NIST NISTIR 8441（ドラフト）ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

こんにちは、丸山満彦です。

NISTが、NIST IR 8441（ドラフト）ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイルについての意見募集をしていますね。。。

商業用衛生ビジネスが、垂直統合的なビジネスモデルから、コンポーネンツ毎に関係する事業者が異なるようなハイブリッド状況でどのようにセキュリティを担保するかを、サイバーセキュリティフレームワーク（改訂中ですが...）に従って、検討しているものですね。。。

 

⚫︎ NIST

プレス...

・2023.06.06 Open for Public Comment: Draft NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks

 

文書...

・2023.06.06 NISTIR 8441 (Draft) Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)

NISTIR 8441 (Draft) Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)	NISTIR 8441（ドラフト） ハイブリッド衛星ネットワーク（HSN）向けサイバーセキュリティフレームワークプロファイル
Announcement	発表内容
The HSN Cybersecurity Framework (CSF) Profile, informed by an active community of interested stakeholders, provides a practical tool for organizations engaged in the design, acquisition, and operation of satellite buses or payloads involving HSN. Its primary intent is to help those organizations better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the DoD, or other government missions, in a manner that is consistent with the sponsor organization’s risk tolerance.	HSNサイバーセキュリティ・フレームワーク（CSF）プロファイルは、関心のある利害関係者の活発なコミュニティから情報を得て、HSNを含む衛星バスまたはペイロードの設計、取得、運用に携わる組織に対して実用的なツールを提供する。その主な目的は、重要なインフラの所有者や運営者、国防総省、その他の政府ミッションによって活用される可能性のある宇宙システムに対して、スポンサー組織のリスク許容度に合致した方法で、攻撃対象領域をよりよく理解し、セキュリティを組み込み、より高いレジリエンスを達成することを支援することである。
The HSN Profile will help organizations:	HSNプロファイルは、組織にとって次のような助けとなる：
・Identify systems, assets, data, and risks from the CSF that pertain to HSN.	・システム、資産、データ、およびHSNに関連するCSFのリスクを特定する。
・Protect HSN services by utilizing cybersecurity principles and self-assessment.	・サイバーセキュリティの原則と自己評価を活用し、HSN サービスを保護する。
・Detect cybersecurity-related disturbances or corruption of HSN services and data.	・サイバーセキュリティに関連する HSN サービスおよびデータの妨害または破損を検出する。
・Respond to HSN service or data anomalies in a timely, effective, and resilient manner.	・HSNのサービスやデータの異常に、タイムリーかつ効果的でレジリエンスに富んだ方法で対応する。
・Recover the HSN to proper working order at the conclusion of a cybersecurity incident.	・サイバーセキュリティインシデントの終了時に、HSNを正常な動作状態に回復させる。
As the space sector is transitioning away from traditional vertically integrated entities and towards an aggregation of independently-owned and operated segments, it is becoming more critical for all stakeholders to share a common understanding of the risks and how they can be mitigated. We appreciate your help. If you have expertise in Commercial Space capabilities, please help shape this important Profile.	宇宙分野は、従来の垂直統合型事業体から独立した所有・運営セグメントの集合体へと移行しつつあり、すべての利害関係者がリスクとその軽減方法について共通の理解を持つことがより重要になってきている。皆様のご協力をお願いする。商業宇宙に関する専門知識を持っている方は、この重要なプロフィールを作成するために、ぜひ協力をお願いする。
Abstract	概要
The space sector is transitioning away from traditional vertically-integrated entities and towards Hybrid Satellite Networks (HSN) which is an aggregation of independently owned and operated terminals, antennas, satellites, payloads, or other components that comprise a satellite system. The elements of an HSN may have varying levels of assurance.	宇宙分野は、従来の垂直統合型の事業体から、ハイブリッド衛星ネットワーク（HSN）へと移行しつつある。HSNとは、衛星システムを構成する独立所有・運営の端末、アンテナ、衛星、ペイロード、その他のコンポーネントの集合体である。HSN の各要素は、様々なレベルの保証を持つことができる。
HSNs may interact with government systems and critical infrastructure (as defined by the Department of Homeland Security). A framework is required to assess the security posture of the individual components while still enabling the HSN to provide its function. This report applies the NIST Cybersecurity Framework to HSNs with an emphasis on the interfaces between the participants of the HSN.	HSN は、政府システム及び重要インフラ（国土安全保障省が定義）と相互作用する場合がある。HSN がその機能を提供できるようにしつつ、個々の構成要素のセキュリティ姿勢を評価するためのフレームワークが必要である。本報告書では、HSN の参加者間のインタフェースに重点を置いて、NIST サイバーセキュリティフレームワークを HSN に適用している。
In collaboration with subject matter experts including satellite builders, consultants, acquisition authorities, operators (commercial and government), academia, and other interested parties, the National Institute of Standards and Technology (NIST) has developed the HSN Cybersecurity Framework CSF Profile (HSN Profile) to guide space stakeholders. The resulting profile provides a starting point for stakeholders who are assessing the cybersecurity posture of their HSN.	米国国立標準技術研究所（NIST）は、衛星製造者、コンサルタント、取得当局、運用者（商業および政府）、学界、およびその他の関係者を含む主題専門家と協力して、宇宙関係者の指針となる HSN サイバーセキュリティフレームワーク CSF プロフィール（HSN プロフィール）を開発しました。得られたプロファイルは、HSNのサイバーセキュリティ態勢を評価する関係者に出発点を提供するものである。

 

・[PDF] NISTIR 8441 (Draft)

 

目次...

