米国 NIST NIST CSWP 36B（初期公開草案）ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保：5Gのサイバーセキュリティおよびプライバシー機能の適用: まるちゃんの情報セキュリティ気まぐれ日記

May 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

2024.10.09

米国 NIST NIST CSWP 36B（初期公開草案）ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保：5Gのサイバーセキュリティおよびプライバシー機能の適用

こんにちは、丸山満彦です。

NISTが米国「NIST CSWP 36B ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保：5Gのサイバーセキュリティおよびプライバシー機能の適用」のドラフトを公表していますね。。。

第３弾です...過去の分もあわせると...

CSWP 36：ホワイトペーパーシリーズ序文

CSWP 36A：Subscription Concealed Identifier(SUCI)による加入者識別子の保護

CSWP 36B：ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保

です。。。

● NIST - ITL

・2024.09.27 NIST CSWP 36B (Initial Public Draft) Using Hardware-Enabled Security to Ensure 5G System Platform Integrity: Applying 5G Cybersecurity and Privacy Capabilities

NIST CSWP 36B (Initial Public Draft) Using Hardware-Enabled Security to Ensure 5G System Platform Integrity: Applying 5G Cybersecurity and Privacy Capabilities	NIST CSWP 36B（初期公開草案）ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保：5Gのサイバーセキュリティおよびプライバシー機能の適用
Announcement	発表
5G technology for broadband cellular networks will significantly improve how humans and machines communicate, operate, and interact in the physical and virtual world. 5G provides increased bandwidth and capacity, and low latency. However, professionals in fields like technology, cybersecurity, and privacy are faced with safeguarding this technology while its development, deployment, and usage are still evolving.	ブロードバンドセルラーネットワーク向けの5G技術は、人間と機械が物理的および仮想的な世界で通信、操作、および相互に作用する方法を大幅に改善する。5Gは、帯域幅と容量の拡大、および低遅延を実現する。しかし、技術、サイバーセキュリティ、プライバシーなどの分野の専門家は、この技術の開発、展開、利用がまだ進化している最中であるため、この技術の保護に直面している。
To help, the NIST National Cybersecurity Center of Excellence (NCCoE) has launched the Applying 5G Cybersecurity and Privacy Capabilities white paper series. The series targets technology, cybersecurity, and privacy program managers within commercial mobile network operators, potential private 5G network operators, and organizations using and managing 5G-enabled technology who are concerned with how to identify, understand, assess, and mitigate risk for 5G networks. In the series we provide recommended practices and illustrate how to implement them. All of the capabilities featured in the white papers have been demonstrated on the NCCoE testbed on commercial-grade 5G equipment .	この問題に対処するため、NIST国立サイバーセキュリティセンター・オブ・エクセレンス（NCCoE）は、「5Gのサイバーセキュリティとプライバシー機能の適用」というホワイトペーパーシリーズを開始した。このシリーズは、商用モバイルネットワーク事業者、潜在的なプライベート5Gネットワーク事業者、および5G対応技術を使用・管理する組織の技術、サイバーセキュリティ、プライバシープログラムマネージャーを対象としている。5Gネットワークのリスクを特定、理解、評価、軽減する方法について懸念を抱いている人々である。このシリーズでは、推奨される実践方法を提供し、その実装方法を説明する。ホワイトペーパーで紹介されているすべての機能は、商用グレードの5G機器を使用したNCCoEテストベッドで実証済みである。
We are pleased to announce the availability of the third white paper in the series:	このシリーズの第3弾となるホワイトペーパーが公開されたことをお知らせできることを嬉しく思う。
Using Hardware-Enabled Security to Ensure 5G System Platform Integrity —This publication provides an overview of employing hardware-enabled security capabilities to provision, measure, attest to, and enforce the integrity of the compute platform to foster trust in a 5G system’s server infrastructure.	「5Gシステムプラットフォームの完全性を確保するためのハードウェア対応セキュリティの活用」では、5Gシステムのサーバーインフラストラクチャの信頼性を高めるために、コンピューティングプラットフォームのプロビジョニング、測定、証明、および完全性の確保にハードウェア対応セキュリティ機能を使用する概要を説明する。
Abstract	要約
This white paper provides an overview of employing hardware-enabled1 security capabilities to provision, measure, attest to, and enforce the integrity of the compute platform to foster trust in a 5G system’s server infrastructure. This white paper is part of a series called Applying 5G Cybersecurity and Privacy Capabilities, which covers 5G cybersecurity- and privacy-supporting capabilities that were demonstrated as part of the 5G Cybersecurity project at the National Cybersecurity Center of Excellence (NCCoE).	本ホワイトペーパーでは、5Gシステムのサーバーインフラストラクチャの信頼性を高めるために、コンピューティングプラットフォームの整合性を確保、測定、証明、および強制するために、ハードウェア対応1のセキュリティ機能を採用する概要を説明する。本ホワイトペーパーは、「5Gのサイバーセキュリティおよびプライバシー機能の適用」シリーズの一部であり、全米サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）の5Gサイバーセキュリティ・プロジェクトの一環として実証された、5Gのサイバーセキュリティおよびプライバシーをサポートする機能を取り扱っている。

