« 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」 | Main | IPA スマートビルガイドライン(補足資料)追加 »

2023.06.20

総務省 Quad オープンRANセキュリティ報告書 (2023.05.20)

こんにちは、丸山満彦です。

Quad(日米豪印) の成果として、「オープンRANセキュリティ報告書 (Open Radio Access Networks Security Report) 」が公表されていました。。。

報告書はLetterではなく、A4ですね。。。

 

総務省

・2023.05.20 日米豪印「Open RANセキュリティ報告書」の公表


Open RANは、無線基地局の仕様をオープンかつ標準化することにより、様々なサプライヤの機器やシステムとの相互接続を可能とする無線アクセスネットワーク(RAN)です。
 日米豪印(クアッド)重要・新興技術作業部会においては、昨年5月24日に4か国の担当省庁の局長間で署名した「5Gサプライヤ多様化及びOpen RANに関する協力覚書」に基づき、Open RANの検証、相互運用性、セキュリティに関する情報共有、試験環境の共有の可能性の検討、更なる協力内容の検討などについて、議論を継続してまいりました。
 本報告書は、Open RANのセキュリティに対する関心が高まる中、実証試験を含む客観的な調査・分析を通じて、従来の一括調達型のRANと比較した場合におけるOpen RANの優位性、課題及び課題の克服可能性を評価したものであり、日米豪印重要・新興技術作業部会の「5Gサプライヤ多様化及びOpen RANに関する協力覚書」に基づく成果として公表するものです。


 

・[PDF] Open RAN Security Report

20230620-22041

 

・[PDF] Open RANセキュリティ報告書」(概要)

20230620-22521

 


米国側は商務省 電気通信・情報局...

United States Department of Commerce - National Telecommunications and Information Administration; NTIA

・2023.05.22 Open RAN Security Report

・[PDF] Open RAN Security Report (Full Report)

20230620-22041

・[PDF] Outline Slide for Open RAN Security Report

20230620-24415

20230620-24600

Summary of “Open RAN Security Report”  オープンRANセキュリティ報告書 の概要 
The recent release of the “Open RAN Security Report” concludes that the use of Open Radio Access Networks (Open RAN) does not fundamentally alter the security risk landscape for telecommunications, compared to more traditional RAN. Most security threats analyzed in the report affect both traditional network deployments and Open RAN deployments, with only four percent found to be unique to Open RAN. Mitigation measures make it feasible to ensure equivalent levels of security between traditional and Open RAN deployments. The report notes that Open RAN also offers potential advantages relevant both to security and to objectives like operational efficiency, interoperability, and innovation.   最近発表された "Open RAN Security Report "は、Open Radio Access Networks (Open RAN)の使用は、従来のRANと比較して、電気通信のセキュリティリスク状況を根本的に変えることはないと結論付けている。報告書で分析されたセキュリティ脅威のほとんどは、従来のネットワーク展開とOpen RAN展開の両方に影響し、Open RANに特有のものはわずか4%であることが判明した。緩和策により、従来型とOpen RANの間で同等のセキュリティレベルを確保することは可能である。報告書では、Open RANは、セキュリティと運用効率、相互運用性、イノベーションなどの目的の両方に関連する潜在的な利点も提供すると指摘している。 
Key findings include:  主な調査結果は以下の通り: 
•       Open RAN is expected to increase the network “attack surface” by a small degree compared to traditional RAN;   ・Open RANは、従来のRANと比較して、ネットワークの「攻撃面」を若干増加させることが予想される;  
•       Risks stemming from utilization of cloud-based infrastructure can affect both traditional and Open RAN deployments similarly, along with any technological solutions that leverage cloud services; and  ・クラウドベースのインフラストラクチャの利用から生じるリスクは,従来のRANとOpen RANの両方の展開,およびクラウドサービスを活用するあらゆる技術的ソリューションに同様に影響する。
•       Concerns related to use of artificial intelligence, machine learning, and open-source software (OSS) are neither unique to Open RAN nor immitigable.   ・人工知能、機械学習、オープンソースソフトウェア(OSS)の利用に関連する懸念は、Open RANに特有のものでもなく、没個性的でもない。 
