米国 NIST CSWP 42 IoTセキュリティの自動化に向けて:信頼できるネットワーク層オンボーディングの実装 (2025.11.25)
こんにちは、丸山満彦です。
NISTがIoTセキュリティの自動化に向けて、信頼できるネットワーク層オンボーディングの実装に関するホワイトペーパーを公表していますね...
セキュリティに関してはセキュリティ設定のできる限りの自動化がまずは重要なのだろうと思います。
現在のIoTオンボーディングの課題...
- IoTデバイスへのネットワーク認証情報の手動プロビジョニングは、特に大規模な場合、エラーが発生しやすく、時間がかかり、しばしば安全でない。
- 共有されたネットワーク認証情報は、脅威がネットワーク全体に容易に拡散することを許す。
- 多くのIoTデバイスにおける限定的なユーザーインターフェースは、手動での認証情報入力を困難または不可能にする。
- ネットワーク認証情報のプロビジョニングに利用されるオープンWi-Fiネットワークは、盗聴や不正アクセスのリスクを高める。
- デバイス認証の欠如により、接続デバイスが当該ネットワークに真正に属するかどうかをネットワークが検証できない。
信頼されたネットワーク層オンボーディングが解決する課題
信頼されたネットワーク層オンボーディングとは、デバイスにネットワーク認証情報を安全にプロビジョニングする自動化された仕組みである。信頼されたネットワーク層オンボーディングとライフサイクル管理は、これらの課題に対処する4つの主要な機能を提供する:
- デバイスごとの固有ネットワーク認証情報
- 攻撃対象領域を縮小し、潜在的な被害を制限する。
- 個々の侵害されたデバイスを容易に除去できる。
- デバイス間の認証情報再利用を防止する
- ゼロタッチオンボーディング
- 自動化され拡張性のあるデバイスオンボーディングを実現する。
- IoTデバイスへのネットワーク認証情報の手動プロビジョニングを不要とする。
- エンタープライズと消費者向け双方のユースケースでプロセスを簡素化する。
- 設定可能な信頼ポリシー
- 特定のユースケースに基づいた信頼定義のカスタマイズを可能とする。・様々なセキュリティ要件への柔軟な適応を可能とする。
- 異なるシナリオ向けのオンボーディング方法をカプセル化する
- 継続的保証
- ゼロトラスト原則を実装する。
- 継続的なポリシーベースのデバイス認可を可能にする。
- 信頼ポリシー違反時に即時デバイス削除を許可する。
これらの機能は連携して以下を実現する:
- デバイスとネットワーク間の相互認証を可能にする。
- 暗号化チャネル経由でネットワーク認証情報を安全に伝送する。
- ネットワーク認証情報への不正アクセスを防止する。
- デバイスライフサイクル全体での反復的なオンボーディングをサポートする。
● NIST
・2025.11.25 NIST CSWP 42 Towards Automating IoT Security: Implementing Trusted Network-Layer Onboarding
| NIST CSWP 42 Towards Automating IoT Security: Implementing Trusted Network-Layer Onboarding | NIST CSWP 42 IoTセキュリティの自動化に向けて:信頼できるネットワーク層オンボーディングの実装 |
| Abstract | 概要 |
| This document provides an overview of trusted Internet of Things (IoT) device network-layer onboarding—a capability for securely providing IoT devices with their local network credentials in a manner that helps to ensure that the network is not put at risk as new IoT devices are connected to it. Additionally, the paper demonstrates the security benefits of trusted network-layer onboarding and how it can address problems with current IoT device onboarding practices. | 本稿は、信頼されたIoTデバイス向けネットワーク層オンボーディングの概要を説明する。これは、新たなIoTデバイスが接続される際にネットワークがリスクに晒されないよう、IoTデバイスにローカルネットワーク認証情報を安全に提供する機能である。さらに、信頼されたネットワーク層オンボーディングのセキュリティ上の利点と、現行のIoTデバイスオンボーディング手法の問題点を解決する方法を示す。 |
・[PDF] NIST.CSWP.42
| Audience | 対象読者 |
| This paper is intended for individuals and organizations who use IoT devices (e.g., to collect data from a variety of systems and locations in order to enable quick identification of potential issues and rapid response and management of them). IoT devices could measure real-time data to detect component faults, measure toxins, or detect infrastructure breaches. Whether these IoT devices are used on complex operational networks or relatively simple home networks, the goal is to avoid exposing those networks and devices to additional threats. | 本稿は、IoTデバイスを利用する個人や組織を対象としている(例:様々なシステムや場所からデータを収集し、潜在的な問題を迅速に特定し、それに対する迅速な対応と管理を可能にするため)。IoTデバイスは、リアルタイムデータを測定して部品の故障を検知したり、毒素を測定したり、インフラの侵害を検知したりできる。これらのIoTデバイスが複雑な運用ネットワークで使用されるか、比較的単純な家庭内ネットワークで使用されるかにかかわらず、目的はそれらのネットワークやデバイスを追加の脅威に晒さないことである。 |
| Overview | 概要 |
