« ドイツ 連邦情報セキュリティ局 機関誌のテーマはサイバーネーション・ドイツ | Main | 米国 NIST IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.06.14) »

2024.06.19

米国 NIST TN 2283(初期公開ドラフト)上下水道部門のサイバーセキュリティ: アーキテクチャを構築する 運用技術 リモートアクセス (2024.06.12)

こんにちは、丸山満彦です。

NISTが、NIST TN 2283(初期公開ドラフト)上下水道部門のサイバーセキュリティ: アーキテクチャを構築する 運用技術 リモートアクセスを公表し、意見募集をていますね.

上下水道システム(WWS)セクターの事業者に共通するサイバーセキュリティ上の課題を特定し、参照サイバーセキュリティ・アーキテクチャを開発し、リスクを軽減・マネジメントするための既存の市販製品の活用を提案するプロジェクトの一環として、上下水道事業者が自主的に活用できるようなサイバーセキュリティリスクに対処するために市販の技術や既存の標準、ベストプラクティスを作成したものということのようです...

超小規模から小規模(25~3,300 の顧客)、中規模から大規模(3,301~100,000 の顧客)に分類して、それぞれのシステムの複雑さ、予算上の制約、運用上の要件などを想定した上で、適切な技術を使用することができようにしているようです...

 

NIST - ITL

・2024.06.12 NIST TN 2283 (Initial Public Draft) Cybersecurity for the Water and Wastewater Sector: Build Architecture. Operational Technology Remote Access

NIST TN 2283 (Initial Public Draft) Cybersecurity for the Water and Wastewater Sector: Build Architecture. Operational Technology Remote Access NIST TN 2283(初期公開ドラフト)上下水道部門のサイバーセキュリティ: アーキテクチャを構築する 運用技術 リモートアクセス
Announcement 発表
The National Cybersecurity Center of Excellence (NCCoE) has undertaken a project to identify common cybersecurity challenges among Water and Wastewater Systems (WWS) sector participants, develop reference cybersecurity architectures, and propose the utilization of existing commercially available products to mitigate and manage risks. The reference cybersecurity architectures outlined in this report can be voluntarily leveraged by water and wastewater utilities to use commercially available technologies and existing standards and best practices to address their cybersecurity risks. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、上下水道システム(WWS)セクターの事業者に共通するサイバーセキュリティ上の課題を特定し、参照サイバーセキュリティ・アーキテクチャを開発し、リスクを軽減・マネジメントするための既存の市販製品の活用を提案するプロジェクトを実施した。本報告書に概説されている参照用サイバーセキュリティアーキテクチャは、上下水道事業者が自主的に活用することで、サイバーセキュリティリスクに対処するために市販の技術や既存の標準、ベストプラクティスを利用することができる。
The publication is designed for use by those in the water and wastewater systems sector. The architectures presented in this report for water and wastewater utilities are categorized by system size; specifically, from very small to small (25-3,300 customers) and the medium to large (3,301 – 100,000 customer) size ranges. This categorization allows the use of appropriate technologies based on assumptions of system complexity, budgetary constraint, and operational requirements. This proposed guidance does not offer prescriptive solutions but rather showcases example approaches appropriate within each range of system sizes. 本書は、上下水道システムセクターの事業者が使用することを想定して作成されている。具体的には、超小規模から小規模(25~3,300 の顧客)、中規模から大規模(3,301~100,000 の顧客)に分類されている。この分類により、システムの複雑さ、予算上の制約、運用上の要件などを想定した上で、適切な技術を使用することができる。本ガイダンス案は、規定的な解決策を提供するものではなく、むしろ、各システム規模の範囲内で適切なアプローチ例を紹介するものである。
Abstract 概要
This Technical Note describes the product-agnostic remote access security architectures and the example solutions the NIST National Cybersecurity Center of Excellence (NCCoE) plans to demonstrate as part of the Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems project. These security architectures were developed in collaboration with technology vendors, water utilities, and other experts. The NCCoE continues to work with these collaborators to develop example solutions that demonstrate how these security architectures can be leveraged to address cybersecurity risks associated with remote access to water and wastewater operational technology systems. 本テクニカルノートでは、NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が上下水道分野のサイバーセキュリティの一環として実証する予定の、製品にとらわれないリモートアクセスセキュリティアーキテクチャとソリューション例について説明する: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems)プロジェクトの一環として実証する予定である。これらのセキュリティ・アーキテクチャは、技術ベンダー、水道事業者、その他の専門家と協力して開発された。NCCoE は、上下水道業務技術システムへのリモート・アクセスに関連するサイバーセキュリティ・リスクに対処するために、これらのセキュリティ・アーキテクチャをどのように活用できるかを示すソリューション例を開発するために、これらの協力者と引き続き協力している。
This Technical Note presents a traditional on-premises remote access architecture and two example solutions, one for medium to large water and wastewater systems (WWS) and one for very small to small water and wastewater systems. A cloud-based remote access architecture and example solution are also described. 本テクニカルノートでは、従来のオンプレミス型リモートアクセスアーキテクチャと、中規模から大規模の上下水道システム(WWS)向けと、ごく小規模から小規模の上下水道システム向けの 2 つのソリューション例を示す。また、クラウドベースのリモートアクセスアーキテクチャとソリューション例についても説明する。

