米国 NIST CSWP 36E (初期公開ドラフト) 5G ネットワークセキュリティ設計原則：5G サイバーセキュリティおよびプライバシー機能の適用 (2025.06.17)

こんにちは、丸山満彦です。

NISTが、CSWP 36E (初期公開ドラフト) 5G ネットワークセキュリティ設計原則：5G サイバーセキュリティおよびプライバシー機能の適用を公表し、意見募集をしていますね。。。

商用およびプライベート 5G ネットワーク事業者がサイバーセキュリティとプライバシーの向上のために採用することが推奨されるネットワークインフラストラクチャの設計原則についての説明ですかね...

 

● NIST - ITL

・2025.06.17 NIST CSWP 36E (Initial Public Draft) 5G Network Security Design Principles: Applying 5G Cybersecurity and Privacy Capabilities

 

NIST CSWP 36E (Initial Public Draft) 5G Network Security Design Principles: Applying 5G Cybersecurity and Privacy Capabilities	NIST CSWP 36E (初期公開ドラフト) 5G ネットワークセキュリティ設計原則：5G サイバーセキュリティおよびプライバシー機能の適用
Announcement	発表
5G technology for broadband cellular networks will significantly improve how humans and machines communicate, operate, and interact in the physical and virtual world. 5G provides increased bandwidth and capacity, and low latency. However, professionals in fields like technology, cybersecurity, and privacy are faced with safeguarding this technology while its development, deployment, and usage are still evolving.	ブロードバンド携帯電話ネットワーク向けの 5G テクノロジーは、物理世界および仮想世界における人間と機械のコミュニケーション、操作、相互作用を大幅に改善する。5G は、帯域幅と容量の増加、および低遅延を実現する。しかし、テクノロジー、サイバーセキュリティ、プライバシーなどの分野の専門家は、このテクノロジーの開発、展開、使用がまだ進化している段階で、その保護という課題に直面している。
To help, the NIST National Cybersecurity Center of Excellence (NCCoE) has launched the “Applying 5G Cybersecurity and Privacy Capabilities" white paper series. The series targets technology, cybersecurity, and privacy program managers within commercial mobile network operators, potential private 5G network operators, and organizations using and managing 5G-enabled technology who are concerned with how to identify, understand, assess, and mitigate risk for 5G networks. In the series we provide recommended practices and illustrate how to implement them. All of the capabilities featured in the white papers have been demonstrated on the NCCoE testbed on commercial grade 5G equipment.	この問題に対処するため、NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、「5G サイバーセキュリティおよびプライバシー機能の適用」ホワイトペーパーシリーズを発行した。このシリーズは、5G ネットワークのリスクの識別、理解、評価、緩和の方法に関心のある、商用モバイルネットワーク事業者、潜在的なプライベート 5G ネットワーク事業者、および 5G 対応技術を使用および管理する組織の、技術、サイバーセキュリティ、およびプライバシープログラムのマネージャーを対象としている。このシリーズでは、推奨される実践例を紹介し、その実施方法を説明している。ホワイトペーパーで紹介されている機能はすべて、NCCoE のテストベッドで商用グレードの 5G 機器を使用して実証されている。
We are pleased to announce the availability of the sixth white paper in the series:	このシリーズの第 6 弾となるホワイトペーパーが発行された。
5G Network Security Design Principles — This publication provides the network infrastructure security design principles that commercial and private 5G network operators are encouraged to use. Such a network infrastructure isolates types of 5G network traffic from each other — data plane, signaling, and operation and maintenance (O&M) traffic — to improve cybersecurity and privacy. These security principles were demonstrated on the NCCoE 5G security testbed.	5G ネットワークセキュリティの設計原則 — このホワイトペーパーでは、商用およびプライベート 5G ネットワーク事業者が採用することが推奨されるネットワークインフラストラクチャのセキュリティ設計原則を紹介している。このようなネットワークインフラストラクチャは、データプレーン、シグナリング、運用および保守 (O&M) トラフィックなど、5G ネットワークのトラフィックの種類を相互に分離し、サイバーセキュリティとプライバシーを強化する。これらのセキュリティ原則は、NCCoE 5G セキュリティテストベッドで実証されている。
Abstract	要約
This white paper describes the network infrastructure design principles that commercial and private 5G network operators are encouraged to use to improve cybersecurity and privacy. Such a network infrastructure isolates types of 5G network traffic from each other: data plane, signaling, and operation and maintenance (O&M) traffic. This white paper is part of a series called Applying 5G Cybersecurity and Privacy Capabilities, which covers 5G cybersecurity and privacy-supporting capabilities that were demonstrated on the NIST National Cybersecurity Center of Excellence (NCCoE) 5G security testbed as part of the 5G Cybersecurity project at the NCCoE.	このホワイトペーパーでは、商用およびプライベート 5G ネットワーク事業者がサイバーセキュリティとプライバシーの向上のために採用することが推奨されるネットワークインフラストラクチャの設計原則について説明している。このようなネットワークインフラストラクチャは、データプレーン、シグナリング、運用および保守 (O&M) トラフィックなど、5G ネットワークトラフィックのタイプを互いに分離する。このホワイトペーパーは、「5G サイバーセキュリティおよびプライバシー機能の適用」シリーズの一部であり、NCCoE の 5G サイバーセキュリティプロジェクトの一環として、NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）の 5G セキュリティテストベッドで実証された、5G サイバーセキュリティおよびプライバシーをサポートする機能について紹介している。

