Procurement and Acceptance Testing Guide for Servers, Laptops, and Desktop Computers |
サーバー、ノートパソコン、デスクトップパソコンの調達および受入テストガイド |
Executive summary |
要旨 |
Enterprise-grade servers, laptops, and desktops should be procured with a robust set of security artifacts, configurations, and capabilities. The security artifacts enable several risk mitigation techniques that should be used with an automated Acceptance Test process. This guidance is intended to: |
エンタープライズグレードのサーバ、ノートパソコン、デスクトップパソコンは、堅牢なセキュリティ製品、構成、機能を備えた状態で調達すべきである。セキュリティ製品は、自動化された受入テストプロセスで使用されるべきいくつかのリスク低減技法を可能にする。本ガイダンスは、以下を意図している: |
• Encourage the implementation of enterprise Acceptance Testing. |
・エンタープライズ受入テストの実施を奨励する。 |
• Inform procurement professionals what provisions will be needed to support Acceptance Testing. |
・受入テストを支援するためにどのような規定が必要になるかを調達の専門家に知らせる。 |
• Inform original equipment manufacturers (OEMs) on what artifacts and capabilities will be needed to support an Acceptance Test. |
・相手先商標製品製造者(OEM)に対し、受入テストを支援するためにどのような製品や機能が必 要となるかを伝える。 |
|
Figure: Acceptance Testing of procured devices. |
図 調達した機器の受入テスト |
Whenever an organization receives a server, laptop, or desktop computer, its receiving department should perform an automated Acceptance Test to check that the device has: |
組織がサーバー、ラップトップ、またはデスクトップコンピュータを受け取るときは常に、その受入部門は、自動化された受入テストを実行して、そのデバイスが以下を備えていることを確認する必要がある: |
• Secure Boot enabled, |
・セキュアブートが有効になっている、 |
• A Trusted Platform Module (TPM) that is enabled and activated, and · A valid Platform Certificate that matches the components in the device. |
・有効化され、アクティブ化されたTPM(Trusted Platform Module)、デバイスのコンポーネントと一致する有効なプラットフォーム証明書。 |
The acceptance process should also configure recommended Unified Extensible Firmware Interface (UEFI) settings. Any devices that fail these tests should be considered defective and returned. |
受入プロセスでは、推奨される UEFI(Unified Extensible Firmware Interface)設定も行う。これらのテストに不合格となったデバイスは不良品とみなされ、返品されるべきである。 |
Introduction |
序文 |
The guidance in this cybersecurity information sheet (CSI) assumes that organizations procuring the equipment have already implemented a Supply Chain Risk Management (SCRM) process in accordance with NIST SP 800-161 "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations". [1] This guidance is intended to augment those processes with suggested procurement guidance and risk mitigation processes to ensure that enterprise-grade servers, laptops, and desktops are procured with a robust set of security artifacts, configurations, and capabilities. |
本サイバーセキュリティインフォメーションシート(CSI)のガイダンスは、機器を調達する組織が、NIST SP 800-161 「システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実施」に従い、サプライチェーンリスクマネジメント(SCRM)プロセスを既に実施していることを前提としている。[本ガイダンスは、エンタープライズグレードのサーバ、ラップトップ、デスクトップが堅牢なセキュリ ティ製品、構成、機能を備えた状態で調達されるようにするための調達ガイダンスとリスク低減 プロセスを提案し、これらのプロセスを補強することを目的としている。 |
Enable Secure Boot |
セキュアブートを有効にする |
All enterprise-grade servers, laptops, and desktop computers contain firmware and firmware-level applications that run outside the purview of the operating system. Almost all of them implement the Unified Extensible Firmware Interface (UEFI) [2] as defined by the UEFI Forum. The UEFI Secure Boot process implements guidance provided by NIST SP 800-147 "BIOS Protection Guidelines" [3] or NIST SP 800-147b "BIOS Protection Guidelines for servers". [4] All UEFI-based devices should be configured with Secure Boot enabled. Enterprise procurements should specify that the manufacturer include and enable Secure Boot as part of device configuration requirements. |
すべてのエンタープライズ・グレードのサーバ、ラップトップ、およびデスクトップ・コンピュータは、オペレーティング・システムの権限外で実行されるファームウェアとファームウェア・レベルのアプリケーションを含んでいる。そのほとんどすべてが、UEFI フォーラムによって定義された UEFI(Unified Extensible Firmware Interface)[2]を実装している。UEFI セキュアブートプロセスは NIST SP 800-147 "BIOS Protection Guidelines" [3] または NIST SP 800-147b "BIOS Protection Guidelines for servers" によって提供されるガイダンスを実装している。[4] すべての UEFI ベースのデバイスは、セキュアブートを有効にして構成されるべきである。エンタープライズの調達では、デバイス構成要件の一部として、製造業者がセキュアブートを含 めて有効にすることを指定する必要がある。 |
