1. Introduction |
1. 序文 |
To address risks to critical infrastructure, the Cybersecurity Enhancement Act of 2014 [S.1353] assigned responsibility to the National Institute of Standards and Technology (NIST) to identify and develop cybersecurity risk frameworks for voluntary use by critical infrastructure owners and operators. This formalized NIST’s previous work developing Version 1.0 of the Framework under Executive Order (EO) 13636, Improving Critical Infrastructure Cybersecurity, and provided guidance for future Framework evolution [EO.13636]. The NIST Cybersecurity Framework [NIST-CSF] is a voluntary, risk-based assemblage of industry standards and best practices designed to help organizations manage cybersecurity risks. Standards listed in the informative reference section are simply recognized best practices or provide relevant information and are not meant to represent any type of regulatory or compliance mandate from this document. Informative references listed under “Ecosystem” can provide additional information or best practices for any ecosystem member, references listed under specific domains (EV, XFC/EVSE, Cloud/Third Party, Utility/Building Management Systems) can provide information or best practices for that domain. |
重要インフラに対するリスクに対処するため、2014 年サイバーセキュリティ強化法[S.1353]は、重要イ ンフラの所有者および運用者が自主的に使用するサイバーセキュリティリスクフレームワークを特定し、開発する 責任を国立標準技術研究所(NIST)に割り当てた。これは、大統領令(EO)13636「重要インフラ・サイバーセキュリティの改善」に基づき、NISTがフレームワークのバージョン1.0を開発した以前の作業を正式なものとし、今後のフレームワークの進化に向けた指針を示したものである[EO.13636]。NIST サイバーセキュリティ・フレームワーク[NIST-CSF]は、組織がサイバーセキュリティ・リスクをマネジメントするのを支援するために設計された業界標準とベスト・プラクティスの自主的でリスク・ベースの集合体である。参考文献のセクションに記載されている標準は、単に認識されたベストプラクティスであるか、または代表者に関連する情報を提供するものであり、この文書から何らかの規制やコンプライアンスを強制することを意味するものではない。エコシステム」の下に記載された参考文献は、エコシステム・メンバーに追加情報やベストプラクティスを提供することができ、特定のドメイン(EV、XFC/EVSE、クラウド/サードパーティ、ユーティリティ/ビル管理システム)の下に記載された参考文献は、そのドメインの情報やベストプラクティスを提供することができる。 |
Currently, there are approximately 2M electric vehicles (EV) in operation, and the number of EV is projected to be 24.6M by 2030 [EEI-2022]. The EV infrastructure was prominently integrated into the Infrastructure Investment and Jobs Act and is also expected to grow. As of 2023, there were over 48,000 public charging stations in the US, and a commitment by the Infrastructure Investment and Jobs Act is in place to increase this number to 500,000 by 2030. The U.S. EV charging infrastructure market size was valued at $3.15B in 2022 and is expected to grow to $24B by 2030. [Grandview] |
現在、約200万台の電気自動車(EV)が稼働しており、2030年には2460万台になると予測されている[EEI-2022]。EVインフラは、インフラ投資・雇用促進法(Infrastructure Investment and Jobs Act)に大きく盛り込まれ、その成長も期待されている。2023年現在、米国には48,000以上の公共充電ステーションがあり、インフラ投資・雇用促進法では、この数を2030年までに500,000まで増やすことが約束されている。米国のEV充電インフラ市場規模は、2022年に31.5億ドルと評価され、2030年には240億ドルに成長すると予想されている。[グランドビュー] |
Given the current value, expected growth, potential for cyber related attacks, and the criticality of the transportation and energy sectors, the Department of Energy (DOE) in collaboration with the Electric Power Research Institute (EPRI) studied the Electric Vehicle/Extreme Fast Charging ecosystem (EV/XFC ecosystem). Recognizing the need for relevant parties to assess their cybersecurity posture as a part of risk management, the DOE commissioned NIST to apply the CSF to the EV/XFC ecosystem. |
現在の価値、予想される成長、サイバー関連攻撃の可能性、運輸・エネルギー部門の重要性を考慮し、エネルギー省(DOE)は電力研究所(EPRI)と共同で、電気自動車/超高速充電エコシステム(EV/XFCエコシステム)を調査した。関係者がリスクマネジメントの一環としてサイバーセキュリティ態勢を評価する必要性を認識した DOE は、CSF を EV/XFC エコシステムに適用するよう NIST に委託した。 |
