英国 NCSC 原則に基づく保証（PBA） (2023.04.17)

こんにちは、丸山満彦です。

英国が原則に基づく技術保証の制度を考えているようですね。。。

 

⚫︎U.K. NCSC 

・2023.04.17 Principles Based Assurance (PBA)

 

Principles Based Assurance (PBA)	原則に基づく保証（PBA）
Helping customers gain confidence that products are resilient to cyber attack.	サイバー攻撃に強い製品であることを利用者に確信してもらう。
ON THIS PAGE	このページでは
1.What is Principles Based Assurance (PBA) and how will it help you ?	1.原則に基づく保証 (PBA) とは何か？
2.What technology is PBA for ?	2.PBAはどのような技術に対応するのか？
3.When will PBA be available ?	3.PBAはいつから利用できるのか？
4.What will PBA look like ?	4.PBAはどのようなものか？
5.Assurance, Principles & Claims (APCs)	5.保証、原則、クレーム(APC)
6.Who does the assessment ?	6.誰が評価するのか？
7.Being able to make the right decision	7.正しい判断ができるようになる
What is Principles Based Assurance (PBA) and how will it help you ?	1.原則に基づく保証 (PBA) とは何か？
At NCSC we are building Principles Based Assurance (PBA) to help our customers gain confidence that the technology they use every day is making them more resilient rather than more vulnerable to a cyber attack.	NCSCでは、顧客が毎日使っている技術がサイバー攻撃に対して脆弱になるのではなく、より強靭になるという確信を得られるよう、原則に基づく保証（PBA）を構築している。
NCSC focuses its ‘hands on’ assurance effort on those technologies and customers that face the highest threats. Given how vast and connected the technology landscape is now, and how rapidly it is evolving, we recognise that there’s currently a gap in a UK capability to provide a trusted, accessible independent assessment of technology against the scaled threat model.	NCSCは、最も高い脅威に直面している技術や顧客に対して、「実地」での保証の取り組みに重点を置いている。現在、テクノロジー環境は非常に広大で、つながっており、急速に進化しているため、スケールされた脅威モデルに対して、信頼できる、アクセス可能な独立したテクノロジーの評価を提供する英国の能力には、現在ギャップがあることを認識している。
To plug this gap, we are building Principles Based Assurance, an NCSC framework for assurance best practice that we are planning to be scaled through industry partners to provide a consistent, accessible UK assurance service.	このギャップを埋めるために、我々はNCSCの保証のベストプラクティスのためのフレームワークである原則に基づく保証を構築しており、業界のパートナーを通じて拡張し、一貫性のあるアクセス可能な英国の保証サービスを提供することを計画している。
What technology is PBA for ?	2.PBAはどのような技術に対応するのか？
We’re not just looking at the functionality of security products, like firewalls or VPNs. Given how connected technology is now (to both other technology and people), we must include products (including software) whose primary function is not security, but a compromise of which would cause a significant impact.	ファイアウォールやVPNのようなセキュリティ製品の機能性だけに注目しているわけではない。現在、テクノロジーが（他のテクノロジーや人と）いかにつながっているかを考えると、セキュリティが主な機能ではないものの、その侵害が重大な影響を及ぼす製品（ソフトウェアを含む）も含まなければならない。
We need to be able to consider different threat models the system needs to be resilient to. Critical National Infrastructure (CNI), defence and intelligence contexts are likely going to be up against attackers with significant resources, skill, and time, working in a targeted way. This is a different threat to attackers who leverage readily available tools and public vulnerabilities in a spontaneous and scaled way.	システムが耐性を持つ必要のあるさまざまな脅威モデルを考慮できるようにする必要がある。重要な国家インフラ（CNI）、防衛、情報の分野では、大規模なリソース、スキル、時間を持ち、標的を定めて活動する攻撃者に直面する可能性がある。これは、容易に入手できるツールや公開されている脆弱性を自発的かつ大規模に活用する攻撃者とは異なる脅威である。
For many customers, gaining confidence that the technology they’re using is resilient to this latter threat model is all they require. If we come up with an approach that tries to make all technology resilient against the former model then timescales will extend, costs will rocket, and choice will vanish.	多くの顧客にとっては、自分たちが使っているテクノロジーがこの後者の脅威モデルに強いという確信を得ることができれば、それだけで十分なのである。もし、すべての技術を前者の脅威に耐えられるようにしようとするアプローチをとれば、タイムスケールは延び、コストは跳ね上がり、選択肢はなくなってしまうでしょう。
When will PBA be available ?	3.PBAはいつから利用できるのか？
Creating PBA can be thought of as a three-layered process.	PBAの作成は、3つの層からなるプロセスとして考えることができる。
The first, foundational, layer is the philosophy of a risk-based rather than a compliance-driven approach. The second stage is developing a consistent method that can be followed, along with documentation and templates to be used. The final stage is how the method can be deployed and accessed as a service in the marketplace by both vendors and buyers in a consistent and trusted way.	第1段階は、コンプライアンス重視のアプローチではなく、リスク重視のアプローチという哲学を基礎とすることである。第2段階は、使用する文書やテンプレートとともに、それに従うことができる一貫した方法を開発することである。最終段階は、ベンダーとバイヤーの両方が一貫した信頼できる方法で、その方法を市場にサービスとして展開し、アクセスできるようにする方法である。
