NIST NISTIR 8323 Rev. 1 基礎的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用 (2023.01.31)
こんにちは、丸山満彦です。
NISTが、「NISTIR 8323 Rev. 1 基礎的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用」を公表していましたね。。。昨年6月末にパブコメに出されてたものがまとまったという感じですかね。。。
これは、大統領令 13905 「測位・航法・計時サービスの責任ある使用による国家レジリエンスの強化」により、5年以内の見直しが求められているわけですが、その見直しという感じですかね。。。
● NIST - ITL
ニュース
| NIST Revises the Foundational PNT Profile for Positioning, Navigation, and Timing (PNT) Services: NIST IR 8323r1 | NISTは測位・航法・計時(PNT)サービスのための基礎的なPNTプロファイルを改訂。NIST IR 8323r1 |
| Today, NIST is publishing NIST IR 8323r1, Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services. This revises the original Foundational PNT Profile that was released in February 2021. | 本日、NISTは、NIST IR 8323r1「基礎的なPNTプロファイル」を発行します。測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用」を発行した。これは、2021年2月にリリースされたオリジナルの基礎的なPNTプロファイルを改訂するものである。 |
| This project is part of NIST’s response to the February 12, 2020, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing Services. The EO notes that “the widespread adoption of PNT services means disruption or manipulation of these services could adversely affect U.S. national and economic security. To strengthen national resilience, the Federal Government must foster the responsible use of PNT services by critical infrastructure owners and operators.” The Order also calls for updates to the profile every two years or on an as-needed basis. | このプロジェクトは、2020年2月12日の大統領令(EO)13905「測位・航法・計時サービスの責任ある使用による国家レジリエンスの強化」へのNISTの対応の一部である。 EOは、PNTサービスが広く採用されていることは、これらのサービスの中断や操作が米国の国家および経済の安全保障に悪影響を及ぼす可能性があることを意味する」と指摘している。国家のレジリエンスを強化するために、連邦政府は、重要なインフラの所有者とオペレータによるPNTサービスの責任ある使用を促進しなければならない。また、この命令は、2年ごとまたは必要に応じてプロファイルを更新することを求めている。 |
| Based on NIST’s interaction with public and private sector stakeholders and their efforts to create “sector-specific” profiles, it was decided to create Revision 1. | NISTは、公共および民間セクターの利害関係者との交流と、「セクター別」プロファイルを作成するための努力に基づき、改訂第1版を作成することを決定した。 |
| No substantive changes were made to the original Foundational PNT Profile; NIST only sought comments on the changes made in this revision. Among the most noteworthy are: | オリジナルのFoundational PNT Profileに実質的な変更はなく、NISTはこの改訂版での変更点についてのみコメントを求めている。中でも注目すべきは |
| ・The addition of five new Cybersecurity Framework (CSF) subcategories | ・サイバーセキュリティフレームワーク(CSF)のサブカテゴリを新たに5つ追加したこと |
| ・The addition of two appendices; Appendix D; Applying the PNT Profile to Cybersecurity Risk Management, and Appendix E; Organization Specific PNT Profiles. | ・附属書D「サイバーセキュリティリスクマネジメントへのPNTプロファイルの適用」と附属書E「組織固有のPNTプロファイル」を追加したこと。 |
| See the publication details for a copy of the profile and link to the comments received. All revision 1 changes are captured in Table 26: “Change Log” for easy reference to reviewers. | プロファイルのコピーと寄せられたコメントへのリンクは、出版物の詳細を参照のこと。改訂1のすべての変更点は、表26にまとめられている。「変更履歴」は、査読者が容易に参照できるようにするためである。 |
| RELATED TOPICS | 関連するトピック |
| Security and Privacy: general security & privacy, risk management | セキュリティとプライバシー: 一般的なセキュリティとプライバシー、リスクマネジメント |
| Applications: cybersecurity framework, positioning navigation & timing | アプリケーション:サイバーセキュリティフレームワーク、測位・航法・計時 |
| Laws and Regulations: Executive Order 13905 | 法律と規制 大統領令13905 |
| RELATED PAGES | 関連ページ |
| News Item: NIST IR 8323r1 ipd Available for Comment | ニュースアイテム:NIST IR 8323r1 ipd コメント募集中 |
| NISTIR 8323 Rev. 1 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services | NISTIR 8323 Rev. 1 基礎的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用 |
| Abstract | 概要 |