・[PDF] NIST.CSWP.36B.ipd

Overview	概要
3GPP standards specify 5G systems as service-based architectures (SBAs) with a design that works well when implemented with cloud-native technologies leveraging microservices and container technology. In short, for the first time, the cellular system’s core network can operate like a modern cloud application that is scalable and resilient. A single 5G network function (NF) can be comprised of a multitude of software containers running on many distributed servers. Hence, NF operation and management are now largely automated, relying on container orchestration engines to scale up on demand.	3GPP標準では、5Gシステムはサービスベースアーキテクチャ（SBA）として規定されており、マイクロサービスやコンテナ技術を活用するクラウドネイティブ技術と実装することで、その設計が十分に機能する。つまり、初めてセルラーシステムの基幹ネットワークが、拡張性と回復力に優れた最新のクラウドアプリケーションのように動作できるようになった。単一の5Gネットワーク機能（NF）は、多数の分散サーバー上で動作する多数のソフトウェアコンテナで構成することができる。したがって、NFの運用と管理は、コンテナオーケストレーションエンジンに依存してオンデマンドで拡張できるようになったため、現在では大部分が自動化されている。
This shift enables NFs and 5G core networks to run on commodity servers instead of purpose-built telecommunications equipment. In addition, there is an opportunity to adopt existing advanced cybersecurity capabilities and techniques available in cloud platforms that have supported traditional information technology workloads. Implementing hardware-enabled platform integrity measurements and asset tags, both based on hardware roots of trust, can provide a stronger foundation for cloud-native infrastructures of 5G systems.	この変化により、NFと5Gコアネットワークは、専用に構築された通信機器ではなく、汎用サーバー上で稼働することが可能になった。さらに、従来のITワークロードをサポートしてきたクラウドプラットフォームで利用可能な既存の先進的なサイバーセキュリティ機能と技術を採用する機会もある。ハードウェアによる信頼の基点に基づく、ハードウェアで実現されたプラットフォームの整合性測定と資産タグを導入することで、5Gシステムのクラウドネイティブなインフラストラクチャのより強固な基盤を提供できる。
What’s the problem?	問題は何か？
The data center threat landscape has evolved to encompass numerous attack surfaces that can be targeted by attackers seeking persistent access. With organizations paying more attention to software security, attackers are pushing lower in the layers of the platform stack shown in Figure 1. This forces security teams to address attacks that threaten the platform firmware and hardware below the operating system (OS). For example, a rootkit named LoJax2, discovered in 2018, can be installed in server firmware, which allows it to persist despite OS reboots or reinstallations and to remain invisible to OS malware scans, while providing the attacker with full access to the OS and potentially everything above it.	データセンターの脅威の状況は、持続的なアクセスを求める攻撃者が標的とできる多数の攻撃面を包含するように進化している。組織がソフトウェアセキュリティにより注意を払うようになっているため、攻撃者は図1に示すプラットフォームスタックのレイヤーをより下層へと押し進めている。これにより、セキュリティチームは、オペレーティングシステム（OS）以下のプラットフォームのファームウェアやハードウェアを脅かす攻撃に対処せざるを得なくなっている。例えば、2018年に発見されたLoJax2というルートキットは、サーバーのファームウェアにインストールすることができ、これにより、OSの再起動や再インストール後も存続し、OSのマルウェアスキャンでは検出されないようにすることができる。一方で、攻撃者はOSに完全なアクセス権限を得ることができ、場合によってはOSより上位のすべてにアクセスすることも可能となる。

