危機管理 / 事業継続

2024.10.10

米国 NIST IR 8480(初期公開ドラフト) アイデンティティ管理のための属性妥当性確認サービス:アーキテクチャ、セキュリティ、プライバシー、運用上の考慮事項

こんにちは、丸山満彦です。

NISTが、NIST IR 8480(初期公開ドラフト) アイデンティティ管理のための属性妥当性確認サービス:アーキテクチャ、セキュリティ、プライバシー、運用上の考慮事項を公表し、意見募集をしていますね...

デジタル空間あるいは、サイバー空間でのトラストが重要というのであれば、こういうことをきっちりと詰める必要があるのですが、日本はもう米国の標準やガイドにのっかりますかね...

自国の力でこの辺りの基準をつくるのは難しいですかね...

NIST - ITL

・2024.10.07 NIST IR 8480 (Initial Public Draft) Attribute Validation Services for Identity Management: Architecture, Security, Privacy, and Operational Considerations

NIST IR 8480 (Initial Public Draft) Attribute Validation Services for Identity Management: Architecture, Security, Privacy, and Operational Considerations NIST IR 8480(初期公開ドラフト) アイデンティティ管理のための属性妥当性確認サービス:アーキテクチャ、セキュリティ、プライバシー、運用上の考慮事項
Announcement 発表
In the digital age, the accurate identification of individuals is paramount to ensuring security, privacy, and trust in online interactions. Whether it's for accessing medical records, applying for benefits, or engaging in other high-stakes transactions, the need to confirm the identity and attributes of individuals is crucial. This draft report delves into the architecture, security, privacy, and operational considerations surrounding Attribute Validation Services (AVS), offering considerations for government agencies seeking to implement these critical services. デジタル時代において、オンラインでのやり取りにおけるセキュリティ、プライバシー、信頼性を確保するには、個人の正確な識別が最も重要である。 医療記録へのアクセス、給付金の申請、その他の重大な取引など、どのような場合であっても、個人の身元および属性を確認する必要性は極めて重要である。本報告書ドラフトでは、属性妥当性確認サービス(AVS)を取り巻くアーキテクチャ、セキュリティ、プライバシー、運用上の考慮事項について掘り下げ、これらの重要なサービスの導入を検討している政府機関に考慮事項を提供している。
Background 背景
At its core, an attribute is a "quality or characteristic ascribed to someone or something" [NIST SP 800-63-3], such as a person's date of birth, residential address, or Social Security Number. Attributes are essential in confirming an individual’s identity or their eligibility to access certain services or information. An AVS validates these attributes against reliable data sources to confirm their accuracy. This validation process plays a pivotal role in secure identity proofing, access control, and fraud prevention. 属性とは、本質的には「個人または何かに帰属する品質または特性」[NIST SP 800-63-3]
であり、例えば、個人の生年月日、居住地、社会保障番号などがこれに該当する。属性は、個人の身元または特定のサービスや情報へのアクセス権限を確認する上で不可欠である。AVSは、信頼できるデータソースに対してこれらの属性を妥当性確認し、その正確性を確認する。この妥当性確認プロセスは、安全な身元確認、アクセス管理、および詐欺防止において重要な役割を果たす。
For example, when an individual submits personal details during an online registration, an AVS can cross-reference these details with reliable government databases or other trusted sources to ensure their correctness. As the report suggests, government agencies, with their access to authoritative data, are particularly well-positioned to offer AVS solutions. By doing so, they can support identity verification processes for other organizations, reducing reliance on incomplete commercial data and promoting equitable access to services.  例えば、個人がオンライン登録時に個人データを提出する場合、AVSはこれらのデータを信頼性の高い政府データベースやその他の信頼できる情報源と照合し、その正確性を確認することができる。報告書が示唆しているように、信頼性の高いデータにアクセスできる政府機関は、AVSソリューションを提供する上で特に有利な立場にある。そうすることで、他の組織の身元確認プロセスを支援し、不完全な商用データへの依存を減らし、サービスへの公平なアクセスを促進することができる。
The Role of AVS in Modern Identity Management 最新のアイデンティティ管理におけるAVSの役割
An effective AVS allows organizations to not only validate identity attributes but also enhance access control by enabling granular and timely authorization decisions. For instance, a zero-trust model may require validation of user attributes such as location or clearance level to determine whether access to specific resources should be granted. By incorporating AVS into such models, organizations can enforce security policies more reliably. 効果的なAVSは、組織がアイデンティティ属性を検証するだけでなく、きめ細かくタイムリーな認可決定を可能にすることで、アクセス管理を強化することも可能にする。例えば、ゼロトラストモデルでは、特定のリソースへのアクセスを許可すべきかどうかを判断するために、ユーザーの所在地や機密保持レベルなどの属性の妥当性確認が必要になる場合がある。このようなモデルにAVSを組み込むことで、企業はセキュリティポリシーをより確実に実施することができる。
In addition to supporting identity proofing and access control, AVS plays a critical role in fraud prevention. Fraudsters often rely on synthetic identities or stolen credentials to bypass security systems. AVS, with its ability to validate identity evidence, such as identification numbers or addresses, helps to defeat the use of synthetic identities detect anomalies that could signal fraudulent activity. This makes AVS indispensable across sectors such as banking, healthcare, and government services.  AVSは、身元確認とアクセス管理をサポートするだけでなく、詐欺防止においても重要な役割を果たす。詐欺師は、合成IDや盗まれた認証情報を使用してセキュリティシステムを回避することが多い。AVSは、識別番号や住所などの身元情報の妥当性を確認する機能を備えており、合成IDの使用を阻止し、詐欺行為を示唆する異常を検知するのに役立つ。このため、AVSは銀行、医療、政府サービスなど、さまざまな分野で不可欠なものとなっている。
Additionally, one of the most significant societal benefits of AVS is its potential to promote equity. Traditional identity proofing systems can exclude individuals with limited financial or credit histories. By leveraging government data, a federal or state AVS can validate core identity attributes for these individuals, helping them gain access to essential resources that otherwise may have been excluded. さらに、AVSのもたらす最も重要な社会的利益のひとつは、公平性の促進である。従来の身元確認システムでは、経済力や信用履歴が限られている個人を排除することがあった。連邦政府や州政府のAVSでは、政府データを活用することで、こうした個人に対して身元の主要属性を妥当性確認し、それによって、それまで排除されていたかもしれない重要なリソースへのアクセスを可能にすることができる。
Reviewing Focus Areas 検討して欲しい領域
While NIST is interested in all forms of public comment, we are particularly interested in the following areas of feedback: NISTはあらゆる形式のパブリックコメントを歓迎するが、特に以下のフィードバックに注目している。
1. Are the considerations sufficiently complete and useful for agencies and government organizations who may wish to offer Attribute Validation Services? 1. 属性妥当性確認サービスを提供することを検討している政府機関にとって、考慮事項は十分に完全で有用なものとなっているか?
2. Are there other architectural models that should be explored and discussed in this document? 2. この文書で検討および議論すべき他のアーキテクチャモデルはあるか?
3. Are there other resources or standards that should be referenced in the document? 3. この文書で参照すべき他のリソースや標準はあるか?
4. Are there gaps in the standards environment that need to be considered for future work? 4. 今後の作業を検討する上で考慮すべき標準環境のギャップはあるか?
5. Are there additional security, privacy, or other considerations that should be represented within the context of this report? 5. この報告書の文脈の中で、追加すべきセキュリティ、プライバシー、その他の考慮事項はあるか?
6. What other constraints (organization, technical, policy) should be discussed and explored in the report? 6. 報告書の中で議論し、検討すべきその他の制約(組織、技術、政策)は何か?
Abstract 要約
Attributes provide information about an individual that can be used to confirm the individual’s identity or ability to access information or services. Attributes and the processes for validating and asserting them are essential for securely identifying individuals and can also be utilized for authorization and other purposes. This report provides a foundation upon which federal, state, and local government agencies can design and develop attribute validation services. Agencies with authoritative data are well-positioned to provide attribute validation services to other organizations that need to confirm the accuracy of self-asserted identity and authorization attributes. Ultimately, the intent is to facilitate greater use of government data in a manner that preserves user privacy while also enabling increased equity by decreasing reliance on incomplete commercial data. 属性は、個人の身元や情報またはサービスへのアクセス能力を確認するために使用できる個人に関する情報を提供する。属性およびその妥当性確認と主張のためのプロセスは、個人を安全に識別するために不可欠であり、また、認可やその他の目的にも利用できる。本報告書は、連邦、州、地方の各政府機関が属性妥当性確認サービスを設計・開発するための基盤を提供する。 権限のあるデータを有する機関は、自己主張されたアイデンティティおよび認可属性の正確性を確認する必要がある他の組織に対して、属性妥当性確認サービスを提供する上で有利な立場にある。 最終的には、不完全な商用データへの依存を減らすことで公平性を高めつつ、ユーザー・プライバシーを保護しながら政府データの利用を促進することが目的である。

 

・[PDF] NIST.IR.8480.ipd

20241009-163150

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Approach 1.2. アプローチ
2. Attribute Validation Service (AVS) Overview 2. 属性妥当性確認サービス(AVS)の概要
2.1. AVS Uses 2.1. AVS の用途
 2.1.1. Identity Proofing  2.1.1. 身元確認
 2.1.2. Authorization and Access Control  2.1.2. 認可とアクセス管理
 2.1.3. Fraud Prevention  2.1.3. 不正行為防止
2.2. Current AVS Technologies and Standards 2.2. 現在の AVS 技術と標準
2.3. Emerging AVS Technologies and Standards 2.3. 新しい AVS 技術と標準
3. Validation Logic 3. 妥当性確認ロジック
3.1. Names 3.1. 名前
3.2. Dates 3.2. 日付
3.3. Addresses 3.3. 住所
3.4. Transparency, Risk, and Trust 3.4. 透明性、リスク、信頼
3.5. Responses 3.5. 対応
3.6. Derived Attribute Values 3.6. 派生属性値
4. Data Management 4. データ管理
4.1. Origination and Sources 4.1. 生成とソース
4.2. Quality 4.2. 品質
4.3. Refresh and Maintenance 4.3. 更新と保守
4.4. Storage and Security 4.4. 保存とセキュリティ
4.5. Metadata 4.5. メタデータ
5. Deciding Whether to Establish an AVS 5. AVSを構築するかどうかを決定する
5.1. Attribute Sources 5.1. 属性情報源
5.2. Mission, Authorities, and Legal Environment 5.2. ミッション、権限、法的環境
5.3. Governance, Buy-In, and Service Demand 5.3. ガバナンス、支持、サービス需要
5.4. Anticipated Impact 5.4. 予想される影響
5.5. Privacy, Notice, and Consent for End Users 5.5. エンドユーザーのプライバシー、通知、同意
5.6. Key Questions for Agencies 5.6. 政府機関のための主な質問
6. Considerations for Designing and Deploying an AVS 6. AVSの設計と展開に関する考慮事項
6.1. Existing Capabilities 6.1. 既存の能力
6.2. Direct or Brokered Service 6.2. 直接サービスまたは仲介サービス
6.3. Requirements 6.3. 要件
6.4. Access Control 6.4. アクセス管理
 6.4.1. RP Registration and Enrollment  6.4.1. RPの登録と登録
 6.4.2. Federated Authentication and Authorization  6.4.2. フェデレーション認証と認可
6.5. Budget Considerations 6.5. 予算に関する考慮事項
6.6. Development and Testing 6.6. 開発とテスト
6.7. Planning for Deployment and Post-Deployment, 6.7. 展開と展開後の計画
7. AVS Architectures and Deployment Models 7. AVSアーキテクチャと展開モデル
7.1. API Query-Based Validation Services 7.1. APIクエリーベースの妥当性確認サービス
 7.1.1. Architectural Overview  7.1.1. アーキテクチャの概要
 7.1.2. Standards Consideration  7.1.2. 標準に関する考慮事項
 7.1.3. Security Considerations  7.1.3. セキュリティに関する考慮事項
 7.1.4. Privacy Considerations  7.1.4. プライバシーに関する考慮事項
7.2. Shared Service Attribute Broker Model 7.2. 共有サービス属性ブローカー・モデル
 7.2.1. Architectural Overview  7.2.1. アーキテクチャの概要
 7.2.2. Standards Considerations  7.2.2. 標準に関する考慮事項
 7.2.3. Security Considerations  7.2.3. セキュリティに関する考慮事項
 7.2.4. Privacy Considerations  7.2.4. プライバシーに関する考慮事項
7.3. User-Controlled Verified Attributes (UCVAs) 7.3. ユーザー制御検証済み属性(UCVA)
 7.3.1. Architectural Overview  7.3.1. アーキテクチャの概要
 7.3.2. Usability Considerations  7.3.2. ユーザビリティに関する考慮事項
 7.3.3. Standards Considerations  7.3.3. 標準に関する考慮事項
 7.3.4. Security Considerations  7.3.4. セキュリティに関する考慮事項
 7.3.5. Privacy Considerations  7.3.5. プライバシーに関する考慮事項
8. Conclusion and Next Steps 8. 結論および今後のステップ
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語の一覧
List of Tables 表の一覧
Table 1. Identity Proofing Attribute Examples 表 1. 身元証明属性の例
Table 2. Authorization and Access Control Attribute Examples 表 2. 認可およびアクセス管理属性の例
Table 3. Fraud Prevention Attribute Examples 表 3. 不正防止属性の例
Table 4. Operational Attribute Validation Services 表 4. 運用属性の妥当性確認サービス
Table 5. Key Questions for Agencies 表 5. 政府機関向け重要質問
List of Figures 図の一覧
Fig. 1. Typical API query-based architecture
図1. 典型的なAPIクエリベースのアーキテクチャ
Fig. 2. Typical shared service attribute broker model architecture
図2. 典型的な共有サービス属性ブローカーモデルのアーキテクチャ
Fig. 3. Typical UCVA (User-Controlled Verified Attributes) architecture
図3. 典型的なUCVA(ユーザー管理型検証済み属性)アーキテクチャ

 

序文...

1. Introduction  1. 序文 
An attribute is a “quality or characteristic ascribed to someone or something.” [1] Attributes provide information about an individual that can be used to confirm the individual’s identity or ability to access information or services. Attributes and the processes for validating and asserting them are essential for securely identifying individuals. They can also be utilized for online transactions — for example, determining eligibility based on state of residence, enabling granular and more reliable access control decisions, and supporting timely authorization decisions. The uses are nearly endless — from supporting security architectures such as zero trust to enabling more accessible and secure online benefit services. As a result, the processes by which attributes are used, validated, stored, transferred, and managed are increasingly important for scaled digital identity models.  属性とは、「誰かまたは何かに帰属する性質または特徴」である。 [1] 属性は、個人を識別したり、情報やサービスへのアクセス権限を確認するために使用できる個人に関する情報を提供する。 個人を確実に識別するには、属性と、その妥当性確認および主張のためのプロセスが不可欠である。また、オンライン取引にも利用できる。例えば、居住地に基づいて適格性を判断したり、きめ細かく信頼性の高いアクセス管理の決定を可能にしたり、迅速な認可決定をサポートしたりすることができる。用途はほぼ無限であり、ゼロトラストなどのセキュリティアーキテクチャのサポートから、よりアクセスしやすく安全なオンラインベネフィットサービスの実現まで、さまざまな用途がある。その結果、属性が使用され、妥当性確認され、保存され、転送され、管理されるプロセスは、拡張されたデジタルアイデンティティモデルにとってますます重要になっている。
1.1. Purpose and Scope  1.1. 目的と範囲 
In support of the CHIPS and Science Act [2], this report provides a foundation upon which federal, state, and local government agencies can design and develop attribute validation services. Agencies with authoritative data are well-positioned to provide attribute validation services to other organizations that need to confirm the accuracy of self-asserted identity and authorization attributes. Ultimately, the intent is to facilitate greater use of government data in a manner that preserves user privacy while also enabling increased equity by providing access to a broader array of authoritative data sets.   CHIPS and Science Act(チップ・科学法)[2]を支援する本報告書は、連邦、州、および地方の政府機関が属性妥当性確認サービスを設計および開発するための基盤を提供する。権限のあるデータを有する機関は、自己主張されたアイデンティティおよび認可属性の正確性を確認する必要がある他の組織に対して、属性妥当性確認サービスを提供する上で有利な立場にある。最終的には、ユーザーのプライバシーを保護しながら、より幅広い信頼性の高いデータセットへのアクセスを提供することで、公平性を高めることを目的としている。
The decision to build and enable attribute validation services is the responsibility of the agencies with data custodianship. While this report is intended to be helpful to agencies, it is not a comprehensive or normative document defining what must or must not be done. Instead, it provides a high-level overview of the space and its technologies and acts as a starting point for agency-specific implementation discussions, development, and business activities. Similarly, this report does not address all challenges that an agency may face. Legislative, regulatory, and other policy constraints may prevent an agency from providing the services as described, regardless of technical feasibility. Such challenges are organizational in nature, and they need to be addressed through non-technical means that are outside the purview of this report.   属性妥当性確認サービスの構築と利用の決定は、データ管理責任を有する政府機関の責任である。本報告書は政府機関の参考となることを目的としているが、実施すべきこと、実施すべきでないことを定義する包括的または規範的な文書ではない。その代わり、この分野とそのテクノロジーに関する概要を提示し、政府機関特有の実装に関する議論、開発、事業活動の出発点となることを目的としている。同様に、この報告書では、政府機関が直面する可能性のあるすべての課題を取り扱っているわけではない。技術的な実現可能性に関わらず、法律、規制、その他の政策上の制約により、政府機関が本報告書で説明されているようなサービスを提供できない可能性がある。このような課題は本質的に組織的なものであり、本報告書の対象外である技術以外の手段によって対処する必要がある。 
This report focuses on applying attribute validation services and architectures to support identity use cases, specifically identity proofing (data validation) and support for authorization decisions. However, the principles and considerations contained herein can support use cases beyond those explicitly addressed and may be adapted by readers to support their own needs.   本報告書では、属性妥当性確認サービスとアーキテクチャを適用して、身元のユースケース、特に身元確認(データ妥当性確認)と認可決定のサポートを支援することに焦点を当てる。しかし、本書に記載されている原則と考慮事項は、明示的に取り上げられているユースケース以外にも適用でき、読者が各自のニーズに合わせて適応させることも可能である。 
1.2. Approach   1.2. アプローチ 
This report provides an overview of the current and emerging environment, explores operational considerations for deciding how to build and manage a service, discusses data management strategies, and details three archetypes for attribute validation services:  本報告書では、現在の環境と新たに登場しつつある環境の概要を説明し、サービスの構築と管理方法を決定するための運用上の考慮事項を検討し、データ管理戦略について議論し、属性妥当性確認サービスの3つの典型的なモデル、すなわち 
query/API-based models, brokered attribute hubs, and verified attribute models. For each of these, this document presents a generalized architecture and set of components as well as a set of considerations for how to secure the service and preserve user privacy in a standards-based manner.  クエリ/APIベースのモデル、仲介型属性ハブ、検証済み属性モデルである。本書では、これらの各々について、標準ベースの方法でサービスを保護し、ユーザーのプライバシーを維持する方法についての考察とともに、一般的なアーキテクチャとコンポーネントのセットを提示する。
The information for this report was developed through a structured market research and technical evaluation process. This began by canvassing current technologies and standards, researching real-world implementations, and interviewing providers and consumers of attribute validation services both within and outside of government. These engagements with ecosystem participants focused on both the state of the present — covering successes, limitations, and challenges — as well as the art of the possible, including emerging models, technologies, and standards. To preserve the privacy and intellectual property of those who participated in the market research interviews, their input has been anonymized and aggregated into the considerations reflected in the report. この報告書の情報は、体系的な市場調査と技術評価プロセスを通じて作成された。まず、現在の技術と標準の調査、実世界の導入事例の研究、政府内外の属性妥当性確認サービスのプロバイダと利用者のインタビューを行った。エコシステムの参加者とのこれらの取り組みでは、成功、限界、課題を網羅した現在の状況と、新興のモデル、技術、標準を含む実現可能な技術の両方に焦点を当てた。市場調査のインタビューに参加した人々のプライバシーと知的財産を保護するため、彼らの意見は匿名化され、報告書に反映された考察に集約された。

 

 

1_20241009181701

Fig. 1. Typical API query-based architecture
図1. 典型的なAPIクエリベースのアーキテクチャ

 

2_20241009181701

Fig. 2. Typical shared service attribute broker model architecture
図2. 典型的な共有サービス属性ブローカーモデルのアーキテクチャ

 

3_20241009181701

Fig. 3. Typical UCVA (User-Controlled Verified Attributes) architecture
図3. 典型的なUCVA(ユーザー管理型検証済み属性)アーキテクチャ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.24 米国 NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン他...

