NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化 (B,C,E)
こんにちは、丸山満彦です。
NISTがIPベースのIoTデバイスとネットワークのセキュリティ強化のための実践ガイドの初期ドラフト第2版を公表、意見募集をしていますね。。。
昨年12月にA(エグゼクティブサマリー)が、今年の5月にBからEが、そして、9月末はAとDの改訂ドラフト、今回は残りのB, C, Eの改訂ドラフトですね。。。
● NNCoE
・2023.10.31 NCCoE Releases Drafts for NIST SP 1800-36, Trusted IoT Onboarding (Vols. B, C, and E)
● NIST- ITL
・
・[PDF] NIST SP 1800-36B 2prd Approach, Architecture, and Security Characteristics
・アプローチ、アーキテクチャ、セキュリティの特徴
目次...
| 1 Summary | 1 概要 |
| 1.1 Challenge | 1.1 課題 |
| 1.2 Solution. | 1.2 解決策 |
| 1.3 Benefits | 1.3 メリット |
| 2 How to Use This Guide | 2 このガイドの使い方 |
| 2.1 Typographic Conventions | 2.1 タイポグラフィの規則 |
| 3 Approach | 3 アプローチ |
| 3.1 Audience | 3.1 想定読者 |
| 3.2 Scope | 3.2 適用範囲 |
| 3.3 Assumptions and Definitions. | 3.3 前提条件と定義 |
| 3.3.1 Credential Types | 3.3.1 クレデンシャルタイプ |
| 3.3.2 Integrating Security Enhancements | 3.3.2 セキュリティ強化の統合 |
| 3.3.3 Device Limitations | 3.3.3 機器の制限事項 |
| 3.3.4 Specifications Are Still Improving | 3.3.4 仕様はまだ改善中 |
| 3.4 Collaborators and Their Contributions | 3.4 協力者とその貢献 |
| 3.4.1 Aruba, a Hewlett Packard Enterprise Company | 3.4.1 ヒューレット・パッカード・エンタープライズ:アルーバ |
| 3.4.2 CableLabs | 3.4.2 ケーブルラボ |
| 3.4.3 Cisco | 3.4.3 シスコ |
| 3.4.4 Foundries.io | 3.4.4 Foundries.io |
| 3.4.5 Kudelski IoT | 3.4.5 クデルスキーIoT |
| 3.4.6 NquiringMinds | 3.4.6 NquiringMinds |
| 3.4.7 NXP Semiconductors | 3.4.7 NXPセミコンダクターズ |
| 3.4.8 Open Connectivity Foundation (OCF) | 3.4.8 オープン・コネクティビティ・ファンデーション(OCF) |
| 3.4.9 Sandelman Software Works | 3.4.9 サンデルマンソフトウェアワークス |
| 3.4.10 SEALSQ, a subsidiary of WISeKey | 3.4.10 SEALSQ:WISeKeyの子会社 |
| 3.4.11 VaultIC405 | 3.4.11 VaultIC405 |
| 3.4.12 Silicon Labs. | 3.4.12 シリコンラボ |
| 4 Reference Architecture | 4 リファレンス・アーキテクチャ |
| 4.1 Device Manufacture and Factory Provisioning Process | 4.1 機器の製造と工場での準備プロセス |
| 4.2 Device Ownership and Bootstrapping Information Transfer Process | 4.2 機器の所有権とブートストラップ情報転送プロセス |
| 4.3 Trusted Network-Layer Onboarding Process | 4.3 信頼されたネットワーク層の実装プロセス |
| 4.4 Trusted Application-Layer Onboarding Process | 4.4 信頼されたアプリケーション層の実装プロセス |
| 4.5 Continuous Verification | 4.5 継続的検証 |
| 5 Laboratory Physical Architecture | 5 ラボ物理アーキテクチャ |
| 5.1 Shared Environment | 5.1 共有環境 |
| 5.1.1 Domain Controller | 5.1.1 ドメインコントローラ |
| 5.1.2 Jumpbox | 5.1.2 ジャンプボックス |
| 5.2 Build 1 (Wi-Fi Easy Connect, Aruba/HPE) Physical Architecture | 5.2 ビルド1(Wi-Fi Easy Connect、アルーバ/HPE)物理アーキテクチャ |
| 5.3 Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) Physical Architecture | 5.3 ビルド2(Wi-Fi Easy Connect、ケーブルラボ、OCF)物理アーキテクチャ |
