IoT

2021.05.08

NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・今回は、昨年11月に公表されたドラフトのアップデート版となる第2ドラフトです。。。

 

NIST - ITL - Computer Security Resource Center

・2021.05.06 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem (2nd Draft)

 

パブコメの対象は、

Publication: 
・[PDF] Second Draft SP 1800-30

20210508-65408

その他情報は、

Supplemental Material:
・[web]  Project homepage

 

Announcement 発表
Increasingly, healthcare delivery organizations (HDOs) incorporate telehealth and remote patient monitoring (RPM) as part of a patient’s care regimen. RPM systems may offer convenience and may be cost effective for patients and HDOs, which promotes increased adoption rates. Without adequate privacy and cybersecurity measures, however, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、患者治療の一環として、テレヘルスや遠隔患者モニタリング(RPM)を導入するケースが増えています。RPMシステムは、利便性が高く、患者やHDOにとって費用対効果が高いことから、導入率が高まっています。しかし、適切なプライバシー保護とサイバーセキュリティ対策がなければ、権限のない者が機密データを漏洩させたり、患者モニタリングサービスを妨害したりする可能性があります。
The NCCoE developed a reference architecture that demonstrates how HDOs may use standards-based approaches and commercially available cybersecurity technologies to implement privacy and cybersecurity controls, thereby enhancing the resiliency of the telehealth RPM ecosystem. NCCoEは、HDOが標準ベースのアプローチと市販のサイバーセキュリティ技術を用いてプライバシーとサイバーセキュリティ対策を実施する方法を示すリファレンスアーキテクチャを開発し、それによって遠隔医療RPMエコシステムの回復力を高めました。
After adjudicating all the comments from the first draft, notable adjustments were made to the RPM Practice Guide, including: 第一次ドラフトに寄せられたすべてのコメントを精査した結果、「RPM実践ガイド」には以下のような注目すべき調整が加えられました。
・Adjusted the security and privacy control mapping in accordance with NIST SP 800-53 Revision 5. ・NIST SP 800-53 Revision 5 に準拠した、セキュリティおよびプライバシー管理のマッピングの調整。
・Enhanced cybersecurity capabilities in the Identity Management and Data Security sections. ・アイデンティティ管理」と「データセキュリティ」のセクションでの、サイバーセキュリティ機能の強化。
・Updated the final architecture to include secure broadband communication between the patient's home and the telehealth platform provider. ・患者の自宅と遠隔医療プラットフォーム提供者との間の安全なブロードバンド通信を含むように最終的アーキテクチャの更新。
・Included guidance from NIST’s Cybersecurity for the Internet of Things program on device cybersecurity capabilities and nontechnical supporting capabilities that telehealth platform providers should be aware of in their biometric device acquisition processes. ・NISTの「Cybersecurity for the Internet of Things」プログラムによる、生体認証機器の取得プロセスにおいて遠隔医療プラットフォーム提供者が留意すべき機器のサイバーセキュリティ機能および非技術的なサポート機能に関するガイダンスを掲載。
Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed risk factors regarding an RPM ecosystem by using risk assessment based on the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに基づくリスクアセスメントを用いて、RPMエコシステムに関するリスク要因を分析しました。また、NIST Cybersecurity Framework、NIST Privacy Framework、およびその他の関連規格を活用して、エコシステムを保護するための手段を特定しました。NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境で RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました.
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s capabilities include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy, and limiting HDO risk when implementing an RPM solution. この実践ガイドは、組織がRPMソリューションを導入する際に、RPMソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、HDOリスクを制限することを支援します。

 

目次はこちら

 


 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

Continue reading "NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)"

| | Comments (0)

2021.05.06

ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法

こんにちは、丸山満彦です。

ENISAがコネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法についての報告書を公開していますね。。。CAMが直面するサイバーセキュリティ上の課題の分析と、課題を軽減するための実行可能な提言が書かれています。。。

自動車産業は急速にEVシフト、自動運転シフトが進んでいくと思いますので、技術動向に合わせて規制がどうあるべきかも含めて検討を進めていくことが重要ですよね。。。人類共通の人命に関わる問題なので、仲良く決められると良いですね。。。

● ENISA

・2021.05.05 (news) How to Secure the Connected & Automated Mobility (CAM) Ecosystem

The European Union Agency for Cybersecurity discloses an in-depth analysis of the cybersecurity challenges faced by the CAM sector and provides actionable recommendations to mitigate them.