・2024.04.25 米国 NIST SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込み

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

 

 

 

| | Comments (0)

2024.10.08

米国 NIST IR 8536(初期公開ドラフト)サプライチェーンのトレーサビリティ:製造メタフレームワーク (2024.09.27)

こんにちは、丸山満彦です。

NIST IR 8536(初期公開ドラフト)サプライチェーンのトレーサビリティ:製造メタフレームワークが公表され、意見募集されていますね...

全体像を理解するのは、この図がわかりやすいかもです...

2_20241008090101

Figure 4. Value and Supply Chain Traceability Events Across Ecosystems(エコシステムをまたいだ価値とサプライチェーンのトレーサビリティイベント)

 

製造過程のサプライチェーンにおけるセッキュリティの3つの課題の解決を図るというかんじですかね...

・課題1: 情報が断片化され孤立したリポジトリに保存されている

・課題2: 意味とデータの定義が一致していない

・課題3: 情報の完全性を検証することが困難

 

 

牛肉のトレーサビリティー関連の仕事をしたことがあるのですが(考えたらいろいろな仕事をしています...)、トレーサビリティには、製造物からもとの原料をたどるトレースバック、と原料から製造物をたどるトレースフォワード(フローフォワード)がありますよね...両方向できるようにするのは、実はなかなか大変です...特にサプライチェーンが長くなると...

1_20241008085401

で、特にこの点について意見が欲しいといっているのは...

Note to Reviewers 査読者への注記
NIST welcomes feedback and input on any aspect of NIST IR 8536 and additionally proposes a list of non-exhaustive questions and topics for consideration:  NISTは、NIST IR 8536のあらゆる側面に関するフィードバックや意見を歓迎し、さらに検討すべき非網羅的な質問やトピックのリストを提案している。
1. How well does the Meta-Framework data model relate to existing supply chain practices and your organization? Are there significant gaps between your current practices and the Meta-Framework that this paper should address? 1. メタフレームワークのデータモデルは、既存のサプライチェーンの慣行や貴社にどの程度関連しているか? 貴社の現在の慣行とメタフレームワークの間に、本論文で取り上げるべき重大なギャップがあるか?
2. How do you expect this white paper to influence your future supply chain traceability practices and processes? 2. このホワイトペーパーが貴社の今後のサプライチェーンのトレーサビリティの実践やプロセスにどのような影響を与えると期待するか?
3. How do you envision using this white paper? What changes would you like to see to increase/improve that use? 3. このホワイトペーパーをどのように活用することを想定しているか?活用を拡大・改善するためにどのような変更を希望するか?
4. What suggestions do you have on changing the format of the information provided? 4. 提供される情報のフォーマットを変更することについて、どのような提案があるか?
5. Is the guidance here sufficient to identify and address supply chain traceability? Are there changes or additional guidance that the authors should consider? 5. サプライチェーンのトレーサビリティを識別し、対応するために、このガイダンスは十分であるか?著者が考慮すべき変更や追加のガイダンスはあるか?

 

NIST

・2024.09.27 NIST IR 8536 (Initial Public Draft) Supply Chain Traceability: Manufacturing Meta-Framework

 

NIST IR 8536 (Initial Public Draft) Supply Chain Traceability: Manufacturing Meta-Framework NIST IR 8536(初期公開草案)サプライチェーンのトレーサビリティ:製造メタフレームワーク
Announcement 発表
This document presents a comprehensive framework designed to enhance traceability across manufacturing supply chains, focusing on improving product provenance, pedigree, and supply chain transparency. 本書は、製造サプライチェーン全体にわたるトレーサビリティを向上させることを目的として設計された包括的なフレームワークを提示するものであり、製品の由来、系統、サプライチェーンの透明性の改善に重点を置いている。
The Meta-Framework introduces key concepts such as trusted data repositories, ecosystems, and traceability chains, providing a structured approach to securely recording and linking traceability records throughout the supply chain. The framework addresses industry and regulatory needs by offering guidance on data integrity, secure access, and traceability event recording. このメタフレームワークでは、信頼できるデータリポジトリ、エコシステム、トレーサビリティチェーンなどの主要概念を導入し、サプライチェーン全体にわたるトレーサビリティ記録を安全に記録し、リンクするための体系的なアプローチを提供している。このフレームワークは、データの完全性、安全なアクセス、およびトレーサビリティ・イベントの記録に関する指針を提供することで、業界および規制当局のニーズに対応する。
Abstract 要約
National manufacturing and critical infrastructure (CI) supply chains are essential to maintaining the overall health, security, and the economic strength of the United States (U.S.). As global supply chains become more complex, tracing the origins of products and materials becomes increasingly challenging. Recent events and current economic conditions have exposed the significant risks posed by disruptions in the security and continuity of the U.S. manufacturing supply chain, highlighting the need for greater visibility and security to safeguard against various hazards and threats. Additionally, the U.S. manufacturing supply chain has proven vulnerable to logistical disruptions and the actions of nefarious actors seeking to commit fraud, sabotage, or corrupt manufactured products. 米国の製造事業者および重要インフラ(CI)のサプライチェーンは、米国の健康、安全、経済力の維持に不可欠である。グローバルなサプライチェーンが複雑化するにつれ、製品や材料の原産地を追跡することはますます困難になっている。最近の出来事や現在の経済状況により、米国の製造サプライチェーンのセキュリティと継続性が妨害された場合に生じる重大なリスクが明らかになり、さまざまな危険や脅威から保護するための可視性とセキュリティの向上の必要性が浮き彫りになっている。さらに、米国の製造サプライチェーンは、物流の混乱や、詐欺、妨害行為、または製造製品の汚職を企てる悪意ある行為者による行為に対して脆弱であることが証明されている。
Improving the traceability of goods and materials throughout the supply chain is critical to identifying disruptions and mitigating these risks. This report introduces a Meta-Framework designed to organize, link, and query traceability data across manufacturing supply chains. The goal of the framework is to enhance end-to-end traceability, providing stakeholders with the tools needed to trace product provenance, ensure regulatory compliance, and bolster the resilience of the U.S. manufacturing supply chain. サプライチェーン全体における商品や材料のトレーサビリティを改善することは、混乱を識別し、これらのリスクを低減するために不可欠である。本レポートでは、製造サプライチェーン全体にわたるトレーサビリティデータの整理、リンク、照会を目的として設計されたメタフレームワークを紹介する。このフレームワークの目標は、エンドツーエンドのトレーサビリティを強化し、利害関係者に製品の由来を追跡し、規制遵守を確保し、米国の製造サプライチェーンのレジリエンスを強化するために必要なツールを提供することである。

 

・[PDF] NIST.IR.8536.ipd

20241008-60618

 

目次...

Executive Summary
エグゼクティブサマリー
1. Supply Chain Traceability 1. サプライチェーンのトレーサビリティ
1.1. Traceability Activities 1.1. トレーサビリティ活動
1.1.1. Market-Driven: Component Verification 1.1.1. 市場主導:コンポーネント検証
1.1.2. Regulatory-Driven: Ethical Sourcing Verification 1.1.2. 規制主導:倫理的な調達検証
1.2. Traceability Challenges 1.2. トレーサビリティの課題
1.2.1. Challenge #1: Information is stored in disjointed and isolated repositories 1.2.1. 課題1: 情報が断片化され孤立したリポジトリに保存されている
1.2.2. Challenge #2: Inconsistent semantic and data definitions 1.2.2. 課題2: 意味とデータ定義の一貫性の欠如
1.2.3. Challenge #3: Difficulty validating information integrity 1.2.3. 課題3: 情報の完全性の妥当性確認が困難
1.3. Goals 1.3. 目標
1.4. Approach 1.4. アプローチ
1.5. Audience 1.5. 対象読者
2. Meta-Framework Overview 2. メタフレームワークの概要
2.1. Components of the Meta-Framework 2.1. メタフレームワークの構成要素
2.1.1. Traceability Records 2.1.1. トレーサビリティレコード
2.1.2. Traceability Links and Chain 2.1.2. トレーサビリティリンクとチェーン
2.1.3. Trusted Data Repositories and Ecosystems 2.1.3. 信頼されたデータリポジトリとエコシステム
2.2. Traceability Chain Across Supply Chain Ecosystems 2.2. サプライチェーンエコシステム全体にわたるトレーサビリティチェーン
3. Meta-Framework Data Model 3. メタフレームワークのデータモデル
3.1. Traceability Records 3.1. トレーサビリティレコード
3.2. Patterns for Traceability_Record Subclasses 3.2. トレーサビリティレコードのサブクラスのパターン
3.2.1. Key_Value_ Pair Data Objects 3.2.1. キー・バリュー・ペア・データ・オブジェクト
3.2.2. External _Data_Link Data Objects 3.2.2. 外部データリンク・データ・オブジェクト
3.2.3. Traceability_Link Data Object, 3.2.3. トレーサビリティリンク・データ・オブジェクト、
3.3. Make_Record Subclass 3.3. メイクレコード・サブクラス
3.4. Assemble_ Record Subclass 3.4. Assemble_Record サブクラス
3.5. Ship_Record Subclass 3.5. Ship_Record サブクラス
3.6. Receive_Record Subclass 3.6. Receive_Record サブクラス
3.7. Employ_Record Subclass 3.7. Employ_Record サブクラス
4. Meta-Framework Use Cases 4. メタフレームワークのユースケース
4.1. Record Traceability Record Use Case 4.1. レコードトレーサビリティレコードのユースケース
4.1.1. Sequence Diagram 1 - Manufacturer of Microelectronics Make Traceability Events 4.1.1. シーケンス図 1 - マイクロエレクトロニクス製造事業者によるトレーサビリティイベントの作成
4.1.2. Sequence Diagram 2 - Operational Tech with Receive, Make, Assemble, and Ship 4.1.2. シーケンス図2 - 受信、作成、組み立て、出荷を行う運用技術
4.1.3. Sequence Diagram 3 - Critical Infrastructure Acquirer with Receive and Emplo 4.1.3. シーケンス図3 - 受信および雇用を行う重要インフラストラクチャ取得者
4.2. Retrieve Traceability Records Use Case 4.2. トレーサビリティレコードの取得ユースケース
4.2.1. Sequence Diagram 4 - Operational Technology with Trace Back to ME 4.2.1. シーケンス図4 - 製造者へのトレースバックを行う運用技術
4.2.2. Sequence Diagram 5 - Critical Infrastructure Acquirer with Trace Back to ME and OT 4.2.2. シーケンス図5 - 製造者および運用技術へのトレースバックを行う重要インフラストラクチャ取得者
5. Conclusion 5. 結論
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. シンボル、略語、および頭字語の一覧
Appendix B. Security and Privacy Considerations 附属書 B. セキュリティおよびプライバシーに関する考慮事項
B.1. Identity, Authentication, and Access Control B.1. アイデンティティ、認証、およびアクセス管理
B.2. Privacy Measures B.2. プライバシー対策
B.3. Other Considerations B.3. その他の考慮事項
Appendix C. Meta-framework Future Topics 附属書 C. メタフレームワークの今後のトピック
C.1. New Sustainment Chain Traceability Record Subclasses  C.1. 新しいサステインメントチェーンのトレーサビリティレコードサブクラス 
C.2. Additional Supply Chain Traceability Record Subclasses C.2. 追加のサプライチェーンのトレーサビリティレコードサブクラス

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
Ensuring supply chain traceability is critical for maintaining product authenticity, compliance, and security in today’s complex, globalized manufacturing ecosystems. As manufactured goods such as microelectronic components move through the supply chain to employment of a final product in critical infrastructure--stakeholders face increasing challenges in maintaining visibility into the history and provenance of these products. The framework enables end-to-end traceability by linking records from different ecosystems. The Massachusetts Institute of Technology (MIT) Sustainable Supply Chain Lab notes that “While the urgency to act is high [to increasing traceability & transparency], most companies currently lack the capability to understand what is happening in their supply chains. At the same time, suppliers and producers are limited in their access to technologies that connect them with supply chain partners.” [1]. This lack of traceability presents significant risks, including the potential introduction of counterfeit goods, non-compliance with regulatory requirements, and threats to the integrity of critical infrastructure systems.  今日の複雑なグローバル製造エコシステムにおいて、製品の真正性、コンプライアンス、セキュリティを維持するためには、サプライチェーンのトレーサビリティを確保することが不可欠である。マイクロエレクトロニクス部品などの製造品がサプライチェーンを通じて最終製品となり、重要インフラストラクチャで使用されるようになるにつれ、利害関係者は、これらの製品の履歴や出所を把握することにますます困難を感じている。このフレームワークは、異なるエコシステムからの記録をリンクすることで、エンドツーエンドのトレーサビリティを実現する マサチューセッツ工科大学(MIT)のサステイナブル・サプライチェーン・ラボは、「トレーサビリティと透明性の向上に対する行動の緊急性は高いが、ほとんどの企業は現在、自社のサプライチェーンで何が起こっているかを把握する能力に欠けている」と指摘している。同時に、サプライヤーや生産者は、サプライチェーンのパートナーとつながるテクノロジーへのアクセスが限られている。[1]。このトレーサビリティの欠如は、偽造品の潜在的な導入、規制要件への不適合、および重要インフラシステムの完全性に対する脅威を含む、重大なリスクをもたらす 
This paper presents a Meta-Framework designed to address these challenges by providing a structured, industry-tailorable approach to capturing, linking, and retrieving traceability data across diverse supply chains. The Meta-Framework enables stakeholders to record and access traceability information securely through trusted data repositories, or ecosystems, facilitating the creation of Traceability Chains—verifiable, chronological records of product-related events throughout the supply chain.  本書では、多様なサプライチェーン全体にわたるトレーサビリティデータの収集、リンク、検索を可能にする、業界向けにカスタマイズされた構造化されたアプローチを提供することで、これらの課題に対処することを目的としたメタフレームワークを提示する。 メタフレームワークにより、利害関係者は信頼できるデータリポジトリ(エコシステム)を通じて、トレーサビリティ情報を安全に記録し、アクセスすることが可能となり、サプライチェーン全体における製品関連のイベントの検証可能な時系列記録である「トレーサビリティチェーン」の作成が容易になる 
The Meta-Framework uses several key components designed to enhance the visibility, reliability, and integrity of supply chain event data, ensuring stakeholders can discover, understand, and trust the traceability information. The following key principles support a secure and adaptable approach to supply chain traceability.  メタフレームワークは、サプライチェーンのイベントデータの可視性、信頼性、整合性を高めるように設計された複数の主要コンポーネントを使用しており、利害関係者がトレーサビリティ情報を発見、理解、信頼できるようにしている。サプライチェーンのトレーサビリティに対する安全で適応性のあるアプローチを支える主な原則は以下の通りである 
Data Model and Ontologies: The Meta-Framework supports a flexible data model that allows industry-specific stakeholders to define their syntax and semantics of traceability data for use in their Traceability Records. By enabling industry-specific stakeholders to enforce consistent data definitions across their ecosystems, the Meta-Framework ensures that traceability data is consistent within industry sectors, understandable, and exchanged seamlessly, regardless of the industry or regulatory environment.  データモデルとオントロジー:メタフレームワークは、業界特有の利害関係者が、自社のトレーサビリティレコードで使用するトレーサビリティデータの構文と意味を定義できる柔軟なデータモデルをサポートしている。業界特有の利害関係者が、エコシステム全体で一貫したデータ定義を適用できるようにすることで、メタフレームワークは、業界や規制環境に関わらず、トレーサビリティデータが業界内で一貫性があり、理解可能で、シームレスに交換されることを保証する 
Traceability Records: These are the core units of supply chain event data captured throughout the supply chain. Each traceability record documents a supply chain event, such as manufacturing, shipping, or receiving, and is securely stored in a trusted data repository. This allows stakeholders to fully discover the sequence of relevant supply chain events, creating a detailed and reliable record of the product’s history.  トレーサビリティレコード:これらはサプライチェーン全体で捕捉されるサプライチェーンイベントデータの主要な単位である。各トレーサビリティレコードは、製造、出荷、または受領などのサプライチェーンイベントを文書化し、信頼性の高いデータリポジトリに安全に保管される。これにより、利害関係者は関連するサプライチェーンイベントの全容を完全に把握でき、製品の履歴に関する詳細かつ信頼性の高い記録を作成できる 
Traceability Links: To create a Traceability Chain, individual traceability records are linked through verifiable traceability links. These links allow stakeholders to trace a product’s history in reverse chronological order, ensuring the integrity and authenticity of the entire supply chain process.  トレーサビリティリンク:トレーサビリティチェーンを作成するために、個々のトレーサビリティレコードは検証可能なトレーサビリティリンクで結ばれる。 これらのリンクにより、利害関係者は時系列で製品の履歴をさかのぼって追跡することができ、サプライチェーン全体のプロセスにおける完全性と信頼性を確保できる 
Trusted Data Repositories and Ecosystems: Each industry defined and operated ecosystem serves as a secure data repository, responsible for storing and managing their industry-specific Traceability Records. These ecosystems are governed by industryspecific manufacturing supply chain stakeholders who define their supply chain event data to use in traceability records, which can draw from industry and regulatory standards and conventions to ensure that the data remains trustworthy, accessible, and protected from tampering.  •  信頼できるデータリポジトリとエコシステム:各業界が定義し、運用するエコシステムは、業界固有のトレーサビリティレコードを保存・管理する安全なデータリポジトリとして機能する。これらのエコシステムは、業界固有の製造サプライチェーンのステークホルダーによってガバナンスが管理され、サプライチェーンイベントデータを定義し、トレーサビリティレコードで使用する。このデータは、業界標準や規制標準、慣例を参照することで、信頼性、アクセス性、改ざん防御を確保できる 
External Reference Links: The framework also allows for industry-specific external reference links to point to additional industry-specific data sources such as test data, third-party attestations or certifications that support more specialized use cases. These links can also be used to provide supplementary evidence for verifying product provenance and pedigree.  外部参照リンク:このフレームワークでは、業界固有の外部参照リンクにより、より専門性の高いユースケースをサポートするテストデータ、サードパーティによる保証または認証などの追加の業界固有のデータソースを指定することも可能である。これらのリンクは、製品の由来や系統を検証するための補足的な証拠を提供するためにも使用できる 
These elements allow the Meta-Framework to address some of the key challenges facing supply chain stakeholders by:  これらの要素により、メタフレームワークはサプライチェーンの関係者が直面する主な課題のいくつかに対処することが可能となる。
Challenge #1: Information is stored in disjointed and isolated repositories - The MetaFramework mitigates this challenge by establishing data repositories accessible by authorized users.  課題1: 情報が断片化され孤立したリポジトリに保存されている - メタフレームワークは、認可ユーザーがアクセスできるデータリポジトリを確立することで、この課題を低減する。
Challenge #2: Inconsistent semantic and data definitions - The Meta-Framework mitigates this challenge by using industry defined data models and ontologies.  課題2: 意味とデータの定義が一致していない - メタフレームワークは、業界で定義されたデータモデルとオントロジーを使用することで、この課題を低減する。
Challenge #3: Difficulty validating information integrity - The Meta-Framework mitigates this challenge by using traceability links and hash-based validation to verify the data integrity of traceability data.   課題3: 情報の完全性を検証することが困難 - メタフレームワークは、トレーサビリティ・リンクとハッシュベースの妥当性確認を使用してトレーサビリティ・データの完全性を検証することで、この課題を低減する。
A key strength of the Meta-Framework is its application across industry sectors, as illustrated in this National Institute of Standards and Technology Internal Report (NIST IR) through a simplified manufacturing supply chain scenario. As manufactured goods such as microelectronic components move through the supply chain to employment of a final product in critical infrastructure, the framework enables end-to-end traceability by linking records from different ecosystems. Stakeholders can trace products through the supply chain—retrieving records from trusted data repositories—using traceability links that provide an auditable trail of each product's supply chain history.  メタフレームワークの主な強みは、さまざまな業界で応用できることである。これは、簡略化された製造サプライチェーンのシナリオで示されている国立標準技術研究所内部報告書(NIST IR)にも示されている。マイクロエレクトロニクス部品などの製造品がサプライチェーンを通じて重要インフラにおける最終製品の使用に至るまで、このフレームワークは、異なるエコシステムからの記録をリンクすることで、エンドツーエンドのトレーサビリティを実現する。利害関係者は、各製品のサプライチェーン履歴の監査証跡を提供するトレーサビリティリンクを使用することで、サプライチェーンを通じて製品を追跡し、信頼できるデータリポジトリから記録を取得することができる。
As manufactured goods such as microelectronic components move through the supply chain to employment of a final product in critical infrastructure, the framework enables end-to-end traceability by linking records from different ecosystems. By capturing and storing traceability data throughout the supply chain, the Meta-Framework empowers stakeholders to address evolving market-driven and regulatory-driven use cases. It supports product validation, risk management, and regulatory compliance, ensuring that products meet the highest standards for authenticity, quality, and ethical sourcing.  マイクロエレクトロニクス部品などの製造品がサプライチェーンを通じて重要インフラに最終製品として採用されるまで、このフレームワークは異なるエコシステムからの記録をリンクすることで、エンドツーエンドのトレーサビリティを実現する。サプライチェーン全体を通じてトレーサビリティデータを収集し保存することで、ステークホルダーは市場主導型および規制主導型の進化するユースケースに対応できるようになる。このフレームワークは、製品の妥当性確認、リスクマネジメント、および規制コンプライアンスをサポートし、製品が真正性、品質、倫理的な調達に関する最高水準の標準を満たしていることを保証する 
Overall, the Meta-Framework provides a flexible and scalable approach for enhancing supply chain traceability across industry sectors. By leveraging trusted data repositories, defined and documented data models, and secure traceability links, the framework ensures that stakeholders can trace the provenance and pedigree of products with confidence. As supply chains become more complex and globalized, the Meta-Framework offers a critical tool for securing the integrity of supply chain operations and safeguarding critical infrastructure systems. 全体として、 メタフレームワークは、業界全体にわたってサプライチェーンのトレーサビリティを向上させるための柔軟かつ拡張可能なアプローチを提供する。信頼性の高いデータリポジトリ、定義および文書化されたデータモデル、安全なトレーサビリティリンクを活用することで、このフレームワークは、利害関係者が製品の由来や系統を確実に追跡できるようにする。サプライチェーンがより複雑化し、グローバル化するにつれ、 メタフレームワークは、サプライチェーン業務の完全性を確保し、重要インフラのシステムを保護するための重要なツールを提供する。

