« IPA 「情報セキュリティ10大脅威 2024」を公開 | Main | 米国 CISA FBI EPA 上下水道システム部門向けインシデント対応ガイド (2024.01.18) »

2024.01.25

米国 CISA FBI 重要インフラ所有者・運用者向け 中国製ドローンに関するサイバーセキュリティ・ガイダンス (2024.01.17)

こんにちは、丸山満彦です。

米国のCISAが、重要インフラ所有者・運用者向け 中国製ドローン (Unmanned Aircraft Systems; UAS) に関するサイバーセキュリティ・ガイダンスを公表していますね。。。日本でもこれから、ますますドローンが利用されていくことになるとは思います。経済産業省が 2022.03.31 [PDF] 無人航空機_サイバーセキュリティガイドライン_Ver1.0 を作っていますね。。。安全保障に影響がありそうな部分については、こういうガイダンスを利用する必要がありそうですね。。。

  • 計画・設計 (5)
  • 調達 (5)
  • 維持 (7)
  • 運用 (6)

の合わせて23項目...

 

CISA

・2024.01.17 Release Cybersecurity Guidance on Chinese-Manufactured UAS for Critical Infrastructure Owners and Operators 

Release Cybersecurity Guidance on Chinese-Manufactured UAS for Critical Infrastructure Owners and Operators  中国製UASに関するサイバーセキュリティ・ガイダンスを重要インフラ所有者・運用者向けに発表 
RELATED TOPICS:  関連トピック 
UNMANNED AIRCRAFT SYSTEMSCYBERSECURITY BEST PRACTICESPHYSICAL SECURITY 無人航空機システム、サイバーセキュリティのベストプラクティス、物理的セキュリティ
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) released, Cybersecurity Guidance: Chinese-Manufactured Unmanned Aircraft Systems (UAS), to raise awareness of the threats posed by Chinese-manufactured UAS and to provide critical infrastructure and state, local, tribal, and territorial (SLTT) partners with recommended cybersecurity safeguards to reduce the risk to networks and sensitive information ワシントン:本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)は、「サイバーセキュリティ・ガイダンス」を発表した: 中国製無人航空機システム(UAS)がもたらす脅威に対する認識を高め、ネットワークと機密情報へのリスクを軽減するための推奨サイバーセキュリティ安全対策を重要インフラと州・地方・部族・準州(SLTT)のパートナーに提供するためである。
The People’s Republic of China (PRC) has enacted laws that provide the government with expanded legal grounds for accessing and controlling data held by firms in China. The use of Chinese-manufactured UAS in critical infrastructure operations risks exposing sensitive information to PRC authorities. This guidance outlines the potential vulnerabilities to networks and sensitive information when operated without the proper cybersecurity protocols and the potential consequences that could result.   中華人民共和国(PRC)は、政府が中国国内の企業が保有するデータにアクセスし管理する法的根拠を拡大する法律を制定した。重要インフラの運用に中国製のUASを使用することは、機密情報を中国当局に暴露するリスクになる。このガイダンスは、適切なサイバーセキュリティ・プロトコルがない状態で運用された場合のネットワークや機密情報に対する潜在的脆弱性と、その結果もたらされる可能性のある結果を概説している。 
“Our nation’s critical infrastructure sectors, such as energy, chemical and communications, are increasingly relying on UAS for various missions that ultimately reduce operating costs and improve staff safety. However, the use of Chinese-manufactured UAS risks exposing sensitive information that jeopardizes U.S. national security, economic security, and public health and safety,” said CISA Executive Assistant Director for Infrastructure Security, Dr. David Mussington. “With our FBI partners, CISA continues to call urgent attention to China’s aggressive cyber operations to steal intellectual property and sensitive data from organizations. We encourage any organization procuring and operating UAS to review the guidance and take action to mitigate risk. We must work together to ensure the security and resilience of our critical infrastructure.”   「エネルギー、化学、コミュニケーションなど、わが国の重要インフラ部門は、最終的に運用コストを削減し、スタッフの安全性を改善するさまざまな任務のために、ますますUASに依存している。しかし、中国製造のUASの使用は、米国の国家安全保障、経済安全保障、公衆衛生と安全を危険にさらす機密情報を暴露するリスクがある。「CISAはFBIのパートナーとともに、組織から知的財産や機密データを盗む中国の積極的なサイバー作戦に引き続き緊急の注意を喚起する。我々は、UASを調達し運用するすべての組織がガイダンスを確認し、リスクを低減するための行動をとることを奨励する。我々は、重要インフラのセキュリティとレジリエンスを確保するために協力しなければならない。 
“Without mitigations in place, the widespread deployment of Chinese-manufactured UAS in our nation’s key sectors is a national security concern, and it carries the risk of unauthorized access to systems and data,” said Assistant Director of the FBI’s Cyber Division, Bryan A. Vorndran. “The FBI and our CISA partners have issued UAS guidance in order to help safeguard our critical infrastructure and reduce the risk for all of us.”    FBIサイバー課のブライアン・A・ボーンドラン課長補佐は、「低減措置が講じられなければ、中国製造のUASがわが国の重要部門に広く配備されることは国家安全保障上の懸念であり、システムやデータへの不正アクセスのリスクを伴う」と述べた。「FBIとCISAパートナーは、重要インフラを保護し、我々全員のリスクを軽減するために、UASガイダンスを発表した。  
Critical infrastructure organizations are encouraged to operate UAS that are secure-by-design and manufactured by U.S. companies. This guidance offers cybersecurity recommendations that organizations should consider as part of their UAS program, policies, and procedures.   重要インフラ組織は、セキュア・バイ・デザインで米国企業によって製造されたUASを運用することが奨励されている。このガイダンスは、組織がUASプログラム、方針、手順の一部として考慮すべきサイバーセキュリティの推奨事項を提示している。 

