米国 NIST IR 8259 Rev.1（初期公開ドラフト）IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...（2025.05.13）: まるちゃんの情報セキュリティ気まぐれ日記

June 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

2025.05.16

米国 NIST IR 8259 Rev.1（初期公開ドラフト）IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...（2025.05.13）

こんにちは、丸山満彦です。

2020年に制定されたIoTサイバーセキュリティ改善法（Internet of Things Cybersecurity Improvement Act）により、NISTはIoTサイバーセキュリティガイドラインを5年ごとに見直すことが求められているので、その改訂ドラフトとなるNIST IR 8259「IoTデバイス製造者のための基礎的サイバーセキュリティ活動」を公開し、意見募集を開始していますね...

これを最初に意識しておくと、全体がよみやすいかもです...市場投入前の４つ、投入後の３つの活動...

Manufacturer Activities Impacting the loT Product Pre-Market Phase	loT製品の市場投入前段階に影響を与える製造事業者の活動
Activity 1: Identify Expected Customers and Define Expected Use Cases	活動1：想定される顧客を識別し、想定されるユースケースを定義する
Activity 2: Research Customer Cybersecurity Needs and Goals	活動2：顧客のサイバーセキュリティ・ニーズと目標を調査する
Activity 3: Determine How to Address Customer Needs and Goals	活動 3: 顧客のニーズと目標に対処する方法を決定する
Activity 4: Plan for Adequate Support of Customer Needs and Goals	活動 4: 顧客のニーズと目標を十分にサポートするための計画を立てる
Manufacturer Activities Impacting the loT Product Post-Market Phase	4. loT製品の市販後段階に影響を与える製造事業者の活動
Activity 5: Support Product Cybersecurity through End-of-Life	活動5：耐用年数を通じた製品のサイバーセキュリティのサポート
Activity 6: Define Approaches for Communicating to Customers	活動6：顧客へのコミュニケーション・アプローチの定義
Activity 7: Decide What to Communicate to Customers and How to Communicate It	活動7: 顧客に何をどのようにコミュニケーションするかを決める

で、2025.03.05に開催されたワークショップの開催についての概要報告書（NIST IR 8572 "IoTデバイス製造業者のための基礎的サイバーセキュリティ活動に関するワークショップ "ワークショップ概要報告書）も公表されていますね...

これを読むと、IoTセキュリティの対応についての課題が理解しやすいかもですね。。。

● NIST - ITL

・2025.05.13 NIST IR 8259 Rev. 1 (Initial Public Draft) Foundational Cybersecurity Activities for IoT Product Manufacturers

NIST IR 8259 Rev. 1 (Initial Public Draft) Foundational Cybersecurity Activities for IoT Product Manufacturers	NIST IR 8259 Rev.1（初公開ドラフト）IoT製品製造者のための基礎的サイバーセキュリティ活動
Announcement	発表
NIST is releasing the draft revision of NIST IR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, in keeping with the requirement in the Internet of Things (IoT) Cybersecurity Improvement Act in 2020 to revisit NIST’s IoT cybersecurity guidelines every five years. This document describes recommended activities related to cybersecurity for manufacturers, spanning pre-market and post-market, to help them develop products that meet their customers’ needs and expectations for cybersecurity. This revision marks a pivotal change to addressing the full IoT product scope as well as broadening consideration of maintenance, support and end of life considerations for IoT products. We look forward to hearing your thoughts and comments on this draft.	NISTは、2020年に制定されたIoTサイバーセキュリティ改善法（Internet of Things Cybersecurity Improvement Act）において、NISTのIoTサイバーセキュリティガイドラインを5年ごとに見直すことが求められていることを踏まえ、NIST IR 8259「IoTデバイス製造者のための基礎的サイバーセキュリティ活動」の改訂ドラフトを公開する。この文書では、製造事業者がサイバーセキュリティに対する顧客のニーズと期待に応える製品を開発できるよう、市販前と市販後にまたがるサイバーセキュリティに関する推奨活動について説明している。今回の改訂は、IoT製品の保守、サポート、耐用年数終了に関する検討の幅を広げるとともに、IoT製品の全範囲に対応するという極めて重要な変更を意味する。本ドラフトに対する皆様のご意見をお待ちしている。
See this NIST Cybersecurity Insights blog post for more information!	詳細については、NIST Cybersecurity Insightsのブログ記事を参照されたい！
Abstract	概要
Internet of Things (IoT) products often lack product cybersecurity capabilities their customers—organizations and individuals—can use to help mitigate their cybersecurity risks. Manufacturers can help their customers by improving the securability of their IoT products by providing necessary cybersecurity functionality and by providing customers with the cybersecurity-related information they need. This publication describes recommended activities related to cybersecurity that manufacturers should consider performing before their IoT products are sold to customers. These foundational cybersecurity activities can help manufacturers lessen the cybersecurity-related efforts needed by customers, which in turn can reduce the prevalence and severity of compromises.	モノのインターネット（IoT）製品には、顧客（組織や個人）がサイバーセキュリティ・リスクを緩和するために利用できる製品のサイバーセキュリティ機能が欠けていることが多い。製造事業者は、必要なサイバーセキュリティ機能をプロバイダとして提供し、顧客が必要とするサイバーセキュリティ関連情報を顧客に提供することで、IoT製品の安全性を向上させ、顧客を支援することができる。本書では、製造事業者が IoT 製品を顧客に販売する前に実施を検討すべき、サイバーセキュリティに関する推奨活動について説明する。これらの基本的なサイバーセキュリティ活動は、製造事業者が顧客が必要とするサイバーセキュリティ関連の取り組みを軽減し、ひいては侵害の蔓延と深刻度を低減するのに役立つ。

先、ブログの記事...

・2025.05.13 Five Years Later: Evolving IoT Cybersecurity Guidelines

Five Years Later: Evolving IoT Cybersecurity Guidelines	5年後進化するIoTサイバーセキュリティ・ガイドライン
The Background…and NIST’s Plan for Improving IoT Cybersecurity	背景...そしてIoTサイバーセキュリティ改善のためのNISTの計画
The passage of the Internet of Things (IoT) Cybersecurity Improvement Act in 2020 marked a pivotal step in enhancing the cybersecurity of IoT products. Recognizing the increasing internet connectivity of physical devices, this legislation tasked NIST with developing cybersecurity guidelines to manage and secure IoT effectively. As an early building block, we developed NIST IR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, which describes recommended activities related to cybersecurity for manufacturers, spanning pre-market and post-market, to help them develop products that meet their customers’ needs and expectations for cybersecurity.	2020年にモノのインターネット（IoT）サイバーセキュリティ改善法が成立したことは、IoT製品のサイバーセキュリティを強化する上で極めて重要な一歩となった。この法律は、物理デバイスのインターネット接続が増加していることを認識し、NISTにIoTを効果的に管理し保護するためのサイバーセキュリティガイドラインの策定を課した。初期のビルディングブロックとして、NISTはNIST IR 8259「Foundational Cybersecurity Activities for IoT Device Manufacturers（IoTデバイス製造事業者のための基礎的サイバーセキュリティ活動）」を策定した。これは、製造事業者がサイバーセキュリティに対する顧客のニーズと期待に応える製品を開発できるよう、市場投入前と市場投入後にわたるサイバーセキュリティに関する推奨活動を記述したものである。
Since then, NIST has built upon NIST IR 8259 and its related sector-neutral technical (NIST IR 8259A) and non-technical (NIST IR 8259B) baselines to help manufacturers and customers consider the cybersecurity of IoT products. The documents in the NIST IR 8259 series have been used to inform and develop subsequent publications that elaborate on IoT cybersecurity across sectors and use cases (e.g., federal agency use cases and the U.S. Cyber Trust Mark for consumer IoT). NIST IR 8259 serves as a foundational document providing the conceptual and contextual basis for all these publications .	それ以来、NISTは、製造事業者と顧客がIoT製品のサイバーセキュリティを検討するのを支援するために、NIST IR 8259と関連するセクターニュートラルの技術的ベースライン（NIST IR 8259A）および非技術的ベースライン（NIST IR 8259B）をベースにしてきた。NIST IR 8259シリーズの文書は、セクターやユースケース（連邦政府機関のユースケースや消費者向けIoTの米国サイバートラストマークなど）を横断してIoTサイバーセキュリティについて詳しく説明する後続の出版物の情報提供や開発に利用されてきた。NIST IR 8259 は、これらすべての出版物の概念的・文脈的基礎を提供する基礎文書としての役割を果たしている。
The IoT Cybersecurity Improvement Act called for NIST to revisit our IoT cybersecurity guidelines every five years. With that in mind, as well as the evolution of IoT product components and technologies, NIST will be beginning our five-year revision of NIST SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements and NIST SP 213A, IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog…with NIST IR 8259 being our first step.	IoTサイバーセキュリティ改善法は、NISTが5年ごとにIoTサイバーセキュリティガイドラインを見直すことを求めている。IoT製品のコンポーネントや技術の進化を念頭に、NISTはNIST SP 800-213「連邦政府向けIoTデバイスサイバーセキュリティガイダンス」の5年ごとの改訂を開始する予定である：連邦政府向けIoTデバイスサイバーセキュリティガイダンス：IoTデバイスサイバーセキュリティ要件の確立」と「NIST SP 213A（連邦政府向けIoTデバイスサイバーセキュリティガイダンス：IoTデバイスサイバーセキュリティ要件の確立）」の5年にわたる改訂を開始する： NIST IR 8259はその第一歩である。
Starting with our Workshops	ワークショップから始める
To kick off the revision process, we held two public workshops in the last six months to gather comments on the general state of IoT cybersecurity and discussing concepts that should be added or further emphasized in NIST IR 8259. We saw impressive participation across both workshops with a total of over 400 combined in-person and virtual participants.	改訂プロセスを開始するために、我々は過去6ヶ月間に2つの公開ワークショップを開催し、IoTサイバーセキュリティの一般的な状態に関するコメントを収集し、NIST IR 8259に追加またはさらに強調すべき概念について議論した。両ワークショップとも、直接の参加者とバーチャルな参加者を合わせると合計400人以上の参加者があり、目覚ましい参加者数を記録した。
Key themes NIST brought to the discussion for starting the conversation about what was needed in a NIST IR 8259 update was:	NISTは、NIST IR 8259の更新に何が必要かについて議論を開始するために、次のような主要テーマを議論に持ち込んだ：
・Expanded focus on IoT products;	・IoT製品への焦点の拡大；
・Considerations needed for Industrial IoT;	・産業用IoTに必要な考慮事項；
・The relationship between privacy considerations and IoT cybersecurity; and	・プライバシーの考慮とIoTサイバーセキュリティの関係。
・Cybersecurity considerations for maintenance, repair, and end-of-life for IoT products.	・IoT製品の保守、修理、耐用年数の終了に関するサイバーセキュリティの考慮事項。
Feedback from the workshop collectively highlighted key challenges and opportunities with three central needs emerging:	ワークショップからのフィードバックは、3つの中心的なニーズとともに、重要な課題と機会を浮き彫りにした：
1. Lifecycle-Centric Security: Addressing cybersecurity throughout the IoT product lifecycle with transparency, traceability, and the consideration of evolving demands.	1. ライフサイクル中心のセキュリティ：ライフサイクル中心のセキュリティ：透明性、トレーサビリティ、進化する要求を考慮しながら、IoT製品のライフサイクル全体を通してサイバーセキュリティに対処する。
2. Risk Visibility and Evaluation: Tackling challenges from limited visibility, unforeseen use cases, and unexpected environments, with an emphasis on assessing the scale of impacts.	2. リスクの可視化と評価：限られた可視性、予期せぬユースケース、予期せぬ環境から生じる課題に取り組み、影響の規模を評価することに重点を置く。
3. Effective Communication: Bridging gaps between manufacturers and customers during pre-market and post-market phases to improve alignment and sustain cybersecurity.	3. 効果的なコミュニケーション：市場投入前および市場投入後の段階における製造事業者と顧客との間のギャップを埋め、連携を改善し、サイバーセキュリティを維持する。
What Changes Can I Expect and What is Coming Next?	どのような変化を期待し、次に何が起こるのか？
NIST heard many notable points and ideas from participants across both workshops (details can be found in the summary reports from workshop 1 and workshop 2), along with additional industry roundtables and other events. The invaluable feedback we’ve gotten has helped streamline updates to NIST IR 8259 in the form of comprehensive changes that expand the focus on IoT products, highlighting product cybersecurity capabilities as central to IoT cybersecurity.	NISTは、両ワークショップ（詳細はワークショップ1およびワークショップ2のサマリーレポートに記載）に加え、追加の業界円卓会議やその他のイベントを通じて、参加者から多くの注目すべき点やアイデアを聞いた。我々が得た貴重なフィードバックは、IoTサイバーセキュリティの中心である製品のサイバーセキュリティ能力を強調し、IoT製品への焦点を拡大する包括的な変更という形で、NIST IR 8259の更新を合理化するのに役立った。
So far, updates have been made to the NIST IR 8259 background section to connect cybersecurity goals with risks, offering deeper insights into system-level cybersecurity. Other specific changes include adding a seventh foundational activity and expanding the existing six key activities with new questions to help manufacturers anticipate product deployment and usage, clarify data management across IoT components, share enhanced language on lifecycle and support expectations, outline refined discussions on cybersecurity communications, and share updates to technical and non-technical capabilities.	これまでのところ、NIST IR 8259の背景セクションの更新が行われ、サイバーセキュリティの目標とリスクとが結び付けられ、システムレベルのサイバーセキュリティについてより深い洞察が提供されている。その他の具体的な変更点としては、製造事業者が製品の展開と利用を予測し、IoTコンポーネント全体のデータ管理を明確にし、ライフサイクルとサポートへの期待に関する強化された文言を共有し、サイバーセキュリティコミュニケーションに関する洗練された議論を概説し、技術的および非技術的能力に関する最新情報を共有するために、7つ目の基礎的活動を追加し、既存の6つの主要な活動を新たな質問で拡張することが挙げられる。
We look forward to continuing the conversation and discussing our initial public draft at our June 18, 2025 virtual discussion forum and receiving your feedback during our public comment period for NIST IR 8259 which closes on July 11, 2025. We are also planning to engage in further conversations with the community and provide further updates as we work to finalize NIST IR 8259 Rev 1 by the end of the year. NIST remains committed to advancing IoT cybersecurity and fostering a secure ecosystem for connected product technologies across industries.	我々は、2025年6月18日に開催されるバーチャル・ディスカッション・フォーラムにおいて、対話を継続し、我々の最初の公開ドラフトについて議論し、2025年7月11日に締め切られるNIST IR 8259のパブリックコメント期間中に皆様のご意見を頂戴することを楽しみにしている。また、年内のNIST IR 8259 Rev 1の最終化に向けて、コミュニティとのさらなる対話を行い、さらなる最新情報を提供する予定である。NISTは引き続き、IoTサイバーセキュリティを推進し、業界を超えたコネクテッド製品技術の安全なエコシステムを育成することに尽力する。