 

 

| | Comments (0)

金融庁 金融分野におけるサイバーセキュリティに関するガイドライン (2024.10.04)

こんにちは、丸山満彦です。

金融庁が、「主要行等向けの総合的な監督指針」等の一部改正(案)及び「金融分野におけるサイバーセキュリティに関するガイドライン」(案)に対するパブリックコメントの結果等を公表していますね...

 

金融庁

・2024.10.04 「主要行等向けの総合的な監督指針」等の一部改正(案)及び「金融分野におけるサイバーセキュリティに関するガイドライン」(案)に対するパブリックコメントの結果等について

・[PDF] 金融分野におけるサイバーセキュリティに関するガイドライン 

20241007-231542

 

目次...

1. 基本的考え方
1.1. サイバーセキュリティに係る基本的考え方
1.2. 金融機関等に求められる取組み
 1.2.1. サイバーセキュリティ管理態勢
 1.2.2. 経営陣の関与・理解
1.3. 業界団体や中央機関等の役割
1.4. 本ガイドラインの適用対象等

2. サイバーセキュリティ管理態勢
2.1. サイバーセキュリティ管理態勢の構築
 2.1.1. 基本方針、規程類の策定等
 2.1.2. 規程等及び業務プロセスの整備
 2.1.3. 経営資源の確保、人材の育成
 2.1.4. リスク管理部門による牽制
 2.1.5. 内部監査
2.2. サイバーセキュリティリスクの特定
 2.2.1. 情報資産管理
 2.2.2. リスク管理プロセス
 2.2.3. ハードウェア・ソフトウェア等の脆弱性管理
 2.2.4. 脆弱性診断及びペネトレーションテスト
 2.2.5. 演習・訓練
2.3. サイバー攻撃の防御
 2.3.1. 認証・アクセス管理
 2.3.2. 教育・研修
 2.3.3. データ保護
 2.3.4. システムのセキュリティ対策
2.4. サイバー攻撃の検知
 2.4.1. 監視
2.5. サイバーインシデント対応及び復旧
 2.5.1. インシデント対応計画及びコンティンジェンシープランの策定
 2.5.2. インシデントへの対応及び復旧
2.6. サードパーティリスク管理

3. 金融庁と関係機関の連携強化
3.1. 情報共有・情報分析の強化
3.2. 捜査当局等との連携
3.3. 国際連携の深化
3.4. 官民連携


 

案に関する意見

・PDF] コメントの概要及びコメントに対する金融庁の考え方


20241007-233024_20241007233101

    

 

 

 

それら以外も含めて全体・・・

(別紙1)コメントの概要及びコメントに対する金融庁の考え方

(別紙2)「主要行等向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙3)「中小・地域金融機関向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙4)「保険会社向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙5)「金融商品取引業者等向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙6)「貸金業者向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙7)「金融サービス仲介業者向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙8)「清算・振替機関等向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙9)「為替取引分析業者向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙10)「事務ガイドライン(第三分冊:金融会社関係 5 前払式支払手段発行者関係)」の一部改正(新旧対照表)

(別紙11)「事務ガイドライン(第三分冊:金融会社関係 12 電子債権記録機関関係)」の一部改正(新旧対照表)

(別紙12)「事務ガイドライン(第三分冊:金融会社関係 13 指定信用情報機関関係)」の一部改正(新旧対照表)

(別紙13)「事務ガイドライン(第三分冊:金融会社関係 14 資金移動業者関係)」の一部改正(新旧対照表)

(別紙14)「事務ガイドライン(第三分冊:金融会社関係 16 暗号資産交換業者関係)」の一部改正(新旧対照表)

(別紙15)「事務ガイドライン(第三分冊:金融会社関係 17 電子決済手段等取引業者関係)」の一部改正(新旧対照表)

(別紙16)「系統金融機関向けの総合的な監督指針」の一部改正(新旧対照表)

(別紙17)「漁協系統信用事業における総合的な監督指針」の一部改正(新旧対照表)

(別紙18)「金融分野におけるサイバーセキュリティに関するガイドライン」

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.10 米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)

・2024.09.04 米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29)

・2024.07.02 金融庁 金融分野におけるサイバーセキュリティに関するガイドライン(案) (2024.06.28)

 

| | Comments (0)

2024.10.07

米国 NIST CSWP 31 重要AIシステムのための代理妥当性確認と検証;代理設計プロセス (2024.09.26)

こんにちは、丸山満彦です。

重要なAIシステムのための代理システムによる妥当性確認と検証のための設計プロセスについての文書ですかね...

 

NIST - ITL

・2024.09.26 NIST CSWP 31 Proxy Validation and Verification for Critical AI Systems: A Proxy Design Process

 

NIST CSWP 31 Proxy Validation and Verification for Critical AI Systems: A Proxy Design Process NIST CSWP 31 重要AIシステムのための代理妥当性確認と検証:プロキシ設計プロセス
Abstract 要約
This white paper describes a five-phase process that includes identifying or building proxy systems that have high similarity to a Critical AI System (CAIS), representing a kind of validation, and verifying the proxy by creating and testing both use and misuse cases of each proxy against its CAIS. 本ホワイトペーパーでは、重要AIシステム(CAIS)に高い類似性を持つ代理システムの識別または構築、一種の妥当性確認の代表者、およびCAISに対する各代理の使用ケースと誤使用ケースの両方を作成しテストすることで代理を検証する、という5段階のプロセスについて説明します。

 

 

・[PDF] NIST.CSWP.31

20241007-43303

 

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Background 1.1.背景
2. CAIS Validation and Verification Process — 5 phases 2. CAIS 妥当性確認・検証プロセス - 5 段階
2.1. Phase 1: Assess CAIS Risk Level 2.1.フェーズ1: CAISリスクアセスメント
2.2. Phase 2: System Evaluation to Find Proxy Equivalents 2.2.フェーズ2:代理同等品を見つけるためのシステム評価
2.2.1. Physical Operational Environment 2.2.1.物理的運用環境
2.2.2. Application Purpose 2.2.2.アプリ目的
2.2.3. Operational Characteristics 2.2.3.動作特性
2.2.4. AI/ML Development Algorithms 2.2.4.AI/ML開発アルゴリズム
2.2.5. AI/ML Development Techniques 2.2.5.AI/ML開発技術
2.2.6. CAIS and Proxy Taxonomy Template 2.2.6.CAISおよび代理分類法テンプレート
2.3. Phase 3: CAIS/Proxy Similarity Testing 2.3.フェーズ3:CAIS/代理類似性テスト
2.4. Phase 4: Misuse Cases for Further Testing 2.4.フェーズ4:さらなるテストのための誤用ケース
2.5. Phase 5: Proxy Misuse Case Testing 2.5.フェーズ5:代理誤用ケースのテスト
References 参考文献
Appendix A. Glossary 附属書 A.用語集

 

 

| | Comments (0)

2024.10.06

国際ランサムウェア対策イニシアティブ 2024 共同声明 (2023.10.02)

こんにちは、丸山満彦です。

ランサムウェアの犯罪に対する国際的な連携は非常に重要ですよね。。。

昨年までは11月1日に公表していましたが、今年は10月2日。。。今年は68カ国。18の国や団体を新たなメンバーとしていますね...ベトナムも加入しましたね...

紛争状況にあったり、対立関係にあったりするかもですが、中国、ロシア、北朝鮮、イランなどが加わるのは難しいですかね...

今年は米国のワシントンで09.30-10.03で会合が開催されたようですが、持ち回りでされていくんでしょうかね...

 

U.S. White House

・2024.10.02 International Counter Ransomware Initiative 2024 Joint Statement

International Counter Ransomware Initiative 2024 Joint Statement 国際ランサムウェア対策イニシアティブ 2024 共同声明
The 68 members of the International Counter Ransomware Initiative (CRI)—Albania, Argentina,  Australia, Austria, Bahrain, Belgium, Brazil, Bulgaria, Cameroon, Canada, Chad, Colombia, Costa Rica, the Council of Europe, Croatia, the Czech Republic, Denmark, the Dominican Republic, the ECOWAS Commission, Egypt, Estonia, the European Union, Finland, France, Germany, Greece, the Global Forum on Cyber Expertise, Hungary, India, INTERPOL, Ireland, Israel, Italy, Japan, Jordan, Kenya, Lithuania, Mexico, Morocco, the Netherlands, New Zealand, Nigeria, Norway, the Organization of American States, Papua New Guinea, the Philippines, Poland, Portugal, the Republic of Korea, the Republic of Moldova, Romania, Rwanda, Sierra Leone, Singapore, Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sweden, Switzerland, Ukraine, the United Arab Emirates, the United Kingdom, the United States, Uruguay, Vanuatu, and Vietnam—met in Washington, D.C. from September 30 – October 3, 2024 for the Fourth CRI Gathering. Previously participating members welcomed Argentina, Bahrain, Cameroon, Chad, the Council of Europe, Denmark, the ECOWAS Commission, Finland, the Global Forum on Cyber Expertise, Hungary, Morocco, the Organization of American States, the Philippines, the Republic of Moldova, Slovenia, Sri Lanka, Vanuatu, and Vietnam as new CRI members. 国際ランサムウェア対策イニシアティブ(CRI)加盟国 68 カ国(アルバニア、アルゼンチン、オーストラリア、オーストリア、バーレーン、ベルギー、 ブラジル、ブルガリア、カメルーン、カナダ、チャド、コロンビア、コスタリカ、欧州評議会、クロアチア、チェコ共和国、 デンマーク、ドミニカ共和国、ECOWAS 委員会、エジプト、エストニア、欧州連合、フィンランド、フランス、ドイツ、 ギリシャ、サイバー専門家グローバル・フォーラム、ハンガリー、インド、国際刑事警察機構(INTERPOL))、 アイルランド、イスラエル、イタリア、日本、ヨルダン、ケニア、リトアニア、メキシコ、モロッコ、オランダ、ニュージーランド、ナイジェリア、ノルウェー、米州機構、パプアニューギニア、フィリピン、ポーランド、ポルトガル、大韓民国、モルドバ共和国、ルーマニア、ルワンダ、シエラレオネ、シンガポール、スロバキア、スロベニア、南アフリカ、スペイン、スリランカ、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国、米国、ウルグアイ、バヌアツ、ベトナムがワシントンで会合を開いた。 第4回CRI総会は、2024年9月30日から10月3日までワシントンD.C.で開催される。前回参加国に加え、アルゼンチン、バーレーン、カメルーン、チャド、欧州評議会、デンマーク、ECOWAS委員会、フィンランド、サイバー専門家グローバル・フォーラム、ハンガリー、モロッコ、米州機構、フィリピン、モルドバ共和国、スロベニア、スリランカ、バヌアツ、ベトナムを新たにCRIメンバーとして迎えた。
During the Fourth CRI Gathering, members reaffirmed our joint commitment to develop collective resilience to ransomware, support members if they are faced with a ransomware attack, pursue the actors responsible for ransomware attacks and not allow safe haven for these actors to operate within our jurisdictions, counter the use of virtual assets as part of the ransomware business model, partner with the private sector to advise and support CRI members, and forge international partnerships so we are collectively better equipped to counter the scourge of ransomware. 第4回CRIの集いでは、ランサムウェアに対する集団的なレジリエンスの開発、ランサムウェア攻撃に直面した場合のメンバー支援、ランサムウェア攻撃に責任のある行為者の追及、これらの行為者が我々の管轄区域内で活動するための安住の地を許さないこと、ランサムウェアのビジネスモデルの一部としての仮想資産の利用に対抗すること、CRIメンバーに助言し支援するために民間セクターと提携すること、ランサムウェアという災厄に対抗するために集団的により良い装備を整えるために国際的なパートナーシップを構築すること、といった我々の共同コミットメントを再確認した。
Over the past year, this coalition has grown and continues to build upon the commitments made at the Third CRI Gathering in 2023. The United States launched a new fund for CRI members to strengthen members’ cybersecurity capabilities through both rapid assistance in the wake of a cyber attack, as well as targeted support to improve cybersecurity skills, policies, and response procedures. この1年で、この連合は成長を遂げ、2023年の第3回CRI総会でのコミットメントを土台とした活動を続けている。米国は、CRI加盟国のサイバーセキュリティ能力を強化するため、サイバー攻撃発生時の迅速な支援と、サイバーセキュリティのスキル、政策、対応手順を改善するための的を絞った支援の両方を提供する新たな基金を立ち上げた。
The Policy Pillar, led by Singapore and the United Kingdom, spearheaded efforts to build resilience against ransomware attacks and leverage the ecosystem to disrupt the ransomware criminal industry. These efforts seek to undercut the business model that underpins the ransomware ecosystem by driving forward work on secure software and labeling, methods to counter the use of virtual assets as part of the ransomware business model, policies to reduce ransom payments, increase and improve reporting, cyber insurance, and a playbook to guide businesses on how to prepare for, deal with, and recover from a ransomware attack. Of note, CRI members and insurance bodies have endorsed guidance to help organizations experiencing a ransomware attack. The guidance underscores the important role cyber insurance can play in helping to build resilience to cyber attacks and highlights actions organizations should explore during an incident. In addition, the Pillar held a table-top-exercise to assist members in identifying gaps in their processes, learning best practices and supporting members develop effective responses to ransomware attacks on the healthcare sector. シンガポールと英国が主導する「政策の柱」は、ランサムウェア攻撃に対するレジリエンスを構築し、エコシステムを活用してランサムウェア犯罪産業を破壊する取り組みの先頭に立った。これらの取り組みは、安全なソフトウェアとラベリング、ランサムウェアのビジネスモデルの一部としての仮想資産の利用に対抗する方法、身代金の支払いを削減する政策、報告の増加と改善、サイバー保険、ランサムウェア攻撃への準備、対処、回復の方法について企業をガイドするプレイブックに関する作業を推進することにより、ランサムウェアのエコシステムを支えるビジネスモデルを弱体化させることを目指している。特筆すべきは、CRIのメンバーと保険団体が、ランサムウェア攻撃を経験した組織を支援するためのガイダンスを承認したことである。このガイダンスは、サイバー攻撃へのレジリエンス構築を支援する上でサイバー保険が果たす重要な役割を強調し、インシデント発生時に組織が検討すべき行動を強調している。さらに、この柱は、会員がプロセスのギャップを特定し、ベスト・プラクティスを学び、医療部門へのランサムウェア攻撃への効果的な対応策を策定するのを支援するため、テーブル・トップ・エクササイズを開催した。
The Diplomacy and Capacity Building Pillar, led by Germany and Nigeria, expanded the CRI’s partnerships with the addition of 18 new members to the coalition and mapped out the capacity building assets and needs of members. To foster collaboration, forge new partnerships, and recruit new members into the Initiative, CRI members hosted regional events throughout the year. ドイツとナイジェリアが主導する外交・能力構築の柱は、18の新メンバーを連合に加えることでCRIのパートナーシップを拡大し、メンバーの能力構築の資産とニーズをマッピングした。協力関係を促進し、新たなパートナーシップを構築し、新規メンバーをイニシアティブに勧誘するため、CRIメンバーは年間を通じて地域イベントを開催した。
Under the leadership of Australia and Lithuania, the ICRTF focused its work on building resilience against malicious cyber attacks through international cooperation. Lithuania and Australia, as ICRTF co-chairs, worked to develop governance for information sharing and increase onboarding of members to the information sharing platforms led by Lithuania and Belgium as well as Israel and UAE. These platforms will allow members to easily share threat information and indicators of compromise. In a project led by INTERPOL and Australia, a comparative report was produced analyzing Ransomware Interventions and Remediation in CRI members’ jurisdictions. Australia launched a website and member portal so CRI members can easily share information and best practices, foster collaboration, and use as a mechanism to request assistance from the CRI community when experiencing a ransomware attack. The ICRTF co-chairs presented a statement for members to join that calls for responsible behavior in cyberspace and encourages members to hold malicious actors accountable and deny them safe haven using all of the cyber diplomacy and law enforcement tools at their disposal. オーストラリアとリトアニアのリーダーシップの下、ICRTFは国際協力を通じて悪質なサイバー攻撃に対するレジリエンスを構築することに重点を置いて活動を行った。リトアニアとオーストラリアはICRTFの共同議長として、情報共有のためのガバナンスを整備し、リトアニアとベルギー、イスラエルとUAEが主導する情報共有プラットフォームへの加盟国の加入拡大に努めた。これらのプラットフォームにより、加盟国は脅威情報や侵害の指標を容易に共有できるようになる。INTERPOLとオーストラリアが主導するプロジェクトでは、CRIメンバーの管轄区域におけるランサムウェアの介入と修復を分析した比較レポートが作成された。オーストラリアはウェブサイトとメンバーポータルを立ち上げ、CRIメンバーが情報やベストプラクティスを簡単に共有し、協力を促進し、ランサムウェア攻撃に遭遇した際にCRIコミュニティに支援を要請する仕組みとして利用できるようにした。ICRTFの共同議長は、サイバー空間における責任ある行動を呼びかけ、悪意ある行為者の責任を追及し、サイバー外交と法執行のあらゆる手段を駆使して、安全な避難所を与えないよう会員に奨励する声明を発表した。
Canada established a new Public-Private Sector Advisory Panel to advise and support CRI members in combating ransomware. This advisory panel will catalyze effective information sharing, build trust through clear expectations and person to person collaboration, and develop best practices to navigate practical hurdles. カナダは、ランサムウェア対策においてCRIメンバーに助言し支援するため、官民諮問パネルを新設した。この諮問パネルは、効果的な情報共有を促進し、明確な期待と個人間の協力を通じて信頼を築き、現実的なハードルを乗り越えるためのベストプラクティスを開発する。
The Initiative also hosted its first-ever event dedicated to examining the use of AI to counter ransomware attacks. Topics of discussion included the use of AI to track threat actor use, AI for Software Security, scenario planning around ransomware attacks on the healthcare industry, and tools such as watermarking to counter disinformation. 同イニシアティブはまた、ランサムウェア攻撃対策へのAIの活用を検討する初のイベントも開催した。脅威行為者の利用を追跡するためのAIの利用、ソフトウェア・セキュリティのためのAI、医療業界へのランサムウェア攻撃をめぐるシナリオ・プランニング、偽情報に対抗するための電子透かしなどのツールなどが話題となった。
Through the Initiative’s annual gathering as well as the dedicated work and regional meetings occurring between each meeting, we commit to working together at both a policy and operational level to counter ransomware threats and hold perpetrators of these malicious attacks accountable. CRI continues to call for responsible behavior in cyberspace and encourage members to call out malicious acts, and we remain committed to using all appropriate tools to achieve these goals, and are jointly committed to the following actions in support of this mission. イニシアチブの年次会合や、各会合の間に開催される熱心な作業や地域会合を通じて、我々は、ランサムウェアの脅威に対抗し、これらの悪質な攻撃の加害者に責任を負わせるために、政策レベルと運用レベルの両方で協力することを約束する。CRIは、サイバー空間における責任ある行動を引き続き呼びかけ、悪質な行為を呼びかけるよう会員に奨励する。また、これらの目標を達成するためにあらゆる適切な手段を用いることに引き続き尽力し、この使命を支援するために以下の行動を共同で約束する。

 

過去の発表...