 

・[PDF] NIST.TN.2283.ipd

20240619-54617

 

目次...

1. Introduction 1. 序文
1.1. Audience 1.1. 想定読者
1.2. Collaborators 1.2. 協力者
 1.2.1. Report Organization  1.2.1. 報告組織
2. Remote Access Background 2. リモートアクセスの背景
2.1. Remote Access Technologies in the WWS Sector 2.1. WWS分野におけるリモートアクセス技術
2.2. Medium to Large WW 2.2. 中規模から大規模WW
2.3. Very Small to Small WWs 2.3. 超小型から小型WW
2.4. WWS Characteristics Comparison 2.4. WWSの特徴の比較
2.5. WWS Remote Access Cybersecurity Considerations 2.5. WWS リモートアクセスのサイバーセキュリティに関する考察
3. Traditional Remote Access Architecture 3. 従来のリモートアクセス・アーキテクチャ
3.1. Product-Agnostic Remote Access Architecture 3.1. 製品にとらわれないリモートアクセスのアーキテクチャ
3.2. Medium to Large WWS Remote Access Example Solution 3.2. 中規模から大規模WWSリモートアクセスのソリューション例
3.3. Very Small to Small Remote Access Example Solution 3.3. 超小型~小型リモートアクセス ソリューション例
4. Cloud-Based Remote Access 4. クラウドベースのリモートアクセス
4.1. Product-Agnostic Architecture for Cloud-Based Remote Access 4.1. クラウドベースのリモートアクセスのための製品に依存しないアーキテクチャ
 4.1.1. Ed  4.1.1. Ed
 4.1.2. Network  4.1.2. ネットワーク
 4.1.3. Application  4.1.3. アプリケーション
 4.1.4. Security Considerations  4.1.4. セキュリティ
4.2. Cloud-Based Remote Access Example Solution 4.2. クラウドベースのリモートアクセス ソリューション例
5. Summary and Next Steps 5. まとめと次のステップ
References 参考文献
Appendix A. Glossary 附属書 A. 用語集
List of Tables 表一覧
Table 1. Project Collaborators 表1. プロジェクト協力者
Table 2. Size Categories of US Community Water System 表2. 米国の簡易水道の規模カテゴリー
Table 3. WWS Characteristics 表3. WWSの特徴
List of Figures 図一覧
Figure 1. Remote Access Concept 図1. リモートアクセスの概念
Figure 2. Components of a medium to large water system 図2. 中規模から大規模の水道システムの構成要素
Figure 3. Components of a very small to small water system 図3. 超小型から小型の水道システムの構成要素
Figure 4. Traditional Remote Access Architecture 図4. 従来のリモート・アクセス・アーキテクチャ
Figure 5. Remote Access for Medium to Large WWS example solution 図5. 中規模から大規模WWSのためのリモートアクセス ソリューション例
Figure 6. Remote Access for Very Small to Small WWS example solution 図6. 超小型~小型WWS向けリモートアクセス ソリューション例
Figure 7. Cloud-based remote access 図7. クラウドベースのリモートアクセス クラウドベースのリモートアクセス
Figure 8 Cloud-based remote access example solution 図8. クラウドベースのリモートアクセス ソリューション例

 

 

序文...

