米国 NIST CSWP 51（初期公開ドラフト） 交通機関のサイバーセキュリティフレームワークコミュニティプロファイルの開発：プロジェクトの最新情報

こんにちは、丸山満彦です。

NISTが、交通機関のサイバーセキュリティフレームワークコミュニティプロファイルの開発：プロジェクトの最新情報についてのホワイトペーパーのドラフトが公表され、意見募集されていますね...

 

● NIST - ITL

・2025.08.20 NIST CSWP 51 (Initial Public Draft) Developing a Transit Cybersecurity Framework Community Profile: Project Update

 

NIST CSWP 51 (Initial Public Draft) Developing a Transit Cybersecurity Framework Community Profile: Project Update	NIST CSWP 51（初期公開ドラフト） 交通機関のサイバーセキュリティ枠組みコミュニティプロファイルの開発：プロジェクトの最新情報
Announcement	発表
This draft CSWP from the NIST National Cybersecurity Center of Excellence (NCCoE) presents cybersecurity challenges for owners and operators of public transportation services and describes the process for creating a Community Profile, set to publish later this year.	NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）によるこの CSWP ドラフトは、公共交通サービスの所有者および運営者が直面するサイバーセキュリティの課題を紹介し、今年後半に公開予定のコミュニティプロファイルの作成プロセスについて説明している。
Transit operators face increasing cybersecurity risks that can impact the delivery of safe and reliable services. They must manage IT and OT system risks while meeting strict safety and operating demands. This CSWP outlines the preliminary content of a Transit Cybersecurity Framework (CSF) Community Profile, a voluntary, risk-based approach to enhance cybersecurity, reduce risks, and improve the cybersecurity posture of the transit community.	交通機関の運営者は、安全で信頼性の高いサービスの提供に影響を与えるサイバーセキュリティのリスクの高まりに直面している。彼らは、厳格な安全および運用要件を満たしながら、IT および OT システムのリスクを管理しなければならない。この CSWP は、交通機関のサイバーセキュリティを強化し、リスクを軽減し、交通機関コミュニティのサイバーセキュリティ体制を改善するための、自主的なリスクベースのアプローチである「交通機関サイバーセキュリティフレームワーク（CSF）コミュニティプロファイル」の予備的な内容を概説している。
The Transit CSF Community Profile will suggest prioritization of cybersecurity outcomes to meet specific business/mission focus areas for the transit community and identify relevant security practices that can be implemented in support of those areas. This Profile is intended to complement, not replace, any existing cybersecurity programs, guidance, or policy that transit operators may already have in place.	Transit CSF Community Profile は、公共交通機関コミュニティの特定の事業/ミッションの重点分野に対応するためのサイバーセキュリティ成果の優先順位付けを提案し、それらの分野をサポートするために実施できる関連セキュリティプラクティスを識別している。このプロファイルは、公共交通機関事業者がすでに導入している既存のサイバーセキュリティプログラム、ガイダンス、ポリシーを補完するものであり、それらに代わるものではない。
...	...
Abstract	要約
Transit agencies face rising cybersecurity risks that can impact the delivery of safe and reliable transit services. This white paper outlines the preliminary content of a Transit Cybersecurity Framework (CSF) Community Profile that is intended to provide a mission-prioritized approach to identifying practical cybersecurity outcomes tailored to the sector’s cybersecurity challenges and priorities. It offers an update on the progress made to date, a preview of the priorities that the community shared that informs the Profile, and a general description of the essential features of a draft Profile. It is designed to engage public and private sector stakeholders in the transit community to inform a draft Transit CSF 2.0 Community Profile, set to publish later this year.	交通機関は、安全で信頼性の高い交通サービスの提供に影響を与える可能性のあるサイバーセキュリティリスクの高まりに直面している。このホワイトペーパーは、交通機関のサイバーセキュリティの課題と優先事項に合わせた、実用的なサイバーセキュリティの成果を識別するための、ミッション優先のアプローチを提供することを目的とした、交通機関のサイバーセキュリティ枠組み（CSF）コミュニティプロファイルの初期コンテンツの概要をまとめたものである。これまでの進捗状況、プロファイルの作成に反映されたコミュニティが共有した優先事項の概要、およびプロファイル草案の主な特徴について、最新情報をご提供している。これは、交通機関コミュニティの公共部門および民間部門のステークホルダーが、今年後半に公開予定の「交通機関 CSF 2.0 コミュニティプロファイル」のドラフト作成に参加することを目的としている。

 

・[PDF] NIST.CSWP.51.ipd

 

目次...