| When an IoT device is deployed, it must be connected to a local network. To connect to that local network securely, the device must be provided with network credentials. If those network credentials are not unique to the device or are not provided in a secure manner, the network will be at increased risk of unauthorized or malicious devices connecting to it. Along the same lines, if an IoT device is not able to establish trust in the network it is joining, it could be put at risk of onboarding to malicious networks. | IoTデバイスが展開される際、ローカルネットワークに接続する必要がある。安全に接続するためには、デバイスにネットワーク認証情報をプロバイダしなければならない。この認証情報がデバイス固有でない場合や、安全な方法で提供されない場合、不正なデバイスや悪意のあるデバイスが接続するリスクが高まる。同様に、IoTデバイスが接続先のネットワークへの信頼を確立できない場合、悪意のあるネットワークに組み込まれるリスクに晒される可能性がある。 |
| What are the current IoT onboarding challenges? | 現在のIoTオンボーディングの課題は何か? |
| With nearly 30 billion IoT devices forecasted to be connected worldwide by 2030 [1], there is a need for an automated, secure solution to network-layer onboarding. Current IoT device onboarding practices present many challenges to individuals and organizations, including: | 2030年までに世界で300億台のIoTデバイスが接続されると予測されている[1]ことから、ネットワーク層のオンボーディングに対する自動化された安全なソリューションが必要である。現在のIoTデバイスオンボーディング手法は、個人や組織に多くの課題を提示している。具体的には: |
| 1. Manual provisioning of network credentials to IoT devices is error-prone, time-consuming, and often insecure, especially at scale. | 1. IoTデバイスへのネットワーク認証情報の手動プロビジョニングは、特に大規模な場合、エラーが発生しやすく、時間がかかり、しばしば安全でない。 |
| 2. Shared network credentials allow threats to propagate easily across the network. | 2. 共有されたネットワーク認証情報は、脅威がネットワーク全体に容易に拡散することを許す。 |
| 3. Limited user interfaces on many IoT devices make manual credential input challenging or impossible. | 3. 多くのIoTデバイスにおける限定的なユーザーインターフェースは、手動での認証情報入力を困難または不可能にする。 |
| 4. Open Wi-Fi networks used for the provisioning of network credentials increase the risk of eavesdropping and unauthorized access. | 4. ネットワーク認証情報のプロビジョニングに利用されるオープンWi-Fiネットワークは、盗聴や不正アクセスのリスクを高める。 |
| 5. Lack of device authentication means that networks cannot verify if connecting devices truly belong on that network. | 5. デバイス認証の欠如により、接続デバイスが当該ネットワークに真正に属するかどうかをネットワークが検証できない。 |
| Trusted network-layer onboarding can provide important security benefits to individuals and organizations experiencing these challenges. | 信頼されたネットワーク層オンボーディングは、こうした課題に直面する個人や組織に重要なセキュリティ上の利点をもたらす。 |
| How does trusted network-layer onboarding address the problem? | 信頼されたネットワーク層オンボーディングはどのように問題を解決するのか? |
| Trusted network-layer onboarding is an automated mechanism for securely provisioning network credentials to a device. Trusted network-layer onboarding and lifecycle management offer four key capabilities to address these challenges: | 信頼されたネットワーク層オンボーディングとは、デバイスにネットワーク認証情報を安全にプロビジョニングする自動化された仕組みである。信頼されたネットワーク層オンボーディングとライフサイクル管理は、これらの課題に対処する4つの主要な機能を提供する: |
| 1. Unique per-device network credentials | 1. デバイスごとの固有ネットワーク認証情報 |
| ・ Reduces attack surface and constrains potential damage. | ・ 攻撃対象領域を縮小し、潜在的な被害を制限する。 |
| ・ Allows easy removal of individual compromised devices. | ・ 個々の侵害されたデバイスを容易に除去できる。 |
| ・ Prevents credential reuse between devices | ・ デバイス間の認証情報再利用を防止する |
| 2. Zero-touch onboarding | 2. ゼロタッチオンボーディング |
| ・ Enables automated, scalable device onboarding. | ・自動化され拡張性のあるデバイスオンボーディングを実現する。 |
| ・ Eliminates the need for manual provisioning of network credentials to IoT devices. | ・IoTデバイスへのネットワーク認証情報の手動プロビジョニングを不要とする。 |
| ・ Simplifies the process for both enterprise and consumer use cases. | ・エンタープライズと消費者向け双方のユースケースでプロセスを簡素化する。 |
| 3. Configurable trust policies | 3. 設定可能な信頼ポリシー |
| ・ Allows customization of trust definitions based on specific use cases. ・ Enables flexible adaptation to various security requirements. | ・ 特定のユースケースに基づいた信頼定義のカスタマイズを可能とする。・様々なセキュリティ要件への柔軟な適応を可能とする。 |