Open RAN presents various security benefits. Open specifications allow operators to test and verify associated security controls, rather than mainly trusting their RAN vendor to adequately protect non-standard interfaces. Security issues can be addressed much more efficiently in virtualized, cloud-enabled environments than with traditional deployments. Open RAN makes it possible to automate many tasks now done manually, improving operational visibility and configuration management. The report also outlines other advantages of Open RAN, such as enhanced vendor competition and likely cost and performance benefits resulting from it; reduction of vendor lock-in and other supply chain risks; and energy efficiency optimization.  Open RANは、様々なセキュリティ上の利点をもたらす。オープンな仕様により、オペレータは、RANベンダーが非標準的なインターフェースを適切に保護することを主に信頼するのではなく、関連するセキュリティコントロールをテストし検証することができる。仮想化されたクラウド対応環境では、従来のデプロイメントよりもはるかに効率的にセキュリティ問題に対処することができる。Open RANは、現在手作業で行われている多くの作業を自動化し、運用の可視性と構成管理を改善することが可能である。また、Open RANのその他の利点として、ベンダーの競争の激化とそれに伴うコストやパフォーマンスの向上、ベンダーロックインやその他のサプライチェーンのリスクの低減、エネルギー効率の最適化などが挙げられている。
As with any newer approach, Open RAN presents additional security dynamics that operators should remain fully aware of in order to manage. The presence of more vendors within telecommunications supply chains is expected to make vendor coordination more complex than with traditional RAN. While parties external to the operator can be made responsible for implementing appropriate security controls, it is ultimately the operator’s role to ensure its supply chain is reliable and trusted. Relatedly, Open RAN vendors, systems integrators, and operators alike should analyze and test their technology interdependencies and “harden” any components against potential vulnerabilities. Diversification of suppliers and technology components used in the RAN may also make it more difficult to keep track of all software in use in deployments.   新しいアプローチと同様に、Open RANは、事業者が管理するために十分な注意を払うべき、追加のセキュリティ力学を提示する。電気通信のサプライチェーンに多くのベンダーが存在するため、従来のRANに比べてベンダーの調整が複雑になることが予想される。事業者の外部の関係者が適切なセキュリティ管理を実施する責任を負うことは可能だが、サプライチェーンの信頼性と信用を確保するのは、最終的には事業者の役割である。これに関連して、オープン RAN のベンダー、システムインテグレーター、およびオペレーターは同様に、技術の相互依存関係を分析およびテストし、潜在的な脆弱性に対してあらゆるコンポーネントを「硬化」させるべきである。RANで使用されるサプライヤーや技術コンポーネントが多様化することで、導入時に使用されるすべてのソフトウェアを追跡することが困難になる可能性もある。 
Finally, the report presents and contextualizes numerous mitigation measures, both for operators now deploying Open RAN and those considering it. It explains that, while progress has been made, technical specification of Open RAN security requirements remains ongoing. Supplementary controls should be instituted to ensure comprehensive security during all stages of the Open RAN lifecycle. Open RAN stakeholders should also consider utilizing widely adopted industry standards and best practices, as well as conduct security checks on equipment.  最後に、本報告書は、現在Open RANを導入している事業者と、導入を検討している事業者の両方に対して、数多くの緩和策を提示し、その背景を解説している。この報告書では、進展は見られるものの、Open RANのセキュリティ要件に関する技術的な仕様はまだ継続中であると説明している。Open RAN のライフサイクルの全段階において、包括的なセキュリティを確保するために、補足的な管理を行う必要がある。また、Open RANの関係者は、広く採用されている業界標準やベストプラクティスの活用を検討するとともに、機器のセキュリティチェックを実施する必要がある。