In a 5G environment, these types of attacks could involve modifying configurations to send traffic to unauthorized locations, gaining access to control 5G cloud-native network functions (CNFs), stealing proprietary network software, or exporting the subscriber information. Traditional cybersecurity protections for cloud infrastructures are often rooted in firmware or software. This makes them inadequate to address these attacks because software- and firmware-based protections run at the same layer as the attacks. For example, if firmware can be successfully exploited, the security controls based in that firmware can most likely be compromised in the same fashion and therefore shouldn’t be trusted to detect malware. There needs to be a mechanism below the firmware that can help detect and prevent these threats.	5G環境では、こうした攻撃の一例として、不正な場所にトラフィックを送信するための設定変更、5Gクラウドネイティブネットワーク機能（CNF）の制御へのアクセス、独自ネットワークソフトウェアの盗難、加入者情報のエクスポートなどが考えられる。従来のクラウドインフラのサイバーセキュリティ保護は、ファームウェアやソフトウェアに根ざしていることが多い。ソフトウェアやファームウェアベースの保護は攻撃と同じレイヤーで実行されるため、こうした攻撃に対処するには不十分である。例えば、ファームウェアがうまく悪用された場合、そのファームウェアに基づくセキュリティ制御も同様の方法で侵害される可能性が高く、マルウェアを検出する信頼性は期待できない。ファームウェアの下位に、こうした脅威を検出および防止する仕組みが必要である。
A 5G system is composed of the hardware, network, and software components for operating the 5G environment. As 5G systems adopt automated cloud-native applications running within a datacenter, it can be challenging to track every server in the large clusters of systems that support the 5G infrastructure. Because of this, it can be very difficult to ensure that 5G CNFs run on their intended servers for the purpose of isolating and enforcing where the critical functions operate. One approach is to use a tag to label a critical CNF so that it can be provisioned to a particular a set of dedicated servers. While software tags in 5G container orchestrators can be one way to achieve this, there is no guarantee that the software tags are associated with the correct physical servers. In the context of this paper, the terms “platform” and “server” are used interchangeably.	5Gシステムは、5G環境を稼働させるためのハードウェア、ネットワーク、ソフトウェアのコンポーネントで構成される。5Gシステムがデータセンター内で稼働する自動化されたクラウドネイティブアプリケーションを採用しているため、5Gインフラストラクチャをサポートする大規模なクラスタ内のすべてのサーバーを追跡することは困難である。このため、重要な機能が動作する場所を分離し、強制的に実行するために、5G CNFが意図したサーバー上で確実に実行されるようにすることは非常に難しい。その解決策のひとつとして、重要な CNF にタグを付けてラベル付けし、特定の専用サーバー群にプロビジョニングする方法がある。5G コンテナオーケストレーターのソフトウェアタグは、この目的を達成するひとつの方法ではあるが、ソフトウェアタグが正しい物理サーバーに関連付けられているという保証はない。本稿では、「プラットフォーム」と「サーバー」という用語は同義で使用される。
How can hardware-enabled security address the problem?	ハードウェアによるセキュリティ対策は、この問題にどのように対処できるだろうか？
The 5G standards defined by 3GPP do not specify cybersecurity protections for the underlying commodity components that support and operate the 5G system; these aspects are deemed implementation-specific. It is expected that mobile network operators will make a risk-based decision on the countermeasures to mitigate attacks against their commodity components.	3GPPが定義した5G標準規格では、5Gシステムをサポートし運用する基本的なコモディティコンポーネントのサイバーセキュリティ保護については規定されていない。これらの側面は実装固有のものと考えられている。モバイルネットワーク事業者は、コモディティコンポーネントに対する攻撃を緩和するための対策について、リスクベースの決定を行うことが期待されている。