1. Introduction	1. 序論
2. Transit Stakeholder Engagement	2. 交通機関のステークホルダーの関与
3. Challenges to Securing Transit Systems	3. 交通システムのセキュリティ確保における課題
4. Community Profile Structure	4. コミュニティプロファイルの構造
5. The Role of Community Priorities in Profile Development	5. プロファイル策定におけるコミュニティの優先事項の役割
6. Community Profile Mapping	6. コミュニティプロファイルのマッピング
7. Applying the Transit CSF Community Profile	7. 交通機関 CSF コミュニティプロファイルの適用
8. Next steps	8. 次のステップ
References	参考文献

 

序論..

1. Introduction	1. 序論
The National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0 introduced the concept of a Community Profile. A Community Profile is a baseline of CSF outcomes that is created and published to address shared interests and goals among a number of organizations. It is typically developed for a particular sector, subsector, technology, threat type, or other use case, and can be used by an organization as the basis for its own Organizational Target Profile [1].	米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF）2.0 では、コミュニティプロファイルという概念が導入されました。コミュニティプロファイルは、複数の組織が共有する関心事や目標に対応するために作成され公開される、CSFの成果物の基準である。通常、特定の業界、サブ業界、技術、脅威の種類、またはその他の利用ケースを対象に開発され、組織が自社の組織目標プロファイル [1] の基盤として利用できる。
The National Institute of Standards and Technology is currently developing a Transit Community Profile to provide a voluntary, risk-based approach for managing cybersecurity activities, reducing cybersecurity risks, and improving the cybersecurity posture of the transit community.	米国国立標準技術研究所は現在、サイバーセキュリティ活動を管理し、サイバーセキュリティのリスクを軽減し、交通機関コミュニティのサイバーセキュリティ体制を改善するための、自主的なリスクベースのアプローチを提供するための交通機関コミュニティプロファイルを開発している。
The transit community, for the purposes of the Community Profile, includes public and private owners and operators of public transportation services. They operate a diverse mix of equipment and services that can include bus and rail (i.e., light rail, subway, and commuter rail), and also includes affiliated entities, such as county governments responsible for overseeing transit operations. However, it does not include national rail passenger or freight rail services.	コミュニティプロファイルの目的上、交通機関コミュニティには、公共交通サービスの公共および民間の所有者および運営者が含まれる。彼らは、バスや鉄道（ライトレール、地下鉄、通勤鉄道など）を含む多様な設備やサービスを運営しており、交通機関の運営を監督する郡政府などの関連事業体も含まれる。ただし、国の鉄道旅客輸送サービスや貨物輸送サービスは含まれない。
The Community Profile will suggest prioritization of cybersecurity outcomes to meet specific strategic business/mission focus areas for the transit community and identify relevant and actionable security practices that can be implemented in support of those areas. It is intended to complement, not replace, any existing cybersecurity programs, guidelines, or policy that transit operators may already have in place.	コミュニティプロファイルでは、交通機関コミュニティの特定の戦略的事業/ミッションの重点分野に対応するためのサイバーセキュリティ成果の優先順位付けを提案し、これらの分野を支援するために実施できる、関連性があり実行可能なセキュリティ対策の特定を行う。これは、交通機関事業者がすでに導入している既存のサイバーセキュリティプログラム、ガイドライン、またはポリシーを置き換えるものではなく、それらを補完するものである。
The Transit Community Profile will offer a variety of potential benefits, including but not limited to:	交通機関コミュニティプロファイルは、以下を含むがこれらに限定されない、さまざまな潜在的なメリットを提供する。
・Describe a shared taxonomy to support communication about cybersecurity risk management for transit owners/operators	・交通機関の所有者/運営者間のサイバーセキュリティリスクマネジメントに関するコミュニケーションを支援するための共通分類法を記述する
・Consolidate transit cybersecurity requirements, recommendations, and guidelines from multiple industry stakeholders under one framework	・複数の業界関係者の交通機関のサイバーセキュリティ要件、推奨事項、ガイドラインを 1 つの枠組みに統合する
・Develop common target outcomes that transit owners and operators can use to support strategic planning efforts and cybersecurity assessments	・交通機関の所有者および運営者が戦略的計画立案の取り組みやサイバーセキュリティアセスメントを支援するために使用できる、共通の目標成果を策定する
・Provide scalable and achievable cybersecurity recommendations and guidelines for transit owners/operators of all sizes	・あらゆる規模の交通機関の所有者/運営者に、拡張可能で達成可能なサイバーセキュリティに関する推奨事項およびガイドラインを提供する

