サイト内検索

My Photo
November 2025
Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 米国 NIST IR 8183 Rev. 2 (初期公開ドラフト) サイバーセキュリティ・フレームワーク2.0 製造業プロファイル (2025.09.29) | Main | ENISA 医療分野におけるサイバーハイジーン (2025.09.16) »

2025.10.03

米国 NIST SP 1334 OT環境における可搬保管媒体のサイバーセキュリティリスク低減 (2025.09.30)

こんにちは、丸山満彦です。

NISTが、SP 1334 OT環境における可搬保管媒体のサイバーセキュリティリスク低減を最終化していますね...

 

NIST - ITL

・2025.09.30 NIST SP 1334 Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments

NIST SP 1334 Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments NIST SP 1334 OT環境における可搬保管媒体のサイバーセキュリティリスク低減
Abstract 要約
Portable storage media continue to be useful tools for transferring data physically to and from Operational Technology (OT) environments. Universal Serial Bus (USB) flash drives are commonly used, in addition to external hard drives, CD or DVD drives, and other removable media. 可搬保管媒体は、オペレーショナルテクノロジー(OT)環境との間で物理的にデータを転送する有用なツールであり続けている。外部ハードドライブ、CDまたはDVDドライブ、その他のリムーバブルメディアに加え、ユニバーサルシリアルバス(USB)フラッシュドライブが一般的に使用されている。
Though portable storage media are convenient, their usage poses cybersecurity risks for operational environments. Procedural, physical, and technical controls are important for minimizing the likelihood of a cyberattack from portable storage media usage. The National Cybersecurity Center of Excellence (NCCoE) has developed cybersecurity considerations to help OT personnel use portable storage media securely and effectively. しかし可搬保管媒体は便利である一方、運用環境におけるサイバーセキュリティリスクをもたらす。可搬保管媒体の使用によるサイバー攻撃の可能性を最小限に抑えるには、手順上・物理的・技術的な管理が重要である。国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、OT担当者が可搬保管媒体を安全かつ効果的に使用するためのサイバーセキュリティ上の考慮事項を開発した。

 

・[PDF] NIST.SP.1334

20251002-140258

 