In order to identify and protect against firmware and software attacks, each server that makes up a 5G system can employ hardware-enabled security mechanisms. Hardware roots of trust (HRoT)3 can help mitigate threats by establishing and maintaining platform trust—an assurance in the integrity of the underlying 5G server configuration, including hardware, firmware, and software. This is achieved by cryptographically measuring those components in a sequence and then saving the measurements to a secure storage element such as a Trusted Platform Module (TPM)4 on the 5G server. If a server’s cryptographic measurements have not changed, then there is assurance that none of the hardware or firmware components have been altered by the attacker through malicious code injection or other means.	ファームウェアおよびソフトウェア攻撃を特定し、防御するために、5Gシステムを構成する各サーバーは、ハードウェア対応のセキュリティメカニズムを採用することができる。ハードウェアルートオブトラスト（HRoT）3は、プラットフォームの信頼性を確立し維持することで、脅威を軽減するのに役立つ。これは、ハードウェア、ファームウェア、ソフトウェアを含む、5Gサーバー構成の基盤となる部分の整合性を保証するものである。これは、一連のコンポーネントを暗号学的に測定し、その測定値を5Gサーバー上のTPM（Trusted Platform Module）4などのセキュアなストレージエレメントに保存することで実現される。サーバーの暗号化測定値が変化していない場合、悪意のあるコードの注入やその他の手段によって、攻撃者がハードウェアやファームウェアのコンポーネントを改ざんしていないことが保証される。
Platform integrity measurement and storage within hardware provides a stronger foundation than that offered by software because of the immutability property of hardware: a physical component must be changed to subvert the process, versus a change to software or code if measurements are performed in software. Additionally, performing the measurement and storage of platform integrity within hardware modules happens at the lowest level of the stack, before any malicious software can inject itself into the process.	プラットフォームの完全性測定とハードウェア内での保存は、ソフトウェアよりも強固な基盤を提供する。なぜなら、ハードウェアの不変性という特性により、物理的なコンポーネントを変更しなければプロセスを無効化できないからだ。一方、測定がソフトウェア内で行われる場合、ソフトウェアやコードを変更する必要がある。さらに、ハードウェアモジュール内でプラットフォームの整合性の測定と保存を行うことは、スタックの最も低いレベルで発生し、悪意のあるソフトウェアがプロセスに注入される前に実行される。
An additional feature commonly associated with platform trust is the concept of asset tagging. Asset tags are simple key-value attribute pairs that are associated with a 5G platform, like geographic location, company name, division, or department. These key-value attributes are tracked and recorded in a Remote Attestation Server (RAS)5 and can be provisioned directly to a 5G server through a trust agent. The trust agent can then secure these attribute associations within the host platform by writing a checksum in the form of cryptographic hash measurement data for the asset tag information to a hardware security module, such as the platform TPM. The asset tag hash is then retrieved by the RAS as part of the TPM report and included in the platform trust report evaluation.	プラットフォームの信頼性と関連付けられるもう一つの特徴は、アセットタグの概念である。アセットタグは、地理的位置、企業名、部門、部署など、5Gプラットフォームに関連付けられるシンプルなキーと値の属性の組み合わせである。これらのキーと値の属性は、リモート認証サーバー（RAS）5で追跡および記録され、信頼エージェントを通じて5Gサーバーに直接プロビジョニングすることができる。信頼エージェントは、資産タグ情報の暗号ハッシュ測定データとしてチェックサムをハードウェアセキュリティモジュール（プラットフォームTPMなど）に書き込むことで、ホストプラットフォーム内のこれらの属性の関連付けを保護することができる。アセットタグのハッシュは、TPMレポートの一部としてRASによって取得され、プラットフォーム信頼性レポートの評価に含まれる。
While enabling HRoT for 5G systems provides a critical mechanism for ascertaining platform integrity, it’s only one piece of the solution. Since the 5G system is made up of tens, hundreds, or even thousands of individual physical servers, there needs to be a way to collect and maintain all of their platform integrity measurements. Each server can send its latest boot-time platform measurements to the RAS. The RAS maintains these up-to-date platform measurements, as well as a list of allowed measurements. A platform is considered “trusted” if its current boottime measurement matches one from the allowed list. The RAS compares each 5G server’s current platform measurement with the list of trusted measurements to see if it can be trusted to host 5G CNFs.	