NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル
こんにちは、丸山満彦です。
NISTが、NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル公表していますね。。。
海上輸送、港湾システムは国にとって重要なシステムですから、そのサイバーセキュリティ対策は、重要ですよね。。。
⚫︎ NIST - ITL
・2023.06.08 NISTIR 8406 Cybersecurity Framework Profile for Liquefied Natural Gas
NISTIR 8406 Cybersecurity Framework Profile for Liquefied Natural Gas | NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル |
Abstract | 概要 |
This document is the Cybersecurity Framework Profile developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by liquefaction facilities, LNG vessels, and other supporting entities of the LNG lifecycle so that cybersecurity risks associated with these critical processes and systems can be minimized. The LNG Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to the overall LNG process. The Cybersecurity Framework LNG Profile is meant to supplement but not replace current cybersecurity standards, regulations, and industry guidelines that are already being used by the Liquefied Natural Gas industry. | 本書は、液化天然ガス(LNG)産業と、LNGの液化プロセス、輸送、流通を包括的に支援する補助的な機能のために開発されたサイバーセキュリティフレームワークプロファイルである。LNGサイバーセキュリティフレームワークプロファイルは、液化施設、LNG船、およびLNGライフサイクルを支える他の事業体が使用することができ、これらの重要なプロセスやシステムに関連するサイバーセキュリティリスクを最小化することができるようにする。LNGプロファイルは、サイバーセキュリティ活動をマネジメントし、LNGプロセス全体に対するサイバーリスクを低減するための自主的でリスクベースのアプローチを提供する。サイバーセキュリティフレームワーク LNG プロファイルは、液化天然ガス業界で既に使用されている現行のサイバーセキュリティ基準、規制、および業界ガイドラインを補完することを意図しているが、それに代わるものではない。 |
・[PDF] NISTIR 8406 (DOI)
目次...
1. Introduction | 1. 序文 |
1.1. Purpose and Scope | 1.1. 目的及び範囲 |
1.1.Audience | 1.1. 想定読者 |
1.2. Document Structure | 1.2. 文書構成 |
2. The Liquefied Natural Gas Industry | 2. 液化天然ガス産業 |
2.1. Liquefied Natural Gas | 2.1. 液化天然ガス |
2.2. Components of the Liquefied Natural Gas Industry | 2.2. 液化天然ガス産業の構成要素 |
2.2.1. Liquefaction Facilities | 2.2.1. 液化設備 |
2.2.2. Liquefied Natural Gas Vessels and the Marine Transportation System | 2.2.2. 液化天然ガス船と海上輸送システム |
2.2.3. Liquefied Natural Gas LNG Export and Import Terminals | 2.2.3. 液化天然ガスLNG輸出入ターミナル |
2.3. Liquefied Natural Gas Safety | 2.3. 液化天然ガスの安全性 |
3. Overview of the Cybersecurity Framework | 3. サイバーセキュリティフレームワークの概要 |
3.1. The Cybersecurity Framework Core | 3.1. サイバーセキュリティフレームワークの中核 |
3.2. Cybersecurity Framework Profiles | 3.2. サイバーセキュリティフレームワーク・プロファイル |
4. Cybersecurity Profile Development Methodology | 4. サイバーセキュリティプロファイル開発手法 |
4.1. Stakeholder Workshops | 4.1. ステークホルダーワークショップ |
4.1.1. Workshop 1: Establishing Mission Objectives | 4.1.1. ワークショップ 1:ミッション目標の設定 |
4.1.2. Workshop 2: Prioritizing Mission Objectives | 4.1.2. ワークショップ 2:ミッション目標の優先順位付け |
4.1.3. Workshop 3: Prioritizing CSF Categories for Mission Objectives | 4.1.3. ワークショップ 3: ミッション目標のCSF分類の優先順位付け |
4.2. Subcategory Scoring | 4.2. サブカテゴリのスコアリング |
5. Marine Transportation System Liquefied Natural Gas Mission Objectives | 5. 海上輸送システム液化天然ガスミッション目標 |
5.1. Mission Objective-1: Maintain Safe and Secure Operations | 5.1. ミッション目標-1: 安全・安心な操業の維持 |
5.2. Mission Objective-2: Ensure Operational Integrity of Plant Systems and Processes | 5.2. ミッション目標-2: プラントのシステム及びプロセスの操作上の完全性を確保すること |
5.3. Mission Objective-3: Control Operational and Enterprise Security and Access | 5.3. ミッション目標-3: 運用上及びエンタープライズ上のセキュリティとアクセスを管理する。 |
5.4. Mission Objective-4: Monitor, Detect, and Respond to Anomalous Behavior | 5.4. ミッション目標-4: 異常な動作の監視、検出、及び対応 |
5.5. Mission Objective-5: Safeguard the Environment | 5.5. ミッション目標-5: 環境の保護 |
5.6. Mission Objective-6: Define Policy and Governance Actions that Capture/Protect the Mission | 5.6. ミッション目標-6: ミッション目標を達成し、保護するための方針とガバナンスの明確化 |
5.7. Mission Objective-7: Maintain Regulatory Compliance | 5.7. ミッション目標-7: 法規制の遵守の維持 |