This document is the result of that effort. The Cybersecurity Framework Profile for Extreme Fast Charging (XFC) Infrastructure (referred to herein as the EV/XFC Cybersecurity Profile) is a sector level profile. The EV/XFC Cybersecurity Profile is an application of the Framework Categories and Subcategories in the context of the EV/XFC cybersecurity ecosystem as provided by the DOE and EPRI. The EV/XFC Cybersecurity Profile provides ecosystem-relevant parties a means to assess and communicate their cybersecurity posture in a manner consistent with the Cybersecurity Framework. The EV/XFC Cybersecurity Profile provides users with an industry |
この文書は、その取り組みの成果である。超高速充電(XFC)インフラ向けのサイバーセキュリティ・フレームワーク・プロファイル(以下、EV/XFCサイバーセキュリティ・プロファイル)は、セクターレベルのプロファイルである。EV/XFCサイバーセキュリティプロファイルは、DOEとEPRIが提供するEV/XFCサイバーセキュリティエコシステムの文脈におけるフレームワークカテゴリーとサブカテゴリーの応用である。EV/XFC サイバーセキュリティプロファイルは、サイバーセキュリティフレームワークと整合的な方法で、エコシステム関連当事者にサイバーセキュリティ態勢を評価・伝達する手段を提供する。EV/XFCサイバーセキュリティプロファイルは、サイバーセキュリティを管理するための業界レベルのリスクベースのアプローチをユーザーに提供する。 |
level risk-based approach for managing cybersecurity activities and facilitates crosscollaboration between the various industry relevant parties, vendors, and end users. |
レベルのリスクベースのサイバーセキュリティ・アプローチを提供し、さまざまな業界関係者、ベンダー、エンドユーザー間の相互協力を促進する。 |
|
Fig. 1. Charging an EV. |
図1. EVの充電 |
1.1. Purpose |
1.1. 目的 |
The EV/XFC Cybersecurity Profile is designed to be part of an enterprise risk management program to aid organizations in managing threats to systems, networks, and assets within the EV/XFC ecosystem. The EV/XFC Cybersecurity Profile is not intended to serve as a solution or compliance checklist. Users of this profile will understand that its application cannot eliminate the likelihood of disruption or guarantee some level of assurance. |
EV/XFCサイバーセキュリティプロファイルは、エンタープライズリスクマネジメントプログラムの一部とし て、EV/XFCエコシステム内のシステム、ネットワーク、資産に対する脅威の管理を支援する。EV/XFC サイバーセキュリティプロファイルは、ソリューションやコンプライアンスチェックリストとして機能することを意図していない。このプロファイルの利用者は、その適用によって混乱の可能性を排除したり、ある程度の保証を保証したりすることはできないことを理解する。 |
Use of the Profile will help organizations: |
このプロファイルを使用することは、組織にとって以下のような助けとなる: |
• Identify key assets and interfaces in each of the ecosystem domains. |
・エコシステムの各領域における主要な資産とインタフェースを識別する。 |
• Address cybersecurity risk in the management and use of EV/XFC services. |
・EV/XFCサービスのマネジメントと利用におけるサイバーセキュリティリスクに対処する。 |
• Identify the threats, vulnerabilities, and associated risks to EV/XFC services, equipment, and data. |
・EV/XFCサービス,機器,データに対する脅威,脆弱性,関連リスクを識別する。 |
• Apply protection mechanisms to reduce risk to manageable levels. |
・管理可能なレベルまでリスクを低減するための防御メカニズムを適用する。 |
• Detect disruptions and manipulation of EV/XFC services. |
・EV/XFCサービスの妨害や操作を検知する。 |
• Respond to and recover from EV/XFC service anomalies in a timely, effective, and resilient manner. |
・EV/XFCサービスの異常に対して,タイムリー,効果的,レジリエンス的に対応し,回復する。 |
1.2. Scope |
1.2. 範囲 |
The EV/XFC ecosystem relies on multiple connected domains. This profile addresses the four major domains in the EV/XFC ecosystem: |
EV/XFC エコシステムは、複数の接続ドメインに依存している。このプロファイルは、EV/XFCエコシステムの4つの主要なドメインに対応する: |
• EV. EVs come in a variety of shapes and sizes—motorcycles, cars, Electric Vehicle Take-Off and Landing (EVTOL) equipment, such as drones or aircraft, and commercial vehicles (e.g., tractor-trailers, construction vehicles, buses). EVs rely on multiple networking systems to communicate internally and with external entities. Internally there are control systems for batteries, motors, charging, and the vehicle itself that operates through an internal Control Area Network (CAN). The charger and vehicle communicate through a physical connector. The vehicle communicates with vendor cloud/third-party organizations via Bluetooth, wi-fi, or cellular. |