HRoTを5Gシステムで有効にすることは、プラットフォームの整合性を確認するための重要なメカニズムを提供するが、それはソリューションのほんの一部に過ぎない。5Gシステムは、数十、数百、あるいは数千もの個々の物理サーバーで構成されているため、それらのプラットフォームの整合性測定値をすべて収集し、維持する方法が必要である。各サーバーは、起動時のプラットフォームの最新測定値を RAS に送信できる。RAS は、これらの最新のプラットフォーム測定値と、許可された測定値のリストを維持する。プラットフォームは、現在の起動時の測定値が許可されたリストのものと一致する場合、「信頼できる」とみなされる。RAS は、各 5G サーバーの現在のプラットフォーム測定値を信頼された測定値のリストと比較し、5G CNF をホストするのに信頼できるかどうかを判断する。
There also needs to be a way to ensure that CNFs are only deployed on servers that are trusted. To achieve this, the 5G CNF orchestrator that is responsible for starting and stopping 5G CNF workloads communicates with the RAS. Each time the orchestrator wants to start a new instance of a 5G CNF, it can first ask the RAS for a list of trusted servers, and then deploy the 5G CNF workload to one of the servers with a current status of trusted.	また、CNFが信頼されたサーバーにのみデプロイされることを保証する方法も必要である。これを実現するために、5G CNFワークロードの開始と停止を担当する5G CNFオーケストレーターがRASと通信する。オーケストレーターが5G CNFの新しいインスタンスを開始したい場合、まずRASに信頼されたサーバーのリストを問い合わせ、信頼されたステータスを持つサーバーのいずれかに5G CNFワークロードを展開することができる。
The HRoTs enable additional security capabilities for the infrastructure supporting 5G beyond what is defined in the 3GPP specifications. These capabilities include hardware-enabled controls to:	HRoTは、3GPP仕様で定義されているもの以上のセキュリティ機能を5Gをサポートするインフラに追加する。これらの機能には、ハードウェアで有効化された制御機能が含まれ、
・measure platform integrity for each server in the 5G infrastructure at each boot;	・5Gインフラの各サーバーの起動時に、プラットフォームの整合性を測定する
・assign specific labels for each server in the infrastructure;	・インフラ内の各サーバーに特定のラベルを割り当てる
・remotely attest each server’s measurements and labels against policies; and	・各サーバーの測定値とラベルをポリシーに照らしてリモートで認証する
・use the results during 5G workload orchestration to enforce trust status of the host platform.	・5Gワークロードのオーケストレーション中に結果を使用し、ホストプラットフォームの信頼ステータスを強制する
By providing this assurance, mobile network operators can gain a level of visibility and control over where access to CNFs and data is permitted, and know that the hardware infrastructure where 5G workloads are executing hasn’t been tampered with.	この保証を提供することで、モバイルネットワーク事業者は、CNFやデータへのアクセスが許可されている場所について、ある程度の可視性と制御を得ることができ、5Gのワークロードが実行されているハードウェアインフラが改ざんされていないことを確認できる。
How can I use a hardware root of trust in my 5G network?	5Gネットワークでハードウェアの信頼の基点を利用するにはどうすればよいか？
Since the platform integrity measurements on the servers used for the 5G system are performed by HRoT, they must have an implementation of HRoT on them. Many technologies and vendors implement HRoT, with some examples listed in Section 3.2 of NIST IR 8320⁶.	5Gシステムで使用されるサーバー上のプラットフォームの完全性測定はHRoTによって実行されるため、サーバー上にHRoTの実装がなければならない。多くのテクノロジーおよびベンダーがHRoTを実装しており、その例はNIST IR 8320⁶のセクション3.2に記載されている。
The network operator needs to verify that their servers have these HRoT capabilities and that they are enabled, as well as having secure storage with cryptographic functions such as TPM on each server for the measurements. The network operator needs to install and enable RAS in the 5G system to ensure the individual platform measurements are collected at each boot and maintained throughout the server’s lifecycle. Also, the network operator’s 5G CNF orchestrator needs to use platform trust statuses, as determined by the RAS, as part of its compute node selection when deploying instances of CNFs.	ネットワーク事業者は、自社のサーバーがこれらのHRoT機能を備え、有効になっていることを確認する必要がある。また、測定用に各サーバーにTPMなどの暗号化機能を備えたセキュアなストレージを搭載する必要がある。ネットワーク事業者は、個々のプラットフォームの測定値がサーバーの起動ごとに収集され、サーバーのライフサイクル全体を通じて維持されるように、5GシステムにRASをインストールし、有効にする必要がある。また、ネットワーク事業者の 5G CNF オーケストレーターは、CNF のインスタンスを展開する際のコンピューティングノードの選択の一部として、RAS によって決定されたプラットフォームの信頼ステータスを使用する必要がある。