| ・ Encapsulates the onboarding method for different scenarios | ・ 異なるシナリオ向けのオンボーディング方法をカプセル化する |
| 4. Continuous assurance | 4. 継続的保証 |
| ・ Implements zero-trust principles. | ・ ゼロトラスト原則を実装する。 |
| ・ Enables ongoing policy-based device authorization. | ・ 継続的なポリシーベースのデバイス認可を可能にする。 |
| ・ Allows for immediate device removal if trust policies are breached. | ・ 信頼ポリシー違反時に即時デバイス削除を許可する。 |
| These capabilities work together to: | これらの機能は連携して以下を実現する: |
| ・ Enable mutual authentication between devices and networks. | ・ デバイスとネットワーク間の相互認証を可能にする。 |
| ・ Securely transmit network credentials over encrypted channels. | ・ 暗号化チャネル経由でネットワーク認証情報を安全に伝送する。 |
| ・ Prevent unauthorized access to network credentials. | ・ ネットワーク認証情報への不正アクセスを防止する。 |
| ・ Support repeated onboarding throughout a device’s lifecycle. | ・ デバイスライフサイクル全体での反復的なオンボーディングをサポートする。 |
| By authenticating the identity of each device before providing the device with its network credentials, ensuring that each device receives unique credentials, and having those credentials encrypted while they are in-transit to the device, trusted network-layer onboarding helps ensure that the network will not be put at risk as new IoT devices are connected to it. | 各デバイスの身元を認証した上でネットワーク認証情報をプロバイダし、各デバイスが固有の認証情報を受け取ることを保証し、デバイスへの転送中にそれらの認証情報を暗号化することで、信頼されたネットワーク層オンボーディングは、新たなIoTデバイスが接続されてもネットワークがリスクに晒されないことを確実に支援する。 |
| How can I use trusted network-layer onboarding? | 信頼されたネットワーク層オンボーディングをどう活用できるか? |
| The NIST National Cybersecurity Center of Excellence (NCCoE), in collaboration with 11 technology organizations, demonstrated the application of trusted IoT device network-layer onboarding. This project implemented and demonstrated two different trusted network-layer onboarding protocols: Wi-Fi Easy Connect [2] and Bootstrapping Remote Secure Key Infrastructure (BRSKI) [3]. Wi-Fi Easy Connect leverages public-key cryptography to ensure secure authentication and supports both Wi-Fi Protected Access 2 (WPA2) and WPA3 security standards, while BRSKI makes use of manufacturer-installed X.509 certificates and a registrar to establish mutual trust between the device and the network. The Wi-Fi Easy Connect protocol is particularly useful for devices with limited or no user interfaces, such as IoT devices in smart homes or enterprise settings, whereas BRSKI is designed for environments where devices need to be securely onboarded without user intervention, making it applicable to large-scale deployments. | NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、11のテクノロジー組織と連携し、信頼できるIoTデバイス向けネットワーク層オンボーディングの適用を実証した。このプロジェクトでは、2種類の信頼できるネットワーク層オンボーディングプロトコルを実装・実証した:Wi-Fi Easy Connect [2] と Bootstrapping Remote Secure Key Infrastructure (BRSKI) [3] である。Wi-Fi Easy Connectは公開鍵暗号技術を活用して安全な認証を確保し、Wi-Fi Protected Access 2(WPA2)とWPA3のセキュリティ標準をサポートする。一方BRSKIは、製造事業者がインストールしたX.509証明書とレジストラを利用し、デバイスとネットワーク間の相互信頼を確立する。Wi-Fi Easy Connectプロトコルは、スマートホームやエンタープライズ環境におけるIoTデバイスなど、ユーザーインターフェースが限定的または存在しないデバイスに特に有用である。一方BRSKIは、ユーザー介入なしにデバイスを安全にオンボーディングする必要がある環境向けに設計されており、大規模展開に適用可能だ。 |
| Wi-Fi Easy Connect and BRSKI can be used to provide trusted network-layer onboarding in a manner that is secure and easy to use. | Wi-Fi Easy ConnectとBRSKIは、安全かつ使いやすい方法で信頼できるネットワーク層オンボーディングを提供するために利用できる。 |
