米国 NIST IR 8349 IoTデバイスのネットワーク動作特性を評価する手法: まるちゃんの情報セキュリティ気まぐれ日記

February 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28

2025.09.05

米国 NIST IR 8349 IoTデバイスのネットワーク動作特性を評価する手法

こんにちは、丸山満彦です。

NISTがNIST IR 8349 IoTデバイスのネットワーク動作特性を評価する手法を公表していますね...

2022年1月にドラフトがでてら、３年半少し...最終化されました...

● NIST - ITL

・2025.08.28 NIST IR 8349 Methodology for Characterizing Network Behavior of Internet of Things Devices

NIST IR 8349 Methodology for Characterizing Network Behavior of Internet of Things Devices	NIST IR 8349 IoTデバイスのネットワーク動作特性を評価する手法
Abstruct	概要
This report describes an approach to capturing and documenting the network communication behavior of Internet of Things (IoT) devices. From this information, manufacturers, network administrators, and others can create and use files based on the Manufacturer Usage Description (MUD) specification to manage access to and from those IoT devices. The report also describes the current state of implementation of the approach and proposals for future development.	本報告書は、IoTデバイスのネットワークコミュニケーション挙動を捕捉し文書化する手法について記述する。この情報に基づき、製造事業者、ネットワーク管理者等は、製造事業者製品使用方法説明書（MUD）仕様に基づくファイルを作成・利用し、当該IoTデバイスへのアクセスおよび当該デバイスからのアクセスを管理することができる。本報告書では、本手法の現状の実装状況および将来の開発に向けた提案についても記述する。

・[PDF] NIST.IR.8349

・[DOCX][PDF] 仮訳

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Challenges for Securing IoT Devices and Their Networks	1.1. IoTデバイスとそのネットワークのセキュリティ確保における課題
1.2. Purpose and Scope	1.2. 目的と範囲
1.3. Report Structure	1.3. 報告書の構成
2. Network Traffic Capture Methodology	2. ネットワークトラフィックキャプチャ手法
2.1. Capture Strategy	2.1. キャプチャ戦略
2.1.1. IoT Device Life-Cycle Phases	2.1.1. IoTデバイスのライフサイクル段階
2.1.1.1. Setup	2.1.1.1. セットアップ
2.1.1.2. Normal Operation	2.1.1.2. 通常動作
2.1.1.3. Decommissioning/Removal	2.1.1.3. 廃止/撤去
2.1.2. Environmental Variables	2.1.2. 環境変数
2.1.3. Activity-Based and Time-Based Capture Approaches	2.1.3. アクティビティベースおよびタイムベースのキャプチャ手法
2.1.4. Network Architecture and Capture Approach	2.1.4. ネットワークアーキテクチャとキャプチャ手法
2.1.5. Capture Tools	2.1.5. キャプチャツール
2.1.5.1. tcpdump	2.1.5.1. tcpdump
2.1.5.2. Wireshark/tshark	2.1.5.2. Wireshark/tshark
2.2. Capture Procedures	2.2. キャプチャ手順
2.2.1. Activity-Based Capture	2.2.1. アクティビティベースのキャプチャ
2.2.2. Time-Based Capture	2.2.2. 時間ベースのキャプチャ
2.3. Documentation Strategy	2.3. ドキュメント戦略
3. Analysis Use Cases and Tools	3. 分析ユースケースとツール
3.1. Manual MUD File Generation	3.1. 手動によるMUDファイル生成 (生成式的)
3.1.1. Wireshark	3.1.1. Wireshark
3.1.2. NetworkMiner	3.1.2. NetworkMiner
3.1.3. Overview of Manual MUD File Generation Process	3.1.3. 手動によるMUDファイル生成プロセスの概要
3.2. MUD-PD	3.2. MUD-PD
3.2.1. MUD-PD Feature Set	3.2.1. MUD-PDの機能セット
3.2.2. MUD-PD Uses	3.2.2. MUD-PD の用途
3.3. MUD-PD Support for Privacy Analysis	3.3. プライバシー分析のためのMUD-PDサポート
4. Future Work	4. 今後の研究課題
4.1. Extending MUD-PD Features	4.1. MUD-PD機能の拡張
4.2. Developing a MUD Pipeline	4.2. MUDパイプラインの開発
4.3. Open Problems for the Community	4.3. コミュニティへの未解決課題
References	参考文献
Appendix A. Example Capture Environment	附属書A. キャプチャ環境の例
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書B. 記号・略語・頭字語一覧
Appendix C. MUD-PD Tool GUI Overview	附属書 C. MUD-PD ツール GUI の概要
C.1. Importing a New Packet Capture	C.1. 新規パケットキャプチャの輸入事業者
C.2. Viewing and Importing Devices	C.2. デバイスの表示と輸入事業者
C.3. Generating Device Reports	C.3. デバイスレポートの生成 (生成的)
C.4. Generating a MUD File	C.4. MUDファイルの生成 (生成的)