 

 

交通システムのセキュリティ確保における課題...

3. Challenges to Securing Transit Systems	3. 交通システムのセキュリティ確保における課題
Transit owners and operators manage a complex network of business and operational systems in service to their mission. Examples can include:	交通機関の所有者や運営者は、その使命を果たすために、複雑なビジネスおよび運用システムのネットワークを管理している。その例としては、次のようなものが挙げられる。
• Rail signaling and train control systems	• 鉄道の信号および列車制御システム
• Bus fueling, battery-electric charging, and charge management systems	• バス用燃料供給、バッテリー充電、および充電管理システム
• Scheduling and dispatching	• スケジュール管理および配車
• Facility management systems	• 施設管理システム
• Emergency communications systems	• 緊急通信システム
• Control and communication systems	• 制御および通信システム
• Ticketing systems	• 発券システム
• Command centers	• コマンドセンター
• Revenue collection systems, including back office and fare payment systems	• バックオフィスおよび運賃収受システムを含む収入収受システム
• Public information systems, such as station-based electronic signage and web and mobile applications/systems	• 駅に設置された電子看板、ウェブおよびモバイルアプリケーション/システムなどの公共情報システム
Traditionally, many of these systems relied on direct connections for communications. Today, communication between and among these systems is digital and network-based, including through extensive use of wireless connectivity. This dependence on digital technology and interconnections to sustain daily operations has widened the cyber attack surface for transit agencies. Operators must now manage the cybersecurity risk of their IT and OT systems while meeting increasingly demanding safety and operating requirements.	従来、これらのシステムの多くは、通信に直接接続に依存していた。今日、これらのシステム間の通信は、ワイヤレス接続の広範な利用を含め、デジタル化およびネットワーク化されている。日常業務を維持するためのデジタル技術と相互接続への依存度が高まったことで、交通機関のサイバー攻撃の攻撃対象範囲は拡大している。事業者たちは、ますます厳しくなる安全および運用要件を満たしながら、IT および OT システムのサイバーセキュリティリスクを管理しなければならない。
Several aspects of the transit sector make it uniquely challenging to protect and requires a more tailored approach to prioritize and apply cybersecurity risk management measures. These include:	交通機関セクターには、その保護を特に困難にするいくつかの側面があり、サイバーセキュリティリスクマネジメント措置の優先順位付けと適用には、より個別化されたアプローチが必要だ。その例としては、次のようなものが挙げられる。
• Safety-critical control systems. Safety-critical control systems—such as signaling and train control for rail, and steering, acceleration, and brake control for buses—are governed by standards which may not fully account for cybersecurity risk. Cybersecurity risk mitigations for these systems must be carefully implemented to ensure they meet safety and industry standards without triggering the need for safety recertification.	• 安全上重要な制御システム。鉄道の信号や列車制御、バスの操舵、加速、ブレーキ制御など、安全上重要な制御システムは、サイバーセキュリティのリスクを十分に考慮していない標準によって管理されている。これらのシステムのサイバーセキュリティリスクを緩和するには、安全基準および業界標準を確実に満たし、安全の再認証の必要が生じないように、慎重に実施する必要がある。
• Legacy systems. Most transit agencies simultaneously manage both modern and legacy IT and OT infrastructure and systems. Legacy systems and assets in the transit sector have long lifecycles measured in decades, not years, and may not be able to accommodate modern cybersecurity controls (e.g., multifactor authentication, advanced encryption). Retrofitting these systems for cybersecurity purposes can be cost-prohibitive and disruptive, and compensating cybersecurity controls may be needed to meet the security outcomes.	• レガシーシステム。ほとんどの交通機関は、最新の IT および OT インフラストラクチャとシステムを同時に管理している。交通部門のレガシーシステムおよび資産は、そのライフサイクルが数年ではなく数十年と長く、最新のサイバーセキュリティ制御（多要素認証、高度な暗号化など）に対応できない場合がある。これらのシステムをサイバーセキュリティの目的で改造するには、多額の費用がかかり、業務に支障をきたすおそれがある。また、セキュリティの成果を達成するには、補完的なサイバーセキュリティ制御が必要になる場合がある。