| ・ IoT Device Manufacturers: To leverage these protocols, IoT devices should be manufactured with support for the selected protocol. | ・ IoTデバイスメーカー:これらのプロトコルを活用するには、選択したプロトコルをサポートするようにIoTデバイスを製造する必要がある。 |
| ・ Networks: Target networks must be equipped with compatible onboarding components (e.g., Wi-Fi Easy Connect-enabled access point or a BRSKI-enabled registrar). | ・ ネットワーク:対象ネットワークは互換性のあるオンボーディングコンポーネント(例:Wi-Fi Easy Connect対応アクセスポイントまたはBRSKI対応レジストラ)を備えている必要がある。 |
| ・ IoT Device User: The user can select a protocol that aligns with their specific network requirements and the type of devices being onboarded. Individuals and organizations that want to take advantage of the enhanced security benefits offered by trusted network-layer onboarding may use either one of these protocols. | ・ IoTデバイス利用者:利用者は、自身のネットワーク要件とオンボーディング対象デバイスの種類に合致するプロトコルを選択できる。信頼されたネットワーク層オンボーディングによる強化されたセキュリティ効果を活用したい個人や組織は、いずれかのプロトコルを利用できる。 |
| What else should I know about trusted network-layer onboarding? | 信頼されたネットワーク層オンボーディングについて他に知っておくべきことは? |
| Trusted network-layer onboarding is a continuous or recurring activity. Any given IoT device may need to be onboarded multiple times throughout its lifecycle, for example, to replace network credentials that need to be refreshed or to enable a device to be securely provisioned with credentials for a different network after being resold or repurposed. If a device supports Wi-Fi Easy Connect or BRSKI, these protocols may be used to provision the device with network credentials repeatedly as needed throughout its lifetime. | 信頼されたネットワーク層オンボーディングは継続的または反復的な活動である。特定のIoTデバイスは、ライフサイクルを通じて複数回のオンボーディングが必要となる場合がある。例えば、更新が必要なネットワーク認証情報を置き換えるため、あるいは再販や再利用後に異なるネットワークの認証情報を安全にプロビジョニングするためなどだ。デバイスがWi-Fi Easy ConnectまたはBRSKIをサポートしている場合、これらのプロトコルを用いて、必要に応じてライフサイクルを通じて繰り返しネットワーク認証情報をプロビジョニングできる。 |
| Mutual Authentication | 相互認証 |
| It is easy for a network to falsely identify itself, yet many IoT devices onboard to networks without first verifying the network’s identity to ensure that it is their intended target network. By authenticating the network (in addition to authenticating the device), trusted network-layer onboarding helps protect the device from joining and being taken over by an unauthorized, imposter network. | ネットワークは容易に偽装できるが、多くのIoTデバイスは、自身が接続すべき対象ネットワークであることを確認せずにネットワークにオンボーディングする。デバイス認証に加えネットワーク認証を行う信頼されたネットワーク層オンボーディングは、不正な偽装ネットワークへの接続や乗っ取りからデバイスを防御するのに役立つ。 |
| Device Management Support | デバイス管理サポート |
| Once an IoT device is connected to the network, if it becomes compromised, it can pose a security risk to both the network and other connected devices. Failing to keep a device current with the most recent software and firmware updates may make it more susceptible to compromise. Once compromised, it may be used to attack other devices on the network. While trusted network-layer onboarding is essential to the security of an IoT device and its network, it is important to also deploy additional security measures (e.g., digital signatures of firmware, secure boot, and secure over-the-air updates) to securely update and manage IoT devices throughout the duration of their connection to the network to ensure that they remain secure. | IoTデバイスがネットワークに接続された後、侵害された場合、ネットワークと他の接続デバイス双方にセキュリティリスクをもたらす。デバイスを最新のソフトウェアおよびファームウェアで更新し続けることができないと、侵害を受けやすくなる可能性がある。侵害されたデバイスは、ネットワーク上の他のデバイスを攻撃するために悪用される可能性がある。信頼できるネットワーク層オンボーディングは、IoTデバイスとそのネットワークのセキュリティに不可欠だが、同時に追加のセキュリティ対策(ファームウェアのデジタル署名、セキュアブート、セキュアな無線更新など)の展開を行い、ネットワーク接続期間を通じてIoTデバイスを安全に更新・管理し、その安全性を維持することが重要である。 |