改定案...

・・[PDF] NIST.IR.8259r1.ipd

エグゼクティブサマリー...

Executive Summary	エグゼクティブ・サマリー
Manufacturers are creating an incredible variety and volume of internet-ready products and systems broadly known as the Internet of Things (IoT). Many of these IoT products and systems do not fit the standard definitions of information technology (IT) (e.g., smartphones, servers, laptops) that have been used as the basis for defining product cybersecurity capabilities.	製造事業者は、モノのインターネット（IoT）として広く知られるインターネット対応の製品やシステムを驚くほど多様かつ大量に生み出している。これらのIoT製品やシステムの多くは、製品サイバーセキュリティ能力の定義の基礎として用いられてきた情報技術（IT）の標準的な定義（スマートフォン、サーバー、ラップトップなど）に当てはまらない。
The purpose of this publication is to give manufacturers recommendations for improving the securability of their IoT products. Securability means the IoT products offer product cybersecurity capabilities—cybersecurity features or functions that the IoT devices and other product components provide through their own technical means (i.e., hardware and software) or related non-technical services from the manufacturer (i.e., vulnerability disclosure programs). An IoT product that is resilient to attacks, supports forensic analysis following an incident, recovers quickly after an incident, keeps customer data confidential and free of tampering, develops a reputation of being trustworthy, etc. is one that customers can adopt and trust. Thus, investing in producing a secure IoT product contributes to the success of the IoT product in the market, increasing innovation, protecting the nation, and supporting individuals in their daily lives. Cybersecurity of an IoT product must begin in the product planning phase when the decision-makers are able to allocate resources towards modeling and prioritizing threats, then designing and implementing effective product cybersecurity capabilities that help address these threats. Additionally, allocating resources for post-market support of the product when it’s deployed in the field goes a long way to establishing a relationship of trust with the customer. Constantly evaluating the ever-changing threat landscape, investigating security incidents that happen in the field, and maintaining the IoT product’s ability to remain securable in the field all help the customer manage their cybersecurity risks while also enhancing the reputation of the IoT product and its manufacturer.	本書の目的は、IoT製品の安全性を改善するための推奨事項を製造事業者に示すことである。脆弱性とは、IoT 製品が製品のサイバーセキュリティ機能、すなわち、IoT デバイスやその他の製品コンポーネントが、独自の技術的手段（ハードウェアやソフトウェアなど）、または製造事業者の関連する非技術的サービス（脆弱性開示プログラムなど）を通じて提供するサイバーセキュリティ機能や特徴を備えていることを意味する。攻撃に対するレジリエンス、インシデント発生後のフォレンジック分析への対応、インシデント発生後の迅速な復旧、顧客データの機密保持と改ざんの防止、信頼できるという評判の醸成などを実現するIoT製品は、顧客が採用し、信頼できるものである。このように、安全なIoT製品の製造に投資することは、市場におけるIoT製品の成功、イノベーションの拡大、国家の保護、個人の日常生活の支援に貢献する。IoT製品のサイバーセキュリティは、意思決定者が脅威のモデル化と優先順位付けにリソースを割り当てることができる製品計画段階から開始する必要があり、その後、これらの脅威に対処するのに役立つ効果的な製品のサイバーセキュリティ機能を設計し、実装する。さらに、製品が市場に展開された後のサポートにリソースを割り当てることは、顧客との信頼関係を確立する上で大きな意味を持つ。絶えず変化する脅威の状況を常に評価し、現場で発生したセキュリティ・インシデントを調査し、IoT 製品が現場で安全性を維持できる能力を維持することはすべて、顧客がサイバーセキュリティ・リスクをマネジメントするのに役立つと同時に、IoT 製品とその製造事業者の評判を高めることにもなる。
This publication describes seven recommended foundational cybersecurity activities that manufacturers should consider to improve the securability of their IoT products. Four of the activities primarily impact decisions and actions performed by the manufacturer before a product is sent out for sale (pre-market), and the remaining three activities primarily impact decisions and actions performed by the manufacturer after product sale (post-market). Performing all seven activities can help manufacturers provide IoT products that better support the cybersecurity-related efforts needed by customers, which can reduce the prevalence and severity of IoT product compromises. These activities are intended to fit within a manufacturer’s existing development process and may already be achieved in whole or part by that existing process.	本書では、製造事業者が IoT 製品の安全性を改善するために検討すべき、推奨される 7 つの基本的なサイバーセキュリティ活動について説明する。このうち4つの活動は、主に製品が販売される前（プリマーケット）に製造事業者が行う意思決定と行動に影響を与え、残りの3つの活動は、主に製品が販売された後（ポストマーケット）に製造事業者が行う意思決定と行動に影響を与える。7 つの活動すべてを実施することで、製造事業者は、顧客が必要とするサイバーセキュリティ関連の取り組みをよりよくサポートする IoT 製品を提供することができ、IoT 製品の侵害の蔓延と深刻度を低減することができる。これらの活動は、製造事業者の既存の開発プロセスに適合するように意図されており、その既存のプロセスによって、全体的または部分的に既に達成されている可能性がある。
Note that this publication is primarily intended to inform the manufacturing of new products or products that are being redesigned. However, much of the information in this publication can be used when upgrading products already in production.	本書は、主に新製品または再設計中の製品の製造に情報を提供することを意図していることに留意されたい。しかし、本書の情報の多くは、すでに生産されている製品を改良する際にも利用できる。

目次と図表...