 

・2024.01.17 Cybersecurity Guidance: Chinese-Manufactured UAS

Cybersecurity Guidance: Chinese-Manufactured UAS サイバーセキュリティ・ガイダンス: 中国製UAS
Cybersecurity Guidance: Chinese-Manufactured UAS is a Cybersecurity and Infrastructure Security Agency (CISA) and Federal Bureau of Investigation (FBI) resource that raises awareness on the threats posed by Chinese-manufactured UAS and provides UAS cybersecurity recommendations that reduce risks to networks and sensitive information.   サイバーセキュリティ・ガイダンス: 中国製UASは、サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)のリソースであり、中国製UASがもたらす脅威に関する認識を高め、ネットワークと機密情報に対するリスクを低減するUASサイバーセキュリティの推奨事項を提供する。 
This guidance also provides additional resources to augment an organization’s preparedness, response, and resilience.  このガイダンスは、組織の準備、対応、レジリエンスを強化するための追加リソースも提供している。

・[PDF

20240125-51040

 

CYBERSECURITY GUIDANCE: CHINESE-MANUFACTURED UAS サイバーセキュリティ・ガイダンス:中国製UAS
OVERVIEW 概要
Chinese-manufactured unmanned aircraft systems (UAS), more commonly referred to as drones, continue to pose a significant risk to critical infrastructure and U.S. national security. While any UAS could have vulnerabilities that enable data theft or facilitate network compromises, the People’s Republic of China (PRC) has enacted laws that provide the government with expanded legal grounds for accessing and controlling data held by firms in China. The use of Chinese-manufactured UAS requires careful consideration and potential mitigation to reduce risk to networks and sensitive information. The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) encourage U.S. critical infrastructure owners and operators to procure UAS that follow secure-by- design principles, including those manufactured by U.S. companies. CISA and FBI further recommend following principles and implementing cybersecurity recommendations listed in this guidance to any organization procuring and operating UAS.  インフラ安全保障局(CISA)と連邦捜査局(FBI)は、米国の重要インフラの所有者および運用者に対し、米国企業による製造事業者も含め、セキュア設計の原則に従ったUASを調達するよう奨励している。CISAとFBIはさらに、中国製の無人航空機システム(UAS、一般にドローンと呼ばれる)は、重要インフラと米国の国家安全保障に重大なリスクをもたらし続けているため、原則に従い、サイバーセキュリティを導入することを推奨している。どのようなUASにも、データの窃取を可能にする脆弱性や、UASを調達・運用するあらゆる組織に対する本ガイダンスに記載された表彰事項が存在する可能性がある。ネットワークの侵害を容易にする一方で、中華人民共和国(PRC)は、政府が中国国内の企業が保有するデータにアクセスし、管理する法的根拠を拡大する法律を制定した。中国製造のUASを使用するには、ネットワークと機密情報へのリスクを低減するための慎重な検討と潜在的な低減が必要である。サイバーセキュリティと 
THREAT 脅威
The White House’s 2023 National Cybersecurity Strategy and the Annual Threat Assessment from the Office of the Director of National Intelligence both recognize the PRC as the most advanced, active, and persistent cyber threat to the United States. Their analysis describes how the PRC expanded cyber operations to challenge the global order and U.S. interests. Central to this strategy is the acquisition and collection of data - which the PRC views as a strategic resource and growing arena of geopolitical competition.1 ホワイトハウスの「2023年国家サイバーセキュリティ戦略」と国家情報長官室の「年次脅威評価」は、いずれもPRCを米国にとって最も高度で活発かつ持続的なサイバー脅威と認識している。これらの分析では、PRCがどのようにサイバー作戦を拡大し、世界秩序と米国の利益に挑戦しているかが述べられている。この戦略の中心はデータの取得と収集であり、PRCはこれを戦略的資源と見なし、地政学的競争の舞台として拡大している1。