・2023.11.01 International Counter Ransomware Initiative 2023 Joint Statement

・2022.11.01 International Counter Ransomware Initiative 2022 Joint Statement

 

Fig1_20210802074601

 

 

参加国・団体

  2022 2023 2024
Albania   1 1
Argentina     1
Australia 1 1 1
Austria 1 1 1
Bahrain     1
Belgium 1 1 1
Brazil 1 1 1
Bulgaria 1 1 1
Cameroon     1
Canada 1 1 1
Chad     1
Colombia   1 1
Costa Rica   1 1
Council of Europe     1
Croatia 1 1 1
Czech Republic 1 1 1
Denmark     1
Dominican Republic 1 1 1
ECOWAS Commission     1
Egypt   1 1
Estonia 1 1 1
European Union 1 1 1
Finland     1
France 1 1 1
Germany 1 1 1
Greece   1 1
Global Forum on Cyber Expertise     1
Hungary     1
India 1 1 1
INTERPOL   1 1
Ireland 1 1 1
Israel 1 1 1
Italy 1 1 1
Japan 1 1 1
Jordan   1 1
Kenya 1 1 1
Lithuania 1 1 1
Mexico 1 1 1
Morocco     1
Netherlands 1 1 1
New Zealand 1 1 1
Nigeria 1 1 1
Norway 1 1 1
Organization of American States     1
Papua New Guinea   1 1
Philippines     1
Poland 1 1 1
Portugal 1 1 1
Republic of Korea 1 1 1
Republic of Moldova     1
Romania 1 1 1
Rwanda   1 1
Sierra Leone   1 1
Singapore 1 1 1
Slovakia   1 1
Slovenia     1
South Africa 1 1 1
Spain 1 1 1
Sri Lanka     1
Sweden 1 1 1
Switzerland 1 1 1
Ukraine 1 1 1
United Arab Emirates 1 1 1
United Kingdom 1 1 1
United States 1 1 1
Uruguay   1 1
Vanuatu     1
Vietnam     1
  38 50 68

 

 


 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.11 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01)

・2022.11.03 国際ランサムウェア対策イニシアティブ 2022 共同声明 (2022.11.01)

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

| | Comments (0)

2024.10.03

総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」に対する意見の募集 (2024.10.01)

こんにちは、丸山満彦です。

総務省と経済産業省が、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」に対する意見の募集を始めていますね...

現行の1.1版との比較のために見え消し版も公表しているので変更点がわかりやすいですね...

 

総務省

・2024.10.01 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」に対する意見の募集

・・別紙1:医療情報を取り扱う情報システム・サービスの提供事業者における有識者委員会構成員

・・別紙2:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」

20241003-143441

 

目次

1. 本ガイドラインの基本方針
1.1.
本ガイドライン策定の経緯
 1.1.1.
医療情報に関する法整
 1.1.2.医療情報安全管理ガイドライン
 1.1.3.総務省・経済産業省ガイドライン
 1.1.4.事業者向けのガイドラインの統合の必要性
 1.1.5.状況の変化に対する改定の必要性

1.2.
本ガイドラインの策定方針
1.3.
本ガイドラインの構成

2.本ガイドラインの対象
2.1.
本ガイドラインが対象とする医療情報と事業者
2.2.
医療情報システム等の代表的な提供形態
 2.2.1.1社で提供するケース
 2.2.2.複数の事業者が提供するケース
 2.2.3.医療機関等が複数事業者と契約するケース

3.医療情報の安全管理に関する義務・責任
3.1.
法律関係
 3.1.1.
安全管理義務
 3.1.2. 対象事業者の説明義務…
 3.1.3.情報セキュリティ事故等発生時における義務と責任

3.2.
医療情報システム等のライフサイクルにおける義務と責任
 3.2.1.
契約前の合意形成及び契約中の合意の維持
 3.2.2. 通常時の義務…
 3.2.3.危機管理対応時の義務及び責任

4.対象事業者と医療機関等の合意形成
4.1.
医療機関等へ情報提供すべき項目
4.2.
医療機関等との役割分担の明確化
4.3.
医療情報システム等の安全管理に係る評価
4.4.
対象事業者の適格性を評価する第三者認証等の取得に係る要件

5.安全管理のためのリスクマネジメントプロセス
5.1.
リスクマネジメントの実践
 5.1.1.
リスク特定
 5.1.2. リスク分析
 5.1.3.リスク評価
 5.1.4.リスク対応の選択肢の選定
 5.1.5.リスク対応策の設計・評価
 5.1.6.リスクコミュニケーション
 5.1.7.継続的なリスクマネジメントの実践

5.2.
リスクアセスメント及びリスク対応の実施例
 5.2.1.
リスクアセスメント
 5.2.2.リスク対応

6.制度上の要求事項
6.1.
医療分野の制度が求める安全管理の要求事項
6.2.
電子保存の要求事項
6.3.
法令で定められた記名・押印を電子署名に代える場合の要求事項
6.4.
取扱いに注意を要する文書等の要求事項
6.5.
外部保存の要求事項

用語集

参考文献


・・別添2-1:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ(案)」

・・別添2-2:ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例

・・別紙3:意見公募要領

・・参考1:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」(見え消し版)

・・参考2:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ(案)」(見え消し版)

・・参考3:ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例(見え消し版)

 


 

経済産業省のウェブページ

は、いろいろと情報がまとまっていて参考になります...

経済産業省 - 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

2023.03.24 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料)

・2023.02.23 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.10.08 厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

| | Comments (0)

オーストラリア 米国 日本他が重要インフラ組織のためのOTサイバーセキュリティの原則に関するガイダンスを発表

こんにちは、丸山満彦です。

オーストラリア通信総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)が、米国(CISA、FBI、NSA)、英国、カナダ、ニュージーラインド、ドイツ、オランダ、日本、韓国の国際的なパートナーとの協力のもと、「運用技術(OT)サイバーセキュリティの原則」(Principles of Operational Technology Cybersecurity)に関するガイダンスを発表していますね...

日本は、NISCと警察庁ですね...Five Eyes各国は、情報コミュニティがメンバーですから、日本もそういう感じになったんですかね...

 

さて、このガイダンスでは次の6つの原則が示されていますね...(訳は内閣官房とは違ってます...後日時間があるときにあわせますね...)

1. Safety is paramount 1. 安全が最優先
2. Knowledge of the business is crucial 2. 業務に関する知識が重要である
3. OT data is extremely valuable and needs to be protected 3. OTデータは極めて貴重であり、保護する必要がある
4. Segment and segregate OT from all other networks 4. OTを他のすべてのネットワークから防御・分離する
5. The supply chain must be secure 5. サプライチェーンは安全でなければならない
6. People are essential for OT cyber security 6. OT サイバーセキュリティには人材が不可欠である

 

Australia Cyber Security Centre; ACSC

・2024.10.02 Cyber Security for Operational Technology

Cyber Security for Operational Technology 運用技術のサイバーセキュリティ
The Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC) has released new guidance to help critical infrastructure protect their systems and online supply chains. オーストラリア通信総局のオーストラリア・サイバー・セキュリティ・センター (ASD's ACSC)は、重要インフラのシステムとオンライン・サプライチェーンの保護を支援するための新しいガイダンスを発表した。
Designing robust cyber security measures for operational technology (OT) environments is vital to protect the safety, availability, integrity and confidentiality of essential services. It is important that decision makers are able to make informed and comprehensive decisions when designing, implementing, and managing IT environments. 重要なサービスの安全性、可用性、完全性、機密性を保護するためには、運用技術(OT)環境に対する強固なサイバーセキュリティ対策を設計することが不可欠である。IT環境を設計、実装、管理する際、意思決定者が十分な情報を得た上で包括的な決定を下せることが重要である。
ASD has consulted with industry to develop Principles of operational technology cyber security, which have been co-sealed by our international intelligence partners. The principles are designed to help leaders, developers, and other stakeholders consider key cyber security risks in OT environments and actions they can take to secure their OT.
.
ASDは産業界と協議し、国際的な情報機関のパートナーによって共同承認された運用技術サイバーセキュリティの原則を開発した。この原則は、リーダー、開発者、その他の利害関係者が、OT環境における主要なサイバーセキュリティリスクと、OTの安全性を確保するために取るべき行動を検討するのに役立つように設計されている。
You can use the principles for OT to identify and mitigate the cyber security risks within your operational technology and specific requirements. OTのための原則を利用して、自社の運用技術や特定の要件におけるサイバーセキュリティ・リスクを特定し、軽減することができる。

 

・[PDF] Principles of operational technology cyber security

20241003-11331

 