| Application-layer Onboarding | アプリケーション層オンボーディング |
| Trusted network-layer onboarding can provide a secure foundation for additional security measures used to protect the device and its network on an ongoing basis. For example, it can provide a foundation for trusted application-layer onboarding by providing the secure exchange of application-layer onboarding bootstrapping information between a device and an application server to which it needs to connect securely. Trusted network-layer onboarding can be immediately and automatically followed by trusted application-layer onboarding, ensuring that a device is securely provisioned not only with its network credentials, but also with application-layer credentials. The device’s application server may then be used to securely download the most recent version of the device’s application to it, as well as to provide ongoing lifecycle management for the device, updating and patching its software as needed to maintain a secure posture on an ongoing basis. The example implementations built as part of the NCCoE Trusted IoT Device Network-Layer Onboarding project demonstrated IoT devices automatically performing several types of trusted application-layer onboarding following successful trusted network-layer onboarding and network connection. | 信頼できるネットワーク層オンボーディングは、デバイスとそのネットワークを継続的に防御するための追加セキュリティ対策の基盤となる。例えば、デバイスが安全に接続する必要があるアプリケーションサーバーとの間で、アプリケーション層オンボーディングのブートストラップ情報を安全に交換する基盤を提供することで、信頼できるアプリケーション層オンボーディングの基盤を構築できる。信頼されたネットワーク層オンボーディングは、直ちに自動的に信頼されたアプリケーション層オンボーディングに続くことが可能であり、デバイスがネットワーク認証情報だけでなくアプリケーション層認証情報も安全にプロビジョニングされることを保証する。その後、デバイスのアプリケーションサーバーを利用して、デバイス向けアプリケーションの最新バージョンを安全にダウンロードできる。さらに、デバイスの継続的なライフサイクル管理を提供し、必要に応じてソフトウェアを更新・パッチ適用することで、常に安全な状態を維持する。NCCoE Trusted IoT Device Network-Layer Onboardingプロジェクトの一環として構築された実装例では、信頼されたネットワーク層オンボーディングとネットワーク接続の成功後、IoTデバイスが自動的に複数の信頼されたアプリケーション層オンボーディングを実行する様子が示された。 |
| Beyond the examples of trusted network-layer onboarding integrated with application-layer onboarding demonstrated in this project, like Wi-Fi Easy Connect and Open Connectivity Foundation’s (OCF) IoTivity, there are additional methods of demonstrating this capability. An example of this is the integration of the Wireless Broadband Alliance’s (WBA) OpenRoaming framework with the FIDO Device Onboard (FDO) protocol, developed by the FIDO Alliance, which uses asymmetric public-key cryptography to provide a secure method for onboarding IoT devices to any device application-layer management system [4]. Another application-layer protocol in this space is Matter, developed by the Connectivity Standards Alliance (CSA). It incorporates built-in components for secure device application-layer onboarding, utilizing device identity and certificate-based authentication. This application-layer onboarding protocol supports various network transports, including Wi-Fi, Thread, and Ethernet, making it a versatile option for a variety of IoT device network-layer onboarding protocols [5]. | 本プロジェクトで示したWi-Fi Easy ConnectやOpen Connectivity Foundation(OCF)のIoTivityといった、アプリケーション層のオンボーディングと統合された信頼できるネットワーク層のオンボーディングの例以外にも、この機能を示す方法は存在する。その一例として、Wireless Broadband Alliance(WBA)のOpenRoaming枠組みと、FIDO Allianceが開発したFIDO Device Onboard(FDO)プロトコルの統合が挙げられる。FDOは非対称公開鍵暗号技術を用い、IoTデバイスをあらゆるデバイスのアプリケーション層管理システムに安全にオンボーディングする手法を提供する[4]。この分野における別のアプリケーション層プロトコルとして、コネクティビティ標準化アライアンス(CSA)が開発したMatterがある。これはデバイスIDと証明書ベースの認証を活用し、セキュアなデバイスアプリケーション層オンボーディングのための組み込みコンポーネントを統合している。このアプリケーション層オンボーディングプロトコルはWi-Fi、Thread、イーサネットを含む様々なネットワークトランスポートをサポートしており、多様なIoTデバイス向けネットワーク層オンボーディングプロトコルとして汎用性の高い選択肢となっている[5]。 |