・EV. EVには、さまざまな形や大きさのものがある。オートバイ、自動車、ドローンや航空機などの電気自動車離着陸(EVTOL)装置、商用車(トラクター・トレイラー、建設車両、バスなど)である。EVは、内部および外部の事業体とのコミュニケーションのために、複数のネットワークシステムに依存している。内部的には、バッテリー、モーター、充電、車両自体の制御システムがあり、内部CAN(Control Area Network)を介して動作する。充電器と車両は物理的なコネクターを通じて通信する。車両は、Bluetooth、Wi-fi、またはセルラーを介して、ベンダーのクラウド/サードパーティ組織と通信する。 |
• XFC/EVSE. Electric Vehicle Supply Equipment (EVSE) are systems that provide electric power to the vehicle to recharge the vehicle’s batteries. EVSE systems include electrical conductors, related equipment such as Battery Energy Storage Systems (BESS), software, and communications protocols that deliver energy efficiently and safely to the vehicle. Extreme Fast Charging (XFC) is a type of EVSE that is capable of recharging vehicles in a manner of minutes rather than hours. [Energies-2019] In addition to connecting to the EV, the XFC/EVSE and related equipment must connect and communicate with cloud providers and third-party vendors for providing EVSE location information, billing, and other services. |
・XFC/EVSE。EVSE(Electric Vehicle Supply Equipment)は、車両のバッテリーを充電するために車両に電力を供給するシステムである。EVSEシステムには、効率的かつ安全に車両にエネルギーを供給するための導電体、蓄電システム(BESS)などの関連機器、ソフトウェア、コミュニケーション・プロトコルが含まれる。超高速充電(XFC)は、数時間ではなく数分で車両を充電できるEVSEの一種である。[Energies-2019]EVへの接続に加え、XFC/EVSEと関連機器は、EVSEの位置情報、課金、その他のサービスを提供するために、クラウドプロバイダやサードパーティ・ベンダーと接続し、コミュニケーションする必要がある。 |
• Cloud/Third-Party Organizations. The EV/XFC ecosystem consists of independently owned and operated domains, and most charging stations are operated by a charging network with business models that blend station, electricity, and vehicle charging sales together. Third parties are individuals or entities that facilitate transactions but are not one of the primary parties within the exchange. The EV/XFC ecosystem typically uses cloud service providers for these transactions because they are suitable for sensitive data exchanges that involve financial information, personally identifiable information, and other potentially sensitive data. |
・クラウド/サードパーティ組織。EV/XFCエコシステムは,独立して所有・運営されるドメインで構成され,ほとんどの充電ステーションは,ステーション,電力,車両充電販売を融合したビジネスモデルを持つ充電ネットワークによって運営されている。サードパーティとは,取引を促進する個人または事業体であるが,取引所内の主要なパーティの一つではない。EV/XFCエコシステムは,一般的にこれらの取引にクラウドサービスプロバイダを使用する。なぜなら,クラウドサービスプロバイダは,財務情報,個人を特定できる情報,その他の潜在的な機密データを含む機密データ交換に適しているからである。 |
• Utilities/Building Systems. Utilities provide the power necessary to fuel the EV/XFC ecosystem. Building and facility management systems may be present in installations where energy management is required, such as EVSE installed at shopping centers, as well as where distributed energy resources (DER) may be present or where physical security control is required. Both utilities and building/facility management systems include equipment to monitor power utilization, communicate with networked devices and supervisory systems, and help control on-site energy demands. |
・ユーティリティ/ビルディング・システム。公益事業者は、EV/XFCエコシステムの燃料供給に必要な電力をプロバイダから供給している。ビルや施設管理システムは、ショッピングセンターに設置されたEVSEのようにエネルギー管理が必要な設備や、分散型エネルギー資源(DER)が存在する可能性のある設備、物理的なセキュリティ管理が必要な設備に存在する可能性がある。ユーティリティとビル/施設管理システムの両方には、電力利用を監視し、ネットワーク化されたデバイスや監視システムと通信し、現場のエネルギー需要の制御を支援する機器が含まれる。 |
The scope of cybersecurity and enterprise risk management includes operational technology (OT) in addition to information technology (IT). While managing cybersecurity risks is equally important to IT and OT processes, there are considerable operational differences between the two, which may impact the implementation of risk management techniques for IT vs OT. Despite these differences, the interdependencies between IT and OT are increasing which leads to increasing reliance of OT on IT processes and possibly inherited vulnerabilities and risks between the two technologies. |