Enterprise security monitoring systems should check that Secure Boot is enabled on all UEFI-based devices after every device boot. |
エンタープライズのセキュリティ監視システムは、すべての UEFI ベースのデバイスで、デバイスが起動するたびにセキュアブートが有効になっていることをチェックすべきである。 |
Require Trusted Platform Modules |
TPMの要求 |
The Trusted Platform Module (TPM), as defined by the Trusted Computing Group (TCG), is a small security coprocessor that can be a standalone component or included as part of another component, such as a microprocessor. Most enterprise-grade laptops and desktops include a TPM version 2.0 since it is required by Microsoft for Windows 8.1 or higher. For servers, the TPM is typically an add-on component that needs to be specified on the ordering manifest by administrators and procurement officials. Procurements of servers should ensure that optional TPMs are included when these devices are ordered. For DoD, DODI 8500.01 "Cybersecurity" [5] requires DoD computer assets to be purchased with a TPM. |
TPMは、Trusted Computing Group(TCG)によって定義されているように、小型のセキュリティコプロセッサであり、独立したコンポーネントであることも、マイクロプロセッサなどの他のコンポーネントの一部として含まれていることもある。ほとんどのエンタープライズグレードのノートパソコンやデスクトップパソコンには、TPMバージョン2.0が搭載されている。サーバーの場合、TPMは通常アドオンコンポーネントであり、管理者と調達担当者が発注マニフェストで指定する必要がある。サーバーの調達は、これらのデバイスの発注時にオプションの TPM が含まれていることを確認すべきである。国防総省の場合、DODI 8500.01「サイバーセキュリティ」[5]は、国防総省のコンピュータ資産を TPM とともに購入することを要求している。 |
DODI 8500.01 also calls for the National Security Agency (NSA) to provide use cases, implementation standards, and plans for DoD to leverage the functionality of the TPM. This guidance outlines a use case for the validation of the supply chain using an artifact called the Platform Certificate as outlined in the following sections. |
DODI 8500.01 はまた、国家安全保障局(NSA)に対し、DoD が TPM の機能を活用するためのユースケース、実装標準、および計画を提供するよう求めている。本ガイダンスでは、プラットフォーム証明書(Platform Certificate)と呼ばれるアーティファクトを使用したサプライチェーンの検証に関するユースケースを以下のセクションで概説する。 |
Require Platform Certificates |
プラットフォーム証明書の要求 |
The TCG defines the Platform Certificate as a digital certificate that binds a device to a specific manufacturer, model, and serial number. [6] It also contains a list of internal components that can be considered a hardware bill of materials for the device. The manufacturer creates the certificate during the manufacturing process of a device. The Platform Certificate can be used to detect counterfeit devices, counterfeit internal components, swapped components, and unauthorized configuration changes to the device. This becomes a critical artifact used as part of an Acceptance Test that should be performed when the device arrives at an organization's receiving department. |
TCGは、プラットフォーム証明書を、デバイスを特定の製造者、モデル、及びシリアル番号に結びつけるデジタル証明書と定義している[6]。また、デバイスのハードウェア部品表とみなされる内部コンポーネントのリストも含まれている。製造者はデバイスの製造過程で証明書を作成する。プラットフォーム証明書は、偽造デバイス、偽造内部コンポーネント、スワップされたコンポーネント、デバイスへの不正な設定変更を検知するために使用できる。これは、デバイスが組織の受入部門に到着したときに実施されるべき受入テストの一部として使用される重要な製品となる。 |
Procurements of servers, laptops, and desktops should include requirements for the OEM to create the Platform Certificate. Its contents should meet the recommendations specified in the "TCG PC Client Platform Firmware Integrity Measurement". [7] |
サーバー、ラップトップ、デスクトップの調達には、OEM がプラットフォーム証明書を作成する要件を含めるべきである。その内容は、"TCG PC Client Platform Firmware Integrity Measurement "に規定された推奨事項を満たすべきである。[7] |
Platform Certificates have a Delta Platform Certificate that should be created when a value-added reseller (VAR) changes the hardware configuration of a device. For example, the Delta Platform Certificate would record any component upgrades made by the VAR. Each VAR should be required to create Delta Platform Certificates by the procurement contract. |