Since 2015, the PRC has passed or updated comprehensive national security, cybersecurity, and data privacy laws and regulations, expanding their oversight of domestic and foreign companies operating within China.2 One of these laws, the PRC’s 2017 National Intelligence Law, compels Chinese companies to cooperate with state intelligence services, including providing access to data collected within China and around the world. This includes prominent Chinese-owned UAS manufacturers that the Department of Defense has identified as “Chinese military companies” operating within the United States.3 The 2021 Data Security Law expands the PRC’s access to and control of companies and data within China and imposes strict penalties on China-based businesses for non-compliance.4 The data collected by such companies is essential to the PRC’s Military-Civil Fusion strategy, which seeks to gain a strategic advantage over the United States by facilitating access to advanced technologies and expertise.5 The 2021 Cyber Vulnerability Reporting Law requires Chinese-based companies to disclose cyber vulnerabilities found in their systems or software to PRC authorities prior to any public disclosure or sharing overseas. This may provide PRC authorities the opportunity to exploit system flaws before cyber vulnerabilities are publicly known.6 2015年以降、中国は包括的な国家安全保障、サイバーセキュリティ、データ・プライバシーに関する法律や規制を可決・更新し、中国国内で事業を展開する国内外の企業に対する監視を拡大している。2 これらの法律の1つである中国の2017年国家情報法は、中国国内および世界中で収集されたデータへのアクセスを提供するなど、中国企業に国家情報サービスへの協力を義務付けている。これには、国防省が米国内で活動する「中国軍需企業」と認定した中国資本の著名なUAS製造者も含まれる3。2021年データセキュリティ法は、中国国内の企業やデータに対するPRCのアクセスと管理を拡大し、違反した場合には中国に拠点を置く企業に厳しい罰則を課すものである4。このような企業が収集するデータは、高度な技術や専門知識へのアクセスを容易にすることで米国に対する戦略的優位を得ようとする中国の軍民融合戦略にとって不可欠である5。2021年サイバー脆弱性報告法は、中国に拠点を置く企業に対し、自社のシステムやソフトウェアに発見されたサイバー脆弱性を、海外での公開や共有に先立ち、中国当局に開示するよう求めている。これは、サイバー脆弱性が公に知られる前に、中国当局がシステムの欠陥を悪用する機会を提供する可能性がある6。
The use of Chinese-manufactured UAS in critical infrastructure operations risks exposing sensitive information to PRC authorities, jeopardizing U.S. national security, economic security, and public health and safety. 重要インフラの運用に中国製造のUASを使用することは、中国当局に機密情報を暴露し、米国の国家安全保障、経済的安全保障、公衆の健康と安全を危険にさらすリスクがある。
VULNERABILITIES 脆弱性
UAS are information and communications technology (ICT) devices capable of receiving and transmitting data.7 Each point of connection is a potential target that could be exploited to compromise sensitive information.8 Avenues of potential compromise include UASはデータの受信と送信が可能な情報通信技術(ICT)機器である7 。各接続ポイントは、機密情報を侵害するために悪用される可能性のある潜在的な標的である8 。
Data Transfer and Collection:  UAS devices controlled by smartphones and other internet-connected devices provide a path for UAS data egress and storage, allowing for intelligence gathering on U.S. critical infrastructure. データの転送と収集:  データ転送と収集:スマートフォンやその他のインターネット接続機器によって制御されるUASデバイスは、UASデータの送信と保存の経路を提供し、米国の重要インフラに関する情報収集を可能にする。
Patching and Firmware Updates:  While ensuring that network-connected devices are up to date with the latest patches and firmware is critical for the secure operation of any ICT device, updates controlled by Chinese entities could introduce unknown data collection and transmission capabilities without the user’s awareness. That data might be accessed by the PRC through legal authorities. パッチとファームウェアの更新:  ネットワークに接続されたデバイスが最新のパッチとファームウェアに更新されていることを確認することは、あらゆるICTデバイスの安全な運用にとって極めて重要であるが、中国の事業体が管理するアップデートは、ユーザーが気づかないうちに未知のデータ収集・送信機能を導入する可能性がある。そのデータは、法的認可を通じて中国によってアクセスされる可能性がある。