Introduction  序文 
As described in the preceding NIST NCCoE publication “Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems” [1], the NCCoE has undertaken a project to identify common cybersecurity challenges among Water and Wastewater Systems (WWS) sector participants, develop reference cybersecurity architectures, and propose the utilization of existing commercially available products to mitigate and manage risks. The reference cybersecurity architectures outlined in this report can be voluntarily leveraged by water and wastewater utilities to use commercially available technologies and existing standards and best practices to address their cybersecurity risks. Specifically, our work focuses on four areas identified by the United States Cybersecurity and Infrastructure Security Agency (CISA) [2][3] as priority:   先行するNIST NCCoE発行の「上下水道セクターのサイバーセキュリティ」[1]に記載されているように、NCCoEは上下水道システムにおけるサイバーリスク軽減のための実践的なリファレンスデザインを策定するプロジェクトを実施した: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems」[1]に記載されているように、NCCoE は上下水道システム(WWS)セクターの参加者に共通するサイバーセキュリティの課題を特定し、参照用サイバーセキュリティアーキテクチャを開発し、リスクを低減・管理するための既存の市販製品の活用を提案するプロジェクトを実施した。本報告書で概説する参照用サイバーセキュリティアーキテクチャは、上下水道事業者が自主的に活用できるものであり、サイバーセキュリティリスクに対処するために市販の技術や既存の標準、ベストプラクティスを利用することができる。具体的には、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)[2][3]が優先事項として特定した 4 つの分野に焦点を当てている:  
1. Remote Access – ensure security safeguards are configured to control access based on roles or responsibilities; collect, aggregate, and analyze log information.  1. リモート・アクセス:役割や責任に基づいてアクセスを管理するようにセキュリティ保護措置が設定されていることを確認し、ログ情報を収集、集計、分析する。
2. Network Segmentation – demonstrate open-source products for logical partitions of the operational network, such as firewalls, data diodes, or SDN (software defined networks)  2. ネットワーク・セグメンテーション:ファイアウォール、データ・ダイオード、SDN(ソフトウ ェア定義ネットワーク)など、運用ネットワークの論理パーティション用のオープンソース 製品を実証する。
3. Asset management - discover, identify, categorize, and manage all network-enabled devices: detect potential risks and validate patches and upgrades.  3. 資産マネジメント:すべてのネットワーク対応デバイスを検知、識別、分類、管理する。
4. Data Integrity – protect the integrity of data by detecting lack of protections, provide secure communications, sandboxing techniques, and methods to prevent software modifications.  4. データ・セキュリティ:保護の欠如を検知し、セキュアなコミュニケーション、サンドボックス技術、ソフトウェアの改変を防止する方法を提供することで、データの完全性を保護する。
This first guide addresses the remote access scenario and describes architectures and example solutions allowing authorized access to a water or wastewater utility’s Operational Technology (OT) assets. Subsequent publications will address the other identified risk scenarios and solutions.  この最初のガイドでは、リモートアクセスのシナリオを取り上げ、上下水道事業者の運用技術(OT)資産への認可されたアクセスを可能にするアーキテクチャとソリューション例を説明する。後続の出版物では、その他の識別されたリスクシナリオと解決策を取り上げる予定である。
1.1.  Audience  1.1.  想定読者
The publication is designed for use by those in the water and wastewater systems sector. The architectures presented in this report for water and wastewater utilities are categorized by system size; specifically, from very small to small (25-3,300 customers) and the medium to large (3,301 – 100,000 customer) size ranges. This categorization allows the use of appropriate technologies based on assumptions of system complexity, budgetary constraint, and operational requirements. This proposed guidance does not offer prescriptive solutions but rather showcases example approaches appropriate within each range of system sizes.  本書は、上下水道システム部門関係者の使用を目的としている。具体的には、超小規模から小規模(25~3,300の顧客)、中規模から大規模(3,301~100,000の顧 客)に分類している。この分類により、システムの複雑さ、予算の制約、運営上の必要条件などを前提に、適切な技術を使用することができる。本ガイダンス案は、規定的な解決策を提供するものではなく、各システム規模の範囲内で適切なアプローチ例を紹介するものである。
1.2. Collaborators  1.2. 協力者 