| Additional Security Capabilities | 追加のセキュリティ機能 |
| Trusted network-layer onboarding can also provide a secure foundation for additional security mechanisms, such as device communications intent enforcement (e.g., Manufacturer Usage Description—MUD [6]). MUD provides a standard way to specify the network communications that an IoT device requires to perform its intended functions. For example, the Wi-Fi Easy Connect protocol is specifically designed with the option of securely conveying the MUD file URL from the device to the network. If the network is equipped to support MUD, the Wi-Fi Easy Connect trusted network-layer onboarding process can securely provide the network with the device intent information it needs to ensure that only traffic required for the device to fulfill its designated purpose will be permitted to be sent from and received by the device (see NIST SP 1800-15, Securing Small-Business and Home IoT Devices: Mitigating Network-Based Attacks Using MUD [7]). | 信頼されたネットワーク層オンボーディングは、追加のセキュリティ機構(例:デバイス通信意図の強制(Manufacturer Usage Description—MUD [6]))のための安全な基盤も提供し得る。MUDは、IoTデバイスが意図された機能を実行するために必要なネットワーク通信を指定する標準を提供する。例えば、Wi-Fi Easy Connectプロトコルは、デバイスからネットワークへMUDファイルURLを安全に伝達するオプションを特に備えて設計されている。ネットワークがMUDをサポートする機能を備えている場合、Wi-Fi Easy Connectの信頼できるネットワーク層オンボーディングプロセスは、デバイスが指定された目的を達成するために必要なトラフィックのみがデバイスから送信され、受信されることを保証するために必要なデバイス意図情報をネットワークに安全に提供できる(NIST SP 1800-15「中小企業および家庭用IoTデバイスのセキュリティ確保: ネットワークベース攻撃のMUDによる緩和[7])。 |
| One of the example implementations built as part of the NCCoE project demonstrated several zero trustinspired capabilities for performing continuous device authorization after the completion of trusted networklayer onboarding. This build performed a set of ongoing policy-based assurance checks and removed the device from the network if, for example: | NCCoEプロジェクトの一環として構築された実装例の一つは、信頼されたネットワーク層オンボーディング完了後の継続的なデバイス認可を実現する、ゼロトラストに着想を得たいくつかの機能を実証した。この構築では継続的なポリシーベースの保証チェックを実施し、例えば以下の場合にデバイスをネットワークから除外した: |
| ・ the vulnerability score (e.g., using the Common Vulnerability Scoring System [CVSS]) for the device’s software bill of materials is determined to be above a set threshold, | ・デバイスのソフトウェア部品表に対する脆弱性スコア(例:共通脆弱性評価システム[CVSS]使用)が設定閾値を超過した場合 |
| ・ the device attempted to contact an IP address that is on a denylist, or | ・デバイスが拒否リスト登録IPアドレスへの接続を試みた場合 |
| ・ the manufacturer of the device is no longer trusted according to criteria determined by the network owner. | ・ネットワーク所有者が定めた規準に基づき、デバイスの製造事業者が信頼されなくなった場合 |
| For background information on the NCCoE Trusted IoT Device Network-Layer Onboarding project, including the functionality supported by five example trusted IoT device onboarding implementations prototyped within the demonstration lab environment, see NIST SP 1800-36, Volume B, Trusted IoT Device Network-Layer Onboarding and Lifecycle Management: Approach, Architecture, and Security Characteristics. | NCCoEの「信頼できるIoTデバイス向けネットワーク層オンボーディング」プロジェクトに関する背景情報(実証実験環境内でプロトタイプ化された5つの信頼できるIoTデバイスオンボーディング実装例がサポートする機能を含む)については、NIST SP 1800-36 Volume B「信頼できるIoTデバイス向けネットワーク層オンボーディングおよびライフサイクル管理:アプローチ、アーキテクチャ、セキュリティ特性」を参照のこと。 |