サイバーセキュリティとエンタープライズ・リスクマネジメントの範囲には、情報技術(IT)に加えて、運用技術(OT)も含まれる。サイバーセキュリティリスクの管理はITとOTのプロセスにとって同様に重要であるが、両者の間には運用上の違いがかなりあり、ITとOTのリスクマネジメント手法の実施に影響を与える可能性がある。このような違いがあるにもかかわらず、ITとOTの相互依存関係は高まっており、OTのITプロセスへの依存度が高まり、2つのテクノロジー間の脆弱性やリスクが継承される可能性がある。 |
The EV/XFC ecosystem has always relied on a combination of IT and OT processes. Integrated risk management includes a collaboration of IT and OT professionals to generate integrated assessments, mitigations, and recovery plans. |
EV/XFCのエコシステムは、常にITとOTプロセスの組み合わせに依存している。統合リスクマネジメントには、統合アセスメント、低減、復旧計画を作成するためのITとOTの専門家の協力が含まれる。 |
The foundational concepts used to define the EV/XFC Cybersecurity Profile’s scope were derived from previous research and documentation developed by the Electric Power Research Institute (EPRI) [EPRI-2023] as illustrated in Fig. 2 below. Power generation and communications within the utility is outside the scope of the EV/XFC Cybersecurity Profile. |
EV/XFC サイバーセキュリティ・プロファイルの適用範囲を定義するために使用された基本概念は、以下の図 2 に示されているように、電力研究所(EPRI)[EPRI-2023]によって開発された過去の研究と文書から導き出された。電力会社内の発電とコミュニケーションは、EV/XFCサイバーセキュリティ・プロファイルの範囲外である。 |
|
Fig. 2. EV/XFC Ecosystem Domains and Profile Scope. |
図2. EV/XFCエコシステムのドメインとプロファイルの範囲 |
1.3. Audience |
1.3. 想定読者 |
The EV/XFC Cybersecurity Profile may be used by any number of relevant parties within the EV/XFC ecosystem. The relevant parties within the ecosystem are diverse and growing. Members of the ecosystem include: |
EV/XFC サイバーセキュリティ・プロファイルは、EV/XFC エコシステム内の関係者が使用することができる。エコシステム内の関係者は多様であり、増加の一途をたどっている。エコシステムのメンバーには以下が含まれる: |
• EV owners (including individuals in the general public and fleet owners) |
・EV 所有者(一般個人およびフリート所有者を含む) |
• EV manufacturers |
・EVメーカー |
• EVSE owners/operators |
・EVSEオーナー/オペレーター |
• EVSE manufacturers |
・EVSEメーカー |
• Cloud/third-party providers |
・クラウド/サードパーティ・プロバイダー |
• Utility owner/operators |
・電気事業者 |
• Building Network Owners/Providers |
・ビルディング・ネットワーク・オーナー/プロバイダ |
• Suppliers/Vendors |
・サプライヤー/ベンダー |
This document is intended for organizations and relevant parties involved in the EV/XFC industry that use or produce EV/XFC services, systems, and related components such as: |
この文書は、EV/XFCサービス、システム、関連コンポーネントを使用または製造するEV/XFC業界に関わる組織や関係者を対象としている: |
• Public and private organizations that use or provide EV/XFC services |
・EV/XFCサービスを使用または提供する公共および民間組織 |
• Managers responsible for the use or provision of EV/XFC services |
・EV/XFCサービスの使用または提供に責任を持つ管理者 |
• Risk managers, cybersecurity professionals, and others with a role in risk management for systems that use or provide EV/XFC services |
・リスクマネージャー,サイバーセキュリティ専門家,その他EV/XFCサービスを使用または提供するシステムのリスクマネジメントを担う者 |
• Procurement officials responsible for the acquisition of EV/XFC infrastructure or services |
・EV/XFCインフラまたはサービスの取得に責任を持つ調達担当者 |
• Mission and business process owners responsible for achieving operational outcomes dependent on EV/XFC services |
・EV/XFCサービスに依存する業務成果の達成に責任を負うミッションおよびビジネスプロセスのオーナー |
The EV/XFC Cybersecurity Profile is intended for a general audience and is broadly applicable. The Profile applies to organizations that: |
EV/XFCサイバーセキュリティプロファイルは一般読者を対象としており、幅広く適用できる。このプロファイルは以下の組織に適用される: |
• Have already adopted the NIST Cybersecurity Framework to help identify, assess, and manage cybersecurity risks. |
・サイバーセキュリティリスクの識別,アセスメント,マネジメントに役立つ NIST サイバーセキュリティフレームワークをすでに採用している。 |
• Are familiar with the Framework and want to improve their risk postures. |
・フレームワークを熟知しており,リスク態勢の改善を望んでいる。 |
• Are unfamiliar with the Framework but need to implement risk management frameworks for their organization. |
・フレームワークをよく知らないが,リスクマネジメントのフレームワークを導入する必要がある。 |
2. Intended Use |
2. 使用目的 |
The EV/XFC Cybersecurity Profile provides a framework that organizations may use to assess their cybersecurity posture (both the “as is” and “to be” states) as a part of their risk management processes and procedures. This profile provides guidance, and its use is voluntary. The Profile provides an assessment methodology for organizations to determine risks and the potential impacts of cyber based disruptions to the EV/XFC ecosystem. The Profile is intended to help organizations within the EV/XFC community prioritize cybersecurity activities based on their mission and/or business objectives. |
EV/XFCサイバーセキュリティプロファイルは、組織がリスクマネジメントのプロセスや手順の一環として、サイバーセキュリティ態勢(「現状」と「あるべき姿」の両方)を評価するために使用できるフレームワークを提供する。このプロファイルはガイダンスを提供するものであり、その使用は任意である。このプロファイルは、組織がEV/XFCエコシステムに対するリスクとサイバーに基づく混乱の潜在的影響を判断するためのアセスメント手法を提供するものである。このプロファイルは、EV/XFC コミュニティ内の組織が、その使命や事業目標に基づいてサイバーセキュリティ活動に優先順位をつけるのに役立つことを意図している。 |
Additionally, the Profile can be used to help organizations identify areas where standards, practices, and other guidance can help manage risks to systems that use EV/XFC services. An organization can use the Profile in conjunction with its processes for identifying, assessing, and managing risk. The Profile is intended to complement, not replace, the organization’s existing risk management processes. This Profile is intended to be used as a foundational profile, and specific organizations can customize the EV/XFC Cybersecurity Profile by considering the following questions: |
さらに、このプロファイルは、EV/XFCサービスを使用するシステムのリスクマネジメントに標準、慣行、その他のガイダンスが役立つ分野を組織が特定するのに役立てることができる。組織は、リスクを特定し、アセスメントし、マネジメントするためのプロセスとともにプロファイルを使用することができる。このプロファイルは組織の既存のリスクマネジメントプロセスを補完するものであり、それに取って代わるものではない。このプロファイルは基礎的なプロファイルとして使用することを意図しており、特定の組織は以下の質問を検討することにより、EV/XFCサイバーセキュリティプロファイルをカスタマイズすることができる: |
• What are the mission objectives for the organizations within the ecosystem? |
・エコシステム内の組織のミッション目標は何か? |
• What processes or assets support the mission objective? |
・どのようなプロセスや資産がミッション目標をサポートしているか? |
• What processes and assets are vulnerable to disruption or degradation? |
・どのようなプロセスや資産が中断や劣化に対して脆弱性があるか? |
• What is the impact to the mission should a process or asset be lost or degraded? |
・プロセスや資産が失われたり劣化したりした場合に,ミッションに与える影響はどの程度か。 |
• What are the integrity and availability thresholds of EV/XFC to avoid mission impact? |
・ミッションへの影響を回避するためのEV/XFCの完全性と可用性の閾値は何か。 |
• What safeguards are available? |
・どのような安全策があるか? |
• What techniques can be used to detect events of concern? |
・懸念される事象を検知するために,どのような技術を使用できるか? |
• What techniques can be used to respond to events of concern? |
・懸念される事象に対応するために,どのような技術を使用できるか? |
• What techniques can be used to recover pre-event capabilities? |
・イベント発生前の能力を回復するために,どのような技術を使用できるか? |
3. EV/XFC Cybersecurity Mission Objectives |
3. EV/XFC サイバーセキュリティ・ミッション目標 |
The EV/XFC Cybersecurity Mission Objectives (MOs) provide the context for an organization to manage its cybersecurity risk as it relates to its specific mission needs. The following MOs can serve as a starting point for a particular organization to define their own cybersecurity MOs. |
EV/XFC サイバーセキュリティ・ミッション目標(MO)は、組織が特定のミッション・ニーズに関連するサイバーセキュリティ・リスクをマネジメントするためのコンテキストを提供する。以下の MO は、特定の組織が独自のサイバーセキュリティ MO を定義するための出発点となる。 |
3.1. Mission Objective 1: Deliver Reliable Performance through Secure Communications |
3.1. ミッション目標 1:安全なコミュニケーションを通じて信頼できるパフォーマンスを提供する |
Communicating across the XFC infrastructure is critical to the performance in the EV/XFC ecosystem and the success of the EV industry. Because of this in tandem dependency, the communications should be reliable and secure to fulfill the ecosystem’s mission needs. The XFC infrastructure faces many operational and cybersecurity threats and vulnerabilities, especially to its communication infrastructure; therefore, greater attention is needed to secure communications. Secure communications enable fundamental EV/XFC activities, such as charging experience, billing processes, and availability of charging stations. |
XFCインフラ全体でのコミュニケーションは、EV/XFCエコシステムでのパフォーマンスとEV業界の成功に不可欠である。このような依存関係があるため、エコシステムのミッションニーズを満たすには、信頼性が高くセキュアなコミュニケーションが必要である。XFCインフラは、特にその通信インフラに対して、多くの運用上の脅威やサイバーセキュリティ上の脆弱性に直面しているため、安全な通信に一層の注意が必要である。安全なコミュニケーションは、充電体験、課金プロセス、充電ステーションの利用可能性など、EV/XFCの基本的な活動を可能にする。 |
The rationale for this Mission Objective includes: |
このミッション目標の根拠は以下の通りである: |
• EV. Communication between the EV (battery management system) and the charging station is necessary to facilitate the EV battery charging process. The EV connects to cloud/third-party applications to manage the transactions and collect data. EV user systems (e.g., infotainment) also may communicate with other vehicle systems, such as the charge controller and battery management systems. The interface between these applications presents a potential attack surface for malicious actors to cause damage. |
・EV。EV(バッテリー管理システム)と充電ステーション間のコミュニケーションは、EVのバッテリー充電プロセスを促進するために必要である。EVは、クラウド/サードパーティ・アプリケーションに接続して、トランザクションを管理し、データを収集する。EVのユーザーシステム(インフォテインメントなど)も、充電コントローラーやバッテリー管理システムなど、他の車両システムとコミュニケーションする可能性がある。これらのアプリケーション間のインターフェイスは、悪意のある行為者が損害を与える潜在的な攻撃対象となる。 |
• XFC/EVSE. The charging station requires secure communication to the cloud to facilitate financial transactions, provide authorization to charge, collect maintenance logs, and receive updates. Additionally, the charging station draws power from the metered utility. |
・XFC/EVSE。充電ステーションは,金融取引を促進し,充電の認可を提供し,保守ログを収集し,アップデートを受信するために,クラウドとのセキュアなコミュニケーションを必要とする。さらに,充電ステーションは,メーター付きのユーティリティから電力を引き出す。 |
• Cloud/Third-Party. Cloud service providers require reliable secure connections to the EV, charging station, and the utility to facilitate the charging process. Secure reliable communications allow for validation of financial transactions, protect personal information, and allow for maintenance updates and logs to be transmitted quickly and economically. |
・クラウド/サードパーティ。クラウド・サービス・プロバイダは,充電プロセスを促進するために,EV,充電ステーション,電力会社への信頼性の高いセキュアな接続を必要とする。信頼性の高いセキュアなコミュニケーションは,金融取引の検証,個人情報の保護,保守更新やログの迅速かつ経済的な伝送を可能にする。 |
• Utility/Building Management Systems. Utilities provide power to the charging station. Coordination between the XFC chargers and utilities are required for various smart grid applications such as peak shaving/load shifting or forecasting. Where this communication exists, it must be reliable and secure. |
・ユーティリティ/ビル管理システム。ユーティリティは充電ステーションに電力を供給する。XFC充電器と電力会社間の調整は,ピークカット/負荷シフトや予測など,様々なスマートグリッドアプリケーションのために必要である。このコミュニケーションが存在する場合,信頼性が高く安全でなければならない。 |
3.2. Mission Objective 2: Maintain Resilience of the XFC Infrastructure |
3.2. ミッション目標2:XFCインフラのレジリエンスを維持する |
All users in the EV/XFC ecosystem should have reliable access to services. A loss of cybersecurity may impact physical security; therefore, organizations must implement safeguards to ensure the resilience of the EV/XFC ecosystem. All cybersecurity decisions should be balanced with business needs to maintain usability of the system while keeping the ecosystem secure and resilient. |