プラットフォーム証明書には、付加価値再販業者(VAR)がデバイスのハードウェア構成を変更する際に作成すべきデルタ・プラットフォーム証明書がある。例えば、デルタ・プラットフォーム証明書には、VAR が行ったコンポーネントのアップグレードが記録される。各 VAR は、調達契約により、デルタ・プラットフォーム証明書の作成を義務付けられるべきである。 |
Platform Certificates are currently available from most server, laptop, and desktop OEMs. Some OEMs provide the Platform Certificate as part of their standard offering, while others may provide it as optional item in a similar fashion to the availability of a TPM on enterprise-grade servers. Procurements should ensure that a Platform Certificate is required to be included when the device is ordered. |
プラットフォーム証明書は、現在、ほとんどのサーバー、ラップトップ、デスクトップOEMから入手可能である。OEM によっては、プラットフォーム証明書を標準提供品の一部としてプロバイダしているところもあるが、エンタープライズグレードのサーバーで TPM が利用できるのと同様に、オプション品として提供しているところもある。調達担当者は、デバイスの発注時にプラットフォーム証明書の添付が必須であることを確認す べきである。 |
Establish an enterprise Acceptance Testing process |
エンタープライズの受入テストプロセスの確立 |
Ideally, every procured device would be tested upon delivery to an organization. NIST SP 161 section MA-3 item 1 states "the enterprise should deploy Acceptance Testing to verify that the maintenance tools of the ICT [(information and communication technology)] supply chain infrastructure are as expected." Procurement contracts for servers, laptops, and desktop computers should include a clause indicating that devices procured are required to pass an Acceptance Test and that any devices, which fail those tests, will be considered defective and returned. |
理想的には、調達したすべてのデバイスは、組織に引き渡された時点でテストされる。NIST SP 161のセクションMA-3項目1では、「エンタープライズは、ICT(情報通信技術)サプライチェーンインフラストラクチャの保守ツールが期待通りであることを検証するために、受入テストを導入すべきである」と述べている。サーバー、ラップトップ、デスクトップ・コンピュータの調達契約には、調達したデバイスが受入テストに合格することが必要であり、これらのテストに不合格となったデバイスは不良品とみなされ返品されることを示す条項を含めるべきである。 |
When a device is received, the enterprise’s receiving department should perform an automated Acceptance Test that validates the Platform Certificate by checking its signature and matching the components it lists against the device itself. Many OEMs will provide a set of tools to perform this check. Several open-source projects (e.g., https://github.com/nsacyber/HIRS [8]) can perform this check as well. |
デバイスを受領する際、エンタープライズの受領部門は、プラットフォーム証明書の署名を チェックし、プラットフォーム証明書に記載されているコンポーネントとデバイス本体を照合する ことにより、プラットフォーム証明書を検証する自動受入テストを実施すべきである。多くの OEM は、このチェックを実行するための一連のツールを提供する。いくつかのオープンソースプロジェクト(例えば、https://github.com/nsacyber/HIRS [8])もこのチェックを実行できる。 |
NIST 1800-34C "Validating the Integrity of Computing Devices" is a NIST Cybersecurity Practice Guide that illustrates how to create an Acceptance Test that utilizes the TPM and performs the Platform Certificate checks. [9] Many OEMs for servers, laptops, and desktops participated in the National Cybersecurity Center of Excellence (NCCoE) project that led to the guide. |
NIST 1800-34C "Validating the Integrity of Computing Devices" は、TPM を利用し、プラットフォーム証明書のチェックを実行する受入テストの作成方法を示した NIST サイバーセキュリティ実践ガイドである。[サーバー、ラップトップ、デスクトップの OEM の多くは、このガイドを作成した国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクトに参加している。 |
The enterprise should consider establishing one or more pilot programs to introduce an Acceptance Test before rolling it out to the entire enterprise. Testing a subset of randomly selected devices may be necessary until the testing can be completely automated. The Enterprise should also consider running the Acceptance Test on an isolated network to limit the risk of connecting a potentially compromised device to the Enterprise network. Once the roll out is complete, the Acceptance Test should test every procured device upon delivery. |
エンタープライズでは、アクセプタンス・テストをエンタープライズ全体に展開する前に、1 つ以上のパイロット・プログラムを確立して導入することを検討すべきである。テストが完全に自動化されるまでは、無作為に選んだデバイスのサブセットをテストすることが必要かもしれない。エンタープライズは、潜在的に侵害されたデバイスをエンタープライズネットワークに接続するリ スクを抑えるために、隔離されたネットワーク上でアクセプタンステストを実行することも検討す べきである。ロールアウトが完了したら、受入テストでは、納入時に調達したすべてのデバイスをテストする。 |
Post acceptance configuration |
受け入れ後の構成 |