Service	サービス
PBA needs to be accessed by both vendors and buyers in a consistent way both through trusted industry services to provide independent assessment, capability, or through the NCSC website.	PBAは、ベンダーとバイヤーの両方が、独立した評価、能力を提供する信頼できる業界サービス、またはNCSCのウェブサイトを通じて、一貫した方法でアクセスする必要がある。
Method	方法
PBA needs a well-structured approach that both enables vendors to demonstrate evidence against it and provides consistency in the way in which industry and government deploy it as a scheme or service. It is defined by a framework, documentation and technical standards approved by the NCSC.	PBAは、ベンダーがその根拠を示すことができ、産業界や政府がスキームやサービスとして展開する方法に一貫性を持たせる、構造化されたアプローチが必要である。PBAは、NCSCによって承認されたフレームワーク、文書、技術標準によって定義されている。
Philosophy	哲学
PBA is an assurance philosophy stretching across the whole customer spectrum. It promotes a more adaptable and holistic, threat-first approach. with understandable outputs that help people to make risk-based decisions. More detail on this aspect is in the White Paper.	PBAは、顧客の全領域に及ぶ保証の哲学である。PBAは、より適応性が高く、全体的で、脅威を第一に考えたアプローチを促進するものであり、人々がリスクベースの意思決定をするのに役立つ理解しやすいアウトプットを提供する。この点に関する詳細は、ホワイトペーパーに記載されている。
The NCSC will be publishing the PBA method, when it is available, so that people can start using it.	NCSCは、PBAの手法が利用可能になった時点で、人々が利用を開始できるように公開する予定である。
Work is about to begin on the Service layer, to design a way to scale the PBA philosophy and method through Industry partners. By next year we plan to have an embryonic network of approved Cyber Resilience Test Facilities.	サービス層については、PBAの理念と手法を産業界のパートナーを通じて拡張する方法を設計するための作業を開始しようとしているところである。来年までには、承認されたサイバー・レジリエンス試験施設のネットワークの胎動が始まる予定である。
What will PBA look like ?	4.PBAはどのようなものか？
On our Technology Assurance section of the website, you will find our Core Technology Assurance Principles. These principles describe the security outcomes that we’d look to assess against to gain confidence in any product. They are divided into three pillars:	ウェブサイトの「技術保証」セクションには、「技術保証の基本原則」が掲載されている。この原則は、あらゆる製品の信頼性を高めるために、私たちが評価すべきセキュリティの成果を示している。この原則は、3つの柱に分かれている：
Development	開発
an assessment of the security of the vendor and where appropriate this would include the security of the development environment. Find out more about the 7 principles underpinning the development of secure products.	ベンダーのセキュリティの評価、適切な場合は開発環境のセキュリティも含まれます。セキュアな製品開発を支える7つの原則の詳細については、こちら。
Design & functionality	設計と機能性
an assessment of the resilience of the product to cyber attack and the efficacy of any security functionality. Find out more about the 6 principles for design and functionality.	サイバー攻撃に対する製品の耐性を評価し、セキュリティ機能の有効性を評価すること。設計と機能の6原則の詳細はこちら。
Through-life	スルーライフ
an assessment of how well the security of the product or service will be maintained during its operational lifetime. Find out more about the 5 principles for maintaining a product's security through all stages of its life-cycle.	製品またはサービスのセキュリティが、その運用期間中にどの程度維持されるかを評価するものである。製品のライフサイクルのあらゆる段階を通じてセキュリティを維持するための5つの原則についての詳細はこちら。
Assurance, Principles & Claims (APCs)	5.保証、原則、クレーム(APC)
To enable people to evidence and assess against these principles in a consistent way, we are generating a set of new artefacts called Assurance, Principles & Claims (APCs).	これらの原則を一貫した方法で証明し、評価できるようにするために、私たちは「保証、原則、主張（APC）」と呼ばれる一連の新しい成果物を生成している。
An APC will restructure a set of already published security or assurance principles, formalising the language, and illustrating each individual principle with a set of ideal-scenario claims that, if met, means the technology solution is achieving what the principle intends.	APCは、既に公開されているセキュリティや保証の原則を再構築し、言語を形式化し、個々の原則を理想的なシナリオの主張で説明するもので、この主張が満たされれば、技術ソリューションが原則の意図することを達成していることを意味する。
It is based on Claims, Argument, Evidence (CAE) approaches used for safety assurance, tailored for cyber security assurance. Full technical specifications for this approach will be published by NCSC, but we can illustrate the concepts with this simple flow:	これは、安全保証に用いられる主張、議論、証拠（CAE）アプローチに基づき、サイバーセキュリティ保証のために調整されたものである。このアプローチの完全な技術仕様はNCSCによって公開される予定であるが、この簡単なフローで概念を説明することができる：
Claim	主張