1. Introduction	1. 序論
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Publication Structure	1.2. 出版構成
2. Background	2. 背景
2.1. Product Cybersecurity and System Cybersecurity	2.1. 製品のサイバーセキュリティとシステムのサイバーセキュリティ
2.2. Composition of loT Products	2.2. loT製品の構成
2.3. Entities in an loT Product Ecosystem	2.3. loT製品エコシステムにおける事業体
2.4. The Role of the Manufacturer in Cybersecurity	2.4. サイバーセキュリティにおける製造事業者の役割
2.5. loT Product Customer Cybersecurity Needs and Goals	2.5.loT製品の顧客のサイバーセキュリティのニーズと目標
3. Manufacturer Activities Impacting the loT Product Pre-Market Phase	3. loT製品の市場投入前段階に影響を与える製造事業者の活動
3.1. Activity 1: Identify Expected Customers and Define Expected Use Cases	3.1. 活動1：想定される顧客を識別し、想定されるユースケースを定義する
3.2. Activity 2: Research Customer Cybersecurity Needs and Goals	3.2. 活動2：顧客のサイバーセキュリティ・ニーズと目標を調査する
3.3. Activity 3: Determine How to Address Customer Needs and Goals	3.3. 活動 3: 顧客のニーズと目標に対処する方法を決定する
3.4. Activity 4: Plan for Adequate Support of Customer Needs and Goals	3.4. 活動 4: 顧客のニーズと目標を十分にサポートするための計画を立てる
4. Manufacturer Activities Impacting the loT Product Post-Market Phase	4. loT製品の市販後段階に影響を与える製造事業者の活動
4.1. Activity 5: Support Product Cybersecurity through End-of-Life	4.1. 活動5：耐用年数を通じた製品のサイバーセキュリティのサポート
4.2. Activity 6: Define Approaches for Communicating to Customers	4.2. 活動6：顧客へのコミュニケーション・アプローチの定義
4.3. Activity 7: Decide What to Communicate to Customers and How to Communicate It	4.3. 活動7: 顧客に何をどのようにコミュニケーションするかを決める
4.3.1. Cybersecurity Risk-Related Assumptions	4.3.1. サイバーセキュリティリスク関連の前提条件
4.3.2. Support and Lifespan Expectations	4.3.2. サポートと寿命への期待
4.3.3. Product Composition and Capabilities	4.3.3. 製品の構成と能力
4.3.4. Software Updates	4.3.4. ソフトウェアの更新
4.3.5. Product Retirement Options	4.3.5. 製品の廃止オプション
4.3.6. Technical and Non-Technical Cybersecurity Capabilities	4.3.6. 技術的および非技術的サイバーセキュリティ能力
5. Conclusion	5. 結論
References	参考文献
Appendix A. List of Abbreviations and Acronyms	附属書A. 略語と頭字語のリスト
Appendix B. Glossary	附属書B. 用語集
Appendix C. Change Log	附属書C. 変更履歴
List of Figures	図のリスト
Fig. 1. Relationship of organizational information system elements to an organization's cybersecurity.	図 1. 組織のサイバーセキュリティと組織の情報システム要素の関係
Fig. 2. Example of a network showing multiple loT products based around different loT devices which are supported by various kinds of loT product components	図 2. 様々な種類のloT製品コンポーネントによってサポートされる、異なるloTデバイスを中心とした複数のloT製品を示すネットワークの例。
Fig. 3. Activities Discussed in this Publication Grouped by Phase Impacted	図3. 本書で取り上げる活動を、影響を受けるフェーズごとにグループ化したもの
Fig. 4. Cybersecurity Connections Between loT Product Manufacturers and Customers	図4. loT製品製造事業者と顧客のサイバーセキュリティ上のつながり
Fig. 5. Customer Cybersecurity Needs and Goals Reflected in and Informed by Many Applicable Regulations and Other Documents.	図5. 顧客のサイバーセキュリティに関するニーズと目標は、多くの適用可能な規制やその他の文書に反映され、それらに示唆されている。
Fig. 6. Technical and non-technical means that can support cybersecurity of loT products provided as product cybersecurity capabilities...	図 6. 製品のサイバーセキュリティ機能として提供されるloT製品のサイバーセキュリティをサポートできる技術的および非技術的手段...

序論...

1. Introduction	1. 序論
Manufacturers are creating an incredible variety and volume of internet-ready products and systems broadly known as the Internet of Things (IoT). Many of these IoT products and systems do not fit the standard definitions of information technology (IT) (e.g., smartphones, servers, laptops) that have been used as the basis for defining product cybersecurity capabilities. IoT products are frequently expected to be in service for decades, may have strict cost limits, could utilize an unorthodox operating environment (e.g., extreme temperatures, high humidity, significant latency) that may affect their cybersecurity posture and expectations.	製造事業者は、IoTとして広く知られるインターネット対応の製品やシステムを、驚くほど多様かつ大量に生み出している。これらの IoT 製品やシステムの多くは、製品のサイバーセキュリティ能力を定義するための基準として使用されてきた情報技術（IT）の標準的な定義（スマートフォン、サーバ、ラップトップなど）に当てはまらない。IoT 製品は、数十年にわたり使用されることが多く、厳しいコスト制限を受ける可能性があり、サイバーセキュリティの態勢や期待に影響を及ぼす可能性のある異例の動作環境（極端な温度、高湿度、大幅な遅延など）を利用する可能性がある。
As IoT adoption has increased over the last two decades, threats and vulnerabilities have also grown. For example, large, resilient botnets made up of compromised IoT devices, such as the Mirai botnet resulted in response from the United States Government in the form of Executive Order (EO) 13800. [1] Since that time, there’s been increasing acknowledgement of the importance of cybersecurity of IoT products and efforts to support and promote it. [2] Even today, trust in IoT, which is supported by cybersecurity is seen as a key factor to sustaining and amplifying the adoption and innovation of IoT products. [3] Manufacturers should consider the cybersecurity of their IoT products to ensure customers can trust the products and their operation. Doing so can not only protect customers as they deploy and use IoT products, but manufacturers themselves by increasing trust in their products, supporting their reputation among customers, and reducing the likelihood of attacks on manufacturers’ internal systems. Finally, considering cybersecurity in the development and support of IoT products protects the Nation, internet, and public at large by reducing the likelihood of attacks utilizing IoT products (e.g., botnets).	この20年間でIoTの導入が進むにつれ、脅威や脆弱性も増大している。例えば、Miraiボットネットのような侵害されたIoTデバイスで構成される大規模でレジリエンスの高いボットネットは、大統領令（EO）13800という形で米国政府の対応を招いた。[1]以来、IoT製品のサイバーセキュリティの重要性が認識されるようになり、それを支援・促進する取り組みが行われている。[2] 現在でも、サイバーセキュリティに支えられたIoTへの信頼は、IoT製品の採用とイノベーションを維持・拡大するための重要な要素であると考えられている。[製造事業者は、顧客が製品とその動作を信頼できるように、IoT製品のサイバーセキュリティを考慮すべきである。そうすることで、顧客が IoT 製品を展開し使用する際に顧客を保護できるだけでなく、製造事業者自身も、製品に対する信頼を高め、顧客からの評判を支え、製造事業者の内部システムに対する攻撃の可能性を減らすことができる。最後に、IoT 製品の開発とサポートにおいてサイバーセキュリティを考慮することは、IoT 製品を利用した攻撃（ボットネットなど）の可能性を低減することで、国家、インターネット、および公衆全体を保護することになる。
1.1. Purpose and Scope	1.1. 目的と範囲
IoT products are digital equipment or systems that sense or actuate on the physical world while being connected or connectable to the Internet. IoT products in scope for this publication may be comprised of a single IoT device and nothing else or they may be comprised of the IoT device and additional IoT product components (e.g., backends, companion applications, and specialty networking/gateway hardware). An IoT device has at least one transducer (sensor or actuator) for interacting directly with the physical world and at least one network interface (e.g., Ethernet, Wi-Fi, Bluetooth, Long-Term Evolution (LTE), Zigbee, Ultra-Wideband (UWB)) for interfacing with the digital world. In this document, “components” refers to the components of an IoT product. Sub-components of an IoT device (e.g., a processor or memory) are outside the scope of this publication.	IoT 製品とは、インターネットに接続または接続可能でありながら、物理世界を感知または作動するデジタル機器またはシステムである。本書の適用範囲に含まれる IoT 製品は、単一の IoT デバイスとそれ以外のものから構成される場合もあれば、IoT デバイスと追加の IoT 製品コンポーネント（バックエンド、コンパニオンアプリケーション、特殊なネットワーキング／ゲートウェイハードウェアなど）から構成される場合もある。IoTデバイスは、物理世界と直接相互作用するための少なくとも1つのトランスデューサ（センサまたはアクチュエータ）と、デジタル世界と相互作用するための少なくとも1つのネットワークインターフェース（例えば、イーサネット、Wi-Fi、Bluetooth、LTE（Long-Term Evolution）、Zigbee、UWB（Ultra-Wideband））を有する。本書において「コンポーネント」とは、IoT 製品の構成要素を指す。IoT デバイスのサブコンポーネント（プロセッサやメモリなど）は、本書の対象外である。
The purpose of this publication is to provide manufacturers recommendations for developing securable IoT products. Securable means that the IoT products operate in a way and offers functionality such that a customer (or other users) can effectively manage the cybersecurity of the IoT product and the system to which it’s connected. This publication provides guidelines for securable IoT products rather than secure IoT products because:	本書の目的は、セキュアな IoT 製品を開発するための推奨事項を製造事業者に提供することである。セキュアな IoT 製品とは、顧客（または他のユーザ）が IoT 製品およびそれが接続されるシステムのサイバーセキュリティを効果的に管理できるような方法で動作し、機能を提供する IoT 製品を意味する。本書は、セキュアな IoT 製品ではなく、セキュアな IoT 製品に関するガイドラインを提供する：
1. When considering that IoT products will be attached to networks and primarily managed by customers when deployed, IoT product manufacturers cannot create something that is secure in an absolute sense, but rather securable by customers in deployment.	1. IoT 製品はネットワークに接続され、展開時には主に顧客によって管理されることを考慮すると、IoT 製品の製造事業者は、絶対的な意味でセキュアなものを作ることはできない。
2. Secure operation of IoT products is only part of the scope of this document, and this document also addresses how IoT products should support the cybersecurity of customers and the systems they attach to.	2. IoT 製品のセキュアな運用は、本文書の範囲の一部に過ぎず、本文書では、IoT 製品が、顧客や、IoT 製品に接続されるシステムのサイバーセキュリティをどのようにサポートすべきかについても取り上げる。
IoT products will offer product cybersecurity capabilities—cybersecurity features or functions that products provide through their own technical means (i.e., device hardware and software)—that customers, including both organizations and individuals, need to secure the IoT products when used in their systems and environments. While all customers may need to take some actions to secure their IoT products (e.g., changing a default password), product cybersecurity capabilities will need to be tailored to the expected knowledge of the customer. All IoT product components will contribute to the securability of IoT products, and so product cybersecurity capabilities will include aspects of how IoT products function that ensure secure operation of the IoT product, but may not be used directly by customers. For example, confidentiality measures such as encryption should be part of the IoT product’s implementation to protect data-at-rest and data-in-transit, even for data that is stored on and shared between IoT product components.	IoT 製品は、製品のサイバーセキュリティ機能、すなわち、製品が独自の技術的手段（すなわち、デバイスのハードウェアとソフトウェア）を通じて提供するサイバーセキュリティ機能や機能を提供するが、組織と個人の両方を含む顧客は、そのシステムや環境で IoT 製品を使用する際に、IoT 製品のセキュリティを確保する必要がある。すべての顧客は、IoT 製品をセキュアにするために何らかの行動をとる必要があるかもしれないが（例えば、デフォルトパスワードの変更）、製品のサイバーセキュリティ能力は、顧客の期待される知識に合わせて調整する必要がある。すべての IoT 製品コンポーネントは、IoT 製品の安全性に貢献するため、製品サイバーセキュリティ能力には、IoT 製品の安全な運用を確保する IoT 製品の機能の側面が含まれるが、顧客が直接使用することはない。例えば、IoT 製品のコンポーネントに保存され、IoT 製品のコンポーネント間で共有されるデータであっても、静止データと転送中のデータを保護するために、暗号化などの機密性対策が IoT 製品の実装の一部であるべきである。
Finally, IoT product manufacturers or other supporting entities will often need to perform actions or provide services that their customers need to maintain the cybersecurity of the product. From this publication, IoT product manufacturers will learn how they can help IoT product customers with cybersecurity risk management by carefully considering which product cybersecurity capabilities to design into their products and which actions or services may also be needed to support the IoT product’s securability.	最後に、IoT 製品の製造事業者やその他の支援事業者は、製品のサイバーセキュリティを維持するために、顧客が必要とするアクションを実行したり、サービスを提供したりする必要がある場合が多い。本書から、IoT 製品の製造事業者は、製品にどのようなサイバーセキュリティ機能を設計するか、また、IoT 製品の安全性をサポートするためにどのようなアクションやサービスが必要になるかを慎重に検討することで、IoT 製品の顧客のサイバーセキュリティリスクマネジメントをどのように支援できるかを学ぶことができる。
Therefore, a securable IoT product has product cybersecurity capabilities (i.e., hardware and software) and other support provided by the manufacturer or other supporting entity that customers may need to mitigate common and expected cybersecurity risks related to the use of the IoT product and its connection to customers’ systems.	したがって、安全性の高い IoT 製品には、製品のサイバーセキュリティ機能（すなわち、ハードウェアとソフトウェア）と、IoT 製品の使用と顧客のシステムとの接続に関連する一般的で予想されるサイバーセキュリティリスクを緩和するために顧客が必要とする可能性のある製造事業者またはその他のサポート事業者が提供するその他のサポートがある。
This publication is intended to address a wide range of IoT use cases. IoT products will be used in systems and environments with many other products and system components, some of which may be IoT, while others may be conventional IT equipment. For some use cases (e.g., healthcare), the guidelines in this document can be complimented with applicable standards, regulations, and guidance.	本書は、幅広い IoT ユースケースに対応することを意図している。IoT 製品は、他の多くの製品やシステムコンポーネントと一緒にシステムや環境で使用されることになるが、その中には IoT 製品もあれば、従来の IT 機器もある。一部のユースケース（例：ヘルスケア）については、本書のガイドラインを、適用される標準、規制、およびガイダンスで補完することができる。
This publication is primarily intended to inform the manufacturing of new devices and products or products that are being redesigned. However much of the information in this publication can be used when upgrading products already in production. By implementing the activities discussed in this document, manufacturers can increase the trustworthiness of the IoT products they produce, including products’ longevity, thus improving the manufacturer’s reputation and contributing to the success of the deployment.	本書は主に、新しい機器や製品、または再設計中の製品の製造に情報を提供することを意図している。しかし、本書に記載されている情報の多くは、すでに製造されている製品を改良する際にも利用できる。製造事業者は、本書で取り上げた活動を実施することで、製品の長寿命化を含め、製造する IoT 製品の信頼性を高めることができ、その結果、製造事業者の評判を向上させ、展開の成功に貢献することができる。
Readers do not need a technical understanding of IoT product composition and capabilities, but a basic understanding of cybersecurity principles is assumed.	読者は、IoT 製品の構成と機能に関する技術的な理解は必要ないが、サイバーセキュリティの原則に関する基本的な理解があることを前提とする。
1.2. Publication Structure	1.2. 本書の構成
The remainder of this publication is organized into the following sections and appendices:	本書の残りの部分は、以下のセクションと附属書で構成されている：
・Section 2 provides background information needed to understand the seven recommended pre-market and post-market activities described in Sections 3 and 4.	セクション2 では、セクション3 及びセクション4 で説明する推奨される 7 つの市販前・市販後活動を理解するために必要な背景情報を提供する。
・Section 3 includes recommended manufacturer activities that primarily impact securability efforts by the manufacturer before sale (i.e., premarket). The Section 3 activities are:	セクション3は、主に販売前（すなわち、市販前）の製造事業者の安全性確保努力に影響を与える推奨される製造事業者の活動を含む。セクション3の活動は以下のとおりである：
・・Activity 1: Identify expected customers and users and define expected use cases.	活動1：想定される顧客とユーザーを特定し、想定されるユースケースを定義する。
・・Activity 2: Research customer cybersecurity needs and goals. o Activity 3: Determine how to address customer cybersecurity needs and goals.	活動2：顧客のサイバーセキュリティニーズと目標を調査する。 o 活動3：顧客のサイバーセキュリティニーズと目標に対応する方法を決定する。
・・Activity 4: Plan for adequate support of customer needs and goals.	活動4：顧客のニーズや目標を適切にサポートするための計画を策定する。
・Section 4 includes recommended manufacturer activities that primarily impact securability efforts by the manufacturer after sale (i.e., post-market). The Section 4 activities are:	セクション 4 には、主に販売後（すなわち、市販後）の製造事業者による安全性確保への取り組みに影響を与える、推奨される製造事業者の活動が含まれている。セクション4の活動は以下のとおりである：
・・Activity 5: Support product cybersecurity through end-of-life.	活動5：製造終了時まで製品のサイバーセキュリティをサポートする。
・・Activity 6: Define and plan approaches for communicating with customers.	活動6：顧客とのコミュニケーション方法を定義し、計画する。
・・Activity 7: Decide what information needs to be communicated to customers and which defined approaches are most appropriate for the information.	活動7：どのような情報を顧客に伝える必要があり、どのようなアプローチが最も適切かを決定する。
・Section 5 provides a conclusion for the publication.	セクション5では、本書の結論を述べている。
・The References section lists the references for the publication.	参考文献のセクションには、本書の参考文献を掲載している。
・Appendix A provides a list of acronyms and abbreviations used in the publication.	附属書Aは、本書で使用されている頭字語や略語のリストである。
・Appendix B contains a glossary of selected terms used in the publication.	附属書Bは、本書で使用されている用語集である。
・Appendix C presents changes that were made to the original NIST IR 8259 report in writing this Initial Public Draft.	附属書Cは、本初期公開草案を作成するにあたり、NIST IR 8259報告書の原文に加えられた変更点を示している。