Principles of operational technology cyber security 運用技術サイバーセキュリティの原則
Introduction 序文
Critical infrastructure organisations provide vital services, including supplying clean water, energy, and transportation, to the public. These organisations rely on operational technology (OT) to control and manage the physical equipment and processes that provide these critical services. As such, the continuity of vital services relies on critical infrastructure organisations ensuring the cyber security and safety of their OT. 重要インフラ組織は、清潔な水、エネルギー、輸送などの重要なサービスを一般市民に提供している。これらの組織は、これらの重要なサービスを提供する物理的な機器やプロセスを制御・管理するために、運用技術(OT)に依存している。そのため、重要なサービスの継続は、重要インフラ組織がOTのサイバーセキュリティと安全性を確保することに依存している。
Due to the extensive integration of OT in the technical environments of critical infrastructure organisations, and the complex structure of these environments, it can be difficult to identify how business decisions may affect the cyber security of OT, including the specific risks attributed to a decision. Decisions may include introducing new systems, processes, or services to the environment; choosing vendors or products to support the technical environment; and developing business continuity and security-related plans and playbooks. This document is designed to assist organisations make decisions for designing, implementing, and managing OT environments to ensure they are both safe and secure, as well as enable business continuity for critical services. 重要インフラ組織の技術環境におけるOTの広範な統合と、これらの環境の複雑な構造により、ビジネス上の意思決定がOTのサイバーセキュリティにどのような影響を与えるかを、意思決定に起因する特定のリスクを含めて特定することが困難な場合がある。意思決定には、ビジネス環境に新しいシステム、プロセス、サービスを導入すること、技術環境をサポートするベンダーや製品を選択すること、事業継続やセキュリティ関連の計画やプレイブックを策定することなどが含まれる。この文書は、組織がOT環境を設計、実装、管理するための意思決定を支援し、安全性とセキュリティを確保するとともに、重要なサービスの事業継続を可能にすることを目的としている。
Principles of OT Cyber Security, authored by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), and co-sealed by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MSISAC), United Kingdom’s National Cyber Security Centre (NCSC-UK), Canadian Centre for Cyber Security (Cyber Centre), New Zealand’s National Cyber Security Centre (NCSC-NZ), Germany’s Federal Office for Information Security (BSI Germany), the Netherlands’ National Cyber Security Centre (NCSC-NL), Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and National Police Agency (NPA), the Republic of Korea’s National Intelligence Service (NIS) and NIS’ National Cyber Security Center (NCSC) describes six principles that guide the creation and maintenance of a safe, secure critical infrastructure OT environment:  サイバーセキュリティ・インフラ・セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、複数国家情報共有分析センター(MSISAC)、英国国家サイバーセキュリティセンター(NCSC-UK)、カナダ・サイバーセキュリティセンター(Cyber Centre)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、ドイツ連邦情報セキュリティ局(BSI Germany)、 オランダの国家サイバーセキュリティセンター(NCSC-NL)、日本のサイバーセキュリティ・インシデント対応・戦略センター(NISC)と警察庁(NPA)、韓国の国家情報院(NIS)とNISの国家サイバーセキュリティセンター(NCSC)は、安全でセキュアな重要インフラOT環境の構築と保守の指針となる6つの原則を説明している:
1. Safety is paramount 1. 安全が最優先
2. Knowledge of the business is crucial 2. 業務に関する知識が重要である
3. OT data is extremely valuable and needs to be protected 3. OTデータは極めて貴重であり、保護する必要がある
4. Segment and segregate OT from all other networks 4. OTを他のすべてのネットワークから防御・分離する
5. The supply chain must be secure 5. サプライチェーンは安全でなければならない
6. People are essential for OT cyber security 6. OT サイバーセキュリティには人材が不可欠である
The principles have been co-designed with Australian critical infrastructure operators. We thank all who have contributed for their time and expertise in supporting the development of this document. 本原則はオーストラリアの重要インフラ事業者と共同で策定した。この文書の作成を支援するために時間と専門知識を提供してくれたすべての人に感謝する。
How to use this document この文書の使用方法
The authoring agencies recommend an OT decision maker apply the six principles presented in this document to help determine if the decision being made is likely to adversely impact the cyber security of the OT environment. If a decision impacts or breaks one or more of the principles of OT cyber security outlined in this document, then it will likely introduce a vulnerability to the OT environment. Such a decision therefore needs to be examined more closely to make sure the right cyber security controls are put in place and that the residual risk after the controls are put in place is acceptable, or, alternatively, the proposal is reconsidered. Quickly filtering decisions to identify those that impact the security of OT will enhance the making of robust, informed, and comprehensive decisions that promote safety, security and business continuity when designing, implementing, and managing OT environments.  OT の意思決定者は、なされようとしている意思決定が OT 環境のサイバーセキュリティに悪影響を与えそうであるかどうかを判断するために、この文書に示された 6 つの原則を適用することを認可機関は推奨する。もしある決定が、本文書で概説されている OT サイバーセキュリティの原則の 1 つ以上に影響を与えたり、破ったりするのであれば、それは OT 環境に脆弱性をもたらす可能性が高い。したがって、そのような意思決定は、適切なサイバーセキュリティ対策が実施され、対策実施後の残存リスクが許容可能であることを確認するために、より綿密に検討する必要がある。OT のセキュリティに影響する意思決定を迅速にフィルタリングして特定することは、OT 環境を設計、実装、管理する際に、安全、セキュリ ティ、ビジネス継続性を促進する強固で、情報に基づいた、包括的な意思決定を強化することになる。
The authoring agencies recommend OT decision makers read and understand each principle. This document is intended to be useful for all personnel who need to filter decisions affecting OT, from the leadership of an organisation (including the executives and board members making strategic decisions) down to the technical personnel making tactical and operational decisions. 認可機関は、OT の意思決定者が各原則を読み、理解することを推奨する。この文書は、組織の指導者(戦略的決定を行う幹部や役員を含む)から戦術的・運用的決定を行う技術担当者に至るまで、OTに影響する決定をフィルタリングする必要があるすべての要員にとって有用であることを意図している。
Principles of operational technology cyber security 運用技術のサイバーセキュリティの原則
Principle 1: Safety is paramount 原則1:安全が最優先
Safety is critical in physical environments. In contrast to corporate IT systems, where leaders prioritise innovation and rapid development without concern of threat to life, operational cyber-physical systems’ leaders must account for threat to life in daily decision making. Firstorder hazards from critical infrastructure include high voltages, pressure releases or flammable explosions, kinetic impacts (e.g, speeding trains), and chemical or biological hazards such as in water treatment. Further, there are implications for citizens’ way of life if essential services such as energy and drinkable water supply are degraded or disrupted. The interconnected nature of critical infrastructure means that failures, whether by human error or malicious disruption through cyber means, may have wide ranging and unforeseen implications for the day-to-day function of society.  安全は物理的環境において極めて重要である。企業のITシステムでは、リーダーが生命への脅威を気にすることなく、イノベーションと迅速な開発を優先するのとは対照的に、運用サイバー物理システムのリーダーは、日々の意思決定において生命への脅威を考慮しなければならない。重要なインフラから生じる一次災害には、高電圧、圧力の放出や可燃性爆発、運動衝撃(例:スピード違反の列車)、水処理などの化学的・生物学的災害が含まれる。さらに、エネルギーや飲料水の供給など、必要不可欠なサービスが低下したり中断したりすれば、市民の生活にも影響が及ぶ。重要インフラは相互につながっているという性質があるため、人為的なミスであれ、サイバー手段による悪意ある破壊であれ、障害が発生すれば、社会の日常機能に広範かつ予期せぬ影響を及ぼす可能性がある。
Examples and implications 例と影響
When discussing safety, it may be useful to consider safety of human life; safety of plant, equipment and the environment; and the reliability and uptime of the critical infrastructure’s services. Depending on the environment and the system being considered, this may imply a requirement that any cyber security systems, processes and services introduced into the environment are deterministic and predictable, including that engineers have a deep understanding of the weaknesses of the system and ensuring that failures occur in an expected and manageable way. Similarly, safety needs to be informed by cyber security and an understanding of the threat environment. Depending on the criticality of the service, there may be a need to ensure that any cyber security systems, processes or services introduced into the environment are black-start compliant, meaning they will not hinder a restart after a complete loss of electricity, and are able to operate and recover with minimal dependence on other systems. 安全性を議論する際には、人命の安全性、プラント、機器、環境の安全性、重要インフラのサービスの信頼性と稼働時間を考慮することが有用であろう。環境と考慮されるシステムによっては、これは、環境に導入されるサイバーセキュリティシステム、プロセス、サービスが決定論的で予測可能であるという要件を意味し、エンジニアがシステムの弱点を深く理解し、故障が予期され管理可能な方法で発生することを保証することも含まれる。同様に、安全性はサイバーセキュリティと脅威環境の理解によってもたらされる必要がある。サービスの重要性によっては、環境に導入されるサイバーセキュリティ・システム、プロセス、サービスがブラックスタートに適合していること、つまり、電気が完全に失われた後の再起動を妨げないこと、他のシステムへの依存を最小限に抑えて動作・回復できることを保証する必要があるかもしれない。
The principle of “safety is paramount” implies the following incident response questions are significant: 安全が最優先」という原則は、次のようなインシデント対応の疑問が重要であることを意味している:
• If there is a cyber incident in an area that requires software running correctly for the work environment to be considered safe (safety and protection systems), is an organisation prepared to send staff to that site knowing that a bad actor has been, or is currently, on the network? [1] - 作業環境が安全とみなされるためにソフトウェアが正しく動作する必要がある領域(安全および保護システム)でサイバーインシデントが発生した場合、組織は、悪質な行為者がネットワークに侵入している、または現在侵入していることを知りながら、その現場にスタッフを派遣する用意があるか?[1]
• If there is a cyber incident in an area that requires software running correctly for the work environment to be considered safe (safety and protection systems), in many instances this means that paying a ransom cannot be an option, as there is no timely large-scale method to verify that the system has been returned to a safe state.  Can an organisation be confident that the encryption process was the only modification to the files, given that a malicious actor is known to have been on the OT network?1 - 作業環境が安全とみなされるためにソフトウェアが正しく動作する必要がある領域(安全および保護システム)でサイバーインシデントが発生した場合、多くの場合、システムが安全な状態に戻ったことを確認するためのタイムリーで大規模な方法がないため、身代金を支払うという選択肢はありえないことを意味する。悪意のある行為者が OT ネットワークにいたことが知られている場合、組織は暗号化処理だけがファイルへの変更であったと確信できるだろうか?1
• Is restoring from backup an acceptable approach to mitigate cyber incidents? That is, if a malicious actor has been on the network for a period of time, can the backups be trusted? Is there a way to validate that the critical OT system is safe, after recovery? - バックアップからの復元は、サイバーインシデントを軽減するために受け入れられるアプローチだろうか?つまり、悪意のある行為者が一定期間ネットワーク上にいた場合、バックアップは信頼できるのか?復旧後、重要なOTシステムが安全であることを検証する方法はあるか?
Safety of human life, safety of the plant equipment, safety of the environment, and the need to maintain reliability and uptime, are necessary systemic ways of thinking that need to permeate all tasks, even essential and common cyber hygiene tasks potentially considered unrelated, such as: 人命の安全、プラント機器の安全、環境の安全、そして信頼性と稼働時間を維持する必要性は、すべてのタスクに浸透させる必要のあるシステム的な思考方法である:
• How to take a backup? Are there risks to executing backups over the same (potentially close-to-saturated) network as time-critical safety control messages? - バックアップの取り方は?バックアップをどのように取るか?バックアップを、タイムクリティカルな安全制御メッセージと同じ(飽和状態に近い可能性のある)ネットワーク上で実行するリスクはあるか?
• How to do asset discovery? Are active processes acceptable, or is passive the only way? - アセットディスカバリーの方法は?能動的なプロセスは受け入れられるのか、それとも受動的な方法しかないのか?
• How to patch, and how to do change management in general? What are the system requirements for frequency, testing rigour, scope, roll-out strategies and roll-back strategies. - パッチの当て方、一般的な変更管理の方法は?頻度、テストの厳密さ、範囲、ロールアウト戦略、ロールバック戦略に関するシステム要件は何か。
Principle 2: Knowledge of the business is crucial 原則2:ビジネスに関する知識が重要である
The more knowledge a business has about itself, the better that business can protect against, prepare for and respond to a cyber incident. The higher in the organisation there is understanding, visibility and reporting of cyber risks, especially to OT systems, the better the outcome. ビジネスに関する知識が豊富であればあるほど、そのビジネスはサイバーインシデントから保護し、準備し、対応することができる。特にOTシステムに対するサイバーリスクの理解、可視化、報告が組織の上層部にあればあるほど、より良い結果が得られる。
All critical infrastructure organisations should ensure they meet the following baselines: すべての重要インフラ組織は、以下のベースラインを満たしていることを確認する必要がある:
• Identify the vital systems the organisation needs to continue to provide their crucial services - 組織が重要なサービスを提供し続けるために必要な重要システムを特定する
• Understand the OT system’s process, and the significance of each part of the process - OT システムのプロセス、およびプロセスの各部分の重要性を理解する
• Create an architecture that allows those vital systems and processes to be defended from other internal and external networks - それらの重要なシステムおよびプロセスを他の内部および外部ネットワークから防御できるアーキテクチャを作成する
• Ensure that personnel responsible for designing, operating and maintaining OT systems understand the business context that the OT system operates within, including the physical plant and process connected to the OT system and how it delivers services to stakeholders. - OT システムの設計、運用、および保守に責任を負う要員が、OT システムに接続された物理プラントおよびプロセス、および利害関係者にサービスを提供する方法など、OT システムがその中で動作するビジネスコンテキストを理解していることを確認する。
• Understand the dependencies vital systems have to be able to operate and where they connect to systems external to the OT system. - システムが動作するために不可欠な依存関係を理解し、OT システムの外部のシステムと接続する場所を理解する。
Examples and implications 例と影響
A commonly agreed upon imperative of cyber security is to know what needs to be protected. The first part of this is to understand which elements of the business are essential for the organisation to be able to provide its critical services. The second part is to understand the systems and processes being protected. This may include (but is not limited to): systems engineering drawings, asset lists, network diagrams, knowing who can connect to what and from where, recovery procedures, software vendors, services and equipment, and, to the extent possible, software bills of material and the desired configuration state. サイバーセキュリティの必須事項として一般的に合意されているのは、保護すべきものを知ることである。その第一は、組織が重要なサービスを提供するために不可欠なビジネスの要素を理解することである。第二の部分は、保護対象のシステムとプロセスを理解することである。これには、システムエンジニアリングの図面、資産リスト、ネットワーク図、誰がどこから何に接続できるかを知ること、復旧手順、ソフトウェアベンダー、サービス、機器、可能な限りソフトウェアの部品表と望ましい構成状態などが含まれる(ただし、これらに限定されない)。
Knowing what parts of the business are essential to be able to provide a critical service requires both top-down and bottom-up thinking. Top-down thinking has historically led many organisations to seek to separate OT from IT. Bottom-up thinking provides an opportunity for an organisation to go further and discover the minimal set of OT equipment required for a critical function. For example, to be able to generate electricity, depending on the generator, it may be that the minimum requirement is the generator, a controller in a control panel, and a suitable fuel supply. For critical infrastructure entities, understanding what is needed to protect the absolute core functions – keeping the water flowing and the lights on – should then guide the effective layering of cyber security controls. This has implications for architecture, protection, detection, and backup of devices and files. クリティカルなサービスを提供するために、ビジネスのどの部分が不可欠かを知るには、トップダウン思考とボトムアップ思考の両方が必要である。トップダウン思考は、歴史的に多くの組織がOTをITから切り離そうとしてきた。ボトムアップの思考は、組織がさらに進んで、重要な機能に必要な最小限のOT機器のセットを発見する機会を提供する。例えば、発電ができるようにするためには、生成的な発電機によっては、発電機、制御盤のコントローラ、適切な燃料供給が最低限必要な場合がある。重要インフラ事業体にとっては、水を流し、明かりを点け続けるという絶対的な中核機能を守るために何が必要かを理解することが、サイバーセキュリティ対策を効果的に階層化するための指針となる。これは、アーキテクチャ、防御、検知、デバイスやファイルのバックアップに影響を与える。
It is essential that OT-specific incident response plans and playbooks are integrated into the organisation’s other emergency and crisis management plans, business continuity plans, playbooks and mandatory cyber incident reporting requirements. The involvement of a process engineer is important, both when creating plans and playbooks and during any investigation, containment or recovery processes. There is also a need to provide an information pack to third parties before or when they are engaged, to quickly bring them up to speed. This third-party pack should include the likes of points of contact, naming conventions for servers, data sources, deployed tools, and what tools are acceptable to be deployed. All plans, playbooks, and thirdparty packs must be regularly exercised, updated by all relevant parties including legal, and protected due to their value to the adversaries. OT特有のインシデント対応計画とプレイブックを、組織のその他の緊急・危機管理計画、事業継続計画、プレイブック、サイバーインシデント報告義務要件に統合することが不可欠である。プランとプレイブックを作成する際にも、調査、封じ込め、復旧プロセスにおいても、プロセスエンジニアの関与が重要である。また、サードパーティと契約する前、あるいは契約する際に、サードパーティが迅速にスピードアップできるような情報パックをプロバイダに提供する必要もある。このサードパーティ・パックには、連絡先、サーバーの命名規則、データソース、配備されたツール、配備が許容されるツールなどを含めるべきである。すべての計画、プレイブック、サードパーティパックは、定期的に実行され、法務を含むすべての関係者によって更新され、敵対者にとって価値があるため保護されなければならない。
Physical aspects that aid staff to have knowledge of the OT system should also be considered. This may include colour coding cables, putting coloured banding on existing cables, or marking devices allowed in the OT environment in a highly visible way. Only authorised devices should be connected to the OT environment, to help ensure that only authorised code can be introduced to OT environments. Overt visual cues allow an organisation to better protect their environment by identifying unauthorised devices, and allow an organisation to quickly make correct decisions in response to cyber or intelligence-based events. Such markings would need to be periodically assessed and verified to ensure accuracy and currency. スタッフがOTシステムの知識を持つのを助ける物理的な側面も考慮されなければならない。これには、ケーブルを色分けしたり、既存のケーブルにカラーバンドを付けたり、OT 環境で許可されたデバイスを非常に見やすい方法でマーキングしたりすることが含まれる。許可されたコードのみが OT 環境に導入されることを確実にするために、許可された機器のみが OT 環境に接続されるべきである。あからさまな視覚的手がかりは、未認可のデバイスを識別することで組織の環境をよりよく保護し、サイバーまたは識別に基づく事象に対応して組織が迅速に正しい判断を下すことを可能にする。このようなマーキングは、正確性と最新性を確保するために定期的にアセスメントされ、検証される必要がある。
Understanding the business context of the OT system is essential for assessing the impact and criticality of OT outages and cyber security compromises. It is also vital to determining recovery priorities during a critical incident. For organisations reliant on OT to be able to provide a critical service, an integrated OT cyber security function is a necessary part of the business. OT cyber security personnel are not expected to have the deep understanding of a physical system that an electrical, chemical, or process engineer may have, but they should have a working knowledge of plant operation and most importantly, maintain working relationships with those in the organisation responsible for the physical plant. Such relationships are critical both to the success of any cyber enhancement project as well as when there is a need to respond to a cyber event. OTシステムのビジネスコンテキストを理解することは、OT停止やサイバーセキュリティ侵害の影響と重要性を評価するために不可欠である。また、クリティカル・インシデント発生時の復旧の優先順位を決定するためにも不可欠である。重要なサービスを提供できるように OT に依存している組織にとって、統合された OT サイバーセキュリティ機能はビジネスの必要な部分である。OT サイバーセキュリティの職員は、電気、化学、またはプロセスのエンジニアが持つような物理システムに対する深い理解は期待されていないが、プラントの運用に関する実務的な知識を持っている必要があり、最も重要なことは、物理プラントの輸入事業者と協力関係を維持することである。このような関係は、サイバーエンハンスメントプロジェクトを成功させるためにも、サイバーイベントに対応する必要がある場合にも重要である。
Principle 3: OT data is extremely valuable and needs to be protected 原則 3: OT データは非常に貴重であり、保護される必要がある
From an adversary’s point of view, knowing how a system is configured, including devices and protocols used, is valuable since an OT environment rarely changes. This level of information allows a bad actor to create and test targeted malware, facilitating a greater range of possible malicious outcomes. OT 環境はめったに変化しないため、敵の視点から見れば、使用されるデバイスやプロトコルを含め、シス テムがどのように構成されているかを知ることは貴重である。このレベルの情報により、悪意ある行為者は標的型マルウェアを作成しテストすることができ、悪意のある結果をより広範囲に広げることができる。
Of particular importance is engineering configuration data, such as network diagrams, any documentation on the sequence of operations, logic diagrams and schematics (e.g., the knowledge that address 1250 is a circuit breaker, or understanding the organisation’s DNP3 address convention for devices of a specific type). This information is unlikely to change in five years, and may last for 20 or more years. As such, engineering configuration data has enduring value and is highly valuable to an adversary. An adversary gaining in-depth knowledge of how an OT system works may be likened to the concept of prepositioning in a corporate IT environment, particularly in the sense of significance and the need to respond. 特に重要なのは、ネットワーク図、動作シーケンスに関するあらゆる文書、ロジック図、回路図などのエンジニアリング・コンフィギュレーション・データである(例えば、アドレス1250がサーキット・ブレーカーであるという知識や、特定のタイプのデバイスに対する組織のDNP3アドレス規約を理解すること)。このような情報は、5年で変わる可能性は低く、20年以上続くかもしれない。このように、エンジニアリング・コンフィギュレーション・データには永続的な価値があり、敵対者にとって非常に貴重である。敵対者が OT システムの仕組みについて深い知識を得ることは、特に重要性と対応の必要性という意味で、企業の IT 環境における事前配置の概念に例えられるかもしれない。
Also important is more ephemeral OT data, such as voltage or pressure levels, as it can provide insight into what the organisation or its customers are doing or how the control system works. Securing OT data is also important for the protection of intellectual property (IP) and personally identifiable information (PII), such as for metering in electricity, gas or water, or for patient records in health. These other types of OT data, such as ephemeral OT values, IP and PII, also need to be protected. However, OT personal should also protect the engineering configuration data, which is critical to operations and valuable to malicious actors, but often overlooked.  また、電圧や圧力レベルなど、より刹那的なOTデータも重要である。これは、組織やその顧客が何をしているのか、あるいは制御システムがどのように動作しているのかを洞察できるためである。OTデータのセキュリティは、知的財産(IP)や個人を特定できる情報(PII)の保護にも重要である。例えば、電気、ガス、水道のメータリングや、医療における患者記録などである。このような刹那的なOT値、IP、PIIといった他のタイプのOTデータも保護される必要がある。しかし、OT 個人はエンジニアリング・コンフィギュレーション・データも保護する必要がある。これは運用にとっ て重要であり、悪意ある行為者にとって貴重であるが、見過ごされがちである。
Examples and implications 例と影響
Organisations should define and design where and how OT data can be stored, so as to control and secure it. While OT systems are often segmented and segregated from corporate IT systems, frequently adversaries do not need to access the more highly protected OT systems to gain access to all necessary OT data. Organisations may need to change their business processes to minimise the distribution and storage locations of OT data, including internally to the corporate system, such as processes that require that staff store OT configuration files in the corporate document management system. Ideally, critical OT data is always protected to the level of the OT system and as such should be stored in a protected repository that is segmented and segregated from the corporate environment and the internet. 組織は、OTデータを管理し保護するために、OTデータを保存する場所と方法を定義し設計する必要がある。OTシステムはしばしば企業のITシステムからセグメント化され分離されているが、多くの場合、敵対者は必要なすべてのOTデータにアクセスするために、より高度に防御されたOTシステムにアクセスする必要はない。組織は、職員がOT設定ファイルを企業の文書管理システムに保存することを要求するプロセスなど、企業システム内部を含め、OTデータの配布と保存場所を最小限にするために、ビジネスプロセスを変更する必要があるかもしれない。理想的には、重要な OT データは常に OT システムのレベルまで防御され、企業環境やインターネットから分 離・隔離された保護されたレポジトリに保管されるべきである。
OT networks should push data out of the network, rather than external networks pulling data in from OT. OTネットワークは、外部ネットワークがOTからデータを取り込むのではなく、ネットワークからデータを押し出すべきである。
When seeking to identify where critical OT data is, indicative questions include: 重要なOTデータがどこにあるかを特定しようとする場合、識別のための質問には次のようなものがある:
• Do vendors and service technicians have a copy? - ベンダーやサービス技術者はコピーを持っているか?
• Do consultants have a copy? - コンサルタントはコピーを持っているか?
• Do engineers work in corporate IT systems, which allows them to correspond with other experts via email, before transferring the work to the OT environment? - エンジニアは、OT環境に作業を移す前に、電子メールで他の専門家とやり取りできるような企業のITシステムで作業しているか?
• Is the data stored in emails, laptops, corporate backup devices, or in the cloud? - データは電子メール、ノートパソコン、企業のバックアップ機器、またはクラウドに保存されているか?
• What is the process for information destruction and disposal (e.g., when a programmable logic controller (PLC) is decommissioned, is the logic code wiped)? - 情報の破壊と廃棄のプロセスはどうなっているか(例えば、プログラマブルロジックコントローラ(PLC)を廃棄する際、ロジックコードは消去されるか)。
• Is there anything to prevent technologies such as endpoint detection and response (EDR) or anti-virus causing an inadvertent data spill by sending copies of OT files out of the organisation’s network? Is there anything to prevent staff from uploading files to online antivirus or storage services? - エンドポイント検知・対応(EDR)やアンチウィルスなどの技術が、OTファイルのコピーを組織のネットワーク外に送信することによって、不注意によるデータ流出を引き起こすことを防ぐものはあるか?職員がオンライン・アンチウイルスやストレージ・サービスにファイルをアップロードするのを防ぐ方法はあるか?
• How much information is shared with the insurer, HR, procurement, social media, etc.? - 保険会社、人事部、調達部、ソーシャルメディアなどとどの程度情報を共有しているか?
• Where are OT log files stored and analysed? - OTログファイルはどこに保存され、分析されているか?
• Are usable solutions in place, so that all parties working in OT do not have to create workarounds, potentially saving information in inappropriate places just to complete their work?  - OTに携わるすべての関係者が、作業を完了するためだけに不適切な場所に情報を保存する可能性のある回避策を作る必要がないように、使いやすいソリューションが用意されているか?