Broader Surface for Data Collection: As UAS and their peripheral devices such as docking stations are incorporated into a network, the potential for data collection and transmission of a broader type—for example, sensitive imagery, surveying data, facility layouts—increases. This new type of data collection can allow foreign adversaries like the PRC access to previously inaccessible intelligence. データ収集の対象が広がる: UASやドッキングステーションなどの周辺機器がネットワークに組み込まれるにつれ、より広範な種類のデータ収集・送信の可能性が高まる。例えば、機密画像、測量データ、施設レイアウトなどである。この新しいタイプのデータ収集は、中国のような外国の敵対勢力に、以前はアクセスできなかったインテリジェンスへのアクセスを可能にする可能性がある。
CONSEQUENCE 結果
The PRC’s collection of sensitive information and potential network access obtained from Chinese-manufactured UAS may result in significant consequences to critical infrastructure security and resilience. Acquisition of such data or network access has the potential to advance the PRC’s strategic objectives and negatively affect U.S. economic and national security by: 中国が中国製のUASから機密情報を収集し、ネットワークにアクセスする可能性は、重要インフラのセキュリティとレジリエンスに重大な結果をもたらす可能性がある。そのようなデータやネットワークへのアクセスの取得は、中国の戦略的目標を促進し、以下のような形で米国の経済および国家安全保障に悪影響を及ぼす可能性がある:
•    Exposing intellectual property to Chinese companies and jeopardizing an organization’s competitive advantage. ・知的財産を中国企業に公開し、組織の競争優位性を危うくする。
•    Providing enhanced details of critical infrastructure operations and vulnerabilities increasing the PRC’s capability to disrupt critical services. ・重要インフラの運用や脆弱性の詳細をプロバイダに提供することで、中国が重要なサービスを妨害する能力を高める。
•    Compromising cybersecurity and physical security controls leading to potential physical effects such as theft or sabotage of critical assets. ・サイバーセキュリティや物理的なセキュリティ管理を侵害し、重要資産の窃盗や妨害行為などの物理的な影響を引き起こす可能性がある。
•    Exposing network access details that enhance the PRC’s capability to conduct cyber-attacks on critical infrastructure. ・重要インフラに対するサイバー攻撃の能力を高めるようなネットワークアクセスの詳細を暴露する。
MITIGATION 低減
Public and private sector organizations using UAS to collect sensitive or national security information are encouraged to procure, or transition to, secure-by-design systems. This recommendation is emphasized for the federal government in Executive Order 13981 – Protecting the United States from Certain UAS where departments and agencies are required to have a plan that addresses risk from UAS manufactured by a foreign adversary.9 Organizations can consult the Department of Defense’s Blue UAS Cleared List to identify UAS compliant with federal cybersecurity policies.10  機密情報または国家安全保障情報を収集するためにUASを使用する官民組織は、セキュア・バイ・デザインのシステムを調達するか、それに移行することが奨励される。この勧告は、大統領令 13981「特定の UAS から米国を守る」において連邦政府に対して強調されており、各省庁は外国の敵対者によって製造された UAS からのリスクに対処する計画を持つことが義務付けられている9 。
Organizations procuring or operating UAS are encouraged to adopt the proven security recommendations such as those provided on the next page to further enhance their cybersecurity posture. UASを調達または運用する組織は、サイバーセキュリティ態勢をさらに強化するために、次ページに示すような実績のあるセキュリティ勧告を採用することが推奨される。
UAS CYBERSECURITY RECOMMENDATIONS: UAS サイバーセキュリティの推奨事項
PLAN/DESIGN 計画/設計
Ensure secure, organization-wide development of the goals, policies, and procedures for the UAS program. UASプログラムの目標、方針、手順を組織全体で確実に策定する。
• Incorporate UAS and its components into an organizational cybersecurity framework for Internet of Things (IoT) devices, subjecting them to the same level of protection and monitoring as other organizational ICT devices.11 ・UASとそのコンポーネントをモノのインターネット(IoT)デバイスのための組織のサイバーセキュリティフレームワークに組み込み、他の組織のICTデバイスと同レベルの防御と監視の対象とする11。
