米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

こんにちは、丸山満彦です。

NISTがIR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドラインを公表していますね...

トランプ大統領になり、太陽光発電の政策に変化はあるのでしょうが...

ゼロになるわけでもないでしょうし...

 

● NIST - ITL

・2024.12.20 NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems

 

NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems	NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン
Abstract	要約
This report provides practical cybersecurity guidance for small-scale solar inverter implementations that are typically used in homes and small businesses. These guidelines are informed by a review of known smart-inverter vulnerabilities documented in the National Vulnerability Database (NVD), a review of information about known smart-inverter cyber-attacks, and testing of five example smart inverters. The report also provides recommendations to smart-inverter manufacturers on the cybersecurity capabilities needed in their products to implement the seven guidelines. These recommendations build on the Internet of Things (IoT) cybersecurity capability baselines defined in NIST IR 8259A and IR 8259B by providing smart-inverter-specific information for some of the baseline cybersecurity capabilities.	本報告書は、一般家庭や小規模事業所で使用される小規模な太陽光発電インバータの実装に関する実用的なサイバーセキュリティの指針を提供する。これらのガイドラインは、米国脆弱性データベース（NVD）に記録されている既知のスマートインバータの脆弱性に関する情報のレビュー、既知のスマートインバータのサイバー攻撃に関する情報のレビュー、および5つのスマートインバータの例のテストに基づいて作成されている。また、本報告書は、7つのガイドラインを実装するために製品に必要とされるサイバーセキュリティ機能について、スマートインバータの製造事業者への推奨事項も提供している。これらの推奨事項は、NIST IR 8259AおよびIR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインを基に、ベースラインのサイバーセキュリティ能力の一部にスマートインバータ固有の情報を提供することで構築されている。

 

 

・[PDF]

・[DOCX][PDF]仮訳

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Audience	1.1. 想定読者
1.2. Report Organization	1.2. 報告組織
2. Cybersecurity Guidelines for Owners and Installers	2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン
2.1. Guideline #1: Change Default Passwords and Credentials	2.1. ガイドラインその1：デフォルトのパスワードと認証情報を変更する
2.2. Guideline #2: Use Role-Based Access Control (RBAC)	2.2. ガイドライン2：役割ベースのアクセス管理（RBAC）の使用
2.3. Guideline #3: Configure the Recording of Events in a Log	2.3. ガイドライン#3：ログにイベントを記録する設定
2.4. Guideline #4: Update Software Regularly	2.4. ガイドライン4：ソフトウェアの定期的なアップデート
2.5. Guideline #5: Back Up System Information	2.5. ガイドライン5：システム情報のバックアップ
2.6. Guideline #6: Disable Unused Features	2.6. ガイドラインその6：未使用の機能を無効にする
2.7. Guideline #7: Protect Communications Connections	2.7. ガイドライン7：通信の保護
3. Cybersecurity Recommendations for Smart-Inverter Manufacturers	3. スマートインバータ製造事業者に対するサイバーセキュリティの提言
3.1. Recommended Baseline Cybersecurity Capabilities	3.1. 推奨されるベースライン・サイバーセキュリティ能力
4. Conclusion	4. 結論
References	参考文献
Appendix A. Additional Resources	附属書 A. その他のリソース
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書 B. 記号、略語、頭字語のリスト
Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist	附属書 C. 住宅用および軽商用太陽エネルギーシステム設置サイバーセキュリティチェックリスト
Appendix D. Smart-Inverter Testing	附属書D. スマート・インバータの試験
D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials	D.1.ガイドライン#1: デフォルトパスワードと認証情報の変更に関するテスト結果
D.2. Testing Results for Guideline #2: Use Role-Based Access Control	D.2.ガイドライン#2：役割ベースのアクセス管理の使用」のテスト結果
D.3. Testing Results for Guideline #3: Configure the Recording of Events in a Log	D.3.ガイドライン#3: ログにイベントを記録する設定」のテスト結果
D.4. Testing Results for Guideline #4: Update Software Regularly	D.4.ガイドライン#4: ソフトウェアの定期的なアップデート」のテスト結果
D.5. Testing Results for Guideline #5: Back Up System Information	D.5.ガイドライン#5：システム情報のバックアップのテスト結果
D.6. Testing Results for Guideline #6: Disable Unused Features	D.6.ガイドライン#6: 未使用の機能を無効にする」のテスト結果
D.7. Testing Results for Guideline #7: Protect Communications Connections	D.7.ガイドライン#7: 通信の保護」のテスト結果
Appendix E. Mapping to General Cybersecurity Guidance	附属書 E. 一般的なサイバーセキュリティガイダンスへのマッピング
E.1. General Cybersecurity Guidance That Informs the Guidelines	E.1.ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス
E.1.1. NIST Cybersecurity Framework	E.1.1.NIST サイバーセキュリティ枠組み
E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8	E.1.2. インターネットセキュリティセンター クリティカルセキュリティコントロール（CSC）バージョン8
E.1.3. NIST SP 800-53r5	E.1.3.NIST SP 800-53r5
E.1.4. NIST SP 800-213A	E.1.4.NIST SP 800-213A
E.1.5. MITRE ATT&CK Framework	E.1.5.MITRE ATT&CK フレームワーク
E.1.6. ISA/IEC 62443-2-1	E.1.6.ISA/IEEC 62443-2-1
E.2. Guidelines Relationship to General Cybersecurity Guidance	E.2.ガイドラインと一般的なサイバーセキュリティガイダンスとの関係
Appendix F. Smart Inverter Vulnerability Survey	附属書F. スマートインバータの脆弱性調査