Organisations should seek to do more than protect the confidentiality, integrity and availability of OT data. Ideally they are alerted when OT data is viewed or exfiltrated – potentially via implementing canary tokens, which may include responses on certain files if they are touched. Further, they should consider what data adversaries already have access to, and if that data can be changed. This includes default passwords. If default passwords are changed, ideally ensure there is a way to capture failed login attempts, and investigate them. 組織は、OTデータの機密性、完全性、可用性を保護する以上のことを追求すべきである。理想的なのは、OTデータが閲覧されたり、流出したりしたときにアラートが発せられることである。カナリートークンを実装することで、特定のファイルに触れた場合に、そのファイルに対するレスポンスを含めることもできる。さらに、敵対者がすでにどのようなデータにアクセスしているか、そのデータを変更できるかどうかを検討すべきである。これにはデフォルトのパスワードも含まれる。デフォルトパスワードが変更された場合、ログインの失敗を記録し、調査する方法があることが理想的である。
Principle 4: Segment and segregate OT from all other networks 原則4:OTを他のすべてのネットワークから分離・隔離する
Segmenting and segregating more critical functions and networks has been common advice for decades. That advice is covered in many prior publications[2]. Entities should segment and segregate OT networks from the internet and from IT networks, because the corporate IT network is usually assessed as having a higher risk of compromise due to its internet connectivity, and services like email and web browsing. We add to, rather than change, prior advice in two main areas.  より重要な機能やネットワークを分離・隔離することは、数十年前から一般的なアドバイスとなっている。そのアドバイスは、多くの先行出版物[2]で取り上げられている。事業体は、OTネットワークをインターネットやITネットワークからセグメント化し、分離すべきである。なぜなら、企業のITネットワークは通常、インターネットに接続し、電子メールやウェブブラウジングなどのサービスを利用するため、侵害リスクが高いとアセスメントされるからである。我々は、主に2つの領域において、事前のアドバイスを変更するのではなく、追加する。
“From all other networks” 「他のすべてのネットワークから」
The first additional area relates to the need to secure connections between the critical infrastructure organisation’s OT network and other organisations’ OT networks. These connections from other organisations’ OT networks can be a backdoor into a critical asset, potentially bypassing levels of security protecting the OT network from corporate IT, and the internet. 1つ目の追加領域は、重要インフラ組織のOTネットワークと他の組織のOTネットワークとの間の接続をセキュアにする必要性に関するものである。他の組織の OT ネットワークからのこれらの接続は、重要資産へのバックドアとなる可能性があり、企業の IT やインター ネットから OT ネットワークを保護するセキュリティレベルをバイパスする可能性がある。
Critical Infrastructure organisations should segment and segregate their OT from all other networks. Fairly well understood in recent times is the need to protect and restrict OT networks from vendors. Also well understood since 2017’s Hatman malware, is the need to separate more critical OT networks such as those essential to safety, from less critical OT networks. Less well understood is the need to protect and restrict OT networks from peers and services upstream and downstream, as defined in the example below. 重要インフラ組織は、OTを他のすべてのネットワークからセグメント化し、分離すべきである。OTネットワークをベンダーから保護・制限する必要性は、最近よく理解されている。また、2017年のHatmanマルウェア以来、安全に不可欠なOTネットワークなど、よりクリティカルなOTネットワークを、よりクリティカルでないOTネットワークから分離する必要性もよく理解されている。あまり理解されていないが、以下の例で定義されているように、OTネットワークを上流や下流のピアやサービスから防御・制限する必要性がある。
Examples and implications 例とその意味
For example, an electricity transmission company may have connections between its own OT networks and the OT networks of other electricity transmission companies (peers). The electricity transmission company may also have a connection between its OT network and the OT networks of electricity generators (upstream). The electricity transmission company may have a connection between its OT network and the OT network of electricity distribution companies and large customers (downstream). 例えば、送電会社は自社のOTネットワークと他の送電会社のOTネットワーク(ピア)との接続を持つことがある。送電会社はまた、自社のOTネットワークと発電事業者(上流)のOTネットワークとの間の接続を有する場合がある。送電会社は、自社の送電網と配電会社や大口需要家の送電網(下流)との間に接続を持つこともある。
Compounding the long-standing issue of OT interconnectivity between different organisations is the disruption taking place in many critical infrastructure subsectors. As an example, in the electricity generation subsector, large monolithic generators are being replaced with many smaller generators and storage devices. The organisations running these smaller generators and storage devices may have overseas control rooms, and permanent connections from their OT networks to overseas vendors. 異なる組織間のOT相互接続性という長年の問題をさらに複雑にしているのが、多くの重要インフラサブ部門で起きている混乱である。一例として、発電サブセクターでは、大型のモノリシック発電機が多くの小型発電機や蓄電装置に置き換えられている。これらの小型発電機や蓄電装置を稼動させている組織は、海外に制御室を持ち、OTネットワークから海外のベンダーに常時接続している可能性がある。
An important shift in thinking from engineering reliability to cyber security is the concept that if a connection exists, it needs to be secure, regardless of the size of the organisation it is connected to. That is, from an engineering reliability point of view, a connection to a 2GW power station is more critical than a connection to a 5MW solar farm. However, from the cyber security point of view of an attack vector into an electricity transmission organisation’s OT network, a network connection to the control system of a 5MW solar farm has the same criticality as a network connection to the control system of the 2GW power station. 工学的信頼性からサイバーセキュリティへの重要な考え方の転換は、接続先の組織の規模に関係なく、接続が存在するのであれば、それは安全でなければならないという考え方である。つまり、エンジニアリングの信頼性の観点からは、2GWの発電所への接続は、5MWの太陽光発電所への接続よりも重要である。しかし、送電組織のOTネットワークへの攻撃ベクトルというサイバーセキュリティの観点からは、5MWの太陽光発電所の制御システムへのネットワーク接続は、2GWの発電所の制御システムへのネットワーク接続と同じ重要性を持つ。
Organisations cannot presume that other organisations have the same cyber risk appetite, cyber hygiene and cyber security standards as their own. If an organisation’s OT network is not sufficiently protected from another organisation’s OT network, including usual considerations such as logging and alerts, then the security boundary for the OT network includes the other organisation. Understanding third-party risks is critical. 組織は、他の組織が自組織と同じサイバーリスク選好度、サイバー衛生、サイバーセキュリティ標準を持っていると推定することはできない。組織のOTネットワークが、ロギングやアラートなどの通常の考慮事項を含め、他の組織のOTネットワークから十分に防御されていない場合、OTネットワークのセキュリティ境界は他の組織を含むことになる。サードパーティ・リスクを理解することが重要である。
Segmentation within an OT network must be used where assets and processes have different levels of criticality or the environment has a different level of trust. For example, pole-top infrastructure in an electricity distribution network may only be secured with a padlock and may use untrusted cellular networks. This infrastructure should have a lower level of trust and be segregated from infrastructure in a zone substation that is protected with robust security measures and fully encrypted communications paths. OTネットワーク内のセグメンテーションは、資産やプロセスの重要度が異なる場合や、環境の信頼度が異なる場合に使用しなければならない。例えば、配電網の柱上インフラは、南京錠でしか保護されておらず、信頼されていない携帯電話ネットワークを使用している可能性がある。このようなインフラは信頼レベルが低く、堅牢なセキュリティ対策と完全に暗号化されたコミュニケーション経路で保護されているゾーン変電所内のインフラとは分離されるべきである。
Administration and management 管理およびマネジメント
This principle also builds on advice surrounding the administration and management of OT systems and services. Typical advice involves segmenting and segregating OT networks from IT networks, logically and physically. In addition to this, organisations should explicitly consider where system administration and management services are placed, and ensure adequate separation of the administration and management interfaces from their IT environment counterparts. Compromise of the management and administration accounts or systems compromises the systems that they manage. Critical OT systems should not be reliant on IT systems to operate. この原則は、OT システムおよびサービスの管理およびマネジメントをめぐる助言にも基づいている。典型的なアドバイスとしては、OT ネットワークを論理的・物理的に IT ネットワークからセグメンテーションし、分離することが挙げられる。これに加えて、組織は、システム管理および管理サービスがどこに配置されるかを明確に考慮し、管理および管理インターフェイスとIT環境との適切な分離を確保すべきである。管理アカウントや管理システムが侵害されると、それらが管理するシステムも侵害される。クリティカルな OT システムの運用を IT システムに依存すべきではない。
Examples and implications 例と影響
A firewall is often placed between a corporate IT network and an OT network, because the corporate IT network is usually seen as having a higher risk of compromise. However, a common goal of malicious cyber actors, once on a network, is to seek privilege escalation. If a malicious cyber actor compromises the corporate IT network and achieves privilege escalation, and the firewall is managed from the IT side via a privileged IT account, then the firewall between IT and OT may no longer provide the desired level of protection for the OT environment. This architecture is always required when there are two environments of different trust and security levels: a more critical environment should never be administered from a less critical environment, and should always be managed from a network with the same or higher security posture. 企業の IT ネットワークと OT ネットワークの間にはファイアウォールが設置されることが多いが、これは通常、企業の IT ネットワークの方が侵害のリスクが高いと考えられているためである。しかし、一旦ネットワークに侵入した悪意のあるサイバー行為者の共通の目標は、特権の昇格を求めることである。悪意のあるサイバー・アクターが企業のITネットワークに侵入し、特権の昇格を達成し、ファイアウォールがIT特権アカウントを介してIT側から管理される場合、ITとOTの間のファイアウォールはもはやOT環境に望ましいレベルの防御を提供しない可能性がある。よりクリティカルな環境は、よりクリティカルでない環境から管理されるべきではなく、常に同じかそれ以上のセキュリティ・ポスチャーを持つネットワークから管理されるべきである。
There are many other instances where administration and management systems are critical, and hence require appropriate segmentation. For example, as noted by Microsoft, Active Directory (AD) Domains do not function as security zone boundaries inside an AD Forest. If the OT environment is inside the same AD Forest as the IT environment, or if a trust relationship exists, then the desired level of protection and operational separation for the OT environment may not be provided. 管理・運営システムが重要であり、それゆえに適切なセグメンテーションが必要なケースは、他にもたくさんある。例えば、マイクロソフトが指摘しているように、Active Directory(AD)ドメインは、ADフォレスト内のセキュリ ティゾーンの境界としては機能しない。もしOT環境がIT環境と同じADフォレスト内にある場合、あるいは信頼関係が存在する場合、OT環境に望ましいレベルの防御と運用分離が提供されない可能性がある。
Similarly, virtualisation is becoming common in many OT environments. Consider the case where virtualisation of the OT infrastructure or components is managed by privileged accounts from a corporate domain. If the corporate environment becomes compromised, through ransomware or other mechanisms, even if the virtualised OT environment has not been directly affected, the privileged IT accounts required to manage the OT environment would be no longer accessible. 同様に、仮想化は多くの OT 環境で一般的になりつつある。OT インフラやコンポーネントの仮想化が、企業ドメインの特権アカウントによって管理されている場合を考えてみる。企業環境がランサムウェアやその他のメカニズムによって侵害された場合、仮想化されたOT環境が直接影響を受けていなくても、OT環境を管理するために必要な特権ITアカウントにアクセスできなくなる。
Another example of significance is backups. If the backups or backup infrastructure for the OT environment is managed by privileged corporate IT accounts, then again the desired level of risk mitigation against a cyber-incident may not be provided. もう一つの重要な例はバックアップである。OT環境のバックアップやバックアップ・インフラが特権的な企業ITアカウントによって管理されている場合、サイバーインシデントに対して望ましいレベルのリスク低減が提供されない可能性がある。
Segmenting and segregating networks has long been recommended as one of the primary ways of reducing cyber risk in OT environments. In addition to more traditional physical and logical separation concerns, administration and management systems are highlighted. As demonstrated by the above non-exhaustive list of vital administrative and management areas including network security, authentication and access control, virtualisation and backups, there is a need for organisations to regularly assess the risk of insufficiently separating administrative and management systems and services in OT environments. ネットワークのセグメント化と分離は、OT環境におけるサイバー・リスクを軽減する主要な方法の一つとして、長い間推奨されてきた。より伝統的な物理的・論理的分離の懸念に加え、管理・運営システムが強調されている。ネットワーク・セキュリティ、認証とアクセス管理、仮想化、バックアップなど、重要な管理・マネジメント分野の上記の非網羅的なリストが示すように、組織は、OT環境における管理・マネジメントシステムとサービスの分離が不十分であるリスクを定期的に評価する必要がある。
Principle 5: The supply chain must be secure 原則5:サプライチェーンは安全でなければならない
Making supply chains more secure has been a focus of advice for some time. That advice is covered in many prior and current publications, including the need to have a supply chain assurance program for suppliers of equipment and software, vendors and managed service providers (MSPs), particularly when they have access to OT to provide support. The requirement to make supply chains more secure has often resulted in a level of rigour assessing major vendors in an organisation’s OT environment. While organisations should still follow existing advice, we call out some additional areas of particular concern for OT environments. サプライチェーンをより安全なものにすることは、しばらくの間、助言の焦点となってきた。その助言は、多くの過去および現在の出版物で取り上げられており、特に、機器やソフトウエアのサプライヤー、ベンダー、マネージドサービス・プロバイダー(MSP)が、OTにアクセスしてサポートを提供する場合には、サプライチェーン保証プログラムを用意する必要性などが挙げられている。サプライチェーンをよりセキュアにする必要性から、組織のOT環境における主要ベンダーのアセスメントが厳格化されることが多い。組織は既存のアドバイスに従うべきであるが、OT環境について特に懸念される追加的な領域をいくつか指摘する。
Examples and implications 例と影響
A shift in thinking is required regarding criticality and risk exposure presented by vendors. Organisations should re-evaluate the scope of systems that require oversight, as historically often only large vendors or vendors that are the most significant from an engineering point of view were scrutinised. For cyber security, size and engineering significance often does not matter. ベンダーが提示するクリティカリティとリスク・エクスポージャーに関する考え方の転換が必要である。組織は、監視が必要なシステムの範囲を再評価すべきである。従来は、大規模ベンダーやエンジニアリングの観点から最も重要なベンダーのみが精査されることが多かったからである。サイバーセキュリティにとって、規模やエンジニアリング上の重要性は重要ではないことが多い。
In OT environments, the network is typically fairly open. Critical control messages are commonly sent with little or no security, such as without encryption. Some control systems protocols communicate via multicast or broadcast messages, which are sent to all devices on the network. As such, almost any device on the network may be able to view critical control messages, and could create and inject messages to cause an undesirable action, making the supply chain of all devices critical. OT環境では、ネットワークは通常かなりオープンである。重要な制御メッセージは、暗号化されていないなど、ほとんど、あるいはまったくセキュリティがない状態で送信されるのが一般的である。制御システム・プロトコルの中には、マルチキャストやブロードキャスト・メッセージでコミュニケーションするものがあり、ネットワーク上のすべてのデバイスに送信される。そのため、ネットワーク上のほとんどすべてのデバイスが、重要な制御メッセージを見ることができ、望ましくない動作を引き起こすメッセージを作成し、注入することができる。
“Any device” includes peripherals such as printers, networking and telecommunications equipment, as well as the more commonly considered remote terminal units (RTUs), human machine interfaces (HMIs), engineering workstations, historians, relays, intelligent electronic devices (IEDs) and controllers. Other systems may also need to be considered, depending on interconnections or the necessity for the other system to be functioning correctly for the OT to function correctly. These may include building management systems, air conditioning (HVAC), fire suppression systems, elevators, cameras and physical access control systems. 「あらゆるデバイス」には、プリンター、ネットワーキング機器、電気通信機器などの周辺機器や、より一般的に考えられているリモート・ターミナル・ユニット(RTU)、ヒューマン・マシン・インターフェース(HMI)、エンジニアリング・ワークステーション、ヒストリアン、リレー、インテリジェント電子デバイス(IED)、コントローラーなどが含まれる。相互接続や、OTが正しく機能するために他のシステムが正しく機能する必要性によっては、他のシステムも考慮する必要がある。これには、ビル管理システム、空調(HVAC)、消火システム、エレベーター、カメラ、物理的アクセス管理システムなどが含まれる。
The source and provenance of all devices in the OT environment should be known. This includes any vendor or consultant laptop connecting to the OT network, which may be used to access otherwise explicitly prevented content such as email or web browsing. Consideration should be given regarding what other networks, such as a vendor’s alternative customer, the devices have been connected to, and if those networks are at the same trust level as the OT network. This includes the case where networking or other devices from lower trust corporate IT networks are repurposed for use in higher trust OT networks. OT 環境にあるすべてのデバイスの出所と出所を知るべきである。これには、OTネットワークに接続するベンダーやコンサルタントのノートパソコンが含まれ、電子メールやウェブ閲覧のような明示的に防止されたコンテンツにアクセスするために使用される可能性がある。ベンダーの代替顧客のような他のどのようなネットワークにデバイスが接続されているか、またそれらの ネットワークが OT ネットワークと同じ信頼レベルにあるかどうかを考慮すべきである。これには、信頼度の低い企業ITネットワークのネットワークやその他のデバイスが、信頼度の高いOTネットワークで使用するために再利用される場合も含まれる。
A small technical check that most organisations can do while evaluating a device, is to plug the device in with a packet analyser capturing traffic, and check if the device unexpectedly attempts to communicate with a remote address. デバイスの評価中にほとんどの組織ができる小さな技術的チェックは、トラフィックをキャプチャしているパケットアナライザーにデバイスを接続し、デバイスが予期せずリモートアドレスとの通信を試みるかどうかをチェックすることである。
Another shift in thinking required is to not only consider what a device is currently configured to do, which can be tested, but also consider what a device could do if its firmware or configuration was changed. This is particularly important if the device is constantly or occasionally connected to a vendor, who can update the firmware. To aid protecting against third-party interference, entities should ensure that firmware is received from a trusted location, is cryptographically signed, and that the signature is checked. もう一つ必要な発想の転換は、デバイスが現在どのように設定されているかをテストするだけでなく、デバイスのファームウェアや設定が変更された場合に何ができるかを検討することである。これは、ファームウェアを更新できるベンダーに、デバイスが常時または時折接続されている場合、特に重要である。サードパーティによる干渉から保護するために、事業体は、ファームウェアが信頼できる場所か ら受信され、暗号的に署名され、その署名がチェックされることを保証すべきである。
Vendors can increase risk to OT systems. A vendor request, habit or architecture that requires an organisation to break one or more of the principles of OT cyber security can increase the OT system’s susceptibility to cyberattack. Such activity should count negatively for a vendor’s cyber security maturity when assessing the suitability of their products or services. A common example is a license renewal process, that requires connections from critical parts of the OT network out to the internet. Other examples include direct connections between OT and the internet, bypassing remote access security architecture, as a means to allow the vendor to collect data, perform firmware updates, make configuration changes, or to perform any other form of remote servicing or support. ベンダーは、OT システムのリスクを増大させる可能性がある。組織が OT サイバーセキュリティの原則の 1 つ以上を破ることを要求するようなベンダーの要求、 習慣、またはアーキテクチャは、OT システムのサイバー攻撃に対する感受性を高める可能性がある。そのような活動は、ベンダの製品やサービスの適合性をアセスメントする際に、ベンダのサイバーセキュリティ成熟度にとってマイナスにカウントされるべきである。よくある例は、OTネットワークの重要な部分からインターネットへの接続を必要とするライセンス更新プロセスである。その他の例としては、ベンダがデータ収集、ファームウェア更新、設定変更、その他のリモートサービスやサポートを行うための手段として、リモートアクセスセキュリティアーキテクチャをバイパスして、OTとインターネットを直接接続することが挙げられる。
Principle 6: People are essential for OT cyber security 原則6:OTサイバーセキュリティには人が不可欠
A cyber-related incident cannot be prevented or identified in OT without people that possess the necessary tools and training creating defences and looking for incidents. Once a cyber-related incident has been identified in OT, trained and competent people are required to respond. 必要なツールやトレーニングを有する人が防御を構築し、インシデントを探すことなしに、OTにおけるサイバー関連インシデントを防止したり識別したりすることはできない。一旦OTでサイバー関連インシデントが特定されると、訓練を受けた有能な人材が対応する必要がある。
A strong safety-based cyber security culture is critical to the on-going cyber resiliency of OT systems. There is a need for each organisation to reframe the requirements from these principles as workplace safety requirements, as opposed to cyber security requirements. 強固な安全ベースのサイバーセキュリティ文化は、OTシステムの継続的なサイバーレジリエンスに不可欠である。各組織は、これらの原則からの要件を、サイバーセキュリティ要件とは対照的に、職場の安全要件として捉え直す必要がある。
Staff, particularly field technicians and all other members of operating staff, are often the front line of defence and detection for an organisation. スタッフ、特に現場技術者やその他すべての作業スタッフは、しばしば組織の防御と検知の最前線に立つ。
Examples and implications 例と影響
A mix of people with different backgrounds, with various skills, knowledge, experience and security cultures, is necessary to support effective OT cyber security practices. This includes members from infrastructure and cyber security teams (commonly found in IT), as well as control system engineers, field operations staff, and asset managers (commonly found in OT). 効果的な OT サイバーセキュリティの実践を支援するためには、さまざまなスキル、知識、経験、セ キュリティ文化を持つ、さまざまな背景を持つ人々の混合が必要である。これには、制御システム・エンジニア、現場運用スタッフ、資産管理者(OTに多い)だけでなく、インフラストラクチャー・チームやサイバー・セキュリティ・チーム(ITに多い)のメンバーも含まれる。
Developing a cohesive OT cyber security culture requires general alignment on the principles of OT throughout the organisation. Consider that there will be a different set of inherent values and priorities carried by members of different backgrounds. For example, the first principle of OT cyber security, “Safety is paramount”, often requires a fundamental shift in thinking for people that have non-engineering or noncritical infrastructure backgrounds. Team members with non-engineering backgrounds gaining an understanding of OT challenges is important for the team to work cohesively in OT. 結束力のある OT サイバーセキュリティ文化を発展させるには、組織全体で OT の原則を全般的に一致させる必要がある。異なる背景を持つメンバーによって、固有の価値観や優先順位が異なることを考慮する。例えば、OTサイバーセキュリティの第一原則である「安全が最優先」は、非エンジニアリングまたは非重要インフラストラクチャのバックグラウンドを持つ人々にとって、しばしば考え方の根本的な転換を必要とする。非エンジニアリングの背景を持つチームメンバーがOTの課題を理解することは、チームがOTで結束して作業するために重要である。
In most critical infrastructure OT sites, from electricity generation to water treatment facilities, staff are the front line of defence. They almost certainly will not be OT cyber security experts, nor people who work in corporate IT. Field operations staff rarely receive formal information technology or cyber security training and certification. Often, experience with the IT components of an Industrial Control System (ICS) will have been developed on-the-job, out of necessity due to the growing dependency of site operations on ICT infrastructure and IP-based communication. 発電から水処理施設まで、ほとんどの重要インフラの OT サイトでは、スタッフが防衛の最前線である。彼らはほぼ間違いなく、OTサイバーセキュリティの専門家でもなければ、企業のIT部門で働く人でもない。現場のオペレーション・スタッフが正式な情報技術やサイバー・セキュリティのトレーニングや認定を受けることはほとんどない。多くの場合、産業制御システム(ICS)のITコンポーネントに関する経験は、現場のオペレーションがICTインフラとIPベースのコミュニケーションへの依存度を高めているため、必要に迫られて現場で培われたものである。
As such, significant focus is required to develop cyber security awareness as a core component of field safety culture, so that operators feel confident and empowered to raise potential cyber concerns, without fear of ridicule or judgement. Further, there needs to be a process put in place where cyber-safety related observations can be raised quickly, with a culture of knowing that observations will be appreciated. そのため、現場の安全文化の中核的な要素としてサイバーセキュリティに対する認識を高めることに大きな焦点を当てる必要がある。そうすることで、オペレーターは、嘲笑や判断を恐れることなく、サイバーに関する潜在的な懸念を提起する自信と権限を得ることができる。さらに、サイバーセーフティに関連する観察が迅速に提起され、その観察が評価されることを知る文化が醸成されるようなプロセスを整備する必要がある。
Potential strategies to develop security awareness and a cyber-safe culture amongst staff include: 職員のセキュリティ意識とサイバーセーフティ文化を発展させるために、以下のような戦略が考えられる:
• Incorporating cyber security into safety assessments, factory acceptance testing (FAT), site acceptance testing (SAT), and the engineering change management process. Established methods include Cyber-Informed Engineering, Cyber PHA or HAZCADS. - 安全アセスメント、工場受入試験(FAT)、現場受入試験(SAT)、及びエンジニアリング変更管理プロセスにサイバーセキュリティを組み込む。確立された手法には、サイバーインフォームドエンジニアリング、サイバーPHA、HAZCADSなどがある。
• Creating environments and processes that encourage local staff to identify and report suspicious behaviour. A common antipattern is for engineers to perform remote maintenance without informing on-site staff. The field operator will observe the engineer’s activities as a mouse moving on a local machine or visible interaction with the HMI. Local staff will grow to ignore such behaviour as being normal and legitimate. - 現地スタッフが不審な行動を識別し、報告することを奨励する環境とプロセスを構築する。よくある悪いパターンは、エンジニアが現場のスタッフに知らせずに遠隔保守を行うことである。現場のオペレーターは、エンジニアの行動を、現地の機械上でマウスが動いている、あるいはHMIとの目に見えるインタラクションとして観察する。現地スタッフは、そのような行動を正常かつ合法的なものとして無視するようになる。
• Conditioning field operators to consider the possibility of cyber compromise when operational faults are identified. Historically, faults that engineers address have been due to engineering issues such as misconfiguration, device failure, corruption of data or the device working outside of tolerances. Typical responses include restarting the program, rebooting or resetting the device, re-flashing or loading a known good configuration, or replacing the device. Historically, malicious cyber actions have not been considered, meaning that cyber incidents may have been misidentified and dismissed as operational faults or missed entirely. The possibility that a fault has a cyber-related cause should also be considered. Most, if not all, of the traditional remediation steps listed will reset communication links and wipe volatile memory, which may have helped a cyber security investigation. Specific additional processes, and changes to long existing processes, are required for cyber identification, classification and investigations in OT. - 運用上の欠陥が識別されたときに、サイバー侵害の可能性を考慮するよう、現場オペレータに条件付ける。歴史的に、エンジニアが対処するフォールトは、設定ミス、デバイスの故障、データの破損、デバイスの許容範囲外での動作など、エンジニアリング上の問題によるものであった。典型的な対応としては、プログラムの再起動、デバイスのリブートまたはリセット、再フラッシュまたは既知の良好なコンフィギュレーションのロード、デバイスの交換などがある。歴史的に、悪意のあるサイバー行為は考慮されてこなかった。つまり、サイバーインシデントが誤認され、運用上の障害として処理されるか、完全に見逃されてきた可能性がある。障害にサイバー関連の原因がある可能性も考慮すべきである。すべてではないにせよ、従来の是正措置のほとんどは、通信リンクをリセットし、揮発性メモリを消去するものであり、サイバーセキュリティの調査に役立ったかもしれない。OTにおけるサイバー識別、分類、調査には、具体的な追加プロセスや、長い既存のプロセスの変更が必要である。