• Isolate, air gap, or segment networks to prevent any potential malware or breach from spreading to the enterprise network. ・潜在的なマルウェアや侵害がエンタープライズ・ネットワークに広がるのを防ぐために、ネットワークを分離、エアギャップ、またはセグメント化する。
Examples of this include setting up separate networks, virtual local area networks (VLANs), or virtual private networks (VPNs).12 This minimizes the organizational impact from potential cyberattacks. この例としては、個別のネットワーク、仮想ローカル・エリア・ネットワーク(VLAN)、または仮想プライ ベート・ネットワーク(VPN)を設定することが挙げられる12 。
• Implement a Zero Trust (ZT) framework for the UAS fleet.13 ・UASフリートに対してゼロ・トラスト(ZT)フレームワークを導入する13。
ZT architecture ensures all network access and transactions are continuously verified and authenticated, minimizing ZTアーキテクチャは、すべてのネットワークアクセスとトランザクションが継続的に検証され、本人認証されることを保証する。
unauthorized access and shrinking the overall attack surface.  ZT アーキテクチャは、すべてのネットワーク・アクセスおよびトランザクションが継続的に検証され、 認証されることを保証し、不正アクセスを最小限に抑え、全体的な攻撃対象領域を縮小する。
• Implement phishing-resistant multifactor authentication methods to secure organizational accounts and data.14 ・フィッシングに耐性のある多要素認証方法を導入し、組織のアカウントとデータを保護する14 。
• Consider integrating cybersecurity and physical security functions across the organization to achieve a unified approach to risk management.15 ・組織全体でサイバーセキュリティと物理セキュリティの機能を統合し、リスクマネジメントへの統一的なアプローチを実現することを検討する15。
PROCURE   調達  
Identify and select the UAS platforms that best meet the operational and security requirements of the organization. 組織の運用要件とセキュリティ要件に最も適合するUASプラットフォームを識別し、選択する。
• Procure UAS that follows secure-by-design principles to proactively address vulnerabilities and emerging threats.16 ・脆弱性と新たな脅威に積極的に対処するために、セキュア・バイ・デザインの原則に従ったUASを調達する16。
• Understand where UAS are manufactured and to what laws the manufacturer is subject to clarify security standards and assess supply chain risk. ・セキュリティ標準を明確にし、サプライ・チェーンのリスクを評価するために、UASがどこで製造され、製造事業者がどのような法律の適用を受けているかを理解する。
• Review the privacy policy for the chosen UAS, including how and where data will be stored and shared. This is essential for the maintenance of data privacy and security. ・選択したUASのプライバシー・ポリシー(データがどこでどのように保存され共有されるかを含む)を確認する。これはデータ・プライバシーとセキュリティの保守に不可欠である。
• Implement a Supply Chain Risk Management (SCRM) Program for ICT devices to ensure the integrity, security, and reliability of the UAS lifecycle.17 ・ICT機器のサプライチェーンリスクマネジメント(SCRM)プログラムを実施し、UASのライフサイクルの完全性、安全性、信頼性を確保する17。
• Ensure critical UAS information and communication components undergo a software bill of materials (SBOM) and hardware bill of materials (HBOM) review and consider implementation of long-term SBOM and HBOM management.18, 19 This minimizes inherent supply chain risks and promotes the resilience of the UAS ecosystem. ・重要なUASの情報通信部品は、ソフトウェア部品表(SBOM)とハードウェア部品表(HBOM)のレビューを受けるようにし、長期的なSBOMとHBOM管理の実施を検討する18、 19。これにより、固有のサプライチェーンリスクを最小化し、UASエコシステムのレジリエンスを促進する。
MAINTAIN 維持
Perform regular updates, analysis, and training in accordance with the organization’s plans and procedures. 組織の計画と手順に従い、定期的な更新、分析、訓練を実施する。
• Manage the UAS program in accordance with an informatio technology (IT) asset framework to ensure proper tracking, monitoring, control, compliance, security controls, and risk management.20 ・情報技術(IT)資産フレームワークに従ってUASプログラムを管理し、適切な追跡、監視、管理、コンプラ イアンス、セキュリティ管理、リスクマネジメントを確保する20 。