 

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This report provides practical cybersecurity guidance for the smart inverters used in small-scale residential and light-commercial solar energy systems connected to the electric distribution network and not directly owned or operated by a utility. Smart inverters manage the flow of energy to and from homes or small businesses and the electrical grid. By sensing conditions on the grid and communicating with the electric utility, these devices contribute to power availability, safety, and grid stability.	本報告書は、配電網に接続され、電力会社が直接所有または運営していない小規模な住宅用および軽商用太陽光発電システムで使用されるスマートインバータのための実践的なサイバーセキュリティガイダンスを提供する。スマート・インバータは、家庭や小規模事業所と電力網との間のエネルギーの流れを管理する。送電網の状況を感知し、電力会社とコミュニケーションすることで、これらのデバイスは電力の可用性、安全性、送電網の安定性に貢献する。
Smart inverters often use the internet to connect with cloud-based management capabilities. This connectivity exposes smart inverters to cyber threats and increases the need for effective device cybersecurity that ensures continued safe and reliable operation.	スマートインバータは多くの場合、インターネットを使用してクラウドベースの管理機能と接続する。この接続性により、スマート・インバータはサイバー脅威にさらされ、安全で信頼性の高い運用を継続するための効果的なデバイス・サイバーセキュリティの必要性が高まる。
Section 2 of this report provides seven cybersecurity guidelines for homeowners, solar energy system installers, and solar energy system maintainers. These cybersecurity guidelines describe actions that can help ensure that a residential or small business solar energy system is installed, configured, and operated safely and securely.	本報告書のセクション2では、住宅所有者、太陽エネルギーシステム設置者、太陽エネルギーシステム保守業者向けに、7つのサイバーセキュリティガイドラインを提供している。これらのサイバーセキュリティ・ガイドラインは、住宅用または小規模事業用の太陽エネルギー・システムが安全かつ確実に設置、設定、運用されるようにするための行動を記述している。
Section 3 of this report provides ten cybersecurity capability recommendations for smartinverter manufacturers. These cybersecurity capabilities are derived from the Internet of Things cybersecurity capability core baselines presented in NIST Interagency Report (IR) 8259A and 8259B and enable implementation of the Sec. 2 guidelines.	本報告書のセクション3では、スマートインバータの製造事業者向けに10のサイバーセキュリティ能力を推奨する。これらのサイバーセキュリティ能力は、NIST Interagency Report（IR）8259Aおよび8259Bに示されたIoTサイバーセキュリティ能力コア・ベースラインから導き出されたものであり、セクション2ガイドラインの実施を可能にするものである。
A collection of appendices provides information that supports the development and use of these guidelines and recommendations.	附属書には、これらのガイドラインと推奨事項の作成と使用をサポートする情報が掲載されている。
Appendix A provides a bibliography of publications that were consulted in developing the guidelines and recommendations.	附属書 Aは、ガイドラインと勧告を作成する際に参照した出版物の書誌を提供する。
Appendix B provides a list of abbreviations and acronyms.	附属書 Bは、略語と頭字語のリストである。
Appendix C provides a sample Provisioning Checklist that system installers can tailor and use in verifying that they have completed the actions defined in the Sec. 2 guidelines.	附属書 C は、システム設置者がセクション2のガイドラインで定義された措置を完了したことを検証する際に、独自に作成し使用することができるプロビジョニング・チェックリストのサンプルを提供する。
Appendix D records the results of testing five installed smart inverters to determine their ability to implement the Sec. 2 guidelines.	附属書 Dは、設置された5台のスマートインバータをテストし、セクション2ガイドラインを実施する能力を判断した結果を記録している。
Appendix E maps the Sec. 2 guidelines to six general cybersecurity guidance sources.	附属書 E は、セクション2のガイドラインを 6 つの一般的なサイバーセキュリティガイダンスソースにマッピングしている。
Appendix F presents information about known smart-inverter cybersecurity vulnerabilities documented in the National Vulnerability Database (NVD).	附属書 Fは、国家脆弱性データベース（NVD）に記録された既知のスマートインバータのサイバーセキュリティ脆弱性に関する情報を示す。

 

 

 

---

 

図2.住宅用または軽商用ソーラー・エネルギー・システムにおけるスマート・インバータの役割

 

 

図10.スマートインバータの機能要素

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.19 米国 NIST IR 8498（初公開ドラフト） スマートインバータのサイバーセキュリティ： 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

 

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline