NIST ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン
こんにちは、丸山満彦です。
NISTが、ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザインを公表していますね。。。
米国では、上下水道システムは重要インフラとなっており、Wateer ISACもあるわけですが、、、日本では上下水道は基本は地方自治体が提供しているのですが、どれほどの認識があり、対策がとられているのでしょうかね。。。
上下水道システム、(WWS) リファレンス・アーキテクチャ
● NIST - ITL
White Paper [Project Description] Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems | ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン |
Abstract | 概要 |
The U.S. Water and Wastewater Systems (WWS) sector has been undergoing a digital transformation. Many sector organizations are utilizing data-enabled capabilities to improve utility management, operations, and service delivery. The ongoing adoption of automation, sensors, data collection, network devices, and analytic software may also increase cybersecurity-related vulnerabilities and associated risks. | 米国の上下水道システム(WWS)セクターは、デジタル変革期を迎えている。このセクターの多くの組織は、ユーティリティの管理、運営、サービス提供を改善するために、データを活用した機能を利用している。自動化、センサー、データ収集、ネットワーク・デバイス、分析ソフトウェアの継続的な採用は、サイバーセキュリティ関連の脆弱性と関連リスクを増加させる可能性もある。 |
The NCCoE has undertaken a program to determine common scenarios for cybersecurity risks among WWS utilities. This project will profile several areas, including asset management, data integrity, remote access, and network segmentation. The NCCoE will also explore the utilization of existing commercially available products to mitigate and manage these risks. The findings can be used as a starting point by WWS utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide. | NCCoEは、WWS公益事業者間のサイバーセキュリティリスクの共通シナリオを決定するプログラムを実施している。このプロジェクトでは、資産管理、データ完全性、リモート・アクセス、ネットワーク・セグメンテーションを含むいくつかの分野のプロファイリングを行う。NCCoE はまた、これらのリスクを軽減・マネジメントするための既存の市販製品の活用についても検討する。調査結果は、WWSユーティリティがそれぞれの生産環境のサイバーセキュリティ・リスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する。 |
・[PDF] Project Description
・[DOCX] 仮訳
目次...
TABLE OF CONTENTS | 目次 |
1 Executive Summary | 1 エグゼクティブサマリー |
Purpose | 目的 |
Scope | 適用範囲 |
Assumptions | 前提条件 |
Challenges | 課題 |
Background | 背景 |
2 Scenarios | 2 シナリオ |
Scenario 1: Asset Management | シナリオ1:資産管理 |
Scenario 2: Data Integrity | シナリオ2:データの完全性 |
Scenario 3: Remote Access | シナリオ3:リモート・アクセス |
Scenario 4: Network Segmentation | シナリオ4:ネットワーク・セグメンテーション |
3 High-Level Architecture | 3 ハイレベル・アーキテクチャ |
Required Capabilities | 必要な能力 |
4 Relevant Standards and Guidance | 4 関連する標準とガイダンス |
5 Security Control Map | 5 セキュリティ・コントロール・マップ |
Appendix A References | 附属書 A 参考文献 |
Appendix B Acronyms and Abbreviations | 附属書B 頭字語および略語 |
1 EXECUTIVE SUMMARY | 1 エグゼクティブサマリー |
Purpose | 目的 |
This document outlines a National Cybersecurity Center of Excellence (NCCoE) project that will develop example cybersecurity solutions to protect the infrastructure in the operating environments of WWS sector utilities. The increasing adoption of network-enabled technologies by the sector merits the development of best practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded. | 本書は、WWS 分野の公益事業者の運用環境のインフラを保護するためのサイバーセキュリティ・ソリューションの例を開発する国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクトの概要を示すものである。この部門によるネットワーク対応技術の採用の増加は、施設のサイバーセキュリティ態勢を確実に保護するためのベストプラクティス、ガイダンス、ソリューションの開発に値する。 |