What else should I know about hardware-based security?	ハードウェアベースのセキュリティについて他に知っておくべきことはあるか？
An HRoT can be leveraged as a starting point that is implicitly trusted. Hardware-enabled controls can provide a foundation for establishing platform integrity assurances. Combining these functions with a means of producing verifiable evidence that these integrity controls are in place and have been executed successfully is the basis of creating a trusted platform.	HRoT は暗黙的に信頼される出発点として活用できる。ハードウェアで有効化された制御は、プラットフォームの整合性保証を確立するための基盤を提供できる。これらの機能を、これらの整合性制御が適切に実施され、正常に実行されたことを証明する検証可能な証拠を生成する手段と組み合わせることが、信頼性の高いプラットフォームを構築する基本となる。
Platforms that secure their underlying firmware and its configuration provide the opportunity to extend trust higher in the stack. Verified platform firmware can, in turn, verify the OS boot loader, which can then verify other software components all the way up to the OS itself and the hypervisor or container runtime layers. The transitive trust described in NIST IR 8320 is consistent with the concept of the chain of trust (CoT)—where each software module in a system boot process is required to measure the next module before transitioning control. HRoT can be further extended to be used by container orchestrators to ensure that whenever a container instance is instantiated, it is placed on a compute host that has been proven to maintain its platform integrity – in other words, is trusted.	基盤となるファームウェアとその構成を保護するプラットフォームは、信頼性をより高いレベルに拡張する機会を提供する。検証済みのプラットフォームファームウェアは、OSブートローダーを検証し、さらにOS自体やハイパーバイザー、コンテナランタイムレイヤーに至るまで、他のソフトウェアコンポーネントを検証することができる。NIST IR 8320で説明されている「推移的信頼」は、「信頼の連鎖（CoT）」の概念と一致している。システムのブートプロセスにおける各ソフトウェアモジュールは、制御を移行する前に次のモジュールを測定することが求められる。HRoTはさらに拡張して、コンテナオーケストレーターで使用することも可能である。これにより、コンテナインスタンスがインスタンス化されるたびに、プラットフォームの整合性を維持することが証明されている、つまり信頼されているコンピューティングホスト上に配置されることが保証される。
HRoTs for CNF orchestration will not prevent attacks against the compute servers; however, they can detect and prevent the 5G CNFs from running on a compute node if it is compromised. This capability will provide visibility into the lower levels of the computing infrastructure hosting 5G CNFs.	CNFオーケストレーション用のHRoTは、コンピューティングサーバーに対する攻撃を防ぐことはできないが、5G CNFが侵害された場合、コンピューティングノード上で実行されるのを検知し、防止することができる。この機能により、5G CNFをホスティングするコンピューティングインフラストラクチャの低レイヤーの可視性が得られる。
Standards developing organizations and 5G-relevant cybersecurity guidance documents describe and recommend the use of these capabilities to protect 5G infrastructures. The European Telecommunications Standards Institute (ETSI) has released over 20 specifications and reports with specific guidance on various aspects of Network Function Virtualization Security. ETSI GR NFV-SEC 007 V1.1.1 (2017-10) describes and recommends the use of these advanced capabilities.	標準化団体や5G関連のサイバーセキュリティに関するガイダンス文書では、5Gインフラストラクチャを保護するためにこれらの機能の使用を説明し、推奨している。欧州電気通信標準化機構（ETSI）は、ネットワーク機能仮想化セキュリティのさまざまな側面に関する具体的なガイダンスを含む20以上の仕様と報告書を公開している。ETSI GR NFV-SEC 007 V1.1.1（2017-10）では、これらの高度な機能の使用について説明し、推奨している。