間を飛ばして、結論(^^)

5. Conclusion

5. 結論

This publication discusses seven cybersecurity-related activities for IoT product manufacturers and gives examples of questions manufacturers can answer for each activity. Manufacturers who choose to perform one or more of these foundational cybersecurity activities should determine the applicability of the example questions and identify any other questions that may help to understand customers’ cybersecurity needs and goals, including the product cybersecurity capabilities the customers expect. The questions highlighted for each activity are meant as a starting point and do not entirely define each activity. Also, the process described in this publication is not meant to imply that the role of manufacturers is limited to providing capabilities that require action by customers, but rather should drive manufacturers to better understand their customers’ needs and goals in the context of the IoT product, which may require automated capabilities, and/or additional supporting non-technical actions. For some customers and use cases, where it is possible and appropriate, limited customer responsibility for cybersecurity may lead to better cybersecurity outcomes for the ecosystems than if the burden was left fully on customers.

本書では、IoT 製品製造者のための 7 つのサイバーセキュリティ関連活動について説明し、各活動について製造者が回答できる質問の例を示した。これらの基礎的なサイバーセキュリティ活動を 1 つ以上実施することを選択した製造事業者は、質問例の適用可能性を判断し、顧客が期待する製品のサイバーセキュリティ能力など、顧客のサイバーセキュリティニーズと目標を理解するのに役立ちそうな他の質問を特定する必要がある。各活動で強調されている質問は、出発点としてのものであり、各活動を完全に定義するものではない。また、本書で説明するプロセスは、製造事業者の役割が、顧客の行動を必要とする機能のプロバイダに限定されることを意味するものではなく、むしろ、自動化された機能、および／または、技術的でない追加的な支援を必要とする可能性のある、IoT 製品のコンテキストにおける顧客のニーズと目標をよりよく理解するよう、製造事業者を後押しするものである。一部の顧客とユースケースについては、サイバーセキュリティに対する顧客の責任を限定することが可能かつ適切である場合、その負担を完全に顧客に委ねるよりも、エコシステムにとってより良いサイバーセキュリティの成果につながる可能性がある。

変更履歴...