NSA guidance for "UEFI Lockdown Quick Guidance" should be followed as a post acceptance configuration lockdown practice to set recommended UEFI configuration settings, including UEFI passwords, boot order, boot options, enabling Secure Boot, and enabling and activating the TPM. [10] |
UEFI パスワード、ブート順序、ブートオプション、セキュアブートの有効化、TPM の有効化と有効化など、推奨される UEFI 構成設定を設定するために、受け入れ後の構成ロックダウンの実践として「UEFI ロックダウン クイックガイダンス」の NSA ガイダンスに従う必要がある。[10] |
Future technology considerations |
将来の技術に関する考慮事項 |
Industry is developing the following technologies that appear to be very promising and may be reflected in a future version of this guidance: |
産業界は、非常に有望と思われる以下の技術を開発しており、このガイダンスの将来のバージョンに反映されるかもしれない: |
Reference Integrity Manifests |
参照整合性マニフェスト |
The TCG defined a PC Client Reference Integrity Manifest (RIM) that provides a set of signed firmware digests (hashes) that can be used in conjunction with TPM and UEFI firmware to "Attest" that the firmware has booted the device into a known (trusted) state. [11] Procurements of servers, laptops, and desktops should include requirements to create a TCG PC Client RIM by the OEM. The contents of the Platform Certificate provided by the OEM should meet the recommendations specified in "TCG PC Client Platform Firmware Integrity Measurement". [7] |
TCG は、PC Client Reference Integrity Manifest(RIM)を定義した。これは、TPM および UEFI ファームウェアと併用することで、ファームウェアがデバイスを既知の(信頼された)状態にブートしたことを「証明」できる、署名付きファームウェア・ ダイジェスト(ハッシュ)のセットを提供するものである。[11] サーバ、ラップトップ、デスクトップの調達には、OEM による TCG PC クライアント RIM を作成する要件を含めるべきである。OEM が提供するプラットフォーム証明書の内容は、"TCG PC Client Platform Firmware Integrity Measurement "に規定される推奨事項を満たすものとする。[7] |
Cyber resiliency |
サイバーレジリエンス |
The TCG is defining a set of cyber-resilient technologies compliant with SP 800-193. [12] Cyber resiliency provides a set of protection, detection, and recovery capabilities above and beyond UEFI Secure Boot. Enterprises should procure servers, laptops, and desktops with cyber-resilient capabilities, and enterprise security management systems should manage the cyber-resiliency mechanisms available in those devices. |
TCGは、SP 800-193に準拠した一連のサイバーレジリエンス技術を定義している。[12] サイバーレジリエンスは、UEFI セキュアブート以上の一連の保護、検知、回復機能を提供する。エンタープライズは、サイバーレジリエンス機能を備えたサーバ、ラップトップ、デスクトップを調達し、エンタープライズのセキュリティ管理システムは、これらのデバイスで利用可能なサイバーレジリエンス機構を管理すべきである。 |
Internal component selection |
内部コンポーネントの選択 |
Several security protocols, such as the Security Protocols and Data Models (SPDM) protocol, [13] enable authentication, attestation, and key exchange to assist in enabling enterprise-wide infrastructure security. These protocols are likely to enable attestation of thousands of internal components, such as hard drives, memory sticks, and network cards within different computers. Procurement of servers, laptops, and desktops should include language that provides a preference for components that incorporate standardized security protocols, such as SPDM. |
SPDM(Security Protocols and Data Models)プロトコル[13]などのいくつかのセキュリティ・プロトコルは、本人認証、認証、鍵交換を可能にし、エンタープライズ規模のインフラ・セキュリティの実現を支援する。これらのプロトコルは、異なるコンピュータ内のハードドライブ、メモリスティック、ネットワークカードなど、何千もの内部コンポーネントの認証を可能にすると考えられる。サーバ、ラップトップ、デスクトップの調達には、SPDM などの標準セキュ リティ・プロトコルを組み込んだコンポーネントを優先的に採用するような文言を含めるべ きである。 |
Only accept secure devices |
安全なデバイスのみを受け入れる |
Enterprises should leverage procurement contracts to require the latest security capabilities in their devices and then check that devices meet those requirements upon delivery. Any less, and the organization’s security foundation could be unreliable since the building blocks of its computing infrastructure—the servers, laptops, and desktops themselves—may not be properly secured.▪ |
エンタープライズは、調達契約を活用してデバイスに最新のセキュリティ機能を要求し、納品時にデバイスがその要件を満たしていることを確認する。それ以下の場合、コンピューティング・インフラストラクチャの構成要素であるサーバ、ラップトップ、デスクトップ自体が適切にセキュリティ保護されていない可能性があるため、組織のセキュリティ基盤が信頼できなくなる可能性がある。 |
Comments