The Enduring Security Framework (ESF) is a public-private partnership that addresses risks to critical infrastructure and National Security Systems. ESF is chartered by the Department of Defense, Department of Homeland Security, Office of the Director of National Intelligence, and the IT, Communications and Defense Industrial Base Sector Coordinating Councils. The ESF has also recommended the use of these advanced security capabilities in parts 2 and 4 of their series of papers titled Security Guidance for 5G Cloud Infrastructures.	Enduring Security Framework（ESF）は、重要インフラおよび国家安全保障システムに対するリスクに対処する官民パートナーシップである。ESFは、国防総省、国土安全保障省、国家情報長官室、およびIT、通信、国防産業基盤セクター調整協議会によって設立された。ESFはまた、一連の論文「5Gクラウドインフラストラクチャのためのセキュリティガイダンス」のパート2およびパート4において、これらの高度なセキュリティ機能の使用を推奨している。
The NCCoE 5G Cybersecurity project followed this ETSI and ESF guidance within its environment and implemented these advanced security capabilities within the 5G core of a functional commercial-grade 5G network. This working system is an example of how to enable these capabilities in 5G infrastructure, and it provides a blueprint that can assist other implementations. The deployed 5G core network technology stack utilizes mainstream container orchestration software, Kubernetes, which by default has integration capability with RAS. The HRoT and 5G CNF orchestration capabilities were enabled without any 5G vendor product source code or hardware modifications. The enablement of these capabilities only required trust agents and supporting libraries to be installed and configured on each server, and policies to be created within the 5G CNF scheduler.	NCCoE 5G サイバーセキュリティプロジェクトは、この ETSI および ESF の指針に従い、機能する商業用 5G ネットワークの 5G コア内にこれらの高度なセキュリティ機能を実装した。この実稼働システムは、5G インフラでこれらの機能を有効にする方法の一例であり、他の実装を支援する青写真となる。展開された5Gコアネットワークの技術スタックは、主流のコンテナオーケストレーションソフトウェアであるKubernetesを利用しており、デフォルトでRASとの統合機能を備えている。HRoTと5G CNFのオーケストレーション機能は、5Gベンダーの製品ソースコードやハードウェアの変更なしで有効化された。これらの機能を有効化するには、各サーバーにトラストエージェントとサポートライブラリをインストールして構成し、5G CNFスケジューラ内でポリシーを作成するだけでよかった。
Overview Summary	概要まとめ
As part of the ongoing digital and communications convergence trend, specialized telecommunications hardware is increasingly being replaced by cloud-native network functions that run on commodity servers. 3GPP specifications have significantly improved the architecture and the security posture of 5G systems, but they do not specifically address the underlying computing infrastructure, leaving a potential cybersecurity gap.	現在進行中のデジタルと通信の融合のトレンドの一環として、特殊な通信ハードウェアは、コモディティサーバー上で稼働するクラウドネイティブなネットワーク機能に置き換えられるケースが増えている。3GPPの仕様は、5Gシステムのアーキテクチャとセキュリティの態勢を大幅に改善したが、基盤となるコンピューティングインフラストラクチャには特に言及しておらず、サイバーセキュリティの潜在的なギャップが残されている。
This paper provides an example of how introducing hardware-enabled security capabilities helps to fill that gap and mitigate infrastructure threat vectors, thereby pointing the way towards a more holistic approach to cybersecurity of communication systems. As the expectation for the next generation of communications systems continues the shift towards commodity hardware and cloud-native applications, these HRoT technologies can be applied to those systems as well.	本稿では、ハードウェアによるセキュリティ機能の導入が、このギャップを埋め、インフラの脅威要因を軽減するのに役立つ例を示し、通信システムのサイバーセキュリティに対するより包括的なアプローチへの道筋を示す。次世代の通信システムに対する期待が、コモディティハードウェアとクラウドネイティブアプリケーションへのシフトを続ける中、これらのHRoTテクノロジーは、それらのシステムにも適用できる。