 

・[PDF] NIST.CSWP.36E.ipd

 

Overview	概要
As specified by 3GPP standards, 5G systems use service-based architectures (SBAs) with a design that works well when implemented with cloud-native technologies leveraging microservices and container technology. A single 5G network function (NF) can be comprised of a multitude of containers running on many distributed servers. The 5G NFs communicate with each other over the network infrastructure, including carrier-grade routers and switches. The 5G Radio Access Network (RAN) components operate over a spread-out geographic area, while still requiring simultaneous connectivity to multiple types of 5G traffic.	3GPP 標準で規定されているように、5G システムは、マイクロサービスとコンテナ技術を活用したクラウドネイティブ技術と実装した場合にうまく機能する設計のサービスベースアーキテクチャ（SBA）を使用している。単一の 5G ネットワーク機能 (NF) は、多くの分散サーバー上で実行される多数のコンテナで構成される。5G NF は、キャリアグレードのルーターやスイッチなどのネットワークインフラストラクチャを介して相互に通信する。5G 無線アクセスネットワーク (RAN) コンポーネントは、広範囲に広がる地理的エリアで動作しながら、複数のタイプの 5G トラフィックへの同時接続を必要とする。
Most network traffic in data centers and cloud environments flows over the same physical connections and is processed by the same network devices. Because physical separation is not feasible, methods for logically separating 5G traffic from other traffic and further separating types of 5G traffic from each other are needed to improve 5G cybersecurity and privacy.	データセンターやクラウド環境におけるネットワークトラフィックのほとんどは、同じ物理接続を介して流れ、同じネットワークデバイスによって処理される。物理的な分離は不可能であるため、5G のサイバーセキュリティとプライバシーを強化するには、5G トラフィックを他のトラフィックから論理的に分離し、さらに 5G トラフィックの種類を相互に分離する方法が必要である。
What’s the problem?	問題は何か？
Data centers and cloud environments process and handle many types of traffic. Within the scope of 5G, the following types of 5G traffic are a starting point for logical separation:	データセンターやクラウド環境では、さまざまな種類のトラフィックが処理されています。5G の範囲内では、以下の 5G トラフィックの種類が論理的な分離の出発点となる。
・Data Plane: Transmitting user data, such as voice calls, video streaming, and internet browsing.	・データプレーン：音声通話、ビデオストリーミング、インターネット閲覧などのユーザーデータの送信。
・Signaling: Setting up, maintaining, and tearing down communication sessions. It includes tasks like handovers, authentication, and resources allocation.	・シグナリング：通信セッションの確立、維持、切断。ハンドオーバー、認証、リソースの割り当てなどのタスクが含まれる。
・Operation and Maintenance (O&M): Providing connectivity for the 5G network equipment, including software updates, fault detection, and performance optimization.	・運用および保守（O&M）：ソフトウェアのアップデート、障害の検出、パフォーマンスの最適化など、5G ネットワーク機器に接続性を提供する。
Each of these traffic types carries data with different sensitivity levels, and security and privacy implications if accessed by unauthorized or malicious users. O&M traffic provides access to devices that make up the 5G environment, allowing administrators important privileges and configuration capabilities, whereas the signaling traffic carries critical setup information, and the data plane carries user data. For example, the data plane segment is susceptible to distributed denial of service (DDoS) attacks on the N6 interface, the signaling segment can be impacted by signaling storms, and the O&M segment needs well-defined user and network access control.	