 

 

報告書の目次...

Introduction 序文
Background 背景
Objectives of this research study 本調査研究の目的
Summary 概要
1 Categorizing security risks of 5G networks 1 5Gネットワークのセキュリティリスクを分類する
2 Scope and method of research 2 研究の範囲と方法
2.1 Introduction 2.1 序文
2.2 Scope and limitations 2.2 範囲と制限
2.3 Assumptions on the Radio Access Network 2.3 無線アクセスネットワークに関する前提条件
2.3.1 Deployment assumptions 2.3.1 デプロイメントの仮定
2.3.2 Security assumptions 2.3.2 セキュリティの前提
2.4 Risk analysis 2.4 リスク分析
2.4.1 Threat identification 2.4.1 脅威の特定
2.4.2 Risk rating 2.4.2 リスク評価
2.4.3 Risk mitigation 2.4.3 リスクの軽減
2.4.4 Mitigation owners 2.4.4 緩和策の所有者
2.5 Previously published views on Open RAN security 2.5 Open RAN のセキュリティに関する過去に発表された見解
2.5.1 BSI – Open RAN Risk Analysis (5GRANR) 2.5.1 BSI ・Open RAN リスク分析 (5GRANR)
2.5.2 NIS Group – Report on the cybersecurity of Open RAN 2.5.2 NIS Group ・Open RAN のサイバーセキュリティに関する報告書
2.5.3 CISA – Open Radio Access Network Security Considerations 2.5.3 CISA ・オープンラジオアクセスネットワークのセキュリティに関する考察
2.5.4 IFRI – “Open” Telecom Networks (Open RAN) 2.5.4 IFRI ・「オープン」なテレコムネットワーク(Open RAN)
2.5.5 NTT Docomo – 5G Open RAN Ecosystem White paper 2.5.5 NTTドコモ ・5GオープンRANエコシステム白書
2.5.6 Summary of previously published views 2.5.6 過去に発表された見解のまとめ
3 Comparison of Open RAN and traditional RAN 3 Open RANと従来のRANの比較
3.1 Security risks associated to Open RAN 3.1 Open RANに関連するセキュリティリスク
3.1.1 Result of the threat identification 3.1.1 脅威の特定結果
3.1.2 Result of the risk rating 3.1.2 リスク評価の結果
3.2 Potential Open RAN security challenges 3.2 Open RANのセキュリティ上の潜在的な課題
3.3 Potential security advantages of Open RAN 3.3 Open RANのセキュリティ上の潜在的な利点
4 Risk mitigation measures 4 リスク軽減策
4.1 Mitigation measures defined by O-RAN specifications 4.1 O-RAN 仕様で定義された緩和策
4.1.1 Specification analysis 4.1.1 仕様書の分析
4.1.2 Analysis results 4.1.2 分析結果
4.1.3 Summary of O-RAN defined mitigating measures 4.1.3 O-RANで定義された緩和策のまとめ
4.2 Supplementary mitigation measures 4.2 補足的な緩和策
4.2.1 Analysis & design 4.2.1 分析と設計
4.2.2 Implementation & test 4.2.2 実装とテスト
4.2.3 Sourcing & procurement 4.2.3 ソーシングと調達
4.2.4 Integration & deployment 4.2.4 統合と展開
4.2.5 Operations & maintenance 4.2.5 運用と保守
5 Lab Verification and Analysis 5 ラボ検証および分析
5.1 Purpose of Lab Verification 5.1 ラボ検証の目的
5.2 Lab verification scope and procedure 5.2 ラボ検証の範囲と手順
5.2.1 Scope 5.2.1 範囲
5.2.2 Procedure 5.2.2 手順
5.3 Test scenarios 5.3 テストシナリオ
5.3.1 Open Interface 5.3.1 オープンインターフェース
5.3.1.1 Characteristics of Open Interface  5.3.1.1 オープンインタフェースの特徴
5.3.1.2 Open Fronthaul Test Scenario  5.3.1.2 オープンフロンソールテストシナリオ
5.3.1.3 Other Open Interface Test Scenarios  5.3.1.3 その他のオープンインタフェースのテストシナリオ
5.3.2 Virtualization 5.3.2 仮想化
5.3.2.1 Characteristics of Open Interface  5.3.2.1 オープンインタフェースの特徴
5.3.2.2 Test scenario for virtualization  5.3.2.2 仮想化に関するテストシナリオ
5.3.3 Intelligence 5.3.3 インテリジェンス
5.3.3.1 The Characteristics of Intelligence  5.3.3.1 インテリジェンスの特徴
5.3.3.2 Intelligence Testing Scenario  5.3.3.2 インテリジェンスのテストシナリオ
5.4 Test Environment 5.4 テスト環境
5.5 Validation Results 5.5 バリデーション結果
5.5.1 Open Interface 5.5.1 オープンインターフェース
5.5.1.1 Verification items and procedures  5.5.1.1 検証項目と手順
5.5.1.2 Test Results  5.5.1.2 テスト結果
5.5.1.3 Analysis  5.5.1.3 解析
6 Conclusion 6 結論
6.1 Open RAN security risks and mitigations 6.1 Open RAN のセキュリティリスクと軽減策
6.1.1 Risk analysis findings 6.1.1 リスク分析結果
6.1.2 Mitigating measures 6.1.2 軽減策
6.1.3 Comparison to traditional RAN 6.1.3 従来のRANとの比較
6.1.4 Lab Verification and Analysis 6.1.4 ラボでの検証・分析
6.2 Open challenges 6.2 オープンな課題
6.2.1 AI/ML poisoning 6.2.1 AI/MLポイズニング
6.2.2 Privacy considerations 6.2.2 プライバシーに関する考慮事項
6.3 Aspects unrelated to security 6.3 セキュリティと無関係な側面
6.3.1 Lower prices for wireless communication equipment 6.3.1 無線通信機器の低価格化
6.3.2 Optimizing energy efficiency through intelligence (Energy saving) 6.3.2 インテリジェンスによるエネルギー効率の最適化(Energy saving)
6.3.3 Improved monitoring and maintenance functions by SMOs 6.3.3 SMOによる監視・保守機能の向上
7 References 7 参考資料
Appendix 附属書
A1  Duplicate threats identified in the O-RAN Threat Modeling and Remediation Analysis A1 O-RAN 脅威モデリングと修復分析で特定された重複する脅威
A2  Security threats unique to Open RAN A2 Open RAN に特有のセキュリティ上の脅威
A3  Security checklist for Open RAN A3 Open RAN のセキュリティチェックリスト
A3.1  Objective of this checklist A3.1 このチェックリストの目的
A3.2  Description of parameters in this checklist A3.2 このチェックリストにおけるパラメータの説明
A3.3  Supplementary information A3.3 補足情報

 

 

 

|

« 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」 | Main | IPA スマートビルガイドライン(補足資料)追加 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」 | Main | IPA スマートビルガイドライン(補足資料)追加 »