5.8. Mission Objective-8: Continuously Optimize and Maintain Current Operational State by Establishing Baselines and Measures | 5.8. ミッション目標-8: ベースライン及び手段を確立することによる、現在の運用状態の継続的な最適化及び維持 |
5.9. Mission Objective-9: Validate and Optimize the Supply Chain | 5.9. ミッション目標-9: サプライチェーンの検証と最適化 |
6. Category Prioritization Summary | 6. カテゴリーの優先順位付けの概要 |
6.1. Prioritized Cybersecurity Framework Categories by Mission Objective | 6.1. サイバーセキュリティフレームワークのミッション目標別優先順位付けカテゴリー |
6.2. Summary Table | 6.2. 総括表 |
7. Priority Cybersecurity Framework Subcategories by Mission Objective | 7. ミッション目的別優先順位付けされたサイバーセキュリティフレームワークのサブカテゴリー |
7.1. Cybersecurity Framework Subcategory Priority Chart | 7.1. サイバーセキュリティフレームワークサブカテゴリーの優先順位表 |
7.2. Subcategory Implementation Considerations | 7.2. サブカテゴリの実装に関する検討事項 |
References | 参考文献 |
Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書A.記号、略語、および頭字語のリスト |
Appendix B. Glossary | 附属書B. 用語集 |
⚫︎ National Cybersecurity Center of Excellence
発表...
・2023.06.08 NCCoE Publishes Final NIST IR 8406, Cybersecurity Framework Profile for Liquefied Natural Gas
NCCoE Publishes Final NIST IR 8406, Cybersecurity Framework Profile for Liquefied Natural Gas | NCCoE、液化天然ガス向けサイバーセキュリティフレームワークプロファイル「NIST IR 8406」の最終版を公開 |
The National Cybersecurity Center of Excellence (NCCoE) has published the final version of NIST Interagency Report (NIST IR) 8406, Cybersecurity Framework Profile for Liquefied Natural Gas. | ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST 内部機関報告(NIST IR)8406, 液化天然ガス向けサイバーセキュリティフレームワークプロファイルの最終版を公開した。 |
Overview | 概要 |
This publication was developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by entities who are part of the LNG industry to address and mitigate cybersecurity risks associated with LNG processes and systems. | 本書は、液化天然ガス(LNG)業界と、LNGの包括的な液化プロセス、輸送、流通をサポートする補助的な機能を対象に開発された。LNG Cybersecurity Framework Profile は、LNG 業界に属する事業者が、LNG プロセスやシステムに関連するサイバーセキュリティリスクに対処し緩和するために使用することができる。 |
This Profile: | このプロファイルは |
・Can help organizations identify opportunities for managing cybersecurity risks in the LNG lifecycle; | ・LNGのライフサイクルにおけるサイバーセキュリティリスクマネジメントの機会を組織が特定するのに役立つ; |
・Provides a baseline of the Mission objectives for LNG operations that were identified and prioritized by LNG industry stakeholders; | ・LNG業界のステークホルダーが特定し、優先順位をつけたLNG事業のミッション目標のベースラインを提供する; |
・Builds on the identified Mission objectives to develop a prioritized list of Cybersecurity Framework (CSF) Categories; and | ・特定されたミッション目標を基に、サイバーセキュリティフレームワーク(CSF)カテゴリの優先順位リストを作成する。 |
・Includes a table of prioritized CSF Subcategories based on identified CSF Categories. These prioritizations of Mission objectives, CSF Categories, and CSF Subcategories may serve as a useful starting point to identify cybersecurity activities and outcomes that may be important to members of the LNG industry. Additionally, prioritizations can be tailored to account for specific mission objectives or operational considerations. | ・特定された CSF カテゴリーに基づき、優先順位付けされた CSF サブカテゴリーの表が含まれている。ミッション目標、CSF カテゴリー及び CSF サブカテゴリーのこれらの優先順位付けは、LNG 業界のメンバーにとって重要なサイバーセキュリティ活動及び成果を特定するための有用な出発点として役立つであろう。さらに、優先順位付けは、特定のミッション目標や運用上の考慮事項を考慮するために調整することができる。 |
The LNG Cybersecurity Framework Profile is not intended to replace any existing cybersecurity guidance or policy, but rather to complement existing best practices by helping stakeholders prioritize the recommendations provided by LNG organizations. | LNG サイバーセキュリティフレームワークプロファイルは、既存のサイバーセキュリティガイダンスや政策に取って代わるものではなく、むしろ LNG 組織が提供する推奨事項に利害関係者が優先順位をつけるのを支援することによって、既存のベストプラクティスを補完することを意図している。 |