| 5.4 Build 3 (BRSKI, Sandelman Software Works) Physical Architecture | 5.4 ビルド3(BRSKI、Sandelman Software Works)物理アーキテクチャ |
| 5.5 Build 4 (Thread, Silicon Labs, Kudelski IoT) Physical Architecture | 5.5 ビルド4 (Thread、Silicon Labs、Kudelski IoT) 物理アーキテクチャ |
| 5.6 Build 5 (BRSKI, NquiringMinds) Physical Architecture | 5.6 ビルド5(BRSKI、NquiringMinds) 物理アーキテクチャ |
| 5.7 BRSKI Factory Provisioning Build Physical Architecture | 5.7 BRSKI Factory 準備 ビルド 物理アーキテクチャ |
| 5.8 Wi-Fi Easy Connect Factory Provisioning Build Physical Architecture | 5.8 Wi-Fi Easy Connect Factory Provisioning ビルド 物理アーキテクチャ |
| 6 General Findings | 6 一般的な知見 |
| 6.1 Wi-Fi Easy Connect | 6.1 Wi-Fi Easy Connect |
| 6.1.1 Mutual Authentication | 6.1.1 相互認証 |
| 6.1.2 Mutual Authorization | 6.1.2 相互認可 |
| 6.1.3 Secure Storage | 6.1.3 安全なストレージ |
| 6.2 BRSKI | 6.2 BRSKI |
| 6.2.1 Reliance on the Device Manufacturer | 6.2.1 機器・メーカーへの依存 |
| 6.2.2 Mutual Authentication | 6.2.2 相互認証 |
| 6.2.3 Mutual Authorization | 6.2.3 相互認証 |
| 7 Future Build Considerations | 7 将来の構築に関する考慮事項 |
| 7.1 Network Authentication | 7.1 ネットワーク認証 |
| 7.2 Device Intent | 7.2 機器の意図 |
| 7.3 Integration with a Lifecycle Management Service | 7.3 ライフサイクル管理サービスとの統合 |
| 7.4 Network Credential Renewal | 7.4 ネットワーク・クレデンシャルの更新 |
| 7.5 Integration with Supply Chain Management Tools | 7.5 サプライチェーン管理ツールとの統合 |
| 7.6 Attestation | 7.6 認証 |
| 7.7 Mutual Attestation | 7.7 相互認証 |
| 7.8 Behavioral Analysis | 7.8 行動分析 |
| 7.9 Device Trustworthiness Scale | 7.9 機器信頼性尺度 |
| 7.10 Resource Constrained Systems | 7.10 資源制約のあるシステム |
| Appendix A List of Acronyms | 附属書A 略語一覧 |
| Appendix B Glossary | 附属書B 用語集 |
| Appendix C Build 1 (Wi-Fi Easy Connect, Aruba/HPE) | 附属書C 構築1(Wi-Fi Easy Connect、アルーバ/HPE) |
| C.1 Technologies | C.1 技術 |
| C.2 Build 1 Architecture | C.2 ビルド 1 アーキテクチャ |
| C.2.1 Build 1 Logical Architecture | C.2.1 ビルド1 論理アーキテクチャ |
| C.2.2 Build 1 Physical Architecture | C.2.2 ビルド1 物理アーキテクチャ |
| Appendix D Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) | 附属書D ビルド2(Wi-Fi Easy Connect、ケーブルラボ、OCF) |
| D.1 Technologies | D.1 技術 |
| D.2 Build 2 Architecture | D.2 ビルド2 アーキテクチャ |
| D.2.1 Build 2 Logical Architecture | D.2.1 ビルド2 論理アーキテクチャ |
| D.2.2 Build 2 Physical Architecture | D.2.2 ビルド2 物理アーキテクチャ |
| Appendix E Build 3 (BRSKI, Sandelman Software Works) | 附属書E ビルド3(BRSKI、Sandelman Software Works) |
| E.1 Technologies | E.1 技術 |
| E.2 Build 3 Architecture | E.2 ビルド3 アーキテクチャ |
| E.2.1 Build 3 Logical Architecture | E.2.1 ビルド3 論理アーキテクチャ |
| E.2.2 Build 3 Physical Architecture | E.2.2 ビルド3 物理アーキテクチャ |
| Appendix F References | 附属書F 参考文献 |
・[PDF] NIST SP 1800-36C 2prd How-To Guides
・利用ガイド
目次...