Appendix C. Change Log	附属書C. 変更履歴
NIST IR 8259 was originally published as final in May 2020. To ensure the guidelines are timely, useful, and effective, NIST has spent the time from December 2024 until May 2025 to revisit NIST IR 8259, determine potential areas of revision, engage with the IoT cybersecurity community, and prepare this revised Initial Public Draft of the document. The following areas have been revised from the original NIST IR 8259 to this Initial Public Draft NIST IR 8259 Revision 1 throughout the document:	NIST IR 8259は当初2020年5月に最終版として発行された。本ガイドラインをタイムリーで有用かつ効果的なものとするため、NISTは2024年12月から2025年5月までの期間を費やして、NIST IR 8259を再検討し、改訂の可能性がある分野を決定し、IoTサイバーセキュリティコミュニティに関与し、本改訂初公開ドラフトを作成した。本初期公開草案 NIST IR 8259 Revision 1 では、文書全体を通して、以下の部分がオリジナルの NIST IR 8259 から改訂されている：
• Discussion of IoT Devices has been expanded to IoT Products. This includes in the title. o The definition of IoT Device is the same as it was in the original NIST IR 8259.	・IoT デバイスの議論は、IoT 製品に拡大された。IoT デバイスの定義は、オリジナルの NIST IR 8259 と同じである。
• As such, the concepts of IoT Products and IoT Product Components have been added to the document to compliment the concept of IoT Devices.	・そのため、IoT デバイスの概念を補完するために、IoT 製品と IoT 製品コンポーネントの概念が文書に追加された。
o Backends, companion applications, and specialty networking hardware have been added as examples of IoT Product Components other than IoT Devices.	・・ IoT デバイス以外の IoT 製品コンポーネントの例として、バックエンド、コンパニオンアプリケーション、および特殊ネットワーキングハードウェアが追加された。
o Definitions for these “new” concepts were derived from NIST’s prior work, NIST IR 8425 and NIST’s efforts in response to EO 14028 that led to the publication of NIST IR 8425.	・・これらの「新しい」概念の定義は、NIST の先行研究である NIST IR 8425、および NIST IR 8425 の公表につながった EO 14028 に対応する NIST の取り組みに由来している。
• The concept of product cybersecurity capabilities has been added, which is analogous and related to the concept of device cybersecurity capabilities from the original document but includes other IoT Product Components other than strictly IoT Devices in their scope/boundary.	・製品サイバーセキュリティ能力（product cybersecurity capabilities）の概念が追加された。これは、元の文書にあったデバイスサイバーセキュリティ能力（device cybersecurity capabilities）の概念に類似し、関連しているが、その範囲／境界には、厳密には IoT デバイス以外の他の IoT 製品コンポーネントも含まれる。
o Device cybersecurity capabilities are still included in the revision as part of product cybersecurity capabilities that are implemented by IoT devices themselves. The definition of device cybersecurity capabilities is the same as it was in the original NIST IR 8259.	・・デバイスサイバーセキュリティ能力は、IoT デバイス自体によって実装される製品サイバーセキュリティ能力の一部として、改訂版にもまだ含まれている。デバイスのサイバーセキュリティ能力の定義は、元の NIST IR 8259 と同じである。
• Edits were made to clarify the role risk and risk assessment can play in creating securable IoT products.	・編集は、安全な IoT 製品を作成する上でリスクとリスクアセスメントが果たす役割を明確にするために行われた。
o Introduced the term initial assessment of risk in Section 3 to differentiate the process and output related to risk of a product that a manufacturer could create compared to a full risk assessment that would be performed by customer organizations.	・・顧客組織が実施する完全なリスクアセスメントと比較して、製造事業者が作成できる製品のリスクに関するプロセスとアウトプットを区別するために、セクション3にリスクの初期アセスメントという用語を導入した。
• Edits were made to highlight end-of-life considerations and other aspects of an IoT product’s post-market life. The new post-market activity was added to partly address this in Section 4.	・・IoT製品の市販後の使用に関する考慮事項等を強調するために、編集が加えられた。セクション4では、これに部分的に対応するために、新たな市販後活動が追加された。
Some Sections received significantly more new content:	いくつかのセクションでは、大幅に新しい内容が追加された：
• Section 2: New sub-sections were added to provide further clarification on the topics of:	・セクション2：新しいサブセクションが追加され、以下のトピックをさらに明確にした：
o Product cybersecurity and its relationship to cybersecurity of deployed systems.	・・製品のサイバーセキュリティと展開システムのサイバーセキュリティとの関係
o Explanation of IoT Products and their composition of IoT Product Components.	・・IoT 製品とその構成要素である IoT 製品コンポーネントの説明
o Identification of roles beyond customer and manufacturer that could be in an IoT product’s “ecosystem.”	・・IoT 製品の「エコシステム」における顧客と製造事業者以外の役割の特定
• Section 4: Added a Foundational Activity to the Post-Market group of activities: Activity 5: Support Product Cybersecurity through End-of-Life.	・セクション4：「市場投入後の活動」グループに「基盤的活動」を追加した：活動5：使用終了まで製品のサイバーセキュリティをサポートする。
o This new activity highlights efforts manufacturers should consider that may be needed when IoT products are post market. These activities are predominantly communication related.	・・この新しい活動は、IoT製品が市販後に必要となる可能性のある製造事業者が検討すべき取り組みに焦点を当てている。これらの活動は、主にコミュニケーションに関するものである。
Beyond these technical revisions, edits have been made throughout the document to clarify language and concepts, including additional figures, removing or revising confusing phrasing, and updating some examples given to demonstrate concepts. References were also updated to reflect current versions of documents and documents published since May 2020.	これらの技術的な改訂以外にも、文言や概念を明確にするために、図表の追加、紛らわしい表現の削除や修正、概念を示すために示されたいくつかの例の更新など、文書全体にわたって編集が行われた。また、2020年5月以降に発表された文書の最新版や文献を反映させるため、参考文献も更新した。

ワークショップの概要報告書...

・2025.05.13 NIST IR 8572 Workshop Summary Report for “Workshop on Foundational Cybersecurity Activities for IoT Device Manufacturers”

NIST IR 8572 Workshop Summary Report for “Workshop on Foundational Cybersecurity Activities for IoT Device Manufacturers”	NIST IR 8572 「IoTデバイス製造者のための基礎的サイバーセキュリティ活動に関するワークショップ」ワークショップ概要報告書
Abstract	概要
This report summarizes discussions held at the March 5, 2025 "Workshop on Foundational Cybersecurity Activities for IoT Device Manufacturers” organized by the NIST Cybersecurity for the Internet of Things (IoT) program. This workshop follows an earlier event held in December 2024 titled “Workshop on Updating Manufacturer Guidance for Securable Connected Product Development” to identify major update areas to NIST IR 8259. Similarly, the purpose of this more recent workshop was to discuss planned updates to NIST IR 8259 and gather additional feedback on taking a product viewpoint with greater emphasis on the IoT product lifecycle, expanded discussion of risk analysis, application to industrial contexts, and cybersecurity considerations around data management to support privacy goals. Over time, NIST work has built upon the concepts introduced in the NIST IR 8259, as reflected in subsequent publications that elaborate on IoT cybersecurity for specific sectors and use cases (e.g., federal agency use of IoT, consumer use of IoT in the home or in small businesses).	本報告書は、NISTのモノのインターネット（IoT）向けサイバーセキュリティプログラムが主催した2025年3月5日の「IoTデバイス製造者のための基礎的サイバーセキュリティ活動に関するワークショップ」で行われた議論をまとめたものである。このワークショップは、2024年12月に開催された「安全なコネクテッド製品開発のための製造事業者ガイダンスの更新に関するワークショップ」に続くもので、NIST IR 8259の主な更新箇所を特定するためのものである。同様に、今回のワークショップの目的は、NIST IR 8259の更新計画について議論し、IoT製品のライフサイクルに重点を置いた製品の視点、リスク分析の議論の拡大、産業環境への適用、プライバシー目標をサポートするためのデータ・マネジメントに関するサイバーセキュリティの考慮について、追加のフィードバックを収集することであった。時間の経過とともに、NIST の作業は NIST IR 8259 で導入された概念に基づいて構築され、特定の分野やユースケース（例えば、連邦政府機関による IoT の利用、消費者による家庭や中小企業での IoT の利用）の IoT サイバーセキュリティについて詳しく説明したその後の出版物に反映されている。

・・NIST.IR.8572

ワークショップでの重要な７つのポイントってところですかね...

1. There is broad support for expanding the discussion of IoT products in NIST IR 8259 to make products more central to the IoT cybersecurity baseline and allow further exploration of the cybersecurity considerations of other IoT product components beyond the device.	1. NIST IR 8259 における IoT 製品の議論を拡大し、製品を IoT サイバーセキュリティのベースラインの中心に据えるとともに、デバイス以外の他の IoT 製品コンポーネントのサイバーセキュリティへの配慮をさらに検討できるようにすることに、幅広い支持が集まっている。
2. Many cybersecurity challenges are aggravated by the limited visibility each role in the IoT ecosystem (e.g., manufacturer, integrator, customer) has into the cybersecurity of the whole system.	2. 多くのサイバーセキュリティの課題は、IoTエコシステムにおける各役割（製造事業者、インテグレータ、顧客など）がシステム全体のサイバーセキュリティを見通すことができないために悪化している。
3. Performing risk analysis for IoT products remains a challenge due to the potential for unintended use or unexpected environments of use.	3. IoT製品のリスク分析は、意図しない使用や想定外の使用環境の可能性があるため、依然として課題となっている。
4. In understanding the magnitude of a risk, it is important to understand the scale of the potential impact from a threat.	4. リスクの大きさを理解するには、脅威による潜在的な影響の規模を理解することが重要である。
5. Communicating effectively throughout IoT pre-market and post-market activities involves bridging gaps between manufacturer knowledge and customer ability to use the information.	5. IoTの市場投入前および市場投入後の活動を通じて効果的にコミュニケーションを図るには、製造事業者の知識と顧客の情報活用能力とのギャップを埋める必要がある。
6. Transparency and traceability are foundational to maintaining product cybersecurity throughout the IoT product lifecycle.	6. 透明性とトレーサビリティは、IoT製品のライフサイクルを通じて製品のサイバーセキュリティを維持するための基盤である。
7. Discussions throughout the workshop highlighted challenges in IoT product lifecycle management emphasizing IoT product risks, vulnerabilities, and evolving ecosystem demands.	7. ワークショップを通しての議論では、IoT製品のリスク、脆弱性、進化するエコシステムの要求に重点を置いたIoT製品ライフサイクルマネジメントにおける課題が浮き彫りになった。

...

