NIST SP 1800-34 コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です

NISTが、SP 1800-34 コンピューティングデバイスの完全性の検証を公表していますね。。。

6月に公表し、意見募集をしたドラフトが確定版になったということですね。。。

 

● NIST - ITL

・2022.12.09 SP 1800-34 Validating the Integrity of Computing Devices

 

SP 1800-34 Validating the Integrity of Computing Devices	SP 1800-34 コンピューティングデバイスの整合性の検証
Abstract	概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide describes the work performed to build and test the full solution.	組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクをマネジメントするためには、サイバーサプライチェーンとその製品・サービスの完全性を確保することが必要である。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証している。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。この NIST サイバーセキュリティ実践ガイドは、完全なソリューションを構築し、テストするために実施した作業について説明している。

 

・[PDF] SP 1800-34 (DOI)

 

Executive Summary	エグゼクティブサマリー
The supply chains of information and communications technologies are increasingly at risk of compromise. Additional risks causing supply chain disruptions include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components and system firmware of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing, distribution, or operational use.	情報通信技術のサプライチェーンは、ますます侵害の危険にさらされている。サプライチェーンの途絶を引き起こすその他のリスクには、偽造、不正生産、改ざん、盗難、予期しないソフトウェアやハードウェアの挿入などがある。これらのリスクをマネジメントするためには、サプライチェーンとその製品・サービスの完全性を確保することが必要である。このプロジェクトは、組織が入手したコンピューティングデバイスの内部コンポーネントとシステムファームウェアが本物であり、製造、流通、または運用中に予期せぬ変更が行われていないことを確認する方法を実証している。
CHALLENGE	課題
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide highly refined, cost-effective, and reusable solutions. Most organizations’ security processes consider only the visible state of computing devices. The provenance and integrity of a delivered device and its components are typically accepted without validating through technology that there were no unexpected modifications. A delivered device has integrity if it is genuine and all changes to the device were authorized and expected. Provenance is the comprehensive history of a device throughout the entire life cycle from creation to ownership, including changes made within the device or its components.  Assuming without verification that all acquired computing devices are genuine and unmodified increases the risk that a compromise will affect products in an organization’s supply chain and go unnoticed at the time, which in turn increases risks to customers and end users.	今日のテクノロジーは、高度に洗練され、費用対効果が高く、再利用可能なソリューションを提供するために、複雑で、グローバルに分散し、相互接続されたサプライチェーンのエコシステムに依存している。ほとんどの組織のセキュリティプロセスでは、コンピューティングデバイスの目に見える状態のみを考慮している。納品されたデバイスとそのコンポーネントの出所と完全性は、通常、予期せぬ変更がなかったことを技術的に検証することなく受け入れられる。納品されたデバイスが本物で、そのデバイスに対するすべての変更が許可され、予期されたものである場合、そのデバイスには完全性がある。プロベナンスとは、デバイスまたはそのコンポーネント内で行われた変更を含む、作成から所有までのライフサイクル全体を通してのデバイスの包括的な履歴のことである。 入手したすべてのコンピューティングデバイスが本物で、変更されていないことを検証せずに仮定すると、侵害が組織のサプライチェーン内の製品に影響を与え、その時点では気付かれないというリスクが高まり、その結果、顧客とエンドユーザーに対するリスクも高まる。
Organizations currently lack the ability to cost effectively distinguish trustworthy products from others, meaning they are genuine and have not been inappropriately altered. Having this ability is a critical foundation of cyber supply chain risk management (C-SCRM). C-SCRM is the process of identifying, assessing, and mitigating risks associated with the distributed and interconnected nature of supply chains. C-SCRM presents challenges to many industries and sectors, requiring a coordinated set of technical and procedural controls to mitigate risks throughout the design, manufacturing, acquisition, provisioning, operations, and decommissioning stages of a product’s life.	組織は現在、信頼できる製品をコスト効率よく他と区別する能力、つまり、本物であり、不適切な変更が加えられていないことを見分ける能力を欠いている。この能力を持つことは、サイバー・サプライチェーン・リスクマネジメント（C-SCRM）の重要な基盤である。C-SCRMは、分散し相互接続されたサプライチェーンの性質に関連するリスクを特定、評価、および軽減するプロセスである。C-SCRM は、多くの産業や部門に課題をもたらし、製品の設計、製造、取得、供給、運用、廃 棄の各段階を通じてリスクを軽減するために、技術的・手続き的な管理の協調が必要とされる。
This practice guide can help your organization:	この実践ガイドは、あなたの組織を次のように支援する。
§ Avoid using untrustworthy technology components in your products	・信頼できない技術コンポーネントを製品に使用しないようにする
§ Enable your customers to readily verify that your products are genuine	・顧客が製品が本物であることを容易に確認できるようにする。
§ Prevent compromises of your own information and systems caused by acquiring and using compromised technology products	・危険なテクノロジー製品の入手や使用による、自社の情報・システムに対する侵害を防止する
SOLUTION	解決策
To address these challenges, the NCCoE collaborated with technology vendors to develop a prototype implementation in harmony with the National Initiative for Improving Cybersecurity in Supply Chains (NIICS), which emphasizes tools, technologies, and guidance focused on the developers and providers of technology. NIICS’ mission is to help organizations build, evaluate, and assess the cybersecurity of products and services in their supply chains. This project aligns with that mission by demonstrating how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been tampered with. This prototype relies on device vendors storing information within each device and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. By doing this, organizations can reduce the risk of compromise to products within their supply chains.	これらの課題に対処するため、NCCoEはテクノロジーベンダーと協力し、サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアティブ（NIICS）と調和するプロトタイプの実装を開発した。NIICSの使命は、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定するのを支援することである。このプロジェクトは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、改ざんされていないことを確認する方法を実証することで、このミッションに合致している。このプロトタイプは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。これにより、企業はサプライチェーン内の製品が危険にさらされるリスクを低減することができる。
In this approach, device vendors create an artifact within each device that securely binds the device’s attributes to the device’s identity. The customer who acquires the device can validate the artifact’s source and authenticity, then check the attributes stored in the artifact against the device’s actual attributes to ensure they match. A similar process can be used to periodically verify the integrity of computing devices while they are in use.	このアプローチでは、デバイスベンダーは、デバイスの属性とデバイスのアイデンティティを安全に結びつけるアーティファクトを各デバイス内に作成する。デバイスを購入した顧客は、アーティファクトの出所と真正性を検証し、アーティファクトに保存されている属性とデバイスの実際の属性を照合して、一致することを確認することができる。同様のプロセスを使用して、使用中のコンピューティングデバイスの整合性を定期的に検証することができる。
The authoritative source of information regarding the provenance and integrity of the components provides a strong basis for trust in a computing device. Hardware roots of trust are the foundation upon which the computing system’s trust model is built, forming the basis in hardware for providing one or more security-specific functions for the system. Incorporating hardware roots of trust into acquisition and lifecycle management processes enables organizations to achieve better visibility into supply chain attacks and to detect advanced persistent threats and other attacks. By leveraging hardware roots of trust capabilities as a computing device traverses the supply chain, we can maintain trust in the computing device throughout its operational lifecycle.	コンポーネントの出所と完全性に関する権威ある情報源は、コンピューティングデバイスを信頼するための強力な根拠となる。ハードウェアの信頼の根は、コンピューティングシステムの信頼モデルが構築される基盤であり、システムに1つまたは複数のセキュリティ固有の機能を提供するためのハードウェアにおける基礎を形成するものである。ハードウェアの信頼性の根を取得およびライフサイクル管理プロセスに組み込むことで、組織はサプライチェーンに対する攻撃の可視性を高め、高度な持続的脅威やその他の攻撃を検出することができる。コンピューティングデバイスがサプライチェーンを通過する際にハードウェアの roots of trust 機能を活用することで、その運用ライフサイクルを通じてコンピューティングデバイスの信頼を維持することができる。
This project addresses several processes, including:	このプロジェクトでは、以下のようないくつかのプロセスに取り組んでいる。
§ how to create verifiable descriptions of components and platforms, which may be done by original equipment manufacturers (OEMs), platform integrators, and even information technology (IT) departments;	・コンポーネントとプラットフォームに関する検証可能な記述を作成する方法（OEM、プラットフォームインテグレータ、IT部門が実施）。
§ how to verify devices and components within the single transaction between an OEM and a customer; and	・OEMと顧客との間の単一の取引において、どのようにデバイスとコンポーネントを検証するか。
§ how to verify devices and components at subsequent stages in the system lifecycle in the operational environment.	・運用環境におけるシステムライフサイクルの後続段階でのデバイスとコンポーネントの検証方法。
This project also demonstrates how to inspect the verification processes themselves.	このプロジェクトはまた、検証プロセス自体を検査する方法も実証している。
The following is a list of the project’s collaborators.	以下は、このプロジェクトの協力者のリストである。
Collaborator: Security Capability or Component	協力者：セキュリティ機能またはコンポーネント
Archer: Integrated Risk Management Platform, Incident Management, Integrating Data from Asset Discovery and Management and Security Information and Event Management (SIEM) Systems	Archer：統合リスクマネジメントプラットフォーム、インシデント管理、資産発見・管理およびセキュリティ情報・イベント管理（SIEM）システムからのデータ統合
Dell Technologies: Manufacturer, Platform Integrity Validation System	デル・テクノロジーズ：メーカー、プラットフォーム整合性検証システム
eclypsium: Platform Integrity Validation System	Eclypsium：プラットフォーム・インテグリティ・バリデーション・システム
hp: Manufacturer, Platform Integrity Validation System	hp: メーカー、プラットフォーム・インテグリティ検証システム
Hewlett Packard Enterprise: Manufacturer, Platform Integrity Validation System	ヒューレットパッカードエンタープライズ：メーカー、プラットフォーム・インテグリティ検証システム
IBM: Security Information and Event Management	IBM：セキュリティ情報およびイベント管理
Intel: Manufacturer, Platform Integrity Validation System	インテル：プラットフォーム・インテグリティ・バリデーション・システムのメーカー
National Security Agency: Certificate Authority, Platform Integrity Validation System	国家安全保障局：認証局、プラットフォーム・インテグリティ・バリデーション・システム
Seagate: Manufacturer, Platform Integrity Validation System	シーゲイト：製造元、プラットフォーム・インテグリティ検証システム
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization’s information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.	NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではない。組織の情報セキュリティ専門家は、既存のツールや IT システムインフラとの統合に最適な製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。

 

目次...

1  Summary	1 概要
1.1  Challenge	1.1 課題
1.2 Solution	1.2 解決策
1.3 Benefits	1.3 メリット
2  How to Use This Guide	2 このガイドの使い方
2.1 Typographic Conventions	2.1 タイポグラフィの規則
3 Approach	3 アプローチ
3.1  Audience	3.1 対象者
3.2  Scope	3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts	3.2.1 シナリオ1：検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing	3.2.2 シナリオ2：受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use	3.2.3 シナリオ3：使用時のコンポーネントの検証
3.3  Assumptions	3.3 前提条件
3.4  Risk Assessment	3.4 リスクアセスメント
3.4.1  Threats	3.4.1 脅威
3.4.2  Vulnerabilities	3.4.2 脆弱性
3.4.3  Risk	3.4.3 リスク
3.5  Security Control Map	3.5 セキュリティコントロールマップ
3.6 Technologies	3.6 技術
3.6.1 Trusted Computing Group	3.6.1 トラステッドコンピューティンググループ
4 Architecture	4 アーキテクチャ
4.1  Architecture Description	4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems	4.2 既存のエンタープライズIT管理システム
4.2.1  SIEM Tools	4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System	4.2.2 資産発見・管理システム
4.2.3  Configuration Management System	4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards	4.2.4 エンタープライズ・ダッシュボード
4.3  Supporting Platform Integrity Validation Systems	4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)24	4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局（HIRS ACA）24
4.3.2  Network Boot Services	4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System	4.3.3 Platform Manifest Correlation System (プラットフォームマニフェスト相関システム)
4.3.4  Eclypsium Analytic Platform	4.3.4 Eclypsium アナリティカルプラットフォーム
4.4  Computing Devices	4.4 コンピューティングデバイス
4.4.1  HP Inc	4.4.1 HP Inc.
4.4.2  Dell Technologies	4.4.2 デル・テクノロジー
4.4.3  Intel	4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE)	4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate	4.4.5 シーゲイト
5  Security Characteristic Analysis	5 セキュリティ特性分析
5.1  Assumptions and Limitations	5.1 前提条件と制限事項
5.2  Build Testing	5.2 ビルドテスト
5.2.1  Scenario 1	5.2.1 シナリオ1
5.2.2  Scenario 2	5.2.2 シナリオ2
5.2.3  Scenario 3	5.2.3 シナリオ3
5.3  Scenarios and Findings	5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC)	5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM)	5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC)	5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS)	5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM)	5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations	6 今後の構築に関する考察
Appendix A List of Acronyms	附属書 A 頭字語（英語）リスト
Appendix B References	附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams	附属書 C プロジェクトシナリオシーケンスダイアグラム

 

 

 

 

 

---

 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証（初期ドラフト）

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証（初期ドラフト）

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices （コンピューティングデバイスの完全性の検証）(Preliminary Draft)