NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

こんにちは、丸山満彦です。

NISTが、NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門を公表していますね。。。

 

● NIST - ITL

・2023.07.25 NIST IR 8270 Introduction to Cybersecurity for Commercial Satellite Operations

NIST IR 8270 Introduction to Cybersecurity for Commercial Satellite Operations	NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門
Abstract	概要
Space is a newly emerging commercial critical infrastructure sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving commercial space – including those affecting commercial satellite vehicles – need to be understood and managed alongside other types of risks to ensure safe and successful operations. This report provides a general introduction to cybersecurity risk management for the commercial satellite industry as they seek to start managing cybersecurity risks in space. This document is by no means comprehensive in terms of addressing all of the cybersecurity risks to commercial satellite infrastructure, nor does it explore risks to satellite vehicles, which may be introduced through the implementation of cybersecurity controls. The intent is to present basic concepts, generate discussions, and provide sample references for additional information on pertinent cybersecurity risk management models.	宇宙は新たに台頭してきた商業的な重要インフラ分野であり、もはや政府当局だけの領域ではない。宇宙は本質的にリスクの高い環境であるため、商業衛星に影響を及ぼすものを含め、商業宇宙が関与するサイバーセキュリティリスクは、安全で成功する運用を確保するために、他の種類のリスクとともに理解し、マネジメントする必要がある。本レポートは、商業衛星業界が宇宙におけるサイバーセキュリティ・リスクマネジメントを開始しようとする際に、サイバーセキュリティ・リスクマネジメントの一般的な序文を提供するものである。本書は、商業衛星インフラに対するすべてのサイバーセキュリティ・リスクに対応するという点で、決して包括的なものではない。また、サイバーセキュリティ管理の実施によってもたらされる可能性のある衛星搭載機に対するリスクについても検討するものではない。意図するところは、基本的な概念を提示し、議論を喚起し、関連するサイバーセキュリティ・リスクマネジメント・モデルに関する追加情報のための参考文献のサンプルを提供することである。

 

・[PDF] NIST IR 8270

 

 

Executive Summary	要旨
1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Report Structure	1.2. 報告書の構成
2. Conceptual High-Level Architecture of Satellite Operations	2. 衛星運用の概念的ハイレベル・アーキテクチャ
2.1. Space Architecture Segments	2.1. 宇宙アーキテクチャのセグメント
2.1.1. Space Segment:	2.1.1. 宇宙セグメント
2.1.2. Key Considerations and Communications	2.1.2. 主な検討事項とコミュニケーション
2.1.3. Other Space Architecture Segments	2.1.3. その他のスペース・アーキテクチャ・セグメント
2.2. Spacecraft Vehicle Life Cycle Phases	2.2. 宇宙船のライフサイクル・フェーズ
2.2.1. Operational Phase	2.2.1. 運用フェーズ
2.2.2. Other Phases	2.2.2. その他のフェーズ
3. An Introduction to the Cybersecurity Framework	3. サイバーセキュリティフレームワークの序文
4. Creating a Cybersecurity Program for Space Operations	4. 宇宙事業のためのサイバーセキュリティ・プログラムの作成
4.1. Using the Cybersecurity Framework to Develop a Profile	4.1. サイバーセキュリティフレームワークを使ってプロファイルを作成する
4.2. Case Study Example	4.2. ケーススタディの例
4.2.1. Scenario Background	4.2.1. シナリオの背景
4.3. Conclusion	4.3. 結論
References	参考文献
Appendix A. Examples of Relevant Regulations	附属書A. 関連規則の例
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary	附属書C. 用語集

 

 