2. Speaker Summaries	2. 講演者サマリー
The summaries below highlight significant points from the speakers and identify discussion topics.	以下の要約は、講演者の重要なポイントを強調し、ディスカッションのトピックを特定するものである。
2.1 Jon Boulos, Kimberly-Clark and Wisconsin IoT Council, “Fortifying the Future”	2.1 Jon Boulos氏（Kimberly-Clark社、ウィスコンシン州IoT協議会）、"Fortifying the Future」
Mr. Jon Boulos focused on considering cybersecurity risks and controls from a product and ecosystem perspective. Many of today’s traditional IoT security programs focus on a devicecentric approach. His presentation provided an overview of cybersecurity activities that should take place in each step of the product life cycle. Performing a risk assessment during the planning and design stages should accommodate growth within the expanding IoT ecosystem within its lifecycle stages. By adopting a product-centric approach, IoT device manufacturers can ensure comprehensive cybersecurity measures that are proactive, user-centric, and better aligned with the overall product lifecycle and user needs.	Jon Boulos氏は、サイバーセキュリティのリスクとコントロールを製品とエコシステムの観点から考えることに焦点を当てた。今日の伝統的なIoTセキュリティプログラムの多くは、デバイス中心のアプローチに焦点を当てている。講演では、製品ライフサイクルの各段階で実施すべきサイバーセキュリティ活動の概要が紹介された。計画・設計段階でリスクアセスメントを実施することで、ライフサイクルの各段階で拡大するIoTエコシステムの成長に対応することができる。製品中心のアプローチを採用することで、IoTデバイス製造事業者は、プロアクティブでユーザー中心、かつ製品ライフサイクル全体とユーザーニーズにより合致した包括的なサイバーセキュリティ対策を確保することができる。
This discussion included the integration of IoT devices into industrial systems and how it requires a comprehensive approach to address the complexities and security challenges. He pointed out that integration of IoT devices into industrial systems significantly increases the complexity of those systems. Adopting IoT technology and developing these secure systems requires a unique skillset and often is seen as a significant investment. Ensuring interoperability and security can be difficult without established standards and protocols.	このディスカッションでは、産業システムへのIoTデバイスの統合と、それがいかに複雑性とセキュリティ上の課題に対処するための包括的なアプローチを必要とするかが議論された。同氏は、IoTデバイスを産業用システムに統合することで、それらのシステムの複雑性が大幅に増すことを指摘した。IoT技術を採用し、これらのセキュアなシステムを開発するには、独自のスキルセットが必要であり、しばしば多額の投資とみなされる。相互運用性とセキュリティの確保は、標準とプロトコルが確立されていなければ難しい。
Mr. Boulos went on to highlight opportunities to help device manufacturers succeed and move faster:	ブーロス氏はさらに、デバイス製造事業者が成功し、より速く前進するための機会を強調した：
• Create clear standards and guidelines from a cybersecurity and privacy perspective for IoT device manufacturers and solution providers.	- IoTデバイスメーカーとソリューションプロバイダのために、サイバーセキュリティとプライバシーの観点から明確な標準とガイドラインを作成する。
• Certification and labeling programs are emerging for both devices and overall solutions.	- デバイスとソリューション全体の両方について、認証とラベリングのプログラムが登場している。
• Data standards, integration, and communication protocols can help facilitate ecosystem compatibility to ensure devices can communicate.	- データ標準、統合、コミュニケーション・プロトコルは、デバイスが確実にコミュニケーションできるよう、エコシステムの互換性を促進するのに役立つ。
• Dependable supply chains are important.	- 信頼できるサプライチェーンは重要である。
• Clear and consistent standards increase device interoperability and decrease cost.	- 明確で一貫性のある標準は、機器の相互運用性を高め、コストを削減する。
• Providing direction on “mandatory” requirements would benefit manufacturers.	- 必須」要件の方向性を示すことは、製造事業者に利益をもたらす。
• Educating the workforce and/or future workforce for the digital transformation of the economy, such as developing training initiatives to increase skilled resources to implement and maintain IoT solutions.	- IoTソリューションの実装と保守を行う熟練リソースを増やすための研修イニシアティブの開発など、経済のデジタル変革に向けた労働力および／または将来の労働力の教育。
• Public and private partnerships strengthen IoT security by leveraging the strengths, knowledge, and resources from both industry and government.	- 官民パートナーシップは、産業界と政府双方の強み、知識、リソースを活用することで、IoTセキュリティを強化する。
The overall goal is to provide adequate flexibility for innovation while maintaining an appropriate level of security based on the context of the use case, data, risk, etc. Manufacturers would also benefit from clarification on where the US Cyber Trust Mark applies as well as the standardization of protocols and network infrastructure.	全体的な目標は、ユースケース、データ、リスクなどの状況に基づき、適切なレベルのセキュリティを維持しつつ、イノベーションに十分な柔軟性を提供することである。製造事業者は、プロトコルとネットワーク・インフラの標準化だけでなく、米国サイバートラストマークの適用範囲の明確化からも恩恵を受けるだろう。
2.2 Brad Goodman, FIDO Alliance and Dell, “Leveraging FIDO Alliance cybersecurity standards in support of IR8259”	2.2 ブラッド・グッドマン、FIDOアライアンスとデル、「IR8259のサポートにおけるFIDOアライアンスのサイバーセキュリティ標準の活用」
Mr. Brad Goodman discussed the Fast Identity Online (FIDO) Alliance’s work on the FIDO Device Onboarding (FDO) Initiative and on FIDO’s Passkey credentials. FIDO is an open industry association with a focused mission to reduce the world’s reliance on passwords. The central concern is that while techniques and methods already exist to secure point-to-point communication, systems can still be easily exploited.	ブラッド・グッドマン氏は、FIDOアライアンスのFIDO Device Onboarding（FDO）イニシアティブとFIDOのPasskeyクレデンシャルに関する取り組みについて説明した。FIDOはオープンな業界団体であり、パスワードへの依存を減らすことを使命としている。中心的な懸念は、ポイント・ツー・ポイント・コミュニケーションの安全性を確保する技術や方法はすでに存在しているものの、システムは依然として容易に悪用されうるということである。
FDO addresses the question of establishing trust between two points to communicate securely, reliably, and in an automated fashion. It is a method for secure, zero-touch IoT device onboarding. Zero-touch means that it does not require a user to perform any operation. FDO provides mutual assurance between cloud and device that each is genuine and should interoperate with the other. It is all public key based.	FDOは、セキュアで信頼性の高い自動化された通信を行うために、2点間の信頼を確立するという問題に取り組んでいる。これは、セキュアでゼロタッチのIoTデバイス・オンボーディングのための手法である。ゼロタッチとは、ユーザーが何らかの操作を行う必要がないことを意味する。FDOは、クラウドとデバイスの間で、それぞれが本物であり、相互運用が可能であるという相互保証を提供する。すべて公開鍵ベースである。
FIDO’s principal project is Passkey which is a password replacement based on FIDO protocols that provide faster, easier, more secure sign-ins to online services. A passkey may be synced across a secure cloud so that it is readily available on all of a user’s devices, or it can be bound to a dedicated device such as a FIDO security key. Passkeys are a user authentication system. In the IoT space, this would most probably be used to secure user-to-cloud components of an IoT product to control the product.	FIDOの主要プロジェクトはPasskeyで、FIDOプロトコルに基づくパスワードの代替品であり、オンラインサービスにより速く、より簡単で、より安全なサインインを提供する。パスキーは、ユーザーのすべてのデバイスですぐに利用できるように安全なクラウド上で同期させることもできるし、FIDOセキュリティキーのような専用デバイスにバインドすることもできる。パスキーはユーザー認証システムである。IoTの分野では、おそらくIoT製品のユーザーからクラウドへのコンポーネントを保護し、製品を制御するために使用されるだろう。
Mr. Goodman spoke on the technical protocols of how FIDO device onboarding works from factory to owner. Identity of a device should always be done through key-based mechanisms. FDO provides a way to initiate a strong, binding enrollment or security between device and cloud, whereas passkeys provide phishing-resistant password-less user authentication to that cloud. Mr. Goodman indicated that the scope of the process is designed to work across a spectrum of use cases and hardware types and that FDO provides a rigid and provable mechanism to establish ownership.	グッドマン氏は、FIDOデバイスのオンボーディングが工場から所有者までどのように機能するかの技術プロトコルについて語った。デバイスの識別は、常に鍵ベースのメカニズムによって行われるべきである。FDOは、デバイスとクラウド間の強固で拘束力のある登録やセキュリティを開始する方法をプロバイダするのに対し、パスキーはクラウドに対してフィッシングに強いパスワードレスなユーザー認証を提供する。Goodman氏は、このプロセスの範囲は、さまざまなユースケースやハードウェアの種類にまたがって機能するように設計されており、FDOは所有権を確立するための厳密で証明可能なメカニズムを提供すると述べた。
3. Workshop Takeaways	3. ワークショップの要点
This section summarizes the takeaways and observations across the entire workshop from invited speaker presentations to breakout sessions.	このセクションでは、招待講演者のプレゼンテーションから分科会まで、ワークショップ全体を通しての収穫と考察をまとめる。
The following takeaways are the ideas, observations, and suggestions that NIST heard from workshop discussion participants, and which received significant support from participants. This workshop was not a forum for developing consensus; rather, the takeaways represent recurrent themes which emerged during discussions—not formal positions taken by participants. This document cannot capture every thought, opinion, and suggestion provided during the workshop. These takeaways do not represent NIST recommendations or guidelines; rather, they provide important feedback to the program and serve as a basis for future conversations within the community.	以下の要点は、NISTがワークショップのディスカッション参加者から聞いたアイデア、観察、提案であり、参加者から大きな支持を得たものである。本ワークショップはコンセンサスを形成するための場ではない。むしろ、この要点は、参加者の正式な立場ではなく、ディスカッション中に浮かび上がった繰り返し出てくるテーマを表している。この文書は、ワークショップ中にプロバイダから提供されたすべての考え、意見、提案を網羅することはできない。これらの要点は、NISTの勧告やガイドラインを示すものではなく、むしろ、プログラムへの重要なフィードバックを提供し、コミュニティ内での今後の議論の基礎となるものである。
3.1 Support for a focus on product level cybersecurity in NIST IR 8259	3.1 NIST IR 8259において製品レベルのサイバーセキュリティに焦点を当てることへの支持
There is broad support for expanding the discussion of IoT products in NIST IR 8259 to make products more central to the IoT cybersecurity baseline and allow further exploration of the cybersecurity considerations of other IoT product components beyond the device.	NIST IR 8259 における IoT 製品の議論を拡大し、IoT サイバーセキュリティのベースラインにおいて製品をより中心的なものとし、デバイス以外の他の IoT 製品コンポーネントのサイバーセキュリティへの配慮をさらに検討できるようにすることについては、幅広い支持がある。