報告書の概要は...

Which challenges does the report identify? 報告書ではどのような課題が指摘されていますか?
The report published today provides recommendations for each challenge identified, such as: 本日発表された報告書では、特定された課題ごとに以下の提言を示しています。
Governance and cybersecurity integration into corporate activity 企業活動におけるガバナンスとサイバーセキュリティの統合
Cybersecurity governance in the CAM ecosystem represents an organisational and technical challenge for all stakeholders concerned. Recommendations given include: CAMエコシステムにおけるサイバーセキュリティのガバナンスは、すべての関係者にとって組織的・技術的な課題です。提言は以下の通りです。
・promote the integration of cybersecurity along with digital transformation at the board level in the organisation; ・組織内の役員レベルで、デジタルトランスフォーメーションとともに、サイバーセキュリティの統合を推進する。
・promote procurement processes to integrate cybersecurity risk-oriented requirements. ・サイバーセキュリティのリスク指向の要件を統合するための調達プロセスを促進する。
Technical complexity in the CAM ecosystem CAMエコシステムにおける技術的な複雑さ
Dependencies, interactions and supply chain management in this sector are a well-known challenge acknowledged by the majority of the actors involved. Recommendations given include: この分野における依存関係、相互作用、サプライチェーンマネジメントは、関係者の大半が認める周知の課題です。提言は以下の通りです。
・promote the use of suitable certification schemes; ・適切な認証スキームの使用を促進する。
・promote security assessment for both on-board and off-board solutions and standardise the discovery and remediation of vulnerabilities during the lifetime of the product. ・オンボードおよびオフボードソリューションのセキュリティ評価を促進し、製品のライフタイムにおける脆弱性の発見と修正を標準化する。
Lack of expertise and skilled resources for CAM cybersecurity CAMのサイバーセキュリティに関する専門知識と熟練した人材の不足
The lack of human resources with expertise in cybersecurity on the market is a major obstacle that hinders the adoption of security measures specific to CAM products and solutions. サイバーセキュリティの専門知識を持つ人材が市場に不足していることが、CAM製品やソリューションに特化したセキュリティ対策の採用を妨げる大きな障害となっています。
・encourage cross-functional security and safety knowledge exchange between IT/OT and mobility experts respectively; ・IT/OTとモビリティの専門家の間で、機能横断的なセキュリティと安全の知識交換を促進する。
・introduce programmes at schools and universities to address the lack of security and safety knowledge across the industry. ・業界全体におけるセキュリティと安全に関する知識の不足を解消するため、学校や大学でプログラムを導入する。
Such challenges are only an example of the important challenges addressed in the ENISA Report – Recommendations for the Security of Connected and Automated Mobility (CAM). このような課題は、ENISAレポート「Connected and Automated Mobility (CAM)のセキュリティに関する提言」で取り上げられている重要な課題の一例に過ぎません。

報告書は...

・2021.05.05 (publish) Recommendations for the security of CAM

・[PDF] Recommendations for the security of CAM

20210506-50611

1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査の目的と範囲
1.2 TARGET AUDIENCE 1.2 対象者
1.3 DOCUMENT STRUCTURE 1.3 ドキュメントの構成
2. CYBERSECURITY CHALLENGES AND RECOMMENDATIONS IN THE CAM AREA 2. CAM領域におけるサイバーセキュリティの課題と提言
2.1 GOVERNANCE AND CYBERSECURITY INTEGRATION INTO CORPORAT ACTIVITIES 2.1 企業活動におけるガバナンスとサイバーセキュリティの統合
2.2 LACK OF TOP MANAGEMENT SUPPORT AND CYBERSECURITY PRIORITISATION 2.2 トップマネジメントの支援とサイバーセキュリティの優先順位付けの欠如
2.3 TECHNICAL COMPLEXITY IN THE CAM ECOSYSTEM 2.3 CAMエコシステムにおける技術的複雑さ
2.4 TECHNICAL CONSTRAINTS FOR IMPLEMENTATION OF SECURITY INTO CAM 2.4 CAMにセキュリティを実装する際の技術的制約
2.5 FRAGMENTED REGULATORY ENVIRONMENT 2.5 断片化された規制環境
2.6 LACK OF EXPERTISE AND SKILLED RESOURCES FOR CAM CYBERSECURITY 2.6 CAMのサイバーセキュリティに関する専門知識と熟練したリソースの不足
2.7 LACK OF INFORMATION SHARING AND COORDINATION ON SECURITY ISSUES AMONG THE CAM ACTORS  2.7 CAM関係者の間でのセキュリティ問題に関する情報共有と調整の欠如 

 


参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.20 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

・2021.04.10 欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました

・2020.04.30 NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

・2020.03.31 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

少し古くなりますが・・・

・2016.10.26 U.S. DOT issues Federal guidance to the automotive industry for improving motor vehicle cybersecurity

・2012.06.21 IPA 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開 ~ネットワーク化・オープン化の進む自動車にセキュリティを~

・2012.04.25 自動車のオープンソース化は危険ではないか、という意見

 

 

| | Comments (0)

2021.05.05

カナダ サイバーセキュリティセンター がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター (Canadian Centre for Cyber Security) がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

多少の専門的な知識があることが前提となるとは思いますが、比較的平易に説明されていると思います。が、Bluetoothのガイダンスで記載されている内容は、利用者にとっては厳し目に感じるかもしれませんが、個人使用ではなく、組織の重要な情報を扱う端末での利用を考えると思いますので、、、

 

● Canadian Centre for Cyber Security

・2021.05.03 Using Encryption to Keep Your Sensitive Data Secure (ITSAP.40.016)

The cccs recommends CCCSの推奨事項
Evaluate the sensitivity of your information (e.g. personal and proprietary data) to determine where it may be at risk and implement encryption accordingly. 情報の機密性(個人情報や非公開専有情報など)を評価し、どこにリスクがあるかを判断し、それに応じて暗号化を導入する。
Choose a vendor that uses standardized encryption algorithms (e.g. CC and CMVP supported modules). 標準化された暗号化アルゴリズムを使用しているベンダーを選択する(例:CCおよびCMVP対応モジュール)。
Review your IT lifecycle management plan and budget to include software and hardware updates for your encryption products. ITライフサイクル管理計画と予算を見直し、暗号化製品のソフトウェアおよびハードウェアの更新を含める。
Update and patch your systems frequently. システムを適時に更新し、パッチを当てる。

20210505-51102

 

・2021.05.03 Using Bluetooth Technology (ITSAP.00.011)

Summary of security tips セキュリティに関する注意事項のまとめ
Keep all Bluetooth devices up to date (e.g. phones, headphones, keyboards, gaming equipment) すべてのBluetooth機器を最新の状態に保つ(例:携帯電話、ヘッドホン、キーボード、ゲーム機など)
Turn off Bluetooth when you’re not using itFootnote* Bluetoothを使用しないときは、Bluetoothをオフにする。
Turn off discovery mode when you’re not connecting devices デバイスを接続していないときはディスカバリーモードをオフにする
Avoid pairing devices in public spaces 公共の場でのデバイスのペアリングを避ける
Pair only with devices that you know and trust 知っていて信頼できるデバイスとのみペアリングする
Never transfer sensitive information over Bluetooth 機密情報をBluetoothで転送しない
Avoid using Bluetooth-enabled keyboards to enter sensitive information or passwords Bluetooth対応のキーボードを使って機密情報やパスワードを入力しない
Remove lost or stolen devices from your list of paired devices 紛失または盗難にあったデバイスをペアリング済みデバイスのリストから削除する
Delete all stored data and devices from Bluetooth enabled cars Bluetooth対応車から保存されたデータやデバイスをすべて削除する
Avoid pairing devices with rental cars レンタカーとデバイスのペアリングを避ける

 