Executive Summary	要旨
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government considers unfettered access to and freedom to operate in space vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. Space Policy Directive 5 (SPD-5) was released in 2020 to address the need for cybersecurity in space systems and directed federal agencies to work with non-government space operators to define and establish cybersecurityinformed norms for space systems. This profile is part of the effort of the National Institute of Standards and Technology (NIST) to support SPD-5 and its goals for securing space.	2018年9月の米国国家サイバー戦略に記載されているように、米国政府は、国家の安全保障、経済的繁栄、科学的知識を促進するために、宇宙への自由なアクセスと宇宙での活動の自由が不可欠であると考えている。宇宙システムにおけるサイバーセキュリティの必要性に対処するため、宇宙政策指令5（SPD-5）が2020年に発表され、連邦政府機関に対し、政府以外の宇宙事業者と協力して宇宙システムのサイバーセキュリティに配慮した規範を定義・確立するよう指示した。この標準プロファイルは、SPD-5 とその宇宙安全確保目標を支援するための国立標準技術研究所（NIST）の取り組みの一環である。
Cyber-related threats to space assets (e.g., commercial satellites) and supporting infrastructure pose increasing risk to this economic promise and commercial space emerging markets. Commercial satellite operations occur in an inherently risky environment. Physical risks to these operations are generally quantifiable and have the most likely potential to adversely impact the businesses that operate commercial satellites, usually in low-earth orbit. While this is the primary risk consideration for satellite operations, continued growth in this new commercial infrastructure allows for opportunities to address cybersecurity risks along with other risk elements.[1]	宇宙資産（商業衛星など）やそれを支えるインフラに対するサイバー関連の脅威は、この経済的有望性と商業宇宙新興市場に対して増大するリスクをもたらす。商業衛星の運用は、本質的にリスクの高い環境で行われている。これらの事業に対する物理的リスクは一般的に定量化可能であり、通常、地球低軌道で商業衛星を運用する事業に悪影響を及ぼす可能性が最も高い。これは衛星運用の主要なリスク検討事項であるが、この新しい商業インフラストラクチャの継続的成長により、他のリスク要素とともにサイバーセキュリティリスクに対処する機会が与えられる[1]。
Methods for the creation, maintenance, and implementation of a cybersecurity program for many commercial and international markets include products in national and international standardsetting organizations (SSOs), as well as the use of risk management guidance from NIST. NIST risk management guidance includes specific technical references, cybersecurity control catalogues, the Information Technology Risk Management Framework, and the Cybersecurity Framework (CSF).	多くの商業市場や国際市場向けのサイバーセキュリティプログラムの作成、保守、実施のための手法には、国内外の標準化団体（SSO）の製品や、NISTのリスクマネジメントガイダンスの利用がある。NIST のリスクマネジメントガイダンスには、特定の技術仕様、サイバーセキュリティコントロールカタログ、情報技術リスクマネジメントフレームワーク、サイバーセキュリティフレームワーク（CSF）などがある。
The intent of this document is to introduce the CSF to commercial space businesses. This includes describing a specific method for applying the CSF to a small portion of commercial satellite operations (e.g., a small sensing satellite), creating an example CSF set of desired security outcomes based on missions and anticipated threats, and describing an abstracted set of cybersecurity outcomes, requirements, and suggested cybersecurity controls.	この文書の意図は、民間宇宙事業者に CSF を紹介することである。これには、CSF を商業衛星運用のごく一部（例えば、小型のセンシング衛星）に適用する具体的な方法の説明、ミッションと予想される脅威に基づく望ましいセキュリティ成果の CSF セットの例の作成、サイバーセキュリティ成果、要求事項、及び推奨されるサイバーセキュリティ管理の抽象化されたセットの説明が含まれる。
NIST asks the commercial satellite operations community to use this document as an informative reference to assist in managing cybersecurity risks and to consider how cybersecurity requirements might coexist within space vehicle system requirements. The example requirements listed in this document could be used to create an initial baseline. However, NIST recommends that organizations use this document in coordination with NIST references and applicable SSO materials to create customized cybersecurity outcomes, requirements, and controls to support an organization’s particular business needs and address its individual threat models.	NIST は商業衛星運用コミュニティに対して、サイバーセキュリティリスクマネジメントを支援し、宇宙機システム要件の中でサイバーセキュリティ要件がどのように共存するかを検討するための参考資料として、この文書を使用するよう求めている。この文書に記載されている要件例は、最初のベースラインを作成するために使用することができる。しかし、NIST は、組織が特定のビジネス・ニーズをサポートし、個々の脅威モデルに対処するために、サイバーセキュリティの成果、要件、及び管理策をカスタマイズして作成するために、NIST の参考文献及び適用可能な SSO の資料と連携して本文書を使用することを推奨する [1]。
[1] These can include but are not limited to physical risks, EMI/EMC, financial risks, and supplier and customer risks.	[1] これには、物理的リスク、EMI/EMC、財務リスク、サプライヤリスク、顧客リスクなどが含まれるが、これらに限定されるものではない。

 

Fig. 1. Major parts of the conceptual high-level architecture of space operations

図1. 宇宙事業の概念的ハイレベル・アーキテクチャの主要部分

 

Fig. 2. Major communication links used in space systems

図2. 宇宙システムで使用される主なコミュニケーション・リンク

 

 

Fig. 3. Phases of operations

図3. 運用のフェーズ

 

 

---

 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

サイバーセキュリティフレームワーク2.0関係

・2023.04.26 米国 NIST ホワイトペーパー（案） 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性（CSF2.0に向けて...）

・2022.10.07 米国 NIST 国際的活動に関する最新情報：CSF2.0アップデートワークショップなど (2022.09.30)

 

衛星関係...

・2023.06.10 NIST NISTIR 8441（ドラフト）ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.01.08 NISTIR 8401 衛星地上セグメント：衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル：注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和３年度委託調査報告書（サイバーセキュリティ関係） 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク（HSN）サイバーセキュリティ（ドラフト）

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント：衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270（ドラフト）商用衛星運用のためのサイバーセキュリティ入門（第2稿）

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270（ドラフト）商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉？凶？

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時（PNT）に関連するサービスに関連したセキュリティプロファイルに関する文書（NISTIR 8323）のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。