The workshop discussion participants were supportive of NIST IR 8259 taking a product viewpoint to approach cybersecurity and recognized the value in moving from the existing document’s device-centric focus. Discussions indicated that IoT product components, which may be remote, have important access privileges to and control over the IoT device or devices within the IoT product. It was recognized that the special relationship between IoT product components creates new cybersecurity risks. These risks arise due to product components sharing potentially sensitive data and having control responsibilities over the IoT device’s behavior.	ワークショップのディスカッション参加者は、NIST IR 8259 がサイバーセキュリティにアプローチするために製品の視点を取り入れることを支持し、既存の文書のデバイス中心から移行することの価値を認識した。議論によると、IoT 製品のコンポーネントは、遠隔地にある可能性があるが、IoT デバイスまたは IoT 製品内のデバイスに対する重要なアクセス権限と管理を持っていることが示された。IoT 製品コンポーネント間の特別な関係は、新たなサイバーセキュリティリスクを生み出すことが認識された。これらのリスクは、製品コンポーネントが潜在的にセンシティブなデータを共有し、IoTデバイスの動作に対する制御責任を持つために生じる。
3.2 Roles and their effect on cybersecurity challenges in the IoT ecosystem	3.2 IoTエコシステムにおけるサイバーセキュリティの課題に対する役割とその影響
Many cybersecurity challenges are aggravated by the limited visibility each role in the IoT ecosystem (e.g., manufacturer, integrator, customer) has into the cybersecurity of the whole system.	多くのサイバーセキュリティの課題は、IoTエコシステム内の各役割（製造事業者、インテグレーター、顧客など）がシステム全体のサイバーセキュリティに対して持つ可視性が限られていることによって悪化している。
When discussing IoT cybersecurity, the participants frequently returned to the challenge of the varying information and visibility available to different roles across the IoT ecosystem. Manufacturers are best positioned to understand the cybersecurity capabilities of their IoT products including the cybersecurity capabilities of components from across the supply chain that are used to create the IoT product. Customers have highly varying cybersecurity knowledge depending on a number of factors such as whether they are a home consumer, small business, or large enterprise. Participants noted that additional roles are often needed in heterogeneous systems where components from various manufacturers must function securely together. System integrators, brand owners, retailers and other specialized support services can be mediators between the manufacturer and customer. These discussions also emphasized the role of third-party platform providers.	IoTサイバーセキュリティについて議論する際、参加者は、IoTエコシステム全体で役割ごとに利用できる情報や可視性が異なるという課題に頻繁に立ち戻った。製造事業者は、IoT製品のサイバーセキュリティ能力を理解するのに最も適した立場にあり、IoT製品の製造に使用されるサプライチェーン全体のコンポーネントのサイバーセキュリティ能力も理解できる。顧客のサイバーセキュリティに関する知識は、一般消費者、中小企業、エンタープライズなど、さまざまな要因によって大きく異なる。参加者は、さまざまな製造事業者のコンポーネントが安全に連携して機能しなければならない異種システムでは、追加の役割が必要になることが多いと指摘した。システム・インテグレーター、ブランド・オーナー、小売業者、その他の専門的なサポート・サービスは、製造事業者と顧客の仲介役となりうる。これらの議論では、サードパーティーのプラットフォームプロバイダーの役割も強調された。
Clarifying expectations and collaborating among roles is critical for securing the IoT ecosystem. With manufacturers, brand owners, integrators, and customers all having unique responsibilities, participants stressed the need to clearly define these roles to help streamline collaboration, communication, and risk management. Integrators were noted in particular as key intermediaries, responsible for adapting manufacturers' security protocols to customerspecific demands and helping bridge communication gaps effectively.	IoTエコシステムの安全性を確保するためには、期待される役割を明確にし、役割間で協力することが重要である。製造事業者、ブランドオーナー、インテグレーター、顧客はそれぞれ独自の責任を負っているため、参加者は、コラボレーション、コミュニケーション、リスクマネジメントを効率化するために、これらの役割を明確に定義する必要性を強調した。特にインテグレーターは、製造事業者のセキュリティ・プロトコルを顧客固有の要求に適合させ、コミュニケーション・ギャップを効果的に埋める役割を担う重要な仲介役であると指摘された。
Some participants identified a need for worked examples to help clarify potential collaborations across roles in the ecosystem such as integrators and manufacturers. For example, an integrator may need to analyze the risk of incorporating multiple systems from multiple manufacturers for a specific deployment.	参加者の中には、インテグレーターや製造事業者といったエコシステム内の役割を超えた潜在的な協力関係を明確にするために、実例が必要であると指摘する者もいた。例えば、インテグレーターは、特定の展開のために複数の製造事業者の複数のシステムを組み込むリスクを分析する必要があるかもしれない。
3.3 Challenges of IoT product risk analysis	3.3 IoT製品のリスク分析の課題
Performing risk analysis for IoT products remains a challenge due to the potential for unintended use or unexpected environments of use.	IoT製品のリスク分析を行うことは、意図しない使用や想定外の使用環境になる可能性があるため、依然として課題となっている。
Participants discussed the challenges manufacturers face in conducting risk assessments without full visibility into customer environments. It was noted that in large enterprises or high security environments, there is a need for collaboration among manufacturers, system integrators, and customers due to shared responsibility and the need for customers to also perform some risk analyses. NIST’s Risk Management Framework for Information Systems and Organizations, NIST SP 800-37 Rev. 2 [4], Security and Privacy Controls for Information Systems and Organizations, NIST SP 800-53 rev. 5 [5], and IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, SP 800-213 [6] provide information for manufacturers, system integrators and enterprise customers in the performance of risk assessment and mitigations. Several participants responded that these resources were helpful, but additional guidelines or standards are needed that take the manufacturer’s perspective and consider varying risk levels across diverse deployment environments. Participants noted that current risk assessment mechanisms are aimed at addressing vulnerabilities within known, specific environments, which does not easily fit the typical manufacturer viewpoint of seeking to consider a range of possible product deployments. Participants highlighted the importance of these clarifications to ensure risks are properly identified, prioritized, and mitigated.	参加者は、製造事業者が顧客環境を完全に可視化することなくリスクアセスメントを実施する際に直面する課題について議論した。大企業や高度なセキュリティ環境では、製造事業者、システムインテグレーター、顧客の間で責任を共有し、顧客もリスク分析を行う必要があるため、協力する必要があることが指摘された。NISTの「情報システム及び組織のためのリスクマネジメントフレームワーク」（NIST SP 800-37 Rev. 2 [4]）、「情報システム及び組織のためのセキュリティ及びプライバシーコントロール」（NIST SP 800-53 rev. 5 [5]）、「連邦政府のためのIoTデバイスサイバーセキュリティガイダンス」[6]は、製造事業者、システムインテグレータ、エンタープライズ顧客がリスクアセスメントと緩和を実施するための情報を提供している。何人かの参加者は、これらのリソースは有用であるが、製造事業者の視点に立ち、多様な展開環境における様々なリスクレベルを考慮した追加のガイドラインや標準が必要であると回答した。参加者は、現在のリスクアセスメントの仕組みは、既知の特定の環境における脆弱性に対処することを目的としており、想定される製品展開の範囲を考慮しようとする典型的な製造事業者の視点には容易に適合しないと指摘した。参加者は、リスクが適切に特定され、優先順位が付けられ、緩和されるようにするためには、このような明確化が重要であると強調した。
Alternatively, small business customers or home consumers cannot be expected to have the knowledge needed for detailed risk analysis and rely on the manufacturers who must assume greater responsibility. It was noted that the US Cyber Trust Mark program for certifying the cybersecurity of consumer IoT products only covers products as the manufacturer ships and maintains them and does not consider that installers or other IT professionals acting on behalf of the customer might have a role. The discussion underscored the complexities of the manufacturer-customer relationship emphasizing the need for careful communication to collaboratively navigate risk challenges.	また、中小企業の顧客や一般消費者が詳細なリスク分析に必要な知識を持つことは期待できず、より大きな責任を負わなければならない製造事業者に頼ることになる。消費者向けIoT製品のサイバーセキュリティを認証する米国のサイバートラストマーク・プログラムは、製造事業者が出荷・保守する製品のみを対象としており、顧客の代理として行動する設置業者やその他のIT専門家が役割を担う可能性を考慮していないことが指摘された。ディスカッションでは、製造事業者と顧客の関係の複雑さが浮き彫りになり、リスクの課題を協働で解決するためには慎重なコミュニケーションが必要であることが強調された。
Some participants noted that there are scalability concerns with tailoring products to individual customer needs or deployment scenarios. Customization to individual deployments could strain resources. It was suggested that integrators could play a critical role in adapting products to meet specific operational demands.	参加者の中には、個々の顧客のニーズや展開シナリオに合わせて製品をカスタマイズすることに拡張性の懸念があると指摘する者もいた。個々の展開に合わせてカスタマイズすることは、リソースを圧迫する可能性がある。インテグレーターは、特定の運用上の要求に製品を適合させる上で、重要な役割を果たす可能性が示唆された。
3.4 Scaling threat impacts and relating to the magnitude of risks	3.4 脅威の影響の拡大とリスクの大きさとの関係
In understanding the magnitude of a risk, it is important to understand the scale of the potential impact from a threat.	リスクの大きさを理解する上で、脅威による潜在的影響の規模を理解することが重要である。
Risk is defined as “A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.” [7] While threat taxonomies exist (e.g., MITRE EMB3D), there are no widely recognized taxonomies for discussing the potential impact of a threat. In the workshop discussions, participants discussed the impact of threats in terms of:	リスクとは、「事業体が潜在的な状況や事象によってどの程度脅かされるかを示す尺度であり、通常、次のような機能である」と定義されている： (i)その状況や事象が発生した場合に生じるであろう悪影響と、(ii)発生の可能性の関数である。[脅威の分類法は存在するが（例えば、MITRE EMB3D）、脅威の潜在的影響を議論するための広く認知された分類法は存在しない。ワークショップでの議論では、参加者は以下の観点から脅威の影響について議論した：
1. Operational impacts to the specific local networks, IoT devices, and Information Technology (IT) experiencing the cybersecurity event; and	1. サイバーセキュリティ・イベントを経験した特定のローカル・ネットワーク、IoT デバイス、情報技術（IT）に対する運用上の影響。
2. Environmental impacts that use the resources of compromised local networks to launch broader attacks on critical infrastructure or industries (e.g., botnets).	2. 侵害されたローカル・ネットワークのリソースを利用して、重要なインフラや産業に対してより広範な攻撃を仕掛ける環境への影響（ボットネットなど）。
The participants also used terms such as “vertical” versus “horizontal,” respectively, when discussing these two scenarios, illustrating the lack of consensus on the terminology. Though risks are generally categorized as having either operational or environmental impacts, environmental impacts could be a step towards operational impacts or vice versa.	参加者は、これら 2 つのシナリオについて議論する際に、それぞれ「垂直的」と「水平的」といった用語も使用しており、用語に関するコンセンサスが得られていないことを物語っている。リスクは一般に、運用上の影響と環境上の影響のどちらかに分類されるが、環境上の影響は運用上の影響への一歩となる可能性もあるし、その逆もある。
3.5 Communicating effectively involves bridging gaps between manufacturers and customers	3.5 効果的なコミュニケーションには、製造事業者と顧客の間のギャップを埋めることが含まれる。
Communicating effectively throughout IoT pre-market and post-market activities involves bridging gaps between manufacturer knowledge and customer ability to use the information.	IoTの市販前・市販後の活動を通じて効果的にコミュニケーションを図るには、製造事業者の知識と顧客が情報を活用する能力とのギャップを埋めることが必要である。