REDUCING THE CYBERSECURITY RISKS OF PORTABLE STORAGE MEDIA IN OT ENVIRONMENTS OT環境における可搬保管媒体のサイバーセキュリティリスク低減
Portable storage media continue to be useful tools for transferring data physically to and from Operational Technology (OT) environments. For example, media can be used for updating firmware for a device in an isolated OT network or retrieving log data for offsite diagnostics. Universal Serial Bus (USB) flash drives are commonly used, in addition to external hard drives, CD or DVD drives, and other removable media.  可搬保管媒体は、オペレーショナルテクノロジー(OT)環境との間で物理的にデータを転送する有用なツールであり続けている。例えば、隔離されたOTネットワーク内のデバイスのファームウェア更新や、オフサイト診断のためのログデータ取得にメディアが使用される。外部ハードドライブ、CD/DVDドライブ、その他のリムーバブルメディアに加え、USBフラッシュドライブが一般的に使用されている。
Though portable storage media are convenient, their usage poses cybersecurity risks for operational environments. Procedural, physical, and technical controls are important for minimizing the likelihood of a cyberattack from portable storage media usage. The National Cybersecurity Center of Excellence (NCCoE) has developed cybersecurity considerations to be integrated into a broader cybersecurity risk management program to help OT personnel use portable storage media securely and effectively. 可搬保管媒体は便利だが、その使用は運用環境にサイバーセキュリティリスクをもたらす。可搬保管媒体の使用によるサイバー攻撃の可能性を最小限に抑えるには、手順的、物理的、技術的な管理が重要である。国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、OT担当者が可搬保管媒体を安全かつ効果的に使用できるよう、より広範なサイバーセキュリティリスクマネジメントプログラムに統合すべき考慮事項を策定した。
PROCEDURAL CONTROLS 手順上の管理
An organization should develop policies that support asset management and enforce:  組織は資産管理を支援し、以下を強制する方針を策定すべきである:
• Purchasing, authorizing, and managing organizationowned media. Devices provided by other sources should be considered untrusted.  • 組織所有メディアの購入、認可、管理。外部提供デバイスは信頼できないものと見なす。
• Procuring devices that support hardware-based encryption standards such as FIPS.  • FIPSなどのハードウェアベース暗号化標準をサポートするデバイスの調達。
• Prohibiting media usage unless expressly authorized. Authorization should be limited to specific personnel and purposes.  • 明示的に認可された場合を除き、メディア使用を禁止する。認可は特定の担当者および目的に限定すべきである。
• Procedures for provisioning, usage, storage, sanitization, and destruction.  • プロビジョニング、使用、保管、サニタイズ、廃棄の手順。
• Enabling logs for traceability (e.g., system and user identity, device serial number, date and time).  • 追跡可能性のためのログ記録を有効化する(例:システムおよびユーザーID、デバイスシリアル番号、日時)。
• Training staff on policy and procedures. • ポリシーと手順に関するスタッフへの教育。
PHYSICAL CONTROLS 物理的制御
One way to minimize risk when using portable storage media is to apply physical controls for accessing, labeling, and storing the media.  可搬保管媒体を使用する際のリスクを最小限に抑える方法の一つは、媒体へのアクセス、表示、保管に関する物理的制御を適用することである。
• Media should be stored in a physically secure location where only authorized individuals have access.  • 媒体は、認可された個人のみがアクセスできる物理的に安全な場所に保管すべきである。
• Approved portable storage media should be inventoried and labeled. Labels may indicate: • 承認された可搬保管媒体は、在庫管理され、表示されるべきである。表示には以下を示すことができる:
o Who may use it o 使用許可者
o On which network/system it may be used o 使用可能なネットワーク/システム
o Its functional purpose Having a designated space to store approved media, in conjunction with access control and labeling, is a foundation for a well-implemented set of physical controls. This can be part of a larger asset management program. o 機能承認済みメディアの保管場所を指定し、アクセス管理とラベル付けを組み合わせることが、物理的制御を適切に実施するための基盤となる。これは大規模な資産管理プログラムの一部とすることができる。
TECHNICAL CONTROLS 技術的制御
Media should be protected consistent with guidance found in NIST SP 800-82, Revision 3. An organization should establish technical controls that enforce:  メディアはNIST SP 800-82改訂版3の指針に沿って防御すべきである。組織は以下を強制する技術的制御を確立すべきである:
• Disabling unnecessary ports. This can be done logically (e.g., BIOS, operating system, or group policy) or physically (e.g., port locks, epoxy, locking cabinets).  • 不要なポートの無効化。論理的(例:BIOS、OS、グループポリシー)または物理的(例:ポートロック、エポキシ封止、施錠キャビネット)に実施可能。