• Implement a vulnerability management program to identify, prioritize, acquire, verify, and install firmware patches and updates. This program addresses emerging vulnerabilities and ensures timely application of necessary security fixes.21 ・ファームウェア・パッチおよびアップデートを識別し、優先順位を付け、取得し、検証し、 インストールする脆弱性管理プログラムを実施する。このプログラムは、新たな脆弱性に対処し、必要なセキュ リティ修正をタイムリーに適用することを保証するものである21 。
• Implement a configuration and change management program to maintain adequate security measures and operational capabilities.22 ・適切なセキュリティ対策と運用能力を維持するために、コンフィギュレーションと 変更の管理プログラムを実施する22 。
• Ensure firmware patches and updates are obtained exclusively from the UAS manufacturer or trusted third-party to minimize the risk of system compromise. ・システム侵害のリスクを最小化するために、ファームウェア・パッチ及びアップデートは、UAS製造事業者又は信頼できるサード・パーティからのみ入手するようにする。
• Consider the use of a sandbox or standalone terminal for the download and security verification of firmware patches and updates. This provides an isolated environment to verify the file integrity and mitigate any concerns before introducing it to the UAS.23 ・ファームウェア・パッチとアップデートのダウンロードとセキュリティ検証のために、サンドボッ クスまたはスタンドアロン端末の使用を検討すること。これは、UAS に導入する前に、ファイルの完全性を検証し、あらゆる懸念を軽減するための、隔離された環境を提供する23。
• Perform periodic log analysis and compliance checks to determine if any anomalies exist, allowing for timely identification of unauthorized access attempts. ・定期的なログ分析とコンプライアンス・チェックを実施し、異常の有無を判断し、不正アク セスの試みをタイムリーに特定できるようにする。
• Implement an information technology security education and training awareness schedule focused on current threats and best practices. An effective training program allows UAS operators to identify and mitigate risks and respond effectively to emerging cybersecurity threats.24 ・現在の脅威とベスト・プラクティスに焦点を当てた情報技術セキュリティ教育およびトレーニングの意識向上スケジュールを実施する。効果的な訓練プログラムにより、UAS 運用者はリスクを特定、低減し、新たなサイバーセキュリティの脅威に効果的に対応できるようになる24。
OPERATE 運用
Ensure proper operational and security policies are followed during operational usage. 運用中に適切な運用およびセキュリティ・ポリシーが遵守されていることを確認する。
• Verify current software and firmware versions are installed prior to operational use to minimize emerging threats and vulnerabilities. ・新たな脅威と脆弱性を最小化するために、運用使用前に最新のソフトウェアとファームウェアのバージョンがインストールされていることを確認する。
• Maintain robust data-at-rest and data-in-transit procedures for encryption and storage to ensure the confidentiality and integrity of data collected via UAS.25 ・UASを通じて収集されたデータの機密性と完全性を確保するために、暗号化と保存のための強固なデータ静止時およびデータ転送時の手順を維持する25。
• Delete collected data from the UAS to include imagery, Global Positioning System (GPS) history, and flight telemetry data after data has been transferred and stored. ・UASから収集されたデータ(画像、全地球測位システム(GPS)履歴、飛行テレメトリ・データを含む)は、データが転送・保存された後に削除する。
• Remove and secure portable storage such as secure digital (SD) cards from the UAS prior to storage to prevent unauthorized access. ・セキュア・デジタル(SD)カードなどの可搬記憶媒体は、保管前にUASから取り外して安全な状態にし、不正アクセスを防止する。
• Maintain a secure connection with the drone during operations by using a virtual private network (VPN) or other encryption method to protect the confidentiality and integrity of communication pathways. ・バーチャル・プライベート・ネットワーク(VPN)または通信経路の機密性と完全性を保護するその他の暗号化方法を使用することにより、運用中、ドローンとの安全な接続を維持すること。
• Do not broadcast or live stream to the internet to prevent the unauthorized acquisition of real-time sensitive data. ・リアルタイムの機密データの不正取得を防ぐため、インターネットへのブロードキャストやライブストリーミングを行わないこと。