| 1 Introduction | 1 序文 |
| 1.1 How to Use This Guide | 1.1 このガイドの使い方 |
| 1.2 Build Overview | 1.2 ビルドの概要 |
| 1.2.1 Reference Architecture Summary | 1.2.1 リファレンスアーキテクチャの概要 |
| 1.2.2 Physical Architecture Summary | 1.2.2 物理アーキテクチャの概要 |
| 1.3 Typographic Conventions | 1.3 タイポグラフィの規則 |
| 2 Build 1 (Wi-Fi Easy Connect, Aruba/HPE) | 2 ビルド 1(Wi-Fi Easy Connect、アルーバ/HPE) |
| 2.1 Aruba Central/Hewlett Packard Enterprise (HPE) Cloud | 2.1 アルーバ Central/Hewlett Packard Enterprise(HPE)クラウド |
| 2.2 Aruba Wireless Access Point | 2.2 アルーバワイヤレス・アクセス・ポイント |
| 2.2.1 Wi-Fi Network Setup/Configuration | 2.2.1 Wi-Fi ネットワークの設定/構成 |
| 2.2.2 Wi-Fi Easy Connect Configuration | 2.2.2 Wi-Fi Easy Connectの設定 |
| 2.3 Cisco Catalyst 3850-S Switch | 2.3 Cisco Catalyst 3850-Sスイッチ |
| 2.3.1 Configuration | 2.3.1 設定 |
| 2.4 Aruba User Experience Insight (UXI) Sensor | 2.4 アルーバ User Experience Insight (UXI) センサー |
| 2.4.1 Configuration | 2.4.1 構成 |
| 2.5 Raspberry Pi | 2.5 Raspberry Pi |
| 2.5.1 Configuration | 2.5.1 構成 |
| 2.5.2 DPP Onboarding | 2.5.2 DPP 実装 |
| 2.6 Certificate Authority | 2.6 認証局 |
| 2.6.1 Private Certificate Authority | 2.6.1 プライベート認証局 |
| 2.6.2 SEALSQ INeS | 2.6.2 SEALSQ INeS |
| 2.7 UXI Cloud | 2.7 UXIクラウド |
| 3 Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) | 3 ビルド 2 (Wi-Fi Easy Connect、ケーブルラボ、OCF) |
| 3.1 CableLabs Platform Controller | 3.1 ケーブルラボプラットフォームコントローラ |
| 3.1.1 Operation/Demonstration | 3.1.1 操作/デモンストレーション |
| 3.2 CableLabs Custom Connectivity Gateway | 3.2 ケーブルラボカスタム接続ゲートウェイ |
| 3.2.1 Installation/Configuration | 3.2.1 インストール/設定 |
| 3.2.2 Integration with CableLabs Platform Controller | 3.2.2 ケーブルラボプラットフォームコントローラーとの統合 |
| 3.2.3 Operation/Demonstration | 3.2.3 操作/デモンストレーション |
| 3.3 Reference Clients/IoT Devices | 3.3 リファレンスクライアント/IoT機器 |
| 3.3.1 Installation/Configuration | 3.3.1 インストール/設定 |
| 3.3.2 Operation/Demonstration | 3.3.2 操作/デモンストレーション |
| 4 Build 3 (BRSKI, Sandelman Software Works) | 4 ビルド3(BRSKI、サンデルマンソフトウェアワークス) |
| 4.1 Onboarding Router/Join Proxy | 4.1 オンボード・ルーター/ジョイン・プロキシ |
| 4.1.1 Setup and Configuration | 4.1.1 セットアップと設定 |
| 4.2 Minerva Join Registrar Coordinator | 4.2 Minerva Joinレジストラコーディネータ |
| 4.2.1 Setup and Configuration | 4.2.1 セットアップと設定 |
| 4.3 Reach Pledge Simulator | 4.3 リーチ誓約シミュレーター |
| 4.3.1 Setup and Configuration | 4.3.1 セットアップと設定 |
| 4.4 Serial Console Server | 4.4 シリアルコンソールサーバー |
| 4.5 Minerva Highway MASA Server | 4.5 Minerva Highway MASAサーバー |
| 4.5.1 Setup and Configuration | 4.5.1 セットアップと設定 |
| 4.6 IoT Devices | 4.6 IoT機器 |
| 4.6.1 Setup/Installation | 4.6.1 セットアップ/インストール |
| 4.7 SEALSQ Certificate Authority | 4.7 SEALSQ認証局 |
| 5 Build 4 (Thread, Silicon Labs, Kudelski IoT) | 5 ビルド4(Thread、Silicon Labs、Kudelski IoT) |
| 6 Build 5 (BRSKI, NquiringMinds) | 6 ビルド 5(BRSKI、NquiringMinds) |
| 7 Factory Provisioning Builds | 7 ファクトリー・準備ビルド |
| Appendix A List of Acronyms | 附属書 A 頭字語リスト |
| Appendix B References | 附属書 B 参考文献 |
・[PDF] NIST SP 1800-36E 2prd Risk and Compliance Management
・リスク・コンプライアンス・マネジメント
目次...