• Restricting devices or file execution through allowlisting solutions.  • 許可リスト方式によるデバイスまたはファイル実行の制限。
• Scanning of media before and after use. • 使用前後のメディアスキャン。
o Use updated malware detection software for automatic scans. o 自動スキャンには更新されたマルウェア検知ソフトウェアを使用する。
o When inserting media into unsupported devices, scan from an approved alternate device.  o サポート対象外のデバイスにメディアを挿入する場合、承認済みの代替デバイスからスキャンする。
• Reformatting devices before reusing them on different equipment or environments.  • 異なる機器や環境で再利用する前にデバイスを再フォーマットする。
• Write-protection when files only need to be read.  • ファイルが読み取り専用である場合に書き込み保護を適用する。
• Disabling Autorun.  • オートラン機能を無効化する。
• Encrypting the data stored on portable storage media using a FIPS-certified algorithm.  • FIPS認定アルゴリズムを用いて可搬保管媒体に保存されたデータを暗号化する。
• Detection of removable media activity by configuring alerts on insertion and data transfer. • 挿入時およびデータ転送時のアラート設定により、リムーバブルメディアの活動を検知する。
TRANSPORT AND SANITIZATION 移送とサニタイズ
Transportation within and between organizations introduces risk, which can be reduced by applying additional physical and logical controls. NIST SP 800-53, Revision 5 provides additional details on Media Protection.  組織内および組織間の移送にはリスクが伴うが、追加の物理的・論理的制御を適用することで軽減できる。NIST SP 800-53 リビジョン5は媒体保護に関する詳細を規定している。
• Encryption or a locked container can be used to securely transport USB devices within an organization.  • 組織内でのUSBデバイスの安全な移送には、暗号化または施錠されたコンテナを使用できる。
• Hash or checksum verification should be performed when transporting files (e.g., between the integrator and the asset owner).  • ファイルを輸送する際(例:インテグレーターと資産所有者の間)には、ハッシュまたはチェックサム検証を実施すべきである。
• Sanitization should be performed prior to disposing of the USB device. Media sanitization should include monitoring, reviewing, approving, tracking, and documenting actions. For more details, see NIST SP 800- 88, Revision 2*, Guidelines for Media Sanitization. • USBデバイスの廃棄前にはサニタイズを実施すべきである。メディアサニタイズには、監視、確認、承認、追跡、および行動の文書化を含むべきである。詳細はNIST SP 800-88改訂版2*「メディアサニタイズガイドライン」を参照のこと。
CONCLUSION 結論
Organizations can reduce the cybersecurity risks of USB device use with secure physical and logical controls on the access, storage, and usage of USB devices, and training on how to utilize USB devices safely and effectively in OT environments. For more information on specific controls, please refer to Guide to Operational Technology (OT) Security (NIST SP 800-82 Rev. 3), Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 Rev. 5), and Guidelines for Media Sanitization (NIST SP 800-88 Rev. 2*).  組織は、USBデバイスのアクセス、保管、使用に対する物理的・論理的な安全対策と、OT環境におけるUSBデバイスの安全かつ効果的な利用方法に関するトレーニングを実施することで、USBデバイス使用に伴うサイバーセキュリティリスクを低減できる。具体的な管理策の詳細については、「運用技術(OT)セキュリティガイド(NIST SP 800-82 Rev. 3)」、「情報システムおよび組織のためのセキュリティとプライバシー管理策(NIST SP 800-53 Rev. 5)」、「メディアサニタイズガイドライン(NIST SP 800-88 Rev. 2*)」を参照のこと。
* Rev. 2 is in initial public draft phase * Rev. 2は現在、公開ドラフト段階にある

SP800-88は、2025.09.17に最終化されていますね...

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

ドラフト

・2025.07.24 米国 NIST SP 1334( 初期公開ドラフト) OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減 (2025.07.15)

 

OTセキュリティ

・2023.10.01 NIST SP 800-82 第3版 OTセキュリティガイド

・2022.04.28 NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト)

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

少し昔ですが...

・2011.06.10 NIST Special Publication 800-82, Guide to Industrial Control System (ICS) Security.

 

サニタイズ

・2025.10.01 米国 NIST SP 800-88 Rev. 2 媒体サニタイズ・ガイドライン (2025.09.26)

・2025.07.25 米国 NIST SP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドライン (2025.07.21)

 

 

2025.10.03 00:00 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in IoT |

« 米国 NIST IR 8183 Rev. 2 (初期公開ドラフト) サイバーセキュリティ・フレームワーク2.0 製造業プロファイル (2025.09.29) | Main | ENISA 医療分野におけるサイバーハイジーン (2025.09.16) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST IR 8183 Rev. 2 (初期公開ドラフト) サイバーセキュリティ・フレームワーク2.0 製造業プロファイル (2025.09.29) | Main | ENISA 医療分野におけるサイバーハイジーン (2025.09.16) »