	課題
Background	背景
2 Scenarios	2 シナリオ
Scenario 1: Asset Management	シナリオ1: アセットマネジメント
Scenario 2: Data Integrity	シナリオ2: データの完全性
Scenario 3: Remote Access	シナリオ3：リモートアクセス
Scenario 4: Network Segmentation	シナリオ4：ネットワークセグメンテーション
3 High-Level Architecture	3 ハイレベル・アーキテクチャ
Requirements	要求事項
4 Relevant Standards and Guidance	4 関連する標準とガイダンス
5 Security Control Map	5 セキュリティコントロールマップ
Appendix A References	附属書A 参考文献
Appendix B Acronyms and Abbreviations	附属書B 頭字語および略語

 

エグゼクティブサマリー...

1 EXECUTIVE SUMMARY	1 エグゼクティブサマリー
Purpose	目的
This document outlines a National Cybersecurity Center of Excellence (NCCoE) project that will develop example cybersecurity solutions to protect the infrastructure in the operating environments of WWS sector utilities. The increasing adoption of network-enabled technologies by the sector merits the development of best practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded.	この文書は、上下水道システムセクターの公益事業運営環境におけるインフラを保護するためのサイバーセキュリティ・ソリューションの例を開発する、国家サイバーセキュリティセンターオブエクセレンス（NCCoE）プロジェクトの概要を説明するものである。このセクターではネットワーク対応技術の採用が進んでいるため、施設のサイバーセキュリティ態勢を確実に保護するためのベストプラクティス、ガイダンス、ソリューションを開発することが求められている。
This project explores four areas of concern identified by WWS stakeholders, namely: asset management, data integrity, remote access, and network segmentation. These areas have been under review to determine the common features among sector stakeholders and to identify issues being faced by broad segments of the sector. For this project, the focus is on municipalscale utilities.	このプロジェクトでは、上下水道システム関係者が指摘した4つの懸念事項、すなわち資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションを調査している。これらの分野は、セクター関係者間の共通点を見極め、セクターの幅広い層が直面している問題を特定するために検討されてきました。このプロジェクトでは、自治体規模の公共施設に焦点を当てます。
Critical infrastructure issues in the WWS sector present several unique challenges. Utilities in the sector typically cover a wide geographic area regarding piped distribution networks and infrastructure together with centralized treatment operations. The supporting operational technologies (OT) underpinning this infrastructure are likely reliant on supervisory control and data acquisition (SCADA) systems which provide data transmission across the enterprise, sending sensor readings and signals in real time. These systems also control the automated processes in the production environment which is linked to the distribution network. Additionally, many OT devices are now converging upon information technology (IT) capability with the advent of Industrial Internet-of-Things (IIoT) devices and platforms, such as cloudbased SCADA and smart monitoring.	上下水道システムセクターの重要なインフラ問題は、いくつかのユニークな課題を提起している。この分野の公益事業者は通常、集中処理事業とともに配管された配水ネットワークとインフラに関して広い地域をカバーしている。このインフラを支える運用技術（OT）は、おそらく監視制御およびデータ収集（SCADA）システムに依存しており、企業全体にデータ伝送を行い、センサーの測定値や信号をリアルタイムで送信している。これらのシステムは、物流ネットワークに接続された生産環境の自動化プロセスも制御する。さらに、クラウドベースのSCADAやスマートモニタリングなど、産業用モノのインターネット（IIoT）デバイスやプラットフォームの出現により、多くのOTデバイスが情報技術（IT）機能に収斂されつつある。
This project will identify challenges and develop a reference architecture that demonstrates solutions using commercially available products and services. The project described herein also serves to initiate a broad discussion with WWS sector stakeholders, both from the public and private sectors, to identify stakeholders and commercial solutions providers. The commercial solutions will be integrated into a pilot-lab environment to develop a reference architecture and case study.	このプロジェクトでは、課題を特定し、市販の製品やサービスを利用したソリューションを実証する参照アーキテクチャを開発する。ここで説明するプロジェクトは、上下水道システムセクターのステークホルダー（官民双方）との幅広い議論を開始し、ステークホルダーと商用ソリューションプロバイダを特定する役割も果たす。商用ソリューションは、参照アーキテクチャとケーススタディを開発するために、パイロットラボ環境に統合される予定である。