これらのトラフィックの種類はそれぞれ、機密性のレベルが異なり、不正ユーザーや悪意のあるユーザーがアクセスした場合、セキュリティやプライバシーに影響を与える。O&M トラフィックは、5G 環境を構成するデバイスへのアクセスを提供し、管理者に重要な特権と設定機能を提供する。一方、シグナリングトラフィックは重要な設定情報を伝送し、データプレーンはユーザーデータを伝送しする。たとえば、データプレーンセグメントは N6 インターフェースに対する分散型サービス妨害 (DDoS) 攻撃の影響を受けやすく、シグナリングセグメントはシグナリングストームの影響を受ける可能性があり、O&M セグメントは明確に定義されたユーザーおよびネットワークアクセス管理が必要である。
A malicious actor can target the data plane, and if signaling and O&M traffic are not separated from the data plane, the malicious actor could target them as well. For example, the adversary can conduct privilege escalation and process injection for gaining administrative rights, attempt password cracking of valid user accounts on the nodes, exploit vulnerabilities in databases and file systems, and take advantage of improper configurations of routers and switches.¹	悪意のある攻撃者は、データプレーンを標的にすることができ、シグナリングおよび O&M トラフィックがデータプレーンから分離されていない場合、それらも標的にする可能性がある。例えば、敵対者は、管理者権限を取得するために特権昇格やプロセス注入を行い、ノード上の有効なユーザーアカウントのパスワードをクラックしたり、データベースやファイルシステムの脆弱性を悪用したり、ルーターやスイッチの不適切な設定を利用したりすることができる。¹
Another reason for separating the types of traffic is to prevent attackers from targeting one type to impact the performance of the others. For example, if an attacker overwhelms the data plane, and signaling and O&M traffic are not separated from the data plane, the attack can disrupt critical network functions and network management. Therefore, it is imperative to design the network infrastructure in a way that securely separates the different types of traffic.	トラフィックの種類を分離するもう 1 つの理由は、攻撃者が 1 つの種類を標的にして他の種類のパフォーマンスに影響を与えることを防ぐためである。たとえば、攻撃者がデータプレーンを過負荷にし、シグナリングおよび O&M トラフィックがデータプレーンから分離されていない場合、攻撃によって重要なネットワーク機能やネットワーク管理が混乱する可能性がある。したがって、さまざまな種類のトラフィックを安全に分離するようにネットワークインフラストラクチャを設計することが不可欠である。
The 5G standards defined by 3GPP do not specify cybersecurity and privacy protections for the underlying network infrastructure that support and operate the 5G system; these aspects are deemed implementation specific.² Mobile network operators make risk-based decisions on the countermeasures to mitigate attacks against their network.	3GPP が定義する 5G 標準では、5G システムをサポートおよび運用する基盤となるネットワークインフラストラクチャのサイバーセキュリティおよびプライバシー保護については規定されていない。これらの側面は、実装によって異なるものとみなされている²。モバイルネットワーク事業者は、ネットワークに対する攻撃を緩和するための対策について、リスクに基づいて決定している。

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.02 米国 NIST CSWP 36D（初期公開ドラフト）非SUPI ベースのページング：5G サイバーセキュリティおよびプライバシー機能の適用 (2025.01.30)

・2024.11.14 米国 NIST CSWP 36C （初期公開ドラフト） 一時的な ID の再割り当て： 5Gサイバーセキュリティとプライバシー機能の適用 (2024.11.06)

・2024.10.09 米国 NIST NIST CSWP 36B（初期公開草案） ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保：5Gのサイバーセキュリティおよびプライバシー機能の適用

・2024.08.16 米国 NIST CSWP 36 5Gのサイバーセキュリティとプライバシー機能の適用：ホワイトペーパーシリーズ序文、36A Subscription Concealed Identifier(SUCI)による加入者識別子の保護