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Characterizing and understanding the expected network behavior of Internet of Things (IoT) devices is essential for cybersecurity. It enables the implementation of appropriate network access controls (e.g., firewall rules or access control lists) to protect the devices and the networks on which they are deployed. This may include limiting a device’s communication to only that which is deemed necessary. It also enables identifying when a device may be misbehaving, a potential sign of compromise. The ability to restrict network communications for IoT devices is critically important, especially given the increased number of these devices.	IoTデバイスの期待されるネットワーク動作を特徴づけ理解することは、サイバーセキュリティにとって不可欠である。これにより、デバイスとそれが展開されるネットワークを保護するための適切なネットワークアクセス制御（例：ファイアウォールルールやアクセス制御リスト）の実装が可能となる。これには、デバイスのコミュニケーションを必要最小限のものに制限することも含まれる。また、デバイスが不正動作している可能性（侵害の兆候）を識別することも可能となる。IoTデバイスのネットワークコミュニケーションを制限する能力は、特にこれらのデバイスの増加を考慮すると極めて重要である。
Network behavior for most IoT devices is situationally dependent. For example, many IoT devices are operated and controlled through multiple mechanisms, such as voice commands, physical interaction with a person, other devices (e.g., a smartphone or IoT hub), and services (e.g., cloud-based). Each of these mechanisms may result in different network behavior, even if they achieve the same result (e.g., turning on a lightbulb through a voice command, mobile app, or physically toggling a switch). Additionally, certain patterns of network behavior may only occur in specific stages of a device’s life cycle (i.e., setup, normal operation, and decommissioning). Also, network behavior may change over time as device software is updated. For these reasons, the expected network behavior of a device needs to be characterized and understood for all intended scenarios and during each stage of its life cycle. Otherwise, necessary steps for device setup, operation, or decommissioning may be blocked by network access controls, preventing them from being performed fully or at all.	大半のIoTデバイスのネットワーク動作は状況に依存する。例えば、多くのIoTデバイスは音声コマンド、人との物理的インタラクション、他のデバイス（スマートフォンやIoTハブなど）、サービス（クラウドベースなど）といった複数のメカニズムを通じて操作・制御される。これらの各メカニズムは、同じ結果（例：音声コマンド、モバイルアプリ、物理的なスイッチ操作による電球の点灯）を達成する場合でも、異なるネットワーク動作を引き起こす可能性がある。さらに、特定のネットワーク動作パターンは、デバイスのライフサイクルの特定の段階（例：セットアップ、通常動作、廃棄）でのみ発生する場合がある。また、デバイスソフトウェアの更新に伴い、ネットワーク動作は時間とともに変化する可能性がある。これらの理由から、デバイスの想定されるネットワーク動作は、すべての想定シナリオおよびライフサイクルの各段階において特性化され、理解される必要がある。そうしなければ、デバイス設定、運用、または廃棄に必要な手順がネットワークアクセス管理によって妨げられ、完全な実行または実行自体が不可能になる可能性がある。
This publication describes recommended techniques to accurately capture, document, and characterize the entire range of an IoT device’s network behavior across various use cases and conditions. Using this methodology, IoT device manufacturers and developers, network operators and administrators, cloud providers, and researchers can generate files conforming to Manufacturer Usage Description (MUD), which provides a standard way to specify the network communications that an IoT device requires to perform its intended functions. MUD files tell the organizations using IoT devices what access control rules should apply to each IoT device, and MUD files can be automatically consumed and used by various security technologies. MUD files can be augmented for specific network deployments. Network operators, network administrators, and cloud providers can deploy default or custom MUD files in conjunction with environment-based network profiles captured using security tools to protect individual devices as well as entire networks.	本出版物は、様々なユースケースや条件下におけるIoTデバイスのネットワーク動作の全範囲を正確に捕捉、文書化、特性化する推奨手法を説明する。この方法論を用いることで、IoTデバイスメーカーや開発者、ネットワーク事業者や管理者、クラウドプロバイダ、研究者は、Manufacturer Usage Description（MUD）に準拠したファイルを生成できる。MUDは、IoTデバイスが意図された機能を実行するために必要なネットワークコミュニケーションを規定する標準を提供する。MUDファイルは、IoTデバイスを利用する組織に対し、各デバイスに適用すべきアクセス管理ルールを指示す。また、様々なセキュリティ技術によって自動的に消費・利用されることが可能である。MUDファイルは特定のネットワーク展開に合わせて拡張できる。ネットワーク事業者、ネットワーク管理者、クラウドプロバイダは、セキュリティツールで収集した環境ベースのネットワークプロファイルと組み合わせて、デフォルトまたはカスタムのMUDファイルを展開し、個々のデバイスだけでなくネットワーク全体を保護できる。
This publication also presents MUD-PD, an open-source tool developed by the NIST National Cybersecurity Center of Excellence (NCCoE) to help automate the characterization of IoT devices and subsequent creation of MUD files. This tool can be used to catalog and analyze the collected data, as well as generate both reports about the device and deployable MUD files.	本出版物では、NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）が開発したオープンソースツール「MUD-PD」も紹介する。これはIoTデバイスの特性評価とそれに続くMUDファイルの作成を自動化することを支援する。本ツールは収集データの分類・分析に加え、デバイスに関するレポートと展開可能なMUDファイルの両方を生成するために使用できる。