This project will result in a publicly available NIST Cybersecurity Practice Guide which will include a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses these challenges.	このプロジェクトは、これらの課題に対処するサイバーセキュリティのリファレンスデザインを実装するために必要な実践的ステップの詳細な実装ガイドを含む、一般に利用可能なNISTサイバーセキュリティ実践ガイドに帰結する予定である。
Scope	範囲
This project description profiles several areas to strengthen the cybersecurity posture within the operational environment of WWS facilities. The following areas will be explored:	このプロジェクトの説明は、上下水道システム施設の運用環境におけるサイバーセキュリティの態勢を強化するためのいくつかの領域について紹介している。以下の領域を検討する。
• Asset Management – inventory, visibility, criticality	・資産管理 - インベントリ、可視性、重要性
• Data Integrity	・データの完全性
• Remote Access	・リモートアクセス
• Network Segmentation	・ネットワーク・セグメンテーション
Assumptions	前提条件
The project will demonstrate solutions to improve the cybersecurity posture of WWS stakeholders and is guided by the following assumptions:	このプロジェクトは、上下水道システム関係者のサイバーセキュリティ態勢を改善するためのソリューションを実証するものであり、以下の前提条件によって導かれている。
• WWS infrastructure that adequately reflects operational capabilities is available for solution testing	・運用能力を適切に反映した上下水道システムのインフラが、ソリューションのテストに利用可能であること。
• A range of commercially available solutions exist and are readily available to sector stakeholders to demonstrate solutions to the identified challenges	・商業的に利用可能な様々なソリューションが存在し,特定された課題に対するソリューションを実証するために、セクターの利害関係者が容易に利用可能であること。
Challenges	課題
There are a wide range of capabilities among WWS utilities regarding cyber-enabled operations. Identifying challenges that can be representative in addressing a broad range of issues may be difficult. Also, lab-constructed test solutions may not address the complexities of real-world operational scenarios. The NCCoE does not provide prescriptive solutions, but rather demonstrates illustrative cases that may be voluntarily adopted by a large segment of the sector.	サイバー化されたオペレーションに関して、上下水道システム公益事業者の能力には幅がある。広範な課題に対処する上で、代表的な課題を特定することは難しいかもしれません。また、実験室で構築されたテストソリューションは、実世界の運用シナリオの複雑さに対応できないかもしれません。NCCoEは規範的な解決策を提供するのではなく、業界の大部分に自発的に採用される可能性のある例示的な事例を示すものである。
Background	背景
There is apparent general consensus from WWS stakeholders that additional cybersecurity implementation references are needed to assist in the protection of its critical infrastructure. The advancement of network-based approaches, together with an ongoing increase in cyber threats, merit the need for sector-wide improvements in cybersecurity protections. The NCCoE, together with its stakeholders, is undertaking this project to identify and demonstrate cybersecurity solutions for the sector.  The project will build on existing sector guidance to provide information for the direct implementation of readily available commercial solutions towards the most pressing cybersecurity challenges faced by sector utilities.	上下水道システムの関係者間では、重要インフラの保護を支援するために、サイバーセキュリティの実装に関する追加的な参考資料が必要であるとの一般的な意見があるようである。ネットワークベースのアプローチの進歩は、サイバー脅威の継続的な増加とともに、サイバーセキュリティ保護におけるセクター全体の改善の必要性にメリットをもたらする。NCCoEは、その利害関係者とともに、このセクターのためのサイバーセキュリティ・ソリューションを特定し、実証するために、このプロジェクトを実施している。 このプロジェクトは、既存のセクター・ガイダンスに基づいて、セクターのユーティリティ企業が直面する最も差し迫ったサイバーセキュリティの課題に対して、すぐに利用できる商用ソリューションを直接実施するための情報を提供するものである。
