NIST IR 8473 電気自動車の超高速充電インフラ向けサイバーセキュリティフレームワークプロファイル
こんにちは、丸山満彦です。
NISTが電気自動車の超高速充電インフラに対してサイバーセキュリティフレームワークを適用する場合のガイダンスを公表していますね。。 。7月にパブコメに出してからわりと早めの公開ですね。。。。
設計思想が違うITとOTが連携しなければならない世界で、シームレスにセキュリティ・レジリエンスを担保するための考え方ということですかね。。。
● NIST - ITL
・2023.10.16 NIST IR 8473 Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure
| NIST IR 8473 Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure | NIST IR 8473 電気自動車の急速充電インフラ向けサイバーセキュリティフレームワークプロファイル |
| Abstract | 概要 |
| This document is the Cybersecurity Framework Profile (Profile) developed for the Electric Vehicle Extreme Fast Charging (EV/XFC) ecosystem and the subsidiary functions that support each of the four domains: (i) Electric Vehicles (EV); (ii) Extreme Fast Charging (XFC); (iii) XFC Cloud or Third-Party Operations; (iv) and Utility and Building Networks. This Profile provides a foundational profile that relevant parties may use to develop profiles specific to their organization to assess their cybersecurity posture as a part of their risk management process. The profile is intended to supplement, not replace, an existing risk management program or the current cybersecurity standards, regulations, and industry guidelines that are in current use by the EV/XFC industry. | 本書は、電気自動車(EV/XFC)エコシステムと、(i)電気自動車(EV)、(ii)超高速充電(XFC)、(iii)XFC クラウドまたはサードパーティの運用、(iv)ユーティリティと建物のネットワークという 4 つのドメインのそれぞれをサポートする補助的な機能のために開発されたサイバーセキュリティフレームワーク・プロファイル(プロファイル)である。このプロファイルは、リスク管理プロセスの一環としてサイバーセキュリティ態勢を評価するために、関係者が各組織固有のプロファイルを作成するために使用できる基礎的なプロファイルを提供するものである。本プロファイルは、既存のリスク管理プログラムや、EV/XFC 業界で現在使用されているサイバーセキュリティ基準、規制、業界ガイドラインを補完するものであり、置き換えるものではない。 |
・[PDF] NIST.IR.8473
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Audience | 1.3. 想定読者 |
| 2. Intended Use | 2. 使用目的 |
| 3. EV/XFC Cybersecurity Mission Objectives | 3. EV/XFC サイバーセキュリティのミッション目標 |
| 3.1. Mission Objective 1: Deliver Reliable Performance through Secure Communications | 3.1. ミッション目標1:セキュアなコミュニケーションを通じて信頼できるパフォーマンスを提供する。 |
| 3.2. Mission Objective 2: Maintain Resilience of the XFC Infrastructure | 3.2. ミッション目標2:XFCインフラのレジリエンスを維持する |
| 3.3. Mission Objective 3: Build and Maintain Trustworthy Relationships with Partners and Customers | 3.3. ミッション目標3:パートナーおよび顧客との信頼関係の構築と維持 |
| 3.4. Mission Objective 4: Maintain Continuity of Operations | 3.4. ミッション目標4:業務の継続性を維持する |
| 4. Overview of the Cybersecurity Framework | 4. サイバーセキュリティフレームワークの概要 |
| 4.1. The Framework Core | 4.1. フレームワークの中核 |
| 4.2. Sector-Level Profiles | 4.2. セクター・レベルのプロファイル |
| 5. XFC Baseline Profile | 5. XFCベースラインプロファイル |
| 5.1. Identify Function | 5.1. 機能の識別 |
| 5.1.1. Asset Management Category | 5.1.1. 資産管理カテゴリー |
| 5.1.2. Business Environment Category | 5.1.2. ビジネス環境カテゴリー |
| 5.1.3. Governance Category | 5.1.3. ガバナンス・カテゴリー |
| 5.1.4. Risk Assessment Category | 5.1.4. リスクアセスメント カテゴリー |
| 5.1.5. Risk Management Category | 5.1.5. リスクマネジメントカテゴリー |
| 5.1.6. Supply Chain Risk Management Category | 5.1.6. サプライチェーンリスクマネジメントカテゴリー |
| 5.2. Protect Function Considerations Across the EV/XFC Domains | 5.2. EV/XFC領域にわたる防御機能の考慮事項 |