This publication was prepared for the U.S. Department of Energy’s Office of Cybersecurity, Energy Security, and Emergency Response (CESER) as part of an inter-agency agreement with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) to research and develop tools and practices that will strengthen the cybersecurity of maritime transportation systems within the Nation’s energy sector, focusing on Liquefied Natural Gas (LNG). CESER and NIST developed this Profile through a collaborative process, driven by LNG industry stakeholders, which resulted in tailored guidance for the LNG industry to implement the NIST Cybersecurity Framework. | 本書は、米国エネルギー省のサイバーセキュリティ・エネルギーセキュリティ・緊急対応局(CESER)が、米国商務省の国立標準技術研究所(NIST)との省庁間協定の一環として、液化天然ガス(LNG)を中心に、米国のエネルギー部門における海上輸送システムのサイバーセキュリティを強化するツールや実践を研究・開発したものである。CESERとNISTは、LNG業界の関係者が主導する共同プロセスを通じてこのプロファイルを開発し、LNG業界がNISTサイバーセキュリティフレームワークを実施するためのカスタマイズされたガイダンスを生み出した。 |
What is a Cybersecurity Framework Profile? | サイバーセキュリティフレームワークプロファイルとは? |
A Cybersecurity Framework Profile represents the outcomes based on business needs that an organization has selected from the NIST Cybersecurity Framework (CSF) Categories and Subcategories. Profiles offer a prioritization of NIST CSF Categories and Subcategories based on the mission and operational considerations common to a specific group, such as the LNG sector with the MTS. Profiles serve as a useful starting point for identifying cybersecurity activities and outcomes that may be important to the selected group. Profiles can be used to identify opportunities for improving cybersecurity posture by comparing a “Current” Profile (the “as is” state) with a “Target” Profile (the “to be” state). They also offer an organization a consistent way to discuss cybersecurity objectives across organizational roles—from senior leadership to technical implementors—using common terminology. Individuals within the organization can use the Profile to prioritize the allocation of resources to cybersecurity improvements or to areas of particular concern. | サイバーセキュリティフレームワークプロファイルは、NISTサイバーセキュリティフレームワーク(CSF)のカテゴリとサブカテゴリから組織が選択したビジネスニーズに基づく成果を表す。プロファイルは、MTS の LNG セクターなど、特定のグループに共通するミッションと運用上の考慮事項に基づいて、NIST CSF カテゴリーとサブカテゴリーに優先順位を付けるものである。プロファイルは、選択したグループにとって重要なサイバーセキュリティ活動や成果を特定するための有効な出発点として機能する。プロファイルは、「現在」のプロファイル(「現状」の状態)と「目標」のプロファイル(「あるべき姿」の状態)を比較することにより、サイバーセキュリティ態勢を改善する機会を特定するために使用することができる。また、シニアリーダーから技術的な実装者まで、組織の役割分担を越えて、共通の用語を使ってサイバーセキュリティの目標を議論する一貫した方法を組織に提供する。組織内の個人は、サイバーセキュリティの改善や特に懸念される分野へのリソースの割り当てに優先順位をつけるために、このプロファイルを利用することができる。 |
This document is one such Profile, an application of the CSF to LNG industry. | 本書は、そのようなプロファイルの一つであり、CSF を LNG 産業に適用したものである。 |
・2023.06.08 Cybersecurity Framework Profile for Liquefied Natural Gas
Cybersecurity Framework Profile for Liquefied Natural Gas | 液化天然ガス向けサイバーセキュリティフレームワーク・プロファイル |
Liquefied natural gas, or LNG, is natural gas that is supercooled to liquid form and shipped in specialized tankers to terminals and ports throughout the world. From the liquefaction facilities to the marine transportation systems, vessels, and LNG terminals, the production and transport of LNG relies on complex, interconnected, and interdependent IT, OT, and communications networks. A cybersecurity incident involving any aspect of the LNG lifecycle has the potential to affect the safety of the crews, vessels, cargo, and ports. | 液化天然ガス(LNG)は、天然ガスを過冷却して液体にし、専用のタンカーで世界中のターミナルや港に輸送するものである。液化施設から海上輸送システム、船舶、LNGターミナルに至るまで、LNGの生産と輸送は、複雑で相互接続され、相互に依存するIT、OT、通信ネットワークに依存している。LNGライフサイクルのあらゆる側面に関わるサイバーセキュリティインシデントは、乗組員、船舶、貨物、港の安全性に影響を与える可能性がある。 |
A risk-based approach to help the LNG industry prioritize their cybersecurity activities | LNG業界のサイバーセキュリティ活動の優先順位付けを支援するリスクベースのアプローチ |
The Cybersecurity Framework Profile for LNG (Profile) provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to the overall LNG process. The Profile is a supplement to current cybersecurity standards, regulations, and industry guidelines that are already being used by the LNG industry. | Cybersecurity Framework Profile for LNG(プロファイル)は、サイバーセキュリティ活動をマネジメントし、LNGプロセス全体に対するサイバーリスクを低減するための自主的でリスクベースのアプローチを提供する。本プロファイルは、LNG業界が既に使用している現行のサイバーセキュリティ基準、規制、業界ガイドラインを補完するものである。 |