 

[1] Note ASD ACSC’s advice is never pay a ransom. See our guidance on how to report and recover from ransomware - https://www.cyber.gov.au/report-and-recover/recover-from/ransomware
[2] Such as https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/systemhardening-and-administration/network-hardening/implementing-network-segmentation-and-segregation,  NSA and CISA Recommend Immediate Actions to Reduce Exposure Across all Operational Technologies and Control Systems https://media.defense.gov/2020/Jul/23/2002462846/-1/-1/0/OT_ADVISORY-DUAL-OFFICIAL-20200722.PDF,  Stop Malicious Cyber Activity Against Connected Operational Technology  https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/0/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF, and  https://www.cyber.gc.ca/en/guidance/baseline-security-requirements-network-security-zones-version-20-itsp80022

 


 

米国 CISA

● CISA

・2024.10.01 ASD’s ACSC, CISA, FBI, NSA, and International Partners Release Guidance on Principles of OT Cybersecurity for Critical Infrastructure Organizations

 

ASD’s ACSC, CISA, FBI, NSA, and International Partners Release Guidance on Principles of OT Cybersecurity for Critical Infrastructure Organizations ASDのACSC、CISA、FBI、NSA、そして国際的パートナーが重要インフラ組織のためのOTサイバーセキュリティの原則に関するガイダンスを発表
Today, the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)—in partnership with CISA, U.S. government and international partners—released the guide Principles of Operational Technology Cybersecurity. This guidance provides critical information on how to create and maintain a safe, secure operational technology (OT) environment. 本日、オーストラリア通信総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)は、CISA、米国政府および国際的なパートナーとの協力のもと、「運用技術・サイバーセキュリティの原則」(Principles of Operational Technology Cybersecurity)のガイダンスを発表した。このガイダンスは、安全でセキュアな運用技術(OT)環境を構築・維持する方法に関する重要な情報を提供している。
The six principles outlined in this guide are intended to aid organizations in identifying how business decisions may adversely impact the cybersecurity of OT and the specific risks associated with those decisions. Filtering decisions that impact the security of OT will enhance the comprehensive decision-making that promotes security and business continuity. 本ガイドに概説されている6つの原則は、ビジネス上の意思決定がOTのサイバーセキュリティにどのような悪影響を及ぼす可能性があるか、また、それらの意思決定に関連する具体的なリスクを特定する際に組織を支援することを目的としている。OT のセキュリティに影響を与える意思決定をフィルタリングすることで、セキュリティと事業継続を促進する包括的な意思決定が強化される。
CISA encourages critical infrastructure organizations review the best practices and implement recommended actions which can help ensure the proper cybersecurity controls are in place to reduce residual risk in OT decisions. CISAは、重要インフラ組織がベスト・プラクティスを検討し、OTの意思決定における残留リスクを低減するために適切なサイバーセキュリティ管理を確保するのに役立つ推奨行動を実施することを奨励している。
For more information on OT cybersecurity, review our Industrial Control Systems page and the Joint Cybersecurity Advisory Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems to help critical infrastructure organizations manage and enhance their OT cybersecurity. OTサイバーセキュリティの詳細については、産業用制御システムのページと、重要インフラ組織がOTサイバーセキュリティを管理し強化するのに役立つ、運用技術および制御システム全体のエクスポージャーを低減するための共同サイバーセキュリティアドバイザリ「Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems」を参照されたい。

 

 


 

内閣官房

・2024.10.02 国際文書「Principles of operational technology cyber security」に署名しました

・・[PDF] 報道資料

20241003-112532

 

・[PDF] 仮訳

20241003-122936

 


 

ドイツ

ドイツはBSIからプレスですね...

Bundesamt für Sicherheit in der Informationstechnik

・2024.10.02 Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit



 

| | Comments (0)

2024.09.30

米国 下院 国土安全保障委員会 クラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントについての公聴会 (2024.09.24)

こんにちは、丸山満彦です。

米国下院の国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会が、2024.09.24にクラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントに関する公聴会を開催していますね...

多くの企業が利用するソフトウェアの欠陥が世界的に大きな影響を与えたという意味では重要な問題であったと思います。原因がとしては、サイバー攻撃だろうが、ソフトウェアの単なるコーディングミスであろうが、同じですよね...

 

U.S. House of Representatives  - Homeland Security

1_20240930002701

・2024.09.24 An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update

 



A Cybersecurity and Infrastructure Protection Subcommittee Hearing entitled, “An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update.”

33分15秒くらいから会議は始まります。

 

概要について別途ページが作られていますね...

 

・2024.09.24 

ICYMI: Committee Examines CrowdStrike Processes in First Congressional Hearing on the Disastrous July Global IT Outage 見逃した人向け:委員会、7月の世界規模のIT障害に関する初の公聴会でCrowdStrikeのプロセスを検証
WASHINGTON, D.C. — This week, the House Homeland Security Subcommittee on Cybersecurity and Infrastructure Protection, led by Committee Chairman Mark E. Green, MD (R-TN) and Subcommittee Chairman Andrew Garbarino (R-NY), held a hearing to examine CrowdStrike’s defective software update that caused a major information technology (IT) outage on July 19, 2024. In the hearing, Members received witness testimony from CrowdStrike’s Senior Vice President of Counter Adversary Operations Adam Meyers. The Committee initially requested testimony from CEO George Kurtz on July 22, but was told by the company that Mr. Meyers was the appropriate witness. ワシントンD.C. — 今週、マーク・E・グリーン下院議員(共和党、テネシー州選出)とアンドリュー・ガバリノ下院議員(共和党、ニューヨーク州選出)が率いる下院国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会は、2024年7月19日に大規模なIT(情報技術)障害を引き起こしたCrowdStrikeの欠陥のあるソフトウェアアップデートを調査するための公聴会を開催した。公聴会では、CrowdStrikeの敵対者対策業務担当上級副社長アダム・メイヤーズ氏から証言を受けた。委員会は当初、7月22日にCEOのジョージ・クルツ氏から証言を受けるよう要請したが、同社からメイヤーズ氏が適切な証人であると伝えられた。
Members examined how the defective update caused an outage across industry sectors, as well as how CrowdStrike has since adjusted its processes for pre-deployment testing and the rollout of updates. Members also expressed concerns about the company’s security culture, the impact of the outage on government networks, such as the Cybersecurity and Infrastructure Security Agency (CISA), and how the cross-sector impacts of the outage could serve as a dangerous inspiration for America’s cyber adversaries. 議員らは、欠陥のあるアップデートが業界全体にわたって停電を引き起こした経緯、および、CrowdStrikeがそれ以降、展開前のテストとアップデートのロールアウトのプロセスをどのように調整したかを調査した。議員らはまた、同社のセキュリティ文化、サイバーセキュリティ・インフラセキュリティ庁(CISA)などの政府ネットワークへの停電の影響、および、停電がさまざまな業界に及ぼした影響が、アメリカのサイバー敵対者にとって危険なインスピレーションとなる可能性について懸念を表明した。
Image36
In Chairman Green’s opening statement, he highlighted the potential homeland security implications of the IT outage: グリーン議長の冒頭の声明では、IT障害が国土安全保障に及ぼす潜在的な影響について次のように強調した。
“As the July 19th outage has demonstrated yet again, our networks are increasingly interconnected. While we know that nation-state actors and criminals try to exploit our networks, we would not expect companies to defend themselves from these targeted attacks. However, as I emphasized with the President of Microsoft in June, we do expect companies to implement the strongest cybersecurity practices possible. Our nation’s security depends on a strong public-private partnership for protecting our networks. …  In August, CISA Director Jen Easterly described this incident as, ‘a useful exercise — a dress rehearsal for what China may want to do to us.’ We look forward to working with you to make sure we never make it to opening night.” 「7月19日の障害がまたも示したように、私たちのネットワークはますます相互接続されている。国家による行為や犯罪者が私たちのネットワークを悪用しようとしていることは承知しているが、企業がこうした標的型攻撃から自らを守ることは期待できない。しかし、6月にマイクロソフト社の社長と強調したように、企業が可能な限り最善のサイバーセキュリティ対策を実施することは期待している。わが国の安全保障は、ネットワーク防御のための強力な官民連携に依存している。…8月、CISAのジェン・イースタリー長官は、このインシデントを「有益な演習であり、中国が米国に対して行う可能性があることの予行演習」と表現した。私たちは、初日を迎えることが決してないよう、皆様と協力していきたいと考えている。
In his line of questioning, Chairman Green asked Meyers how the decision was made to launch the update グリーン委員長は、メイヤーズ氏にアップデートの開始がどのように決定されたのかを尋ねた。
“Who made the decision to launch the update? Did AI do that or did an individual do that––and can you tell me how that decision was made?”  「アップデートの開始を決定したのは誰か? その決定はAIが行ったのか、それとも個人が行ったのか、そしてその決定がどのように下されたのかを教えてほしい」
Meyers answered: メイヤーズ氏は次のように答えた。
“AI was not responsible for making any decision in that process. It is part of a standard process. We release 10 to 12 of these updates, content updates, every single day. So, that was part of our standard operating procedure.”  「AIは、そのプロセスにおけるいかなる決定にも関与していない。 これは標準的なプロセスの一部である。 当社は、コンテンツのアップデートを10から12件、毎日リリースしている。 つまり、これは標準的な業務手順の一部であった」 
Chairman Green continued:  グリーン委員長はさらに続けた。
“These updates are automatic globally?” 「これらのアップデートは世界中で自動的に行われたのか?
Meyers answered:  メイヤーズ氏は答えた。
“The updates were distributed to all customers in one session. We’ve since revised that. In the full testimony, I’ve included a graphic that depicts what that now looks like and that is no longer the case.”  「アップデートは1回のセッションで全顧客に配信された。その後、修正した。証言の全文には、現在の状況を示す図表を添付している。
Image37
Subcommittee Chairman Garbarino questioned Meyers on why government agencies were also affected: 小委員会のガバリノ委員長は、政府機関も影響を受けた理由についてメイヤーズ氏に質問した。
“There was reporting about CrowdStrike’s faulty software update—it’s largely focused on commercial operations, like emergency services, flights, but there was also a big impact on federal agencies such as the FCC, Social Security, CBP, and even CISA. Although networks are becoming increasingly interconnected, government networks should be isolated from commercial ones. Why were federal agencies impacted by this outage? Are there different updates to test for commercial versus government business when you deal with your clients, or is it all the same?”   「CrowdStrikeのソフトウェア更新に欠陥があったという報道がありました。これは主に緊急サービスや航空便などの商業業務に焦点を当てたものですが、FCC、社会保障、CBP、さらにはCISAなどの連邦政府機関にも大きな影響がありました。ネットワークはますます相互接続されるようになっていますが、政府のネットワークは商業ネットワークから分離されるべきです。なぜ連邦政府機関がこの停電の影響を受けたのでしょうか? 顧客と取引する際に、商業用と政府用でテストするアップデートが異なるのか、それともすべて同じなのか?」 
Meyers replied:  メイヤーズ氏は次のように答えた。
“The updates went to Microsoft Windows operating system sensors that CrowdStrike had deployed. So that would have impacted any system that was running Microsoft operating system with that particular version of CrowdStrike Falcon that was online during the time period that the channel file was distributed.”  「アップデートは、CrowdStrikeが展開したMicrosoft Windowsオペレーティングシステムのセンサーに送られた。そのため、チャンネルファイルが配布された期間中にオンラインになっていた、特定バージョンのCrowdStrike Falconを搭載したMicrosoftオペレーティングシステムを実行しているシステムすべてに影響が及んだ。
Chairman Garbarino continued:  ガバリノ議長は続けた。
“So, as long as Microsoft was on that computer, using that system––whether it was government or commercial––it didn’t matter. It was affected.”  「つまり、Microsoftがそのコンピュータ上で、政府または商業用に関わらず、そのシステムを使用している限り、影響を受けるということだ。」 
Meyers replied:  メイヤーズ氏は次のように答えた。
“As long as the CrowdStrike sensor is running on the Microsoft operating systems––on those systems at that time––yes.”  「CrowdStrikeセンサーがMicrosoftオペレーティングシステム上で動作している限り、つまり、その時点ではそのシステム上で動作している限り、その通りだ。」 
Image39
Representative Mike Ezell (R-NY) asked Meyers about concerning reports on how CrowdStrike handles staffing decisions and suppor 代表者マイク・エゼル(共和党、ニューヨーク州選出)は、CrowdStrikeの人員配置の決定とサポートに関する報告について、メイヤーズ氏に質問した。
“A recent article stated that, ‘engineers and threat hunters were given just two months for work that would have normally taken a year.’ Additionally, the article noted that CrowdStrike confirmed its use of  ‘existing engineers instead of hiring a new team of cloud threat hunters.’ Pearl River Community College and many others in my district offer an excellent cybersecurity technology program for our next generation of students to help fill this unsettling skills gap. Do you make these staffing decisions because of a lack of adequate job force in the industry?”  「最近の報道では、『エンジニアや脅威ハンターは通常1年かかる仕事をわずか2か月でこなすよう命じられた』と述べられていた。さらに、記事では、クラウド脅威ハンターの新しいチームを雇用する代わりに、既存のエンジニアを活用するとCrowdStrikeが確認したと指摘していた。パールリバー・コミュニティ・カレッジをはじめ、私の選挙区内の多くの大学では、次世代の学生を対象に、この不安を煽るスキルギャップを埋めるための優れたサイバーセキュリティ技術プログラムを提供している。このような人員配置の決定は、業界で十分な労働力が不足していることが理由ですか?」
Meyers answered:  メイヤーズ氏は次のように答えた。
“We have a robust internship program. We bring some of the most talented from these internal and external internship programs, and recruit from all over the country and all over the world in order to fill positions.”  「当社には充実したインターンシップ・プログラムがある。社内および社外のインターンシップ・プログラムから最も優秀な人材を一部採用し、また、全米および世界中から採用して、ポジションを埋めている。
Rep. Ezell continued:  エゼル議員はさらに続けた。
“What steps do you take to better support your staff and ensure that they have the right tools and skills to succeed?”  「スタッフをより良くサポートし、成功に必要な適切なツールとスキルを確実に習得させるために、どのような対策を講じていますか?」
Meyers answered: メイヤーズ氏は次のように答えた。
“We have extensive internal training programs. We also send our team to various trainings across the globe, different industry trainings at conferences, and other programs where they can learn new skills and continue to develop their existing skills. We also have some of our own researchers and analysts conduct trainings at those same events to help train individuals that are not yet in the workforce, or working at other companies, in order to learn some of the critical skills that are needed to identify and to track advanced threat actors.”  「当社には広範な社内研修プログラムがあります。また、当社のチームを世界各地のさまざまな研修や、会議での異業種研修、その他、新しいスキルを習得し、既存のスキルを継続的に向上させることができるプログラムに参加させています。また、当社の研究者やアナリストが、同じイベントでトレーニングを実施し、まだ社会に出ていない人や他社で働いている人に対して、高度な脅威行為者を識別し追跡するために必要な重要なスキルを習得する手助けもしている。
Image41
Representative Laurel Lee (R-FL) questioned Meyers on the risks and benefits of CrowdStrike’s cybersecurity software running at the core of the operating system––the kernel––rather than the user space: ローレル・リー(フロリダ州選出、共和党)代表者は、ユーザー空間ではなく、オペレーティングシステムの中心であるカーネルで動作するCrowdStrikeのサイバーセキュリティソフトウェアのリスクと利点について、メイヤーズ氏に質問した。
“CrowdStrike has this really extraordinary access into the kernel of the operating system, and you all were talking a bit about the risk versus efficiency of having this kind of access and making updates within the kernel. Share with me your thoughts on whether this incident could have been averted, or future incidents could be averted, by using the user space for this kind of update.” 「CrowdStrikeはオペレーティングシステムのカーネルに非常に特別なアクセス権限を持っています。この種のアクセス権限を持ち、カーネル内で更新を行うことのリスクと効率性について、皆さんも少しお話しされていましたね。この種の更新にユーザー領域を使用することで、今回のインシデントや将来のインシデントを回避できた可能性があるかどうか、ご意見をお聞かせください。」
Meyers replied:  メイヤーズ氏は次のように答えた。
“Thank you for the question. The kernel, as I said, provides the visibility, the enforcement mechanism, the telemetry and visibility, as well as the anti-tamper. So, I would suggest that while things can be conducted in user mode from a security perspective, kernel visibility is certainly critical to ensuring that a threat actor does not insert themselves into the kernel themselves and disable or remove the security products and features.”  「ご質問ありがとうございます。 私が申し上げたように、カーネルは可視性、強制メカニズム、遠隔測定および可視性、そして改ざん防止を提供します。 ですから、セキュリティの観点からユーザーモードで実行できるとしても、脅威行為者が自らカーネルに侵入し、セキュリティ製品や機能を無効化または削除することがないよう、カーネルの可視性は確かに重要です。」 
Rep. Lee continued:  リー議員はさらに続けた。
“So, is it your assessment then that it’s not possible, really in realistic terms, to do it outside of the kernel?”  「では、現実的な観点から見て、カーネル外で実行することは不可能だというのがあなたのアセスメントですか?」
Meyers replied: メイヤーズ氏は次のように答えた。
“With the current kernel architecture, this is the most effective way to get the visibility and to prevent an adversary from tampering with security tools.”  「現在のカーネルアーキテクチャでは、可視性を確保し、敵対者がセキュリティツールを改ざんするのを防ぐには、これが最も効果的な方法です。」
Rep. Lee pressed:  リー議員はさらに追及した。
“So, it’s ‘the most effective way,’ but it’s not the only way possible?”  「最も効果的な方法」ではあるが、唯一の方法ではないということですね?」 
Meyers replied: メイヤーズ氏は次のように答えた。
“It is certainly the industry standard to use the kernel for visibility, enforcement, and anti-tamper––to ensure that you can stop a threat.”  「可視性、施行、および改ざん防止にカーネルを使用することは、業界標準です。脅威を確実に阻止できるようにするためです。
Rep. Lee continued:  リー議員は続けた。
“You’ve testified thus far that you’ve made modifications to the phased rollout approach and also the pre-deployment testing. What other modifications has CrowdStrike made or changes to your internal practices to avert future-similar incidents?”  「あなたはこれまで、段階的展開のアプローチと展開前のテストに修正を加えたと証言してきました。同様のインシデントを今後回避するために、CrowdStrikeは他にどのような修正を加え、社内での業務をどのように変更したのですか?」
Meyers answered: メイヤーズ氏は次のように答えた。
“That is the primary change that we’ve made.”  「それが私たちが実施した主な変更点です。」 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.14 米国 FTC ブログ 機能停止を回避し、広範囲にわたるシステム障害

・2024.08.11 CROWDSTRIKE ファルコンのトラブルの根本原因分析報告書 (2024.08.06)

・2024.08.05 米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)

・2024.07.20 米国 CISAもCrowdStrikeの更新の問題について情報提供をしていますね...はやい...