| The national and economic security of the United States (U.S.) is dependent upon the reliable functioning of the nation’s critical infrastructure. Positioning, Navigation, and Timing (PNT) services are widely deployed throughout this infrastructure. In a government-wide effort to mitigate the potential impacts of a PNT disruption or manipulation, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services, was issued on February 12, 2020. The National Institute of Standards and Technology (NIST), as part of the Department of Commerce (DoC), produced this voluntary PNT Profile in response to Sec.4 Implementation (a), as detailed in the EO. The PNT Profile was created by using the NIST Cybersecurity Framework and can be used as part of a risk management program to help organizations manage risks to systems, networks, and assets that use PNT services. The PNT Profile is intended to be broadly applicable and can serve as a foundation for the development of sector-specific guidance. This PNT Profile provides a flexible framework for users of PNT to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. | 米国(U.S.)の国家および経済の安全保障は、国家の重要なインフラストラクチャが確実に機能することに依存している。測位・航法・計時(PNT)サービスは、このインフラ全体に広く展開されている。PNTの中断や操作による潜在的な影響を軽減するための政府全体の取り組みとして、2020年2月12日に大統領令(EO)13905「測位・航法・計時サービスの責任ある使用による国家レジリエンスの強化」が発令された。商務省(DoC)の一部である国立標準技術研究所(NIST)は、EOに詳述されている Sec.4 Implementation (a) に対応して、この任意のPNTプロファイルを作成した。PNTプロファイルは、NISTサイバーセキュリティフレームワークを使用して作成され、組織がPNTサービスを使用するシステム、ネットワーク、および資産に対するリスクを管理するためのリスクマネジメントプログラムの一部として使用することができる。PNTプロファイルは、広く適用されることを意図しており、セクター固有のガイダンスを開発するための基礎として機能することができる。このPNTプロファイルは、PNTの利用者が、自然、製造、意図的、または意図的でない混乱や操作の影響を受けやすいPNT信号とデータを形成し、使用する際のリスクを管理するための柔軟な枠組みを提供する。 |
報告書
・[PDF]
エグゼクティブサマリー
| Executive Summary | エグゼクティブサマリー |
| Executive Order 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing (PNT) Services, was issued on February 12, 2020 [EO13905]. It seeks to protect the national and economic security of the United States from the disruption or manipulation of systems that form or use PNT data and information vital to the functioning of U.S. critical infrastructure and technology-based industries. The Executive Order (EO) directs the Department of Commerce to develop a PNT Profile that will address the four components of responsible use of PNT, as stated in the EO: | 大統領令13905「測位・航法・計時(PNT)サービスの責任ある利用による国家レジリエンスの強化」は、2020年2月12日に発令された[EO13905]。これは、米国の重要インフラや技術系産業の機能に不可欠なPNTデータおよび情報を形成または使用するシステムの混乱や操作から、米国の国家および経済の安全を保護することを目的としている。この大統領令(EO)は、商務省に、EOに記載されているPNTの責任ある使用の4つの要素に対応するPNTプロファイルを開発するよう指示している。 |
| 1. Identify systems that use or form PNT data. | 1. PNTデータを使用または形成するシステムを特定する。 |
| 2. Identify PNT data sources. | 2. PNTデータソースを特定する。 |
| 3. Detect disruption and manipulation of the systems that form or use PNT services and data. | 3. PNT サービスとデータを形成または使用するシステムの混乱と操作を検出する。 |
| 4. Manage risk regarding responsible use of these systems. | 4. これらのシステムの責任ある使用に関するリスクをマネジメントする。 |
| The PNT Profile provides a flexible framework for users of PNT services to manage risks when forming or using PNT signals or data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. It was created by applying the NIST Cybersecurity Framework (CSF) [NIST-CSF] and can be applied to all organizations that use PNT services, irrespective of the level of familiarity or knowledge that they have with the NIST CSF. Organizations that have fully or partially adopted, or who have not adopted the NIST CSF can benefit. | PNTプロファイルは、PNTサービスの利用者がPNT信号やデータを形成または使用する際のリスクを管理するための柔軟な枠組みを提供するもので、自然、製造、意図的、または非意図的な混乱や操作の影響を受けやすい。これは、NISTサイバーセキュリティ・フレームワーク(CSF)[NIST-CSF]を適用して作成され、NIST CSFへの親しみや知識のレベルに関係なく、PNTサービスを使用するすべての組織に適用することができる。NIST CSFを全面的または部分的に採用している組織、あるいは採用していない組織も恩恵を受けることができる。 |
