米国 意見募集 NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項
こんにちは、丸山満彦です。
米国では、消費者向けIoT製品について認証制度(サイバートラストマーク制度)が始まろうとしていますが、その参考になる文書ですかね...
● NIST - ITL
プレス...
文書...
NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers | NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項 |
Announcement | 発表 |
This Product Development Cybersecurity Handbook describes broadly applicable considerations for developing and deploying secure IoT products across sectors and use cases. This handbook extends NIST’s work to consider the cybersecurity of IoT product components beyond the IoT device. Significant risks can be introduced by vulnerable IoT product components even if the IoT device itself is hardened since these additional components will likely have privileged access to the IoT device and related data. | この製品開発サイバーセキュリティハンドブックは、セクターやユースケースを問わず、安全なIoT製品を開発・展開するための広範に適用可能な考慮事項について説明している。本ハンドブックは、IoTデバイスを超えたIoT製品コンポーネントのサイバーセキュリティを検討するために、NISTの作業を拡張したものである。これらの追加コンポーネントは、IoT デバイスと関連データに特権的にアクセスできる可能性が高いため、IoT デバイス自体が堅牢化されていても、脆弱性のある IoT製品コンポーネントによって重大なリスクがもたらされる可能性がある。 |
The Product Development Cybersecurity Handbook includes the following topics: | 製品開発サイバーセキュリティハンドブックには、以下のトピックが含まれている: |
・How IoT product components can vary and be assembled into IoT products | ・IoT製品のコンポーネントはどのように変化し、IoT製品に組み立てられるか。 |
・Cybersecurity considerations for IoT product component hardware and software | ・IoT製品コンポーネントのハードウェアとソフトウェアに関するサイバーセキュリティの考慮事項 |
・How IoT product components use internet infrastructure and other equipment to communicate | ・IoT製品コンポーネントがインターネットインフラや他の機器を使用してどのようにコミュニケーションするか |
・The multiple parties that may have a role in supporting a secure IoT product life cycle | ・安全な IoT製品のライフサイクルをサポートする役割を担う複数の関係者 |
・Standards and guidance related to cybersecurity outcomes for IoT products | ・IoT製品のサイバーセキュリティの成果に関連する標準とガイダンス |
・IoT product architecture, deployment, roles, and cybersecurity perspectives | ・IoT製品のアーキテクチャ、実装、役割、サイバーセキュリティの観点 |
・Approaches to cybersecurity in IoT products, including several IoT product deployment and instantiation examples with related informative references | ・IoT製品におけるサイバーセキュリティへのアプローチ(IoT製品の配備とインスタンス化の例と関連する参考文献を含む |
Abstract | 概要 |
As interest in Internet of Things (IoT) technologies has grown, so have concerns and attention to cybersecurity of the newly network-connected products and services offered in many sectors, including energy services, water/waste-water services, automobiles, consumer electronics, and government. This Product Development Cybersecurity Handbook will describe concepts important to developing and deploying secure IoT products for any sector or use case, including discussion of IoT Product architecture, deployment, roles and cybersecurity perspectives. This publication extends and elaborates on NIST’s prior work related to development of IoT products. In addition to discussing the concepts, this publication also demonstrates their application and discusses how satisfaction of cybersecurity in IoT products can be approached. | モノのインターネット(IoT)技術への関心が高まるにつれ、エネルギーサービス、上下水道サービス、自動車、家電製品、政府など、多くの分野で新たに提供されるネットワーク接続製品やサービスのサイバーセキュリティに対する懸念や関心も高まっている。この「製品開発サイバーセキュリティハンドブック」では、IoT製品のアーキテクチャ、展開、役割、サイバーセキュリティの観点など、あらゆる分野やユースケースにおいて安全な IoT製品を開発・展開するために重要な概念を説明する。本書は、IoT製品の開発に関連するNISTの先行研究を拡張し、精緻化したものである。本書では、概念について説明するだけでなく、その適用例を示し、IoT製品におけるサイバーセキュリティの満足度をどのように高めるかについても論じている。 |
・[PDF] NIST.CSWP.33.ipd
目次...
Introduction | 序文 |
IoT Product-System Architecture Considerations | IoT製品-システムアーキテクチャに関する考察 |
IoT Product Deployment Considerations | IoT製品の展開に関する考慮事項 |
Roles Supporting IoT Product Cybersecurity Outcomes | IoT製品のサイバーセキュリティの成果を支える役割 |
IoT Product Cybersecurity Perspectives | IoT製品のサイバーセキュリティの観点 |
IoT Product Components vs. Network Infrastructure, Etc. | IoT製品コンポーネントとネットワークインフラ等の比較 |
IoT Product Component Hardware, Platforms, and Software | IoT製品コンポーネントのハードウェア、プラットフォーム、ソフトウェア |
Locally vs. Remotely Managed | ローカル管理かリモート管理か |
Cybersecurity Outcomes and Requirements | サイバーセキュリティの成果と要件 |
Technical Cybersecurity Outcome Considerations | サイバーセキュリティの技術的成果に関する考慮事項 |
Local Device Only IoT Products | ローカルデバイスのみのIoT製品 |
Local Management of IoT products | IoT製品のローカル管理 |
Variety of Local Product-System Architectures | 多様なローカル製品-システム・アーキテクチャ |
Third-Party Local Management Tools | サードパーティ製ローカル管理ツール |
Remote Backends | リモート・バックエンド |
Shared Cloud Backends | 共有クラウド・バックエンド |
Cloud Backend Interoperability | クラウド・バックエンドの相互運用性 |
Non-technical Cybersecurity Outcome Considerations | サイバーセキュリティの非技術的成果に関する考慮事項 |
Documentation | ドキュメンテーション |
Information and Query Reception | 情報と問い合わせの受信 |
Information Dissemination | 情報発信 |
Education and Awareness | 教育と意識向上 |
References | 参考文献 |
・IoT製品のためのサイバーセキュリティの基本コンセプト - ハードウェアから成果まで
・サイバーセキュリティ成果の満足度評価に関する考慮事項 - 技術的成果と非技術的成果
環境の前提...
● まるちゃんの情報セキュリティ気まぐれ日記
米国...
・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
EU
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
英国
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
中国
・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持
日本
・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
« 米国 国土安全保障省サイバー安全審査会 2023年夏に発生したMicrosoft Online Exchangeインシデントに関する報告書 | Main | 米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル »
Comments