A claim is a true/false statement about a property of a particular object. A claim is exactly what you might consider it to be from common usage of the term; an idea that someone is trying to convince somebody else is true. As an example a product may intend to be able to recover itself from compromise, leading to a claim such as “The Product protects itself from persistent compromise”	主張とは、特定のオブジェクトの特性に関する真偽を示す文のことである。クレームとは、一般的な用語の使い方から想像できるように、誰かが他の誰かに真実であると信じさせようとする考えである。例えば、ある製品は妥協から自己回復できることを意図しており、"本製品は持続的な侵害から自らを保護する "のような主張を導き出すことができるかもしれない。
Argument	論証
An argument is a rule that provides the bridge between what we know or are assuming (sub-claims, evidence) and the top level claim we are investigating. In the example above an argument would begin this bridging by breaking down the claim we are making into a number of sub-claims that are more easily evidenced; one example would be to decompose the claim into sub-claims that describe the what the term “protect” means, such as “The product detects and acts on compromise within 2 seconds” and “When compromise is detected the device stops operating”.	議論とは、私たちが知っていることや想定していること（サブクレーム、証拠）と、私たちが調査しているトップレベルの主張との間の橋渡しをするルールである。上記の例では、論証は、私たちが主張することを、より簡単に証拠となるいくつかのサブクレームに分解することによって、この橋渡しを開始することになる； 例えば、「製品は2秒以内に侵害を検知して対処する」「侵害が検知されるとデバイスは動作を停止する」など、「保護する」という用語の意味を説明するサブクレームにクレームを分解することが挙げられる。
Evidence	証拠
Evidence is an artefact that establishes facts that can be trusted and lead directly to a claim (via an argument). There can be many sources of information but what makes one evidence is the support or rebuttal of a claim. To continue the example the sub-claims described could be evidenced by an independent test facility deliberately launching various forms of compromise against a device and observing the time until the device responds, and the operational state of the device upon that response.	証拠とは、信頼できる事実を立証し、（議論を経て）主張に直接つながる人工物である。情報源はたくさんあるが、証拠となるのは、主張の裏付けや反証となるものである。この例を続けると、独立した試験施設が、ある機器に対して意図的に様々な形態の侵害行為を行い、その機器が応答するまでの時間や、応答した際の機器の動作状態を観察することで、記載したサブクレームを証明することができる。
For particular technology classes, where there is an identified need, bespoke APCs will be created. The NCSC will host the whole portfolio of APC documents on its website, so that vendors and customers can access both core APCs and the bespoke APCs according to their needs.	特定の技術クラスについて、必要性が確認された場合、特注のAPCが作成される予定である。NCSCは、APC文書の全ポートフォリオをウェブサイトで公開し、ベンダーと顧客がニーズに応じてコアAPCとカスタムAPCの両方にアクセスできるようにする。
Who does the assessment ?	6.誰が評価するのか？
How much confidence you need in the assessment of the product will probably depend on the impact of something going wrong.	製品のアセスメントにどれだけの信頼性が必要かは、おそらく何か問題が発生した場合の影響に依存する。
If the criticality of a product is high or you don’t have the skills to do the assessment yourself, then an independent assessment might be a more appropriate route to gaining confidence in a product’s cyber resilience. If the impact would be less serious, then a self-assertion against the relevant APC document by the vendor may be sufficient (and less costly).	製品の重要性が高い場合、または自分で評価を行うスキルがない場合は、製品のサイバー耐性を信頼するために独立した評価を行うことがより適切な方法である場合がある。影響がそれほど大きくない場合は、ベンダーが関連する APC 文書に対して自己アサーションを行うことで十分な場合がある（コストもかからない）。
PBA enables flexibility in the route chosen to gain confidence, but consistency and structure for the outcomes and evidence that need to be demonstrated.	PBA は、信頼性を得るために選択する経路に柔軟性を持たせるが、実証する必要のある結果と証拠に一貫性と構造を持たせる。
Being able to make the right decision	7.正しい判断ができるようになる
Ultimately, PBA needs to enable a customer to make an informed decision about whether to buy the product or how to integrate it into their system in a secure way. The outputs should be usable and accessible by all kinds of customers, many of whom will not be security experts.	最終的に、PBA は、顧客が製品を購入するかどうか、または安全な方法でシステムに統合する方法について、情報に基づいた決定を下すことができるようにする必要がある。出力は、あらゆる種類の顧客（その多くはセキュリティの専門家ではない）が使用でき、アクセスできるものでなければならない。
A PBA Assurance Statement (from an independent assessment) will shine a light on what cyber security properties a product has, and how this impacts the risks of the system it’s integrated into.	PBA保証書（独立した評価による）は、製品がどのようなサイバーセキュリティ特性を持ち、それが統合されるシステムのリスクにどのように影響するかを明らかにするものである。