EV/XFCエコシステムのすべてのユーザーが、信頼性の高いサービスにアクセスできなければならない。サイバーセキュリティの喪失は物理的なセキュリティに影響を与える可能性があるため、組織はEV/XFCエコシステムのレジリエンスを確保するためのセーフガードを導入しなければならない。すべてのサイバーセキュリティの決定は、エコシステムの安全性とレジリエンスを維持しながら、システムの使いやすさを維持するためのビジネスニーズとのバランスをとるべきである。 |
The rationale for this Mission Objective includes: |
このミッション目標の根拠は以下の通りである: |
• EV. EV owners want assurance that their vehicle is protected before they are willing to participate in the charging ecosystem. Batteries are a significant expense, and a compromised XFC ecosystem could potentially lead to physical damage to the battery, |
・EV。EVの所有者は、充電エコシステムに参加する前に、自分の車両が保護されているという保証を望んでいる。バッテリーは大きな出費であり、XFCエコシステムが損なわれると、バッテリーの物理的な損傷につながる可能性がある、 |
EV components, and other nearby equipment. Thus, implemented safeguards will ease the minds of users and encourage them to use the charging stations. |
EVの構成部品やその他の周辺機器に物理的な損傷を与える可能性がある。そのため、セーフガードを導入することで、利用者の気持ちを和らげ、充電ステーションの利用を促すことができる。 |
• XFC/EVSE. Due to the unique position of charging stations in the ecosystem, its geographical dispersion, and its general lack of physical security, charging stations have become an appealing target for threat actors. EVSE infrastructures should be protected, both cyber and physical, to prevent attacks like ransomware or damage to the charging infrastructure itself. |
・XFC/EVSE。エコシステムにおける充電ステーションのユニークな位置づけ,地理的分散,一般的な物理的セキュリティの欠如により,充電ステーションは脅威行為者にとって魅力的なターゲットとなっている。EVSEインフラは,ランサムウェアのような攻撃や充電インフラ自体への被害を防ぐために,サイバーと物理の両面から防御されるべきである。 |
• Cloud/Third-Party. The cloud/third-party environment facilitates connectivity between domains of the infrastructure. It should be protected to maintain operations. |
・クラウド/サードパーティ。クラウド/サードパーティ環境は,インフラのドメイン間の接続を容易にする。運用を維持するために保護する必要がある。 |
• Utility/Building Management Systems. Utilities should have protection systems in place to prevent manipulation of utility components to maintain safe operations. |
・ユーティリティ/ビル管理システム。ユーティリティは,安全な運用を維持するために,ユーティリティ・コンポーネントの操作を防止する保護システムを備えるべきである。 |
3.3. Mission Objective 3: Build and Maintain Trustworthy Relationships with Partners and Customers |
3.3. ミッション目標3:パートナーおよび顧客との信頼関係の構築と維持 |
EV/XFC cybersecurity requires collection and use of partner and customer data from many sources. Building and maintaining relationships with relevant parties demands organizations consider and mitigate against risks throughout the information lifecycle. Protecting the confidentiality of sensitive information (e.g., system status information) ensures confidence in the organization and establishes trust among partners and with customers. Personal information should also be protected (e.g., credit card information, individual XFC usage patterns) to ensure that user information is not correlated for inappropriate use, resulting in a loss of trust from users. Cybersecurity disruptions to systems can impact product quality, leading partners, and customers to question the trustworthiness of the organization. |
EV/XFC サイバーセキュリティでは、多くの情報源からパートナーや顧客のデータを収集し、利用する必要がある。関係者との関係を構築・維持するためには、情報のライフサイクル全体を通してリスクを考慮し、軽減することが求められる。機密情報(システムステータス情報など)の機密性を防御することで、組織に対する信頼が確保され、パートナー間や顧客との信頼関係が確立される。また、個人情報(クレジットカード情報、個人の XFC 利用パター ンなど)も防御し、ユーザ情報が不適切な用途に関連付けられ、ユーザからの信頼を失うこと がないようにする。システムに対するサイバーセキュリティの混乱は、製品の品質に影響を与え、パートナーや顧客に組織の信頼性を疑わせる可能性がある。 |
The rationale for this mission objective includes: |
このミッション目標の根拠は以下のとおりである: |
• EV. EV owners trust that charging stations will be available and operable, will not be damaged while charging, and will protect their information during transactions. |
・EV。EVの所有者は,充電ステーションが利用可能で操作可能であること,充電中に破損することがないこと,取引中に情報が保護されることを信頼している。 |