This project references efforts undertaken by Federal agencies to ensure the protection of water and wastewater providers. The Environmental Protection Agency (EPA) [1] in its role as the Sector Risk Management Specific Agency (SRMA) provides coordination in responding to cyber incidents and support in the form of tools, exercises, and technical assistance. The Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) [2] leads the efforts to protect assets, mitigate vulnerabilities, and reduce impacts from potential cyber incidents.	このプロジェクトは、上下水道事業者の保護を確保するために連邦機関が行っている取り組みを参照している。環境保護庁（EPA）[1]は、セクターリスク管理特定機関（SRMA）としての役割において、サイバー事件への対応における調整と、ツール、演習、および技術支援の形でのサポートを提供している。国土安全保障省（DHS）のサイバーセキュリティ及びインフラセキュリティ局（CISA）[2]は、資産の保護、脆弱性の緩和、潜在的なサイバー事件からの影響の軽減のための取り組みを主導している。
WWS organizations have also contributed to sector awareness and capacity building. The American Water Works Association (AWWA) provides resources and guidance for aiding water systems in evaluating cybersecurity risks. The AWWA Cybersecurity Assessment Tool and Guidance, referenced herewith, assists utilities in identifying exposure to cyber risks, setting priorities, and executing appropriate and proactive cybersecurity strategies in support of Section	上下水道システムの組織もまた、セクターの認識と能力開発に貢献している。米国水道協会（AWWA）は、水道システムのサイバーセキュリティリスクの評価を支援するためのリソースとガイダンスを提供している。米国水道協会サイバーセキュリティ評価ツールおよびガイダンスは、公益事業者がサイバーリスクにさらされていることを特定し、優先順位を設定し、適切かつプロアクティブなサイバーセキュリティ戦略を実行することを支援するもので、本書で参照されている。
2013 of America’s Water Infrastructure Act of 2018 (AWIA) [3]. Additionally, the Water Environment Federation (WEF) leads the effort among wastewater utilities and is providing guidance and information in the identification of sector needs and priorities [4]. The Water Information Sharing and Analysis Center (WaterISAC) is an all-threats security information source for the water and wastewater sector, providing invaluable information and resources to the WSS sector including the “15 Cybersecurity Fundamentals for Water and Wastewater Utilities.” [5]	2013 of America's Water Infrastructure Act of 2018 (AWIA)[3]をサポートしている。さらに、水環境連盟（WEF）は、下水道事業者間の取り組みを主導し、セクターのニーズと優先事項の特定におけるガイダンスと情報を提供している[4]。Water Information Sharing and Analysis Center（WaterISAC）は、上下水道セクターのための全脅威のセキュリティ情報源であり、「上下水道事業のためのサイバーセキュリティの基礎」を含む上下水道システムセクターへの貴重な情報とリソースを提供している。

 

・APPENDIX A   REFERENCES

1. United States Environmental Protection Agency (EPA), The Sources and Solutions: Wastewater. Available: https://www.epa.gov/nutrientpollution/sources-and-solutionswastewater.
2. Cybersecurity and Infrastructure Security Agency (CISA), National Critical Functions— Supply Water and Manage Wastewater. Available: https://www.cisa.gov/ncf-water.
   
3. Summary 3021, America's Water Infrastructure Act of 2018, Available: https://www.congress.gov/115/bills/s3021/BILLS-115s3021enr.pdf. 
   
   
4. Arceneaux and L. McFadden, The State of Cybersecurity in the Water Sector. Water Environment Technology, January, 2022. Available: https://www.waterenvironmenttechnology-digital.com/waterenvironmenttechnology/january_2022/MobilePagedArticle.action?art icleId=1753528#articleId1753528. 
   
   
5. Water Information Sharing and Analysis Center (ISAC), 15 Cybersecurity Fundamentals for Water and Wastewater Utilities. 2019. Available: https://www.waterisac.org/system/files/articles/15%20Cybersecurity%20Fundamentals %20%28WaterISAC%29.pdf.