| 5.2.1. Identity Management, Authentication and Access Control Category | 5.2.1. アイデンティティ管理、認証/アクセス制御カテゴリー |
| 5.2.2. Awareness and Training Category | 5.2.2. 意識向上およびトレーニングカテゴリー |
| 5.2.3. Data Security Category | 5.2.3. データセキュリティカテゴリー |
| 5.2.4. Information Protection and Processes Category | 5.2.4. 情報防御とプロセスカテゴリー |
| 5.2.5. Maintenance Category | 5.2.5. 保守カテゴリー |
| 5.2.6. Protective Technology Category | 5.2.6. 保護技術カテゴリー |
| 5.3. Detect Function Considerations Across the EV/XFC Domains | 5.3. EV/XFC領域にわたる検知機能の検討 |
| 5.3.1. Anomalies and Events | 5.3.1. 異常とイベント |
| 5.3.2. Security Continuous Monitoring | 5.3.2. セキュリティの継続的なモニタリング |
| 5.3.3. Detection Processes | 5.3.3. 検知プロセス |
| 5.4. Respond Function Considerations Across the EV/XFC Domains | 5.4. EV/XFCドメイン間での対応機能の考慮事項 |
| 5.4.1. Analysis | 5.4.1. 分析 |
| 5.4.2. Communications | 5.4.2. コミュニケーション |
| 5.4.3. Improvements Category | 5.4.3. 改善カテゴリー |
| 5.4.4. Mitigation | 5.4.4. 低減 |
| 5.4.5. Response Planning | 5.4.5. 対応計画 |
| 5.5. Recover Function Considerations Across the EV/XFC Domains | 5.5. EV/XFCドメイン間での機能回復に関する考慮事項 |
| 5.5.1. Communications | 5.5.1. コミュニケーション |
| 5.5.2. Improvements | 5.5.2. 改善 |
| 5.5.3. Recovery Planning | 5.5.3. 復旧計画 |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書A. 記号、略語、頭字語のリスト |
| Final NIST Internal Report (NIST IR) 8473, Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure | 最終NIST内部報告書(NIST IR)8473「電気自動車超高速充電インフラ向けサイバーセキュリティフレームワーク・プロファイル |
| Overview | 概要 |
| This Profile is designed to be part of an enterprise risk management program to aid organizations in managing threats to systems, networks, and assets within the Electric Vehicle Extreme Fast Charging Infrastructure (EV/XFC) ecosystem (it is not intended to serve as a solution or compliance checklist). | このプロファイルは、電気自動車(EV/XFC)エコシステム内のシステム、ネットワーク、資産に対する脅威を管理する組織を支援するための企業リスク管理プログラムの一部として設計されている(ソリューションやコンプライアンスチェックリストとして機能することを意図していない)。 |
| The Profile is an application of the Framework Categories and Subcategories in the context of the EV/XFC cybersecurity ecosystem, as provided by the Department of Energy and Electric Power Research Institute. It is a non-regulatory, voluntary profile intended to supplement—not replace—an existing risk management program or the current cybersecurity standards, regulations, and industry guidelines that are in current use by the EV/XFC industry. | このプロファイルは、エネルギー省と電力研究所(Electric Power Research Institute)が提供するフレームワークのカテゴリーとサブカテゴリーをEV/XFCのサイバーセキュリティエコシステムに適用したものである。このプロファイルは、既存のリスク管理プログラムや、EV/XFC 業界で現在使用されているサイバーセキュリティ基準、規制、業界ガイドラインを代替するのではなく、補完することを目的とした、規制のない自主的なプロファイルである。 |
| The Profile also provides ecosystem-relevant parties with a means to assess and communicate their cybersecurity posture in a manner consistent with the Framework. It also offers users with an industry level risk-based approach for managing cybersecurity activities and facilitates cross-collaboration between industry parties, vendors, and end users. | また、このプロファイルは、エコシステムに関連する当事者に対して、フレームワークと整合的な方法でサイバーセキュリティ態勢を評価し、伝達する手段を提供する。また、サイバーセキュリティ活動を管理するための業界レベルのリスクベースのアプローチをユーザーに提供し、業界関係者、ベンダー、エンドユーザー間の相互協力を促進する。 |