 

 

| | Comments (0)

経済産業省 第1回 サイバーインフラ事業者に求められる役割等の検討会 (2024.09.24)

こんにちは、丸山満彦です。

経済産業省の「サイバーインフラ事業者に求められる役割等の検討会」の第1回会議の資料等が公開されていますね...

サイバーインフラ事業者というのは誰か?ということですが、

  1. 開発者:システム・サービス開発に従事する事業者・人員
  2. 供給者:顧客に、システム・サービスを提供する事業者・人員
  3. 運用者:顧客に、システム・サービス運用を提供する事業者・人員

を想定しているようです。

で、対象は、ソフトウェア

ソフトウェアには、

  1. ソフトウェア製品クラウドサービスを含む)
  2. IT/OTシステムまたはICTサービスを構成する構成ソフトウェア(専用に開発するソフトウェアのほか、パッケージソフトウェア、ソフトウェアライブラリ、オープンソースソフトウェアなどのソフトウェア製品も含む)
  3. OT/IoT機器などのハードウェア製品組込みソフトウェアファームウェアも含む)

となっています。

論理的にはPCのOSも含むことになるのでしょうね...そして、IaaSも...

日本でサービスを展開している海外事業者も対象となるという想定ですよね...

でも、まぁ、ガイドラインですし、海外事業者があまり気にしないというのは想定内?

 

このWGでは、基準をつくって、普及させるための自己適合宣言といったことも考えているようですね。

気になるのは、要求事項をどのように決めるのかということですね。。。

実施してもらう要求事項について、WG側で実行の難易度を想定して決めるような進め方になっています?が、もしそうだとするとそれは良くないですね。

・WGは社会的に実施が必要と考える要求事項を考える。

・事業者側でリスク便益分析をした上で実施すべき要求事項を決める。(実行の難易度は事業者側で決める)

とすべきですね。こういう進め方は政府で統一してすべきですね。リスクアセスメントはあくまでも事業者が実施する。

WGの委員の方も経済産業省の方もちょっと考えてほしいところです...

 

自己適合宣言は、普及のための施策としてありと思います。その際に、経済産業省等の公式ウェブで自己適合宣言をしている企業の名前を公表すべきだと思います。そのほうが、利用者側も確認しやすい!

そして、その企業の自己適合宣言に誤り等があると自己が判断した場合は、取り下げることもありと思います。取り下げには、その記録も合わせて公表すべきですね。

これも制度をする上で重要なポイントと思います。

 

● 経済産業省産業サイバーセキュリティ研究会 - WG1(制度・技術・標準化) - WG1(分野横断SWG) - サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

・2024.09.24 第1回 サイバーインフラ事業者に求められる役割等の検討会 

・・資料1 議事次第・配布資料一覧

・・資料2 委員名簿

・・資料3 本検討会の議事運営について

・・資料4 サイバーインフラ事業者に求められる役割等の検討の方向性

20240929-141817

・・参考資料 サイバーインフラ事業者に求められる役割等に関するガイドライン素案(委員限り)

 


 

何をしようとしているのかは、

20240929-142136

 

| | Comments (0)

2024.09.26

ENISA 脅威状況2024

こんにちは、丸山満彦です。

ENISAが脅威状況2024を公表していますね...昨年はEUの議会選挙を意識した報告書でしたが、今年は

・可用性に対する脅威

・ランサムウェア

他、合わせて7つの脅威について状況を説明しています。データに基づく分析で、日本でもこういうデータに基づく分析をし、その結果を公表したいと思います...

そうすれば、立案する政策の精度や、企業が立案する対策の精度が高まりますよね...

目をとおしてみたらどうかと思います。。。

 

ENISA

・2024.09.19 ENISA Threat Landscape 2024

ENISA Threat Landscape 2024 ENISA 脅威状況2024
Seven prime cybersecurity threats were identified in 2024, with threats against availability topping the chart and followed by ransomware and threats against data, and the report provides a relevant deep-dive on each one of them by analysing several thousand publicly reported cybersecurity incidents and events 2024年には、サイバーセキュリティの主な脅威として7つの脅威が識別され、可用性に対する脅威がトップとなり、ランサムウェアとデータに対する脅威がそれに続いた。このレポートでは、数千件の公開されたサイバーセキュリティインシデントおよびイベントを分析することで、それぞれの脅威について詳細に掘り下げている。

 

・[PDF] ENISA THREAT LANDSCAPE 2024

20240926-01130

・[DOCX][PDF] 仮訳

 

目次...

EXCECTIVE SUMMARY エグゼクティブサマリー
1. THREAT LANDSCAPE OVERVIEW 1. 脅威の概要
2. THREAT ACTOR TRENDS 2. 脅威行為者の動向
3. VULNERABILITIES LANDSCAPE 3. 脆弱性の状況
4. RANSOMWARE 4. ランサムウェア
5. MALWARE 5. マルウェア
6. SOCIAL ENGINEERING 6. ソーシャルエンジニアリング
7. THREATS AGAINST DATA 7. データに対する脅威
8. THREATS AGAINST AVAILABILITY: DENIAL OF SERVICE 8. 可用性に対する脅威:サービス拒否
9. INFORMATION MANIPULATION AND INTERFERENCE 9. 情報操作と干渉
A ANNEX: MAPPING TO MITRE ATT&CK FRAMEWORK 附属書A:MITREのATT&CKフレームワークへのマッピング
B ANNEX: RECOMMENDATIONS 附属書B:提言

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY   エグゼクティブサマリー 
2024 marks the 20th anniversary of the European Union Agency for Cybersecurity, ENISA. ENISA has been constantly monitoring the cybersecurity threat landscape and monitoring on its state with its annual ENISA Threat Landscape (ETL) report and additionally with a series of situational awareness and cyber threat intelligence products.   2024年は、欧州連合(EU)のサイバーセキュリティ機関であるENISAの20周年にあたる。ENISAは、サイバーセキュリティの脅威状況を常に監視し、その状況を年次ENISA脅威状況(ETL)報告書や一連の状況認識およびサイバー脅威インテリジェンス製品で監視している。 
Over time, the ETL has served as a crucial tool for comprehending the present state of cybersecurity within the European Union (EU), furnishing insights into trends and patterns. This, in turn, has guided pertinent decisions and prioritisation of actions and recommendations in the domain of cybersecurity.   ETLは、欧州連合(EU)内のサイバーセキュリティの現状を把握し、傾向やパターンを洞察するための重要なツールとして機能してきた。その結果、サイバーセキュリティの領域における適切な決定や、行動や勧告の優先順位付けの指針となっている。 
Reporting over the course of 2023 and 2024, ETL highlights findings on the cybersecurity threat landscape during a yearlong geopolitical escalation. Throughout the latter part of 2023 and the initial half of 2024, there was a notable escalation in cybersecurity attacks, setting new benchmarks in both the variety and number of incidents, as well as their consequences. The ongoing regional conflicts still remain a significant factor shaping the cybersecurity landscape. The phenomenon of hacktivism has seen steady expansion, with major events taking place (e.g. European Elections) providing the motivation for increased hacktivist activity.  2023年から2024年にかけて、ETLは地政学的なエスカレーションが1年間続いたサイバーセキュリティの脅威状況に関する調査結果を発表した。2023年後半から2024年前半にかけて、サイバーセキュリティ攻撃は顕著にエスカレートし、インシデントの種類と数、そしてその影響において新たな基準を打ち立てた。現在進行中の地域紛争は、依然としてサイバーセキュリティの状況を形成する重要な要因である。ハクティビズム現象は着実に拡大しており、主要なイベント(欧州選挙など)がハクティビスト活動を活発化させる動機となっている。 
7 prime cybersecurity threats were identified, with threats against availability topping the chart and followed by ransomware and threats against data, and the report provides a relevant deepdive on each one of them by analysing several thousand publicly reported cybersecurity incidents and events:  7つの主要なサイバーセキュリティ脅威が特定され、可用性に対する脅威がトップで、ランサムウェアとデータに対する脅威がそれに続いた。本報告書では、公に報告された数千件のサイバーセキュリティインシデントとイベントを分析することで、それぞれの脅威を深く掘り下げている: 
• Ransomware  • ランサムウェア 
• Malware  • マルウェア 
• Social Engineering   • ソーシャル・エンジニアリング 
• Threats against data   • データに対する脅威 
• Threats against availability: Denial of Service  • 可用性に対する脅威:サービス拒否 
• Information manipulation and interference  • 情報操作と妨害 
• Supply chain attacks  • サプライチェーン攻撃 
The report is complemented by a detailed analysis of the vulnerability landscape during 2023 and 2024, as well as a detailed analysis of four distinct threat actors’ categories, namely:  本報告書は、2023年と2024年における脆弱性状況の詳細な分析と、4つの異なる脅威行為者のカテゴリー、すなわち、4つの脅威行為者の詳細な分析によって補完されている: 
• State-nexus actors;  • 国家関連行為者; 
• Cybercrime actors and hacker-for-hire actors;  • サイバー犯罪者と雇われハッカー; 
• Private Sector Offensive actors (PSOA);  • 民間部門の攻撃脅威者(PSOA); 
• Hacktivists.  •  ハクティビスト
With 2024 being the year that NIS2 Directive comes into force, an analysis of the cybersecurity threat landscape across different sectors is provided. Notably, we have again observed a large number of events targeting organisations in the public administration (19%), transport (11%) and finance (9%) sectors.   2024年はNIS2指令が発効する年であり、様々な分野におけるサイバーセキュリティの脅威状況の分析が行われている。注目すべきは、行政(19%)、運輸(11%)、金融(9%)の各分野の組織を標的にした事象の多さである。 
The key findings and judgments in this assessment are based on multiple and publicly available resources. The report is mainly targeted at strategic decision-makers and policy-makers, while also being of interest to the technical cybersecurity community.  本アセスメントにおける主要な発見と判断は、複数の一般に入手可能なリソースに基づいている。本報告書は主に戦略的意思決定者や政策立案者を対象としているが、サイバーセキュリティの技術コミュニティにとっても興味深い内容となっている。 

 

 

プレス...

Reporting on Threathunt 2030: Navigating the future of the cybersecurity threat landscape Threathunt 2030に関する報告:サイバーセキュリティ脅威の将来像をナビゲート
The European Union Agency for Cybersecurity (ENISA) organised the 2024 edition of the ‘Threathunt 2030’ in Athens, the flagship conference on cybersecurity threats foresight. 欧州連合サイバーセキュリティ機関(ENISA)は、サイバーセキュリティ脅威の将来予測に関する主要な会議である「Threathunt 2030」の2024年版をアテネで開催した。
‘Threathunt 2030’ returned to highlight the significance of advanced foresight in prevention and response efforts towards emerging cybersecurity and hybrid threats. Through a series of interactive panels, ENISA addressed various aspects of foresight in the area of cybersecurity threats, with a view to improve resilience and security across the EU. Threathunt 2030」は、新たに発生するサイバーセキュリティおよびハイブリッド型脅威に対する予防と対応の取り組みにおける高度な将来予測の重要性を強調するために開催された。一連のインタラクティブなパネルディスカッションを通じて、ENISAは、EU全体のレジリエンスとセキュリティの改善を目的として、サイバーセキュリティ脅威の分野におけるフォアサイトのさまざまな側面について取り上げた。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar highlighted that: “Especially for 2024, foresight is key for cybersecurity strategic planning. Technological evolution, the current geopolitical situation, along with the cybersecurity landscape call for preparedness against anticipated or not-anticipated challenges and threats.”. EUサイバーセキュリティ機関のジュハン・レパサー(Juhan Lepassaar)事務局長は次のように強調した。「特に2024年については、サイバーセキュリティ戦略計画においてフォアサイトが鍵となる。技術の進化、現在の地政学的状況、サイバーセキュリティの状況を踏まえると、予想される、あるいは予想されない課題や脅威に対する備えが必要となる。
Over time, the ENISA Threat Landscape has served as a crucial tool for understanding the present state of cybersecurity within the EU, furnishing insights into trends and patterns. This, in turn, has guided pertinent decisions and prioritisation of actions and recommendations in the domain of cybersecurity. Based on that statement, Threathunt 2030 discussions explored the interlink between geopolitical developments and the emergence of new threat actors and targets. ENISAの脅威の全体像は、EU内のサイバーセキュリティの現状を把握するための重要なツールとして、トレンドやパターンに関する洞察を提供してきた。これにより、サイバーセキュリティの分野における適切な意思決定や行動、提言の優先順位付けが導かれる。この声明に基づき、Threathunt 2030の議論では、地政学的な展開と新たな脅威行為者や標的の出現との関連性が探求された。
The first panel of the Threathunt2030 aimed to shed some light on how EU Member States and the EU can boost their capacity to prevent, deter and respond to cyber threats and attacks in the run up to 2030. It also examined what would be the role of ENISA in short and long-term planning of related strategies. Threathunt2030の最初のパネルディスカッションでは、2030年に向けてEU加盟国およびEUがサイバー脅威や攻撃の防止、抑止、対応能力を高める方法について考察した。また、関連戦略の短期および長期計画におけるENISAの役割についても検討した。
The second panel explored the role and influence of AI (artificial intelligence) and PQC (post quantum computing) and tried to identify the most pressing AI and PQC driven cybersecurity threats. 2つ目のパネルでは、AI(人工知能)とPQC(ポスト量子コンピューティング)の役割と影響を探り、AIとPQCがもたらす最も差し迫ったサイバーセキュリティの脅威を識別しようとした。
The third round of discussions consisted of a fireside chat between the  Executive Assistant Director of CISA, Jeff Greene and the ENISA Executive Director, Juhan Lepassaar elaborating on the cooperation between CISA and ENISA and how it could be streamlined in the best possible way. The goal is to accommodate common needs of USA and EU and to harmonise relevant initiatives. 3つ目のディスカッションでは、CISAのジェフ・グリーン(Jeff Greene)執行副局長とENISAのユハン・レパサー(Juhan Lepassaar)局長による対談が行われ、CISAとENISAの協力関係について詳しく説明し、それをどのようにして最善の方法で合理化できるかを議論した。その目的は、米国とEUの共通のニーズに対応し、関連するイニシアティブを調和させることである。
The panel titled “2030: Scenarios around the world” focused on the possible future developments in the cyber threat landscape as a consequence of geopolitics in the next 5 years. 「2030年:世界のシナリオ」と題されたパネルでは、今後5年間の地政学的な結果として、サイバー脅威の状況がどのように変化する可能性があるかに焦点が当てられた。
The last panel, consisting of the three influential cybersecurity agencies, examined the ways to incorporate foresight and long-term strategic thinking into all involved current cybersecurity frameworks to better prepare for future threats. In this context, panelists examined whether the use of foresight can actually become a key driver of change for governments and cybersecurity policy initiatives. 最後のパネルでは、影響力のある3つのサイバーセキュリティ機関が、将来の脅威に備えるために、現在のサイバーセキュリティの枠組みすべてに、予測と長期的な戦略的思考を取り入れる方法を検討した。この文脈において、パネリストは、将来を見据えるという手法が実際に政府やサイバーセキュリティ政策イニシアティブの変革の主要な推進力となり得るかどうかを検討した。
As a conclusion, it is fundamental to learn from the past, to take advantage of the opportunities of the present and to prepare for the future. 結論として、過去から学び、現在の機会を活用し、将来に備えることが基本である。
You may find additional photos from the conference here. このカンファレンスの追加の写真はこちらでご覧いただけます。
Did you know that ENISA published the 2024 Threat Landscape Report? ENISAが2024年の脅威の状況に関するレポートを発行したことをご存知だろうか?
This year the publication of the annual ENISA Threat Landscape report coincided with the ‘Threathunt 2030’ conference, making a significant contribution to the discussion. Prominent cybersecurity threat groups identified through analysis were ransomware and malware, social engineering, threats against data and threats against availability (Denial of Service), information manipulation and interference, along with supply chain attacks. 今年のENISAの脅威の状況に関する年次レポートの発行は、「Threathunt 2030」会議と時期が重なり、議論に大きく貢献した。分析により識別された著名なサイバーセキュリティの脅威グループは、ランサムウェアとマルウェア、ソーシャルエンジニアリング、データに対する脅威、可用性に対する脅威(サービス拒否)、情報操作と干渉、サプライチェーン攻撃などである。
For another year, DDoS and ransomware attacks lead in the rankings as the most reported forms of attacks, accounting for more than half of the observed events. It is notable that, compared to last year’s findings, there was an inversion in the rankings, with DDoS attacks moving to first place and ransomware dropping to second. ETL 2024 is based on and analyses more than 11,000 incidents in total. The sectorial analysis conducted revealed that the most target sector was Public Administration (19%), followed by Transport (11%). DDoS攻撃とランサムウェア攻撃は、観測されたイベントの半数以上を占め、最も報告された攻撃形態として今年もランキングのトップを占めた。注目すべきは、昨年の調査結果と比較すると、DDoS攻撃が1位に、ランサムウェアが2位に順位が逆転したことである。ETL 2024は、合計11,000件以上のインシデントを基に分析している。実施されたセクター分析により、最も標的とされたセクターは行政(19%)で、次いで運輸(11%)であることが明らかになった。
Further Information 詳細情報
ENISA Threat Landscape 2024 — ENISA (europa.eu) ENISA 2024年の脅威の概観 — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024 — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新 — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新:エグゼクティブサマリー — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024: Extended report — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新:拡張レポート — ENISA (europa.eu)
Skills shortage and unpatched systems soar to high-ranking 2030 cyber threats — ENISA (europa.eu) スキル不足とパッチ未適用のシステムが、2030年のサイバー脅威の上位に急上昇 — ENISA (europa.eu)
Threathunt 2030: How to Hunt Down Emerging & Future Cyber Threats — ENISA (europa.eu) Threathunt 2030:新興および将来のサイバー脅威の追跡方法 — ENISA (europa.eu)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

昨年の報告書...

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

 

 

 

 

| | Comments (0)

より以前の記事一覧