 

参考文献...

・Unmanned Aircraft Systems: cisa.gov/topics/physical-security/unmanned-aircraft-systems

・Secure Your Drone: Privacy and Data Protection Guidance: cisa.gov/resources-tools/resources/secure-your-drone-privacy-and-data-protection-guidance

・Cybersecurity Best Practices for Operating Commercial Unmanned Aircraft Systems (UASs): cisa.gov/resources-tools/resources/cybersecurity-best-practices-operating-commercial-unmanned-aircraft

・NIST IT Asset Management: csrc.nist.gov/publications/detail/sp/1800-5/final

・Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations: csrc.nist.gov/publications/detail/sp/800-171/rev-2/final

・CISA Vulnerability Scanning: cisa.gov/resources-tools/services/cisa-vulnerability-scanning

・Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171: csrc.nist.gov/publications/detail/sp/800-172/final

・Zero Trust Architecture: csrc.nist.gov/publications/detail/sp/800-207/final

・China Cyber Threat Overview and Advisories: cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/china

・Homeland Security Information Network (HSIN): dhs.gov/homeland-security-information-network-hsin

・Domestic Security Alliance Council (DSAC): dsac.gov/

・Defense Innovation Unit (DIU): diu.mil/blue-uas-cleared-list

 

脚注...

  1. Office of the Director of National Intelligence, Annual Threat Assessment of the U.S. Intelligence Community, February 2023, https://www.odni.gov/files/ODNI/ documents/assessments/ATA-2023-Unclassified-Report.pdf; The White House, National Cybersecurity Strategy, March 2023, https://www.whitehouse.gov/wpcontent/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf.
  2. S. National Counterintelligence and Security Center, Safeguarding our Future: U.S. Business Risk: People’s Republic of China (PRC) Laws Expand Beijing’s Oversight of Foreign and Domestic Companies, 30 June 2023, https://www.dni. gov/files/NCSC/documents/SafeguardingOurFuture/FINAL_NCSC_SOF_Bulletin_ PRC_Laws.pdf
  3. S. Department of Defense, DOD Releases List of People’s Republic of China (PRC) Military Companies in Accordance With Section 1260H of the National Defense Authorization Act for Fiscal Year 2021, October 2022, https://www. defense.gov/News/Releases/Release/Article/3180636/dod-releases-list-ofpeoples-republic-of-china-prc-military-companies-in-accord/.
  4. S. National Counterintelligence and Security Center, Safeguarding our Future: U.S. Business Risk: People’s Republic of China (PRC) Laws Expand Beijing’s Oversight of Foreign and Domestic Companies, 30 June 2023, https://www.dni. gov/files/NCSC/documents/SafeguardingOurFuture/FINAL_NCSC_SOF_Bulletin_ PRC_Laws.pdf
  5. S. Department of State, “Military Civil Fusion and the People’s Republic of China,” accessed August 16, 2023, https://www.state.gov/wp-content/ uploads/2020/05/What-is-MCF-One-Pager.pdf.
  6. S. National Counterintelligence and Security Center, Safeguarding our Future: U.S. Business Risk: People’s Republic of China (PRC) Laws Expand Beijing’s Oversight of Foreign and Domestic Companies, 30 June 2023, https://www.dni. gov/files/NCSC/documents/SafeguardingOurFuture/FINAL_NCSC_SOF_Bulletin_ PRC_Laws.pdf
  7. National Institute of Standards and Technology (NIST), Computer Security Resource Center, “Information and communications technology (ICT),” accessed July 20, 2023, https://csrc.nist.gov/glossary/term/information_and_ communications_technology.