 

Table of Contents	目次
1. Introduction	1. 序文
1.1. Purpose and Objectives	1.1. 目的及び目標
1.2. Scope	1.2. 対象範囲
1.3. Audience	1.3. 対象者
2. Intended Use	2. 使用目的
3. Overview	3. 概要
3.1. Risk Management Overview	3.1. リスクマネジメントの概要
3.2. Cybersecurity Framework Overview	3.2. サイバーセキュリティフレームワークの概要
4. The HSN CSF Profile	4. HSN CSFプロファイル
4.1. Identify	4.1. 識別
4.1.1. Asset Management Category	4.1.1. 資産管理カテゴリー
4.1.2. Business Environment Category	4.1.2. ビジネス環境カテゴリー
4.1.3. Governance Category	4.1.3. ガバナンスカテゴリー
4.1.4. Risk Assessment Category	4.1.4. リスクアセスメントカテゴリー
4.1.5. Risk Management Category	4.1.5. リスクマネジメントカテゴリー
4.1.6. Supply Chain Risk Management	4.1.6. サプライチェーンリスクマネジメント
4.2. Protect	4.2. 防御
4.2.1. Protect: Identity Management, Authentication, and Access Control	4.2.1. 防御：アイデンティティ管理、認証、アクセス制御
4.2.2. Protect: Awareness and Trainings Category	4.2.2. 防御：意識向上およびトレーニングカテゴリー
4.2.3. Protect: Data Security Category	4.2.3. 防御：データセキュリティカテゴリー
4.2.4. Protect: Information Protection Processes and Procedures Category	4.2.4. 防御：情報を保護するプロセスおよび手順カテゴリー
4.2.5. Protect: Maintenance Category	4.2.5. 防御：保守カテゴリー
4.2.6. Protect: Protective Technology Category	4.2.6. 防御：保護技術カテゴリー
4.3. Detect	4.3. 検知
4.3.1. Detect: Anomalies and Event Category	4.3.1. 検知：異常とイベントカテゴリー
4.3.2. Detect: Security Continuous Monitoring Category	4.3.2. 検知：セキュリティの継続的なモニタリングカテゴリー
4.3.3. Detect: Detection Processes Category	4.3.3. 検知：検知プロセスカテゴリー
4.4. Respond	4.4. 対応
4.4.1. Respond: Response Planning Category	4.4.1. 対応：対応計画カテゴリー
4.4.2. Respond: Communications Category	4.4.2. 対応：コミュニケーションカテゴリー
4.4.3. Respond: Analysis Category	4.4.3. 対応：分析カテゴリー
4.4.4. Respond: Mitigation Category	4.4.4. 対応：低減カテゴリー
4.4.5. Respond: Improvements Category	4.4.5. 対応：改善カテゴリー
4.5. Recover	4.5. 復旧
4.5.1. Recovery Planning Category	4.5.1. 復旧計画カテゴリー
4.5.2. Improvements Category	4.5.2. 改善カテゴリー
4.5.3. Communications Category	4.5.3. コミュニケーションカテゴリー
References	参考資料
Appendix A. List of Acronyms	附属書 A. 頭字語一覧
Appendix B. Glossary	附属書 B. 用語集

 

図１：シンプルなHSNアーキテクチャの例

 

 

図２：仮想化されたコンポーネントを持つHSNの例

 

 

図３：より複雑なHSNアーキテクチャの例

 

---

 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

サイバーセキュリティフレームワーク2.0関係

・2023.04.26 米国 NIST ホワイトペーパー（案） 「NIST サイバーセキュリティ・フレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性（CSF2.0に向けて...）

・2022.10.07 米国 NIST 国際的活動に関する最新情報：CSF2.0アップデートワークショップなど (2022.09.30)

 

衛星関係...

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.01.08 NISTIR 8401 衛星地上セグメント：衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル：注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和３年度委託調査報告書（サイバーセキュリティ関係） 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク（HSN）サイバーセキュリティ（ドラフト）

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント：衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270（ドラフト）商用衛星運用のためのサイバーセキュリティ入門（第2稿）

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270（ドラフト）商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉？凶？

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時（PNT）に関連するサービスに関連したセキュリティプロファイルに関する文書（NISTIR 8323）のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。