米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)
こんにちは、丸山満彦です。
NISTが、一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件を公表していますね...
米国のFCCのIoTのためのサイバーセキュリティ・ラベリングの最終規則が2024.07.30に官報 (Fedral Register) 公表され、2024.08.29に有効に施行され、2024.09.10 にFCCから管理者のプロセスが公表されていますが、同日に、NISTから、IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件が公表されていました...
● NIST - ITL
・2024.09.10 NIST IR 8425A Recommended Cybersecurity Requirements for Consumer-Grade Router Products
NIST IR 8425A Recommended Cybersecurity Requirements for Consumer-Grade Router Products | NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 |
Abstract | 概要 |
Ensuring the security of routers is crucial for safeguarding not only individuals’ data but also the integrity and availability of entire networks. With the increasing prevalence of smart home Internet of Things (IoT) devices and remote work setups, the significance of consumer-grade router cybersecurity has expanded, as these devices and applications often rely on routers in the home to connect to the internet. This report presents the consumer-grade router profile, which includes cybersecurity outcomes for consumer-grade router products and associated requirements from router standards. | ルーターのセキュリティを確保することは、個人のデータだけでなく、ネットワーク全体の完全性と可用性を守るためにも極めて重要である。スマートホームのモノのインターネット(IoT)デバイスやリモートワークのセットアップの普及に伴い、これらのデバイスやアプリケーションはインターネットに接続するために家庭内のルータに依存することが多いため、一般消費者向けルータのサイバーセキュリティの重要性は拡大している。本レポートでは、一般消費者向けルーターのプロファイルを紹介し、一般消費者向けルーター製品のサイバーセキュリティの成果と、ルーター標準からの関連要件を示す。 |
・[PDF] NIST.IR.8425A
目次...
Executive Summary | エグゼクティブサマリー |
1. Introduction | 1. 序文 |
2. Scope of Consumer-Grade Routers | 2. 一般消費者向けルーターの範囲 |
3. Conclusion | 3. 結論 |
References | 参考文献 |
Appendix A. Crosswalk between Technical Outcomes and Consumer-Grade Router Cybersecurity and Firmware Requirements | 附属書 A. 技術的成果と一般消費者向けルータのサイバーセキュリティおよびファームウェア要件とのクロスウォーク |
A.1. Asset Identification | A.1. 資産識別 |
A.2. Product Configuration | A.2. 製品構成 |
A.3. Data Protection | A.3. データ保護 |
A.4. Interface Access Control 1 | A.4. インターフェースアクセス管理 1 |
A.5. Interface Access Control 2 | A.5. インターフェースアクセス管理2 |
A.6. Software Update | A.6. ソフトウェア・アップデート |
A.7. Cybersecurity State Awareness | A.7. サイバーセキュリティの現状認識 |
Appendix B. Non-Technical Outcome Considerations | 附属書B. 技術的成果以外の考察 |
Appendix C. Consumer-Grade Router Acquisition Scenarios Discussion | 附属書C. 一般消費者向けルーター取得シナリオの検討 |
Appendix D. Crosswalk Between Secure Software Development Tasks and Consumer-Grade Router Product Software Type | 附属書D. セキュアソフトウェア開発タスクと一般消費者向けルータ製品のソフトウェアタイプのクロスウォーク |
Appendix E. List of Symbols, Abbreviations, and Acronyms | 附属書E. 記号、略語、頭字語のリスト |
Appendix F. Glossary | 附属書F. 用語集 |
エグゼクティブサマリー...
Executive Summary | エグゼクティブサマリー |
This document builds on the Profile of the IoT Core Baseline for Consumer IoT Products, NISTIR 8425 [IR8425]. This document specializes that consumer product baseline for routers intended for residential use that can be installed by the customer, which are referred to as consumergrade routers. | 本文書は、NISTIR 8425 [IR8425]の「一般消費者向けIoT製品のIoTコア・ベースラインのプロファイル)」をベースにしている。本文書は、一般消費者向けルーターと呼ばれる、顧客が設置できる住宅用ルーターに特化したコンシューマ製品のベースラインである。 |
Similar to NISTIR 8425, these recommendations are stated as technical and non-technical cybersecurity outcomes for consumer-grade routers, their manufacturers, and other supporting entities that may exist within the ecosystem. Cybersecurity outcomes are broad, flexible guidelines for digital products that describe hardware and software capabilities or organizational capabilities that can support cybersecurity when the product is deployed in a customer’s environment. Technical outcomes are those achieved by the product itself, using hardware and software implementations. Non-technical outcomes are those achieved by the product manufacturer and other entities that support the product, usually through the dedication of resources to implement and maintain policies and procedures. To provide additional context and definition, the cybersecurity outcomes for consumer-grade routers are mapped to more detailed requirements in related standards. | NISTIR 8425 と同様に、これらの推奨は、一般消費者向けルータ、その製造事業者、およびエコシステム内に存在する可能性のあるその他の支援事業体に対する技術的および非技術的なサイバーセキュリティの成果として述べられている。サイバーセキュリティの成果とは、デジタル製品のための広範で柔軟なガイドラインであり、製品が顧客の環境に導入されたときにサイバーセキュリティをサポートできるハードウェアとソフトウェアの能力、または組織の能力を記述したものである。技術的成果とは、ハードウェアやソフトウェアの実装を使用して、製品自体によって達成される成果である。非技術的な成果とは、製品製造事業者や製品をサポートする他の事業体によって達成される成果であり、通常は、ポリシーや手順を実施・維持するためのリソースを投入することによって達成される。一般消費者向けルータのサイバーセキュリティの成果を、関連する標準規格のより詳細な要件にマッピングすることで、さらなる文脈と定義を提供する。 |
In the analysis of the standards and their requirements, NIST found that no single standard addressed all the outcomes fully and found no conflicts in the requirements or how they related to the cybersecurity outcomes. Therefore, NIST recommends the use of multiple standards to fully address consumer-grade router cybersecurity. | 標準規格とその要求事項の分析において、NIST は、単一の標準規格がすべての成果に完全に対応しているわけではなく、要求事項やそれらがサイバーセキュリティの成果にどのように関連しているかに矛盾はないことを発見した。したがって、NIST は、一般消費者向けルータのサイバーセキュリティに完全に対応するために、複数の標準を使用することを推奨する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10)
・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則
・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)
米国...
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
EU
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
英国
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
中国
・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持
日本
・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
« 米国 NIST IR 8459 NIST SP 800-38シリーズにおけるブロック暗号利用モードに関する報告書 (2024.09.10) | Main | 米国 NIST NIST SP 800-50 Rev. 1 サイバーセキュリティとプライバシーの学習プログラムの構築 (2024.09.12) »
Comments