STATUS: FINALIZED GUIDANCE | ステータス 確定ガイダンス |
This publication was developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by entities who are part of the LNG industry to address and mitigate cybersecurity risks associated with LNG processes and systems. | 本書は、液化天然ガス(LNG)産業と、LNGの包括的な液化プロセス、輸送、流通をサポートする補助的な機能のために開発された。LNG Cybersecurity Framework Profile は、LNG 業界に属する事業者が、LNG プロセスとシステムに関連するサイバーセキュリティリスクに対処し緩和するために使用することができる。 |
LNG is natural gas that has been cooled to a liquid state—at about -260° Fahrenheit—for shipping and storage. Liquefying natural gas makes it possible to transport natural gas to places where pipelines cannot reach. | LNGは、輸送や貯蔵のために華氏約-260度の液体状態にまで冷却された天然ガスである。天然ガスを液化することで、パイプラインが届かない場所にも天然ガスを輸送することが可能になる。 |
This Profile will help identify opportunities for managing cybersecurity risks in the LNG lifecycle. LNG systems may be vulnerable to cyber-attacks due to intrinsic system risks, which include remotely managed third-party systems and vulnerable onboard technologies (e.g., Programmable Logic Controllers (PLCs), Global Positioning System (GPS), and Automatic Identification System (AIS)). This could lead to overflowing fuel tanks, accidental release of LNG, and other risks that make LNG inaccessible, or cause serious impacts when returned to its gaseous state. | このプロファイルは、LNGのライフサイクルにおけるサイバーセキュリティリスクマネジメントの機会を特定するのに役立ちます。LNGシステムは、遠隔管理される第三者システムや脆弱な船内技術(プログラマブルロジックコントローラ(PLC)、全地球測位システム(GPS)、自動認識システム(AIS)など)を含むシステム固有のリスクにより、サイバー攻撃に対して脆弱な場合がある。これにより、燃料タンクのオーバーフロー、LNGの偶発的な放出、その他のリスクにより、LNGにアクセスできなくなったり、気体の状態に戻したときに深刻な影響を及ぼす可能性がある。 |
To help jurisdictions across the United States safeguard LNG, the NCCoE together with industry stakeholders developed the Profile around high-level, mission-oriented goals (“Mission Objectives”) of LNG infrastructure. These Mission Objectives do not address every technical aspect of the LNG process since technical components of LNG systems vary widely and cannot be captured in their entirety within a single Profile. However, the Profile will help the LNG sector focus on critical operations that require attention and leave the individual stakeholders to implement specific cybersecurity controls that are best suited for their circumstances. | 米国内の司法当局がLNGを保護するために、NCCoEは業界関係者とともに、LNGインフラのハイレベルでミッション指向の目標(「ミッション・オブジェクティブ」)を中心にプロファイルを開発した。LNGシステムの技術的構成要素は多岐にわたるため、1つのプロファイルでその全体を把握することはできない。しかし、このプロファイルは、LNGセクターが注意を要する重要な業務に焦点を当て、個々の関係者がそれぞれの状況に最も適した特定のサイバーセキュリティ対策を実施するのに役立つ。 |
To help LNG organizations across the United States provide cybersecurity for their systems, the NCCoE working with industry stakeholders developed a CSF Profile to help the LNG Industry manage its cybersecurity based on prioritized mission objectives. | 米国内の LNG 組織がシステムのサイバーセキュリティを提供できるよう、NCCoE は業界関係者と協力して CSF Profile を開発し、LNG 産業が優先順位を付けたミッション目標に基づいてサイバーセキュリティを管理できるようにした。 |
●まるちゃんの情報セキュリティ気まぐれ日記
・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)
Cybersecurity Framework Profile
液化天然ガス
・2023.06.11 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル
・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)
ハイブリッド衛星ネットワーク
・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)
・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版
ランサムウェア
・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル
・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル
・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(初期ドラフト)
« NIST SP 1800-40(ドラフト)NIST暗号モジュール検証プログラムの自動化(初期ドラフト) | Main | 経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023.05.29) »
Comments