The NCCoE has assembled a team of collaborators who provide products and expertise in formulating remote access architectures and building example solutions. Table 1 lists the cybersecurity product vendors, water and wastewater utilities, professional associations, and industry consultants who have volunteered to collaborate on this project.  NCCoE は、リモートアクセスアーキテクチャの策定とソリューション例の構築において、製品 と専門知識を提供する協力者のチームを編成した。表 1 に、このプロジェクトにボランティアで協力してくれたサイバーセキュリティ製品ベンダー、上下水道事業者、専門家団体、業界コンサルタントを示す。
Table 1. Project Collaborators  表 1. プロジェクトの協力者 
20240619-55823
The NCCoE is using commercial products provided by our collaborators to build secure remote access example solutions. NIST, the NCCoE, and this guide do not endorse these specific products. Your organization should identify and select products that will best integrate with your existing infrastructure. We hope that you will seek products that are congruent with applicable standards and best practices.   NCCoEは、協力者が提供する商用製品を使用して、安全なリモートアクセスのサンプルソリューションを構築している。NIST、NCCoE、および本ガイドは、これらの特定の製品を推奨するものではない。各組織は、既存のインフラストラクチャに最適な製品を特定し、選択する必要がある。適用される標準およびベストプラクティスに合致する製品を求めることを望む。 
1.2.1. Report Organization  1.2.1. 報告書の構成 
This report contains six sections and two appendices. A brief description of each follows:  本報告書は、6つのセクションと2つの附属書から構成されている。それぞれの簡単な説明は以下の通りである: 
• Section 1, this section, provides context for the project scenarios, identifies the report’s intended audience, and lists the project’s collaborator.  ・セクション1では,プロジェクトシナリオの背景を説明し,報告書の対象読者を特定し, プロジェクトの協力者を列挙する。
• Section 2 introduces the concept of remote access and provides background on water and wastewater systems for a range of utility sizes.  ・セクション2では,リモートアクセスの概念を紹介し,様々な規模の上下水道システムの背景を説明する。
• Section 3 presents a traditional product-agnostic remote access architecture and describes two proposed example solution implementations of this architecture, one for medium to large WWS and one for very small to small WWS.  ・第3節では、従来の製品にとらわれないリモートアクセスアーキテクチャを示し、このアーキテクチャの2つのソリューション実装例(1つは中規模から大規模のWWS向け、もう1つは超小規模から小規模のWWS向け)を提案する。
• Section 4 presents a product-agnostic cloud-based Software as a Service (SaaS) architecture for remote access and describes an example solution that is scalable from very small to large WWS.  ・セクション4は、リモートアクセスのための製品にとらわれないクラウドベースのSaaS(Software as a Service)アーキテクチャを提示し、非常に小規模なWWSから大規模なWWSまでスケーラブルなソリューション例を説明する。
• Section 5 summarizes this technical note.  ・セクション5はこのテクニカルノートの要約である。
• Appendix A is a selected bibliography.  ・附属書A:参考文献の一部
• Appendix B provides a glossary of terms.  ・附属書B:用語集
Your organization can adopt the remote access solutions presented in this technical note or ones that adhere to the guidelines presented here. Your organization may use this guide as a starting point for tailoring and implementing parts of the reference architecture to provide a remote access solution that best meets your needs.  あなたの組織は、このテクニカルノートで紹介されているリモートアクセス・ソリューションを採用することもできるし、 ここで紹介されているガイドラインに従ったものを採用することもできる。このガイドを出発点として、リファレンスアーキテ クチャの一部をカスタマイズして実装し、ニーズに最適なリモートアクセスソリューションを提供することもできる。

 

リモートアクセス概念

20240619-60109

 

 

中規模から大規模の水道システムの構成要素

20240619-60206

 

 

超小型から小型の水道システムの構成要素

20240619-60314

 

従来のリモート・アクセス・アーキテクチャ

20240619-60428

 

 

中規模から大規模WWSのためのリモートアクセス ソリューション例

20240619-60647

 

 

超小型~小型WWS向けリモートアクセス ソリューション例

20240619-60842

 

クラウドベースのリモートアクセス

20240619-60941

 

クラウドベースのリモートアクセス ソリューション例

20240619-61101

 

 

|

« ドイツ 連邦情報セキュリティ局 機関誌のテーマはサイバーネーション・ドイツ | Main | 米国 NIST IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.06.14) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ドイツ 連邦情報セキュリティ局 機関誌のテーマはサイバーネーション・ドイツ | Main | 米国 NIST IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.06.14) »