| The PNT Profile is voluntary and does not: constitute regulations, define mandatory practices, provide a checklist for compliance, or carry statutory authority. It is intended to be a foundational set of guidelines. Sector-specific agencies (SSAs) and entities may wish to augment or further develop their own PNT cybersecurity efforts via full or partial implementation of the recommended practices in this document. Any implementation of its recommendations will not necessarily protect organizations from all PNT disruption or manipulation. Each organization is encouraged to make their risk management decisions in the context of their own cyber ecosystem, architecture, and components. The PNT Profile’s strategic focus is to supplement preexisting resilience measures and elevate the postures of less mature initiatives. | PNTプロファイルは任意であり、規制を構成するものでも、必須の業務を定義するものでも、準拠のためのチェックリストを提供するものでも、法的権限を有するものでもない。これは、基礎となる一連のガイドラインとなることを意図している。セクター別機関(SSA)および事業体は、本文書の推奨事項の全部または一部を実施することにより、自らのPNTサイバーセキュリティの取り組みを補強し、またはさらに発展させることを希望することができる。この推奨事項を実施しても、必ずしもすべてのPNTの破壊や操作から組織を保護することはできない。各組織は、自らのサイバーエコシステム、アーキテクチャ、構成要素との関連において、リスクマネジメントの決定を行うことが推奨される。PNTプロファイルの戦略的な焦点は、既存のレジリエンス対策を補完し、成熟度の低い取り組みの姿勢を向上させることにある。 |
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Objectives | 1.1. 目的及び目標 |
| 1.2. Scope | 1.2. 対象範囲 |
| 1.3. Audience | 1.3. 対象者 |
| 2. Intended Use | 2. 使用目的 |
| 3. Overview | 3. 概要 |
| 3.1. Risk Management Overview | 3.1. リスクマネジメントの概要 |
| 3.2. Cybersecurity Framework Overview | 3.2. サイバーセキュリティフレームワークの概要 |
| 4 The PNT Profile | 4 PNTプロファイル |
| 4.1. Identify Function | 4.1. 識別機能 |
| 4.1.1. Asset Management Category | 4.1.1. 資産管理カテゴリ |
| 4.1.2. Business Environment Category | 4.1.2. 事業環境カテゴリー |
| 4.1.3. Governance Category | 4.1.3. ガバナンス・カテゴリー |
| 4.1.4. Risk Assessment Category | 4.1.4. リスクアセスメント・カテゴリー |
| 4.1.5. Risk Management Strategy | 4.1.5. リスクマネジメント戦略 |
| 4.1.6. Supply Chain Risk Management Category | 4.1.6. サプライチェーンリスクマネジメント・カテゴリー |
| 4.2. Protect Function | 4.2. 防御機能 |
| 4.2.1. Access Control Category | 4.2.1. アクセス制御カテゴリ |
| 4.2.2. Awareness and Training Category | 4.2.2. 意識向上及びトレーニング・カテゴリー |
| 4.2.3. Data Security Category | 4.2.3. データセキュリティ・カテゴリー |
| 4.2.4. Information Protection Processes and Procedures Category | 4.2.4. 情報を保護するためのプロセス及び手順カテゴリー |
| 4.2.5. Maintenance Category | 4.2.5. 保守カテゴリ |
| 4.2.6. Protective Technology Category | 4.2.6. 保護技術カテゴリー |
| 4.3. Detect Function | 4.3. 検知機能 |
| 4.3.1. Anomalies and Events Category | 4.3.1. 異常とイベント・カテゴリー |
| 4.3.2. Security Continuous Monitoring Category | 4.3.2. セキュリティの継続的なモニタリング・カテゴリ |
| 4.3.3. Detection Processes Category | 4.3.3. 検知プロセス・カテゴリー |
| 4.4. Respond Function | 4.4. 対応機能 |
| 4.4.1. Response Planning Category | 4.4.1. 対応計画カテゴリー |
| 4.4.2. Communications Category | 4.4.2. コミュニケーション・カテゴリー |
| 4.4.3. Analysis Category | 4.4.3. 分析カテゴリー |
| 4.4.4. Mitigation Category | 4.4.4. 低減カテゴリー |
| 4.4.5. Improvements Category | 4.4.5. 改善カテゴリー |
| 3.4. Recover Function | 3.4. 復旧機能 |
| 4.5.1. Recovery Planning Category | 4.5.1. 復旧計画カテゴリー |
| 4.5.2. Improvements Category | 4.5.2. 改善カテゴリー |
| 4.5.3. Communications Category | 4.5.3. コミュニケーション・カテゴリー |
| References | 参考文献 |
| Appendix A. Selected Bibliography | 附属書A. 主な参考文献 |
| Appendix B. List of Symbols, Abbreviations, and Acronyms | 附属書B. 記号・略語・頭字語の一覧表 |
| Appendix C. Glossary | 附属書C. 用語集 |
| Appendix D. Applying the PNT Profile to Cybersecurity Risk Management | 附属書D. PNTプロファイルのサイバーセキュリティリスクマネジメントへの適用 |
| Appendix E. Organization-Specific PNT Profiles | 附属書E.組織別PNTプロファイル |
| Appendix F. Change Log | 附属書F. 変更履歴 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)
・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用
・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。
Comments