 

インフォグラフィック

・[PDF]

 

Guidance

・Technology assurance

Technology assurance	技術保証
The future of Technology Assurance in the UK	英国におけるテクノロジー・アシュアランスの未来
White paper: The future of NCSC Technology Assurance	ホワイトペーパー NCSCテクノロジーアシュアランスの将来
The audience for technology assurance	技術保証についての想定読者
What is technology assurance?	技術保証とは何か？
The current state of technology assurance	技術保証の現状
Why technology assurance in the UK needs to change	英国の技術保証はなぜ変わらなければならないのか
Developing a new approach to assurance	保証のための新しいアプローチを開発する
Objectives of Principles Based Assurance (PBA)	原則に基づく保証（PBA）の目的
Building a dynamic assurance model	動的保証モデルの構築
Success criteria	成功の基準
Summary	概要
Principles and how they can help us with assurance	原則とそれが保証にどのように役立つのか
Principles: Product development	プリンシプル：商品開発
1. Design for user need	1. ユーザーニーズに応えるデザイン
2. Enable your developers	2. デベロッパーを有効にする
3. Manage your supply chain risk	3. サプライチェーン・リスクの管理
4. Secure your development environment	4. 開発環境の安全性の確保
5. Review and test frequently	5. レビューと頻繁なテスト
6. Manage change effectively	6. 変化の効果的な管理
7. Build for through-life	7. スルーライフのための構築
Principles: Product design and functionality	プリンシプル：製品のデザイン・機能性
1. Usability of the product	1. 製品のユーザビリティ
2. Only authorised users should have access to data and functionality	2. データおよび機能へのアクセスは、許可されたユーザーのみが可能であること
3. Protect sensitive data in transit	3. 移送中の機密データの保護
4. Maintain the integrity of a product and any sensitive data held on it	4. 製品および製品に含まれる機密データの整合性の維持
5. Protect against compromise from connected technology	5. コネクテッドテクノロジーからの侵害から守る
6. Security events should be logged and monitored	6. セキュリティイベントはログに記録し、監視する
Principles: Through-life	プリンシプル：スルーライフ
1. Enable people to manage their risks	1. 人々が自分のリスクを管理できるようにすること
2. Protect the product from unauthorised access	2. 不正なアクセスからの製品保護
3. Monitor services used by a product	3. 製品が使用するサービスの監視
4. Review and improve the security offered by a product	4. 製品が提供するセキュリティの見直しと改善
5. Be prepared to respond to external events	5. 外的事象に対応できるよう準備すること
Principles Based Assurance (PBA)	原則に基づく保証 (PBA)