| References | 参考文献 |
| [1] Vailshery L (2024) Number of Internet of Things (IoT) connections worldwide from 2022 to 2023, with forecasts from 2024 to 2033. Statista. Available at [web] | [1] Vailshery L (2024) 世界のモノのインターネット(IoT)接続数:2022年から2023年、および2024年から2033年までの予測。Statista。 [web] |
| [2] Wi-Fi Alliance (2020) Wi-Fi Easy Connect™ Specification Version 3.0. Available at [web] | [2] Wi-Fi Alliance (2020) Wi-Fi Easy Connect™ 仕様バージョン3.0。[web] |
| [3] Pritikin M, Richardson M, Eckert T, Behringer M, Watsen K (2021) Bootstrapping Remote Secure Key Infrastructure (BRSKI). (RFC Editor), Request for Comments (RFC) RFC 8995. [web] | [3] Pritikin M, Richardson M, Eckert T, Behringer M, ワッツン K (2021) リモートセキュアキーインフラストラクチャのブートストラップ (BRSKI). (RFC Editor), 意見要求 (RFC) RFC 8995. [web] |
| [4] Wireless Broadband Alliance (2025) Openroaming for IoT — FIDO Device Onboard Framework. Available at: [web] | [4] ワイヤレスブロードバンドアライアンス (2025) IoT向けオープンローミング — FIDOデバイス搭載枠組み. 入手先: [web] |
| [5] Connectivity Standards Alliance (2025). Matter: The Foundation for Connected Things. Available at: [web] |
[5] Connectivity Standards Alliance (2025). Matter: The Foundation for Connected Things. 入手先: [web] |
| [6] Lear E, Droms R, Romascanu D (2019) Manufacturer Usage Description Specification. (RFC Editor), Request for Comments (RFC) RFC 8520. [web] | [6] Lear E、Droms R、Romascanu D (2019) 製造事業者使用説明仕様。(RFC Editor)、意見要求 (RFC) RFC 8520。[web] |
| [7] Dodson DF, Montgomery DC, Polk WT, Ranganathan M, Souppaya MP, Johnson S, Kadam A, Pratt C, Thakore D, Walker M, Lear E, Weis B, Barker WC, Coclin D, Hojjati A, Wilson C, Jones T, Baykal A, Cohen D, Yeich K, Fashina Y, Grayeli P, Harrington J, Klosterman J, Mulugeta B, Symington S, Singh J (2021) Securing Small-Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD). (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 1800-15. [web] | [7] Dodson DF、Montgomery DC、Polk WT、Ranganathan M、 Souppaya MP、Johnson S、Kadam A、Pratt C、Thakore D、Walker M、Lear E、Weis B、Barker WC、Coclin D、Hojjati A、ウィルソン C、Jones T、Baykal A、Cohen D、Yei K、Fashina Y、Grayeli P、Harrington J、Klosterman J、Mulugeta B、Symington S、Singh J (2021) 中小企業および家庭用モノのインターネット(IoT)デバイスのセキュリティ確保:製造事業者使用説明(MUD)を用いたネットワークベースの攻撃の緩和。(国立標準技術研究所、メリーランド州ゲイサーズバーグ)、NIST 特別刊行物(SP)1800-15。[web] |
関連するNIST文書
- SP 1800-36 Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Securit
- IR 8350 Foundational Concepts in Trusted IoT Device Network-Layer Onboarding: Enhancing Internet Protocol-Based IoT Device and Network Security
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.12.12 米国 NIST SP 1800-36 信頼できるIoT機器の ネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークセキュリティの強化 (2025.11.25)
・2025.12.09 米国 NIST IR 8350 信頼できるIoTデバイスのネットワーク層オンボーディングにおける基礎概念:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化 (2025.11.25)
・2024.06.08 米国 NIST SP 1800-36 (初期公開ドラフト) 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化
・2023.11.03 NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化 (B,C,E)
・2023.09.30 NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoT機器のネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化 (A,D)
« 米国 NIST SP 1800-36 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークセキュリティの強化 (2025.11.25) | Main | 米国 OSCAL NIST CSWP 53(初期公開ドラフト)NIST OSCALの進路を示す (2025.12.02) »
Comments