| Use of the Profile will help organizations: | このプロファイルを利用することで、組織は以下のようなことが可能になる: |
| ・Identify key assets and interfaces in each of the ecosystem domains.< | ・エコシステムの各ドメインにおける主要な資産とインタフェースを特定する。 |
| ・Address cybersecurity risk in the management and use of EV/XFC services.< | ・EV/XFCサービスの管理と利用におけるサイバーセキュリティリスクに対処する。 |
| ・Identify the threats, vulnerabilities, and associated risks to EV/XFC services, equipment, and data. | ・EV/XFCサービス、機器、データに対する脅威、脆弱性、関連リスクを特定する。 |
| ・Apply protection mechanisms to reduce risk to manageable levels. | ・管理可能なレベルまでリスクを低減するための保護メカニズムを適用する。 |
| ・Detect disruptions and manipulation of EV/XFC services. | ・EV/XFCサービスの中断や操作を検知する。 |
| ・Respond to and recover from EV/XFC service anomalies in a timely, effective, and resilient manner. | ・EV/XFCサービスの異常に対して、タイムリーかつ効果的で回復力のある方法で対応し、回復する。 |
| What changed from the draft to final Profile? | ドラフトから最終版へ何が変わったのか? |
| We received over 220 public comments on the draft Profile. Based on the input received, a few major changes from the draft to final Profile include: | プロファイル草案に対して220件を超えるパブリックコメントが寄せられた。寄せられた意見に基づき、草案から最終版への主な変更点は以下の通りである: |
| ・Added additional informative references for applicable subcategories, including: NIST Special Publication (SP) 800-207 Zero Trust Architecture, International Organization for Standardization (ISO) ISO/SAE 21434, and International Organization for Standardization (ISO) 24089. | ・該当するサブカテゴリの参考文献を追加した: NIST Special Publication (SP) 800-207 Zero Trust Architecture、International Organization for Standardization (ISO) ISO/SAE 21434、International Organization for Standardization (ISO) 24089 を含む。 |
| ・Added acknowledgements for individual contributors from the COI and public comment period. | ・COIおよびパブリックコメント期間からの個々の貢献者に対する謝辞を追加した。 |
| ・Updated content in the subcategories to better articulate relevancy to specific domains within the EV/XFC ecosystem. | ・EV/XFCエコシステム内の特定領域との関連性をより明確にするため、サブカテゴリの内容を更新した。 |
| ・Updated front matter language to represent the rapid growth of EV vehicles globally. | ・世界的なEV車の急成長を表現するために、フロントマターの文言を更新した。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.10.16 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル(更新)
・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル
・2023.07.19 NIST NISTIR 8473(ドラフト)電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル
・2023.06.24 NIST NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル
・2023.06.11 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル
・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)
・2023.03.05 NISTIR 8432(ドラフト) ゲノムデータのサイバーセキュリティ
・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版
・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)
・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル
・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル(初期ドラフト)
« 金融庁 金融業界横断的なサイバーセキュリティ演習(Delta Wall Ⅷ) | Main | 米国 CISA NSA FBI MS-ISAC フィッシング・ガイダンス:攻撃サイクルを第一段階で阻止する »
Comments