| 1 Introduction | 1 序文 |
| 1.1 How to Use This Guide | 1.1 本ガイドの使用方法 |
| 2 Risks Addressed by Trusted Network-Layer Onboarding and Lifecycle Management | 2 信頼されるネットワーク層の実装とライフサイクル管理で対処されるリスク |
| 2.1 Risks to the Network | 2.1 ネットワークに対するリスク |
| 2.1.1 Risks to the Network Due to Device Limitations | 2.1.1 機器の制限によるネットワークへのリスク |
| 2.1.2 Risks to the Network Due to Use of Shared Network Credentials | 2.1.2 共有ネットワーククレデンシャルの使用によるネットワークへのリスク |
| 2.1.3 Risks to the Network Due to Insecure Network Credential Provisioning | 2.1.3 安全でないネットワーククレデンシャルプロビジョニングによるネットワークへのリスク |
| 2.1.4 Risks to the Network Due to Supply Chain Attacks | 2.1.4 サプライチェーン攻撃によるネットワークへのリスク |
| 2.2 Risks to the Device | 2.2 機器へのリスク |
| 2.3 Risks to Secure Lifecycle Management | 2.3 安全なライフサイクルマネジメントに対するリスク |
| 2.4 Limitations and Dependencies of Trusted Onboarding | 2.4 信頼された実装の限界と依存関係 |
| 3 Mapping Use Cases, Approach, and Terminology | 3 ユースケース、アプローチ、用語のマッピング |
| 3.1 Use Cases | 3.1 ユースケース |
| 3.2 Mapping Producers | 3.2 生産者のマッピング |
| 3.3 Mapping Approach | 3.3 マッピングのアプローチ |
| 3.3.1 Mapping Terminology | 3.3.1 マッピング用語 |
| 3.3.2 Mapping Process | 3.3.2 マッピングプロセス |
| 4 Mappings | 4 マッピング |
| 4.1 NIST CSF Subcategory Mappings | 4.1 NIST CSF サブカテゴリーのマッピング |
| 4.1.1 Mappings Between Reference Design Functions and NIST CSF Subcategories | 4.1.1 参照設計機能と NIST CSF サブカテゴリーとの間のマッピング |
| 4.1.2 Mappings Between Specific Onboarding Protocols and NIST CSF Subcategories | 4.1.2 特定の実装・プロトコルと NIST CSF サブカテゴリーとの間のマッピング |
| 4.1.3 Mappings Between Specific Builds and NIST CSF Subcategories | 4.1.3 特定のビルドと NIST CSF サブカテゴリーとの間のマッピング |
| 4.2 NIST SP 800-53 Control Mappings | 4.2 NIST SP 800-53 コントロールマッピング |
| 4.2.1 Mappings Between Reference Design Functions and NIST SP 800-53 Controls | 4.2.1 参照設計機能と NIST SP 800-53 コントロールとの間のマッピング |
| 4.2.2 Mappings Between Specific Onboarding Protocols and NIST SP 800-53 Controls | 4.2.2 特定の実装・プロトコルと NIST SP 800-53 コントロールとの間のマッピング |
| 4.2.3 Mappings Between Specific Builds and NIST SP 800-53 Controls | 4.2.3 特定のビルドと NIST SP 800-53 コントロールとの間のマッピング |
| Appendix A References | 附属書 A 参考文献 |
● まるちゃんの情報セキュリティ気まぐれ日記
SP 800-213, NIST IR 8259関係
・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
IoTのネットワーク関係
・2022.01.21 NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11
消費者向けの方...
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?
・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨
法制化の件...
・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過
・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?
Comments