Critical infrastructure issues in the WWS sector present several unique challenges. Utilities in the sector typically cover a wide geographic area which include piped distribution networks and infrastructure together with centralized treatment operations. The supporting operational technologies (OT) underpinning this infrastructure typically rely on supervisory control and data acquisition (SCADA) systems which provide data transmission across the enterprise, sending sensor readings and signals in real time. These systems also control the automated processes in the production environment which is linked to the distribution network. Additionally, many OT devices are converging with Information Technology (IT) capabilities such as cloud-based SCADA and smart monitoring. | WWSセクターにおける重要なインフラ問題は、いくつかのユニークな課題を提示している。この分野の公益事業は通常、集中処理事業とともに、配管された配水網とインフラを含む広い地域をカバーしている。このインフラを支える運用技術(OT)は、一般的に、企業全体のデータ伝送を提供し、センサーの測定値と信号をリアルタイムで送信する監視制御およびデータ収集(SCADA)システムに依存している。これらのシステムは、流通ネットワークにリンクされた生産環境の自動化プロセスも制御する。さらに、多くのOTデバイスは、クラウドベースのSCADAやスマート・モニタリングなどの情報技術(IT)機能と融合しつつある。 |
This project will develop a reference design that demonstrates practical solutions for water and wastewater utilities of all sizes. The reference design will use commercially available products and services to address four WWS cybersecurity challenges: asset management, data integrity, remote access, and network segmentation. The commercial products and services will be integrated into a demonstration of the reference design. The project also initiates a broad discussion with the WWS sector to identify commercial solution providers. | このプロジェクトは、あらゆる規模の上下水道公益事業のための実用的なソリューションを実証するリファレンス・デザインを開発する。リファレンス・デザインは、資産管理、データ完全性、リモート・アクセス、ネットワーク・セグメンテーションという4つのWWSサイバーセキュリティの課題に対処するために、市販の製品とサービスを使用する。市販の製品とサービスは、リファレンス・デザインのデモンストレーションに統合される。このプロジェクトはまた、商用ソリューション・プロバイダーを特定するためにWWSセクターとの幅広い議論を開始する。 |
This project will result in a publicly available NIST Cybersecurity Practice Guide which will include a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses these challenges. | このプロジェクトは、これらの課題に対処するサイバーセキュリティ・リファレンス設計を実装するために必要な実践的ステップの詳細な実装ガイドを含む、一般に利用可能なNISTサイバーセキュリティ実践ガイドを作成する予定である。 |
Scope | 適用範囲 |
This project description profiles several areas to strengthen the cybersecurity posture within the operational environment of WWS facilities of all sizes—small, medium, and large. To contain scope, the project is not comprehensive. The following areas will be explored: | このプロジェクトの説明では、小規模、中規模、大規模のあらゆる規模のWWS施設の運用環境におけるサイバーセキュリティ態勢を強化するためのいくつかの分野を紹介している。範囲を限定するため、プロジェクトは包括的なものではない。以下の分野が調査される: |
• Asset Management | • 資産管理 |
• Data Integrity | • データの完全性 |
• Remote Access | • リモートアクセス |
• Network Segmentation | • ネットワーク・セグメンテーション |
Assumptions | 前提条件 |
The project will demonstrate solutions to improve the cybersecurity posture of WWS operations and is guided by the following assumptions: | このプロジェクトは、WWS運営のサイバーセキュリティ態勢を改善するためのソリューションを実証するものであり、次のような前提に基づいている: |
• WWS infrastructure that adequately reflects operational capabilities is available for solution testing | • 運用能力を適切に反映したWWSインフラが、ソリューション・テストのために利用可能である。 |
• A range of commercially and open source solutions exist and are readily available to the WWS sector to demonstrate solutions to the identified challenges | • 識別された課題に対する解決策を実証するために、様々な商用およびオープンソースのソリューションが存在し、WWSセクターが容易に利用可能である。 |
Challenges | 課題 |
• WWS utilities vary widely in size and level of cybersecurity expertise which may require a range of cyber-related capabilities to provide risk-appropriate cybersecurity. | • WWSユーティリティ企業の規模やサイバーセキュリティの専門知識レベルは様々であり、リスクに応じたサイバーセキュリティを提供するために、様々なサイバー関連能力を必要とする場合がある。 |
• Lab-constructed example solutions may not fully address the complexity of real-world operational scenarios. | • 実験室で構築された模範解答は、実世界の運用シナリオの複雑さに完全に対応していない可能性がある。 |
• The NCCOE does not provide prescriptive solutions, but rather demonstrates illustrative case that may be voluntarily adopted by the sector. | • NCCOEは、規定的な解決策を提供するのではなく、セクターが自主的に採用する可能性のある例示的なケースを示すものである。 |
Background | 背景 |