• XFC/EVSE. EVSEs are the most visible representation of the EV/XFC ecosystem, and a cyber incident can have broad impact leaving the public uncertain of the safety and reliability of EVs, potentially impacting future sales. |
・XFC/EVSE。EVSEは,EV/XFCエコシステムの中で最も目に見えるものであり,サイバーインシデントが発生すると,EVの安全性と信頼性が一般に不確かなものとなり,将来の販売に影響を与える可能性がある。 |
• Cloud/Third-Party. Cloud and third-party providers capture and maintain sensitive financial information for transactions across the EV/XFC ecosystem. Inadvertent release of this sensitive information can result in a loss of trust from all ecosystem relevant parties as well as result in high costs to the cloud/third-party providers due to fines, civil lawsuits, or compensation to customers. |
・クラウド/サードパーティ。クラウドやサードパーティーのプロバイダは,EV/XFCエコシステム全体の取引に関する機密性の高い財務情報を取得・管理している。この機密情報が不用意に流出すると,エコシステムに関連するすべての関係者からの信頼を失うだけでなく,クラウド/サードパーティ・プロバイダにとっては,罰金,民事訴訟,または顧客への補償によって高いコストが発生する可能性がある。 |
• Utility/Building Management Systems. Disruptions in the power supply may leave EV owners stranded and others in the EV/XFC ecosystem unable to perform their business functions. These types of disruptions erode trust in the EV/XFC ecosystem. |
・ユーティリティ/ビル管理システム。電力供給の機能停止は,EV所有者を立ち往生させ,EV/XFCエコシステムの他の関係者がビジネス機能を果たせなくする可能性がある。このような混乱は,EV/XFCエコシステムに対する信頼を損なう。 |
3.4. Mission Objective 4: Maintain Continuity of Operations |
3.4. ミッション目標4:業務の継続性を維持する |
The EV/XFC ecosystem must sustain operations and ensure the organization’s mission continues in the face of adversity. Organizations need to monitor for deviations to identify potential cybersecurity events and detect and respond to anomalous behavior. Cyber supply chain risk management processes should also be identified and agreed to by organizational relevant parties. Moreover, organizations account for disruptions through business continuity/contingency planning and implementation of response and recovery plans. Achieving this objective requires each domain in the EV/XFC ecosystem to work together as expected. |
EV/XFCエコシステムは、オペレーションを維持し、逆境に直面しても組織のミッションが継続されるようにしなければならない。組織は、逸脱を監視してサイバーセキュリティの潜在的な事象を特定し、異常な行動を検知して対応する必要がある。また、サイバーサプライチェーンリスクマネジメントプロセスを特定し、組織の関係者が合意する必要がある。さらに、組織は、事業継続/緊急時対応計画と対応・復旧計画の実施を通じて、混乱に備える。この目的を達成するには、EV/XFCエコシステムの各領域が期待通りに連携することが必要である。 |
The rationale for this mission objective includes: |
このミッション目標の根拠は以下の通りである: |
• EV. Understanding when an EV is compromised or acting outside its normal baseline operation is key to safe and reliable operations of the vehicle. |
・EV。EV。EVがいつ危険にさらされるか,または通常のベースライン動作から外れて動作するかを理解することは,車両の安全で信頼性の高い運用の鍵となる。 |
• XCF/EVSE. To detect anomalous behavior, it is necessary to understand the stations’ charging cycle profile and power consumption to identify deviations from normal operations, which may indicate malicious behavior. Supply chain issues (e.g., quality, integrity, availability) impact the reliability of EVSE. |
・XCF/EVSE。異常な動作を検知するためには、ステーションの充電サイクルプロファイルと消費電力を理解し、悪意ある動作を示す可能性のある通常動作からの逸脱を特定する必要がある。サプライチェーンの問題(品質、完全性、可用性など)は、EVSE の信頼性に影響を与える。 |
• Cloud/Third-Party. Cloud/third-party entities must be able to identify malicious behaviors that deviate from cybersecurity baselines (e.g., unknown, or new connections and/or transmissions from sources other than the service provider or authorized by the service provider). |
・クラウド/サードパーティ。クラウド/サードパーティ事業体は、サイバーセキュリティのベースラインから逸脱した悪意のある行動(例えば、サービスプロバイダ以外からの未知の、あるいは新しい接続や送信、あるいはサービスプロバイダによって認可された送信)を識別できなければならない。 |
• Utility/Building Management Systems. Utilities typically have programs in place to detect anomalous activity from external systems that could impact operations. |
・ユーティリティ/ビル管理システム。公益事業者は通常,業務に影響を及ぼす可能性のある外部システムからの異常な活動を検知するためのプログラムを備えている。 |
Comments