  8. CISA, Cybersecurity and Physical Security Convergence Action Guide, December 2021, https://cisa.gov/resources-tools/resources/cybersecurity-and-physicalsecurity-convergence-action-guide.
  9. Federal Register, “Protecting the United States from Certain Unmanned Aircraft Systems,” January 2021, https://www.federalregister.gov/ documents/2021/01/22/2021-01646/protecting-the-united-states-fromcertain-unmanned-aircraft-systems.
  10. Defense Innovation Unit, “Blue UAS Cleared List,” accessed July 20, 2023, https://www.diu.mil/blue-uas-cleared-list.
  11. NIST, “Cybersecurity IOT Program,” accessed July 20, 2023, https://nist.gov/itl/ applied-cybersecurity/nist-cybersecurity-iot-program.
  12. NIST, “SP 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171,” February 2021, https://csrc.nist.gov/pubs/sp/800/172/final.
  13. NIST, “SP 800-207, Zero Trust Architecture,” August 2020, https://csrc.nist.gov/ pubs/sp/800/207/final.
  14. CISA, “More than a password,” accessed July 20, 2023, https://cisa.gov/MFA.
  15. CISA, Cybersecurity and Physical Security Convergence Action Guide, December 2021, https://cisa.gov/resources-tools/resources/cybersecurity-and-physicalsecurity-convergence-action-guide.
  16. CISA, “Secure-by-Design, Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software,” accessed October 25, 2023 https://cisa.gov/resources-tools/resources/secure-by-design.
  17. NIST, “Cybersecurity Supply Chain Risk Management,” updated May 2022, https://csrc.nist.gov/projects/cyber-supply-chain-risk-management.
  18. CISA, “Software Bill of Materials (SBOM),” accessed July 20, 2023, https://cisa. gov/sbom.
  19. CISA, “Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management,” accessed November 1, 2023, https://www.cisa.gov/resourcestools/resources/hardware-bill-materials-hbom-framework-supply-chain-riskmanagement.
  20. NIST, “SP 1800-5, IT Asset Management,” September 2018, https://csrc.nist. gov/pubs/sp/1800/5/final.
  21. CISA, CRR Resource Guide: Vulnerability Management Volume 4, 2016, https:// gov/sites/default/files/publications/CRR_Resource_Guide-VM_0.pdf.
  22. NIST, “SP 800-128, Guide for Security-Focused Config. Management of Info Systems,” updated October 2019, https://csrc.nist.gov/pubs/sp/800/128/upd1/ final; International Organization for Standardization (ISO), “ISO 10007:2017 – Quality Management – Guidelines for configuration management,” 2017, https:// iso.org/standard/70400.html.
  23. NIST, Computer Security Resource Center, “Sandbox,” accessed July 20, 2023, https://csrc.nist.gov/glossary/term/sandbox.
  24. NIST, “SP 800-50, Building an Information Technology Security Awareness and Training Program,” October 2003, https://csrc.nist.gov/pubs/sp/800/50/final.
  25. NIST, “SP 800-53 Rev.5, Security and Privacy Controls for Information Systems and Organizations,” updated December 2020, https://csrc.nist.gov/pubs/ sp/800/53/r5/upd1/final.

 


 

まるちゃんの情報セキュリティ気まぐれ日記

米国

・2023.02.02 米国 MITRE ドローンの利点、安全性、社会的受容性を評価するための包括的なアプローチ

・2022.04.26 米国 White House ドローン対策国家計画

 

その他...

・2022.06.23 一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

 

|

« IPA 「情報セキュリティ10大脅威 2024」を公開 | Main | 米国 CISA FBI EPA 上下水道システム部門向けインシデント対応ガイド (2024.01.18) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« IPA 「情報セキュリティ10大脅威 2024」を公開 | Main | 米国 CISA FBI EPA 上下水道システム部門向けインシデント対応ガイド (2024.01.18) »