There is apparent general consensus from the WWS sector that additional cybersecurity implementation references are needed to assist in the protection of its critical infrastructure. The advancement of network-based approaches, together with an ongoing increase in cyber threats, merit the need for sector-wide improvements in cybersecurity protections. The NCCoE, together with its collaborators, is undertaking this project to identify and demonstrate cybersecurity solutions for the sector. The project will build on existing sector guidance to provide information for the direct implementation of readily available commercial solutions towards the most pressing cybersecurity challenges faced by sector utilities of all sizes. | WWSセクターからは、重要インフラの防御を支援するために、さらなるサイバーセキュリティの実装に関する参考資料が必要であるとの一般的なコンセンサスが得られている。ネットワークベースのアプローチの進歩は、サイバー脅威の継続的な増加とともに、サイバーセキュリティ保護におけるセクター全体の改善の必要性を物語っている。NCCoEは、その協力者とともに、このセクターのためのサイバーセキュリティ・ソリューションを特定し、実証するために、このプロジェクトを実施している。このプロジェクトは、既存のセクター・ガイダンスを基に、あらゆる規模の公益事業者が直面する最も差し迫ったサイバーセキュリティの課題に向けて、容易に入手可能な商用ソリューションを直接導入するための情報を提供する。 |
This project acknowledges efforts undertaken by other Federal agencies to ensure the protection of water and wastewater providers. The Environmental Protection Agency (EPA) [1] in its role as the Sector Risk Management Specific Agency (SRMA) provides coordination in responding to cyber incidents and support in the form of tools, exercises, and technical assistance. The Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) [2] leads the efforts to protect assets, mitigate vulnerabilities, and reduce impacts from potential cyber incidents. | このプロジェクトは、上下水道事業者の保護を確保するために他の連邦機関が行っている 取り組みを認めるものである。環境保護庁(EPA)[1]は、セクターリスク管理特定機関(SRMA)としての役割において、サイ バーインシデントへの対応における調整と、ツール、演習、技術支援の形での支援を提供している。国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA) [2]は、資産の保護、脆弱性の軽減、潜在的なサイバーインシデントからの影響の軽減に向けた取り組みを主導している。 |
WWS organizations have also contributed to sector awareness and capacity building. The American Water Works Association (AWWA) provides resources and guidance for aiding water systems in evaluating cybersecurity risks. The AWWA Cybersecurity Assessment Tool and Guidance, referenced herewith, assists utilities in identifying exposure to cyber risks, setting priorities, and executing appropriate and proactive cybersecurity strategies in support of Section 2013 of America’s Water Infrastructure Act of 2018 (AWIA) [3]. Additionally, the Water Environment Federation (WEF) leads the effort among wastewater utilities and is providing guidance and information in the identification of sector needs and priorities [4]. The Water Information Sharing and Analysis Center (WaterISAC) is an all-threats security information source for the water and wastewater sector, providing invaluable information and resources to the WWS sector including the “15 Cybersecurity Fundamentals for Water and Wastewater Utilities.” [5] | WWS組織もまた、セクターの認識と能力構築に貢献してきた。米国水道協会(AWWA)は、水道システムのサイバーセキュリティリスク評価を支援するためのリソースとガイダンスを提供している。ここで参照するAWWAサイバーセキュリティアセスメントツールとガイダンスは、2018年アメリカ水インフラ法(AWIA)2013条を支援するために、公益事業者がサイバーリスクへのエクスポージャーを特定し、優先順位を設定し、適切かつ積極的なサイバーセキュリティ戦略を実行することを支援する[3]。さらに、水環境連盟(Water Environment Federation:WEF)は、下水公益事業者間の取り組みを主導し、セクターのニーズと優先事項の特定におけるガイダンスと情報を提供している[4]。水情報共有分析センター(WaterISAC)は、上下水道セクターのためのあらゆる脅威のセキュリティ情報源であり、「上下水道ユーティリティのための15のサイバーセキュリティの基礎」を含む貴重な情報とリソースをWWSセクターに提供している。"[5] |
補足情報:
ドラフト:
・2022.11.02 White Paper (Draft)
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.11.06 NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ
・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)
« NIST NISTIR 8454 NIST 軽量暗号標準化プロセスの最終ラウンドに関する状況報告書 | Main | NIST NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備 »
Comments