Communication emerged as pivotal to both the pre-market and post-market stages across multiple discussions with participants regarding challenges, strategies, and roles. While some emphasized the limitations manufacturers face in direct communication with customers, especially for products sold through retailers or installed by integrators, others agreed that raising broader cybersecurity awareness is critical.	コミュニケーションは、課題、戦略、役割に関する参加者との複数のディスカッションを通じて、市場投入前と市場投入後の両方の段階で極めて重要であることが浮かび上がった。製造事業者が顧客と直接コミュニケーションすることの限界を強調する意見がある一方で、特に小売業者を通じて販売される製品やインテグレータによって設置される製品については、より広範なサイバーセキュリティ意識を高めることが重要であるとの意見で一致した。
Discussions indicated pre-market efforts should include setting clear expectations about device capabilities, operational lifespans, end-of-life plans, and modular upgrade paths to provide clarity to customers and integrators.	市場投入前の取り組みとしては、顧客とインテグレータに明確な情報を提供するために、機器の機能、運用寿命、使用終了計画、モジュール式アップグレードパスに関する明確な期待値を設定することが必要であるとの議論があった。
For post-market communication efforts, participants discussed the importance of communication planning including:	市販後のコミュニケーション活動については、参加者は以下のようなコミュニケーション計画の重要性について議論した：
• How to tailor communication strategies to align with the expected customers’ knowledge, and	- 以下のようなコミュニケーション計画の重要性について議論した。
• Education and awareness strategies targeting both consumer and workforce users that focuses on explaining IoT product behavior, mitigating anomalies, and practicing strong cybersecurity hygiene.	- IoT製品の動作説明、異常の緩和、強力なサイバーセキュリティ衛生の実践に重点を置いた、消費者と従業員の両方のユーザーを対象とした教育・啓発戦略。
As part of post-market communication, participants further emphasized the need for ongoing communication about vulnerabilities, fault tolerance, updates, and product behaviors. Participants discussed the importance of manufacturers ensuring that messages are clear and are delivered using effective notification systems. One participant suggested that automation with tools like the Open Security Controls Assessment Language (OSCAL) can provide real-time monitoring and updating, ensuring consistent and accurate communication.	市販後のコミュニケーションの一環として、参加者はさらに、脆弱性、耐障害性、アップデート、製品の動作に関する継続的なコミュニケーションの必要性を強調した。参加者は、輸入事業者がメッセージを明確にし、効果的な通知システムを用いて配信することの重要性について議論した。参加者の一人は、OSCAL（Open Security Controls Assessment Language）のようなツールを使って自動化することで、リアルタイムのモニタリングとアップデートが可能になり、一貫性のある正確なコミュニケーションが確保できると提案した。
Difficulties maintaining direct communication with customers and users limit the ability to convey critical product updates, vulnerabilities, or lifecycle plans. This gap necessitates that manufacturers acknowledge what limitations to communication exist and acknowledge that some ability to reach customers may be lost when retailers or integrators act as mediators between the manufacturer and customer.	顧客やユーザーとの直接的なコミュニケーションを維持することが困難であるため、製品の重要な更新、脆弱性、ライフサイクル計画を伝える能力に限界がある。このギャップにより、製造事業者はコミュニケーションにどのような制限があるかを認識し、小売業者やインテグレーターが製造事業者と顧客の仲介役を務める場合、顧客とのコミュニケーション能力が失われる可能性があることを認識する必要がある。
3.6 Transparency and traceability throughout the IoT product lifecycle	3.6 IoT製品のライフサイクルを通じた透明性とトレーサビリティ
Transparency and traceability are foundational to maintaining product cybersecurity throughout the IoT product lifecycle.	透明性とトレーサビリティは、IoT製品のライフサイクルを通じて製品のサイバーセキュリティを維持するための基盤である。
Participants emphasized the importance of both transparency and traceability in IoT product lifecycle management. In this context, transparency is open communication about cybersecurity practices and lifecycle expectations, and traceability is the ability to track and verify IoT components throughout their lifecycle.	参加者は、IoT製品のライフサイクル管理における透明性とトレーサビリティの両方の重要性を強調した。この文脈では、透明性とはサイバーセキュリティの実践とライフサイクルの期待に関するオープンなコミュニケーションであり、トレーサビリティとはライフサイクルを通じてIoTコンポーネントを追跡・検証する能力である。
Transparency was noted as foundational for addressing vulnerabilities, setting expectations, and fostering trust among stakeholders; however, transparency can also bring risks.	透明性は、脆弱性に対処し、期待を設定し、利害関係者間の信頼を醸成するための基盤であると指摘されたが、透明性はリスクももたらしうる。
Participants discussed the potential risks resulting from attackers exploiting publicly disclosed information (e.g., vulnerabilities). It was further noted that the customer and the attacker might be one and the same, such as when a malicious actor purchases a product for the purpose of identifying its vulnerabilities and exploiting other instances of the product. While acknowledging these challenges, it was noted that transparency helps mitigate long-term risks by providing the customer and others in the ecosystem the insights and solutions needed to maintain the products’ cybersecurity. Some participants pointed out that transparency in reporting problems is particularly vital to customers, and that information gained when manufacturers are transparent can be utilized by proactive customers.	参加者は、攻撃者が公開された情報（脆弱性など）を悪用することによって生じる潜在的リスクについて議論した。さらに、悪意ある行為者が製品の脆弱性を特定し、その製品の他のインスタンスを悪用する目的で製品を購入する場合など、顧客と攻撃者が同一である可能性があることが指摘された。このような課題を認識する一方で、透明性を確保することは、製品のサイバーセキュリティを維持するために必要な洞察や解決策を顧客やエコシステム内の他の人々に提供することで、長期的なリスクの緩和に役立つことが指摘された。参加者の中には、問題を報告する際の透明性は顧客にとって特に重要であり、製造事業者が透明性を確保することで得られる情報は、積極的な顧客が活用することができると指摘する者もいた。
Participants noted the value of traceability when securing the supply chain, ensuring chain of custody, and implementing tamper-proof mechanisms. Participants pointed out tools like Secured Component Verification (SCV) certificates and device keys are mechanisms to help improve traceability. Zero-trust architectures using techniques like real-time continuous monitoring were suggested as ways to enhance traceability across IoT ecosystems, but these could pose a challenge in operational environments which are sensitive to latency.	参加者は、サプライチェーンの安全性確保、Chain of Custodyの確保、改ざん防止メカニズムの導入におけるトレーサビリティの価値を指摘した。参加者は、SCV（Secured Component Verification）証明書やデバイスキーのようなツールが、トレーサビリティの改善に役立つ仕組みであると指摘した。IoTエコシステム全体のトレーサビリティを強化する方法として、リアルタイムの継続的モニタリングのような技術を使用したゼロトラストアーキテクチャが提案されたが、これらはレイテンシに敏感な運用環境では課題となる可能性がある。
3.7 Additional cybersecurity related challenges	3.7 サイバーセキュリティに関するその他の課題
Discussions throughout the workshop highlighted challenges in IoT product lifecycle management emphasizing IoT product risks, vulnerabilities, and evolving ecosystem demands.	ワークショップを通じて議論されたのは、IoT製品のリスク、脆弱性、進化するエコシステムの需要に重点を置いた、IoT製品のライフサイクルマネジメントにおける課題であった。
Participants discussed a number of evolving challenges related to cybersecurity that have emerged for IoT products:	参加者は、IoT製品に出現したサイバーセキュリティに関連する多くの進化する課題について議論した：
• Risks posed by unsupported "zombie devices" that lack updates or patches, compensating controls to address the additional risk from this status, and continue to operate on the network, creating security blind spots;	- サポートされていない「ゾンビ・デバイス」がもたらすリスクは、アップデートやパッチがなく、この状態から生じる追加リスクに対処するための代償制御がなく、ネットワーク上で動作し続けるため、セキュリティの死角が生じる；
• Lack of secure disposal for decommissioned IoT products and product components to prevent exploitation of sensitive data or credentials as a weakness in the IoT ecosystem;	- IoTエコシステムの弱点として、機密データや認証情報の悪用を防ぐために、廃止されたIoT製品や製品コンポーネントの安全な処分が欠如している；
• Absence of modular replacement strategies for IoT products in long-term use cases such as industrial or healthcare settings where lifespans for products may be long;	- 製品の寿命が長い産業やヘルスケア環境などの長期的な使用ケースにおける IoT 製品のモジュール式交換戦略の欠如；
• Concerns raised regarding replay attacks during ownership transitions that can make the prior owner’s data accessible to the new owner;	- 所有権の移行時に、前の所有者のデータに新しい所有者がアクセスできるようにするリプレイ攻撃に関する懸念；
• Potential for unexpected or nefarious activity from IoT products such as collecting unintended data continues to impede trust in IoT;	- 意図しないデータの収集など、IoT製品による予期せぬ活動や悪意のある活動の可能性が、IoTへの信頼を阻害し続けている；
• Practical complexities of integrating IoT products into diverse ecosystems; and	- IoT製品を多様なエコシステムに統合する際の実際的な複雑さ。
• Technical challenges to supporting post-quantum cryptography for most IoT products, particularly on IoT devices.	- ほとんどのIoT製品、特にIoTデバイスで耐量子暗号をサポートするための技術的課題。
While some ideas for means of addressing these challenges came up during discussions, all need further evaluation to identify the right mix of technical capabilities, manufacturer support, and public education to address.	ディスカッションの中で、これらの課題に対処する手段のアイデアがいくつか出てきたが、いずれも、技術的能力、製造事業者のサポート、一般市民への教育の適切な組み合わせを特定するためには、さらなる評価が必要である。
4. Conclusion	4. 結論
The March 5th workshop was a productive conversation that yielded many discussions and significant feedback. The workshop was structured to walk through the NIST IR 8259 document pre-market and post-market activities, starting with an overview and intertwined with keynote speakers who added context from their unique technical perspectives.	3月5日のワークショップは、多くの議論と重要なフィードバックをもたらした生産的な対話であった。ワークショップは、NIST IR 8259文書の概要から始まり、基調講演者のユニークな技術的視点からの解説を交えながら、市販前及び市販後の活動をウォークスルーする構成とした。
From the participant discussions, NIST received feedback that will be important to the revision of NIST IR 8259. Continuing communication across the roles in the IoT ecosystem is essential to building robust IoT cybersecurity documents that apply in a wide range of deployment scenarios. In the long term, greater communication across these roles remains critical to understanding IoT cybersecurity challenges and potential means of addressing those challenges.	参加者の議論から、NISTはNIST IR 8259の改訂に重要なフィードバックを得た。幅広い展開シナリオに適用できる強固なIoTサイバーセキュリティ文書を構築するためには、IoTエコシステムにおける役割を超えた継続的なコミュニケーションが不可欠である。長期的には、IoT サイバーセキュリティの課題と、それらの課題に対処するための潜在的な手段を理解するためには、これらの役割を超えたコミュニケーションの拡大が引き続き不可欠である。