• Communication systems. Communication systems (e.g., wireless, wired, radio) are the backbone of public transit operations, supporting coordination between buses, vehicles, trains, control centers, and infrastructure. They facilitate real-time updates, signaling, dispatching, and monitoring. Any disruption or compromise in these systems can lead to operational failures, delays, or even accidents, impacting the safety and reliability of transit systems.	• コミュニケーションシステム。コミュニケーションシステム（ワイヤレス、有線、無線など）は、バス、車両、電車、制御センター、インフラ間の連携をサポートする、公共交通機関の運営のバックボーンだ。リアルタイムの更新、信号、配車、監視を容易にする。これらのシステムに障害や侵害が発生すると、運用障害、遅延、さらには事故につながり、交通システムの安全性と信頼性に影響を与える可能性がある。
• Vendor supply chain. Rail and bus transportation systems and components are supplied by a large variety of domestic and global suppliers. Likewise, transit agencies rely heavily on vendor services and contractors to install, manage, and maintain their IT and OT systems and infrastructure. Cybersecurity supply chain risk management must be part of an organization-wide risk management strategy.	• ベンダーのサプライチェーン。鉄道およびバス輸送システムとそのコンポーネントは、国内外のさまざまなサプライヤーから供給されている。同様に、交通機関は、IT および OT システムとインフラストラクチャの設置、管理、保守をベンダーのサービスや請負業者に大きく依存している。サイバーセキュリティのサプライチェーンリスクマネジメントは、組織全体のリスクマネジメント戦略の一部として組み込む必要がある。
• Distributed and mobile operations. Transit operations and their support systems are geographically dispersed with mobile assets. Rail operators, for example, manage systems and sensors that encompass the rail network and associated facilities. Likewise, bus operators support moving assets, garages, and maintenance facilities deployed across a metropolitan region.	• 分散型およびモバイル型の業務。交通機関の運用およびそのサポートシステムは、地理的に分散しており、移動資産も伴います。たとえば、鉄道事業者は、鉄道網および関連施設を網羅するシステムやセンサーを管理しています。同様に、バス事業者は、大都市圏に展開されている移動資産、車庫、保守施設をサポートしています。
• Physical security concerns. Transit assets and infrastructure are both accessible to and used by the public. Many of the supporting systems are also distributed across a broad region, making physical security more challenging and exposing certain elements, such as telecommunications systems or wayside equipment, to potential unauthorized physical and logical access by malicious actors.	• 物理的なセキュリティ上の懸念。交通資産とインフラは、一般市民がアクセス可能であり、利用されている。多くの支援システムも広範な地域に分散しているため、物理的セキュリティがより困難になり、通信システムや沿線設備などの要素が、悪意のあるアクターによる不正な物理的・論理的アクセスにさらされるリスクがある。
• Safety-centric culture. A transit operator’s top responsibility is safety. Cybersecurity knowledge and awareness in many agencies is still maturing. The American Public Transportation Association, federal agencies, suppliers, and the operating agencies themselves have worked to develop and organize resources to advance cybersecurity awareness and protections specific to transit operations. Cybersecurity measures and training must continue to integrate into an agency’s overall safety framework to improve effectiveness.	• 安全中心の文化。交通機関の運営者の最大の責任は安全だ。多くの機関では、サイバーセキュリティに関する知識と意識はまだ成熟していない。米国公共交通協会、連邦政府機関、サプライヤー、および運営機関自身が、交通機関の運営に特化したサイバーセキュリティの意識向上と保護を推進するためのリソースの開発と整理に取り組んでいる。サイバーセキュリティ対策とトレーニングは、その有効性を高めるために、引き続き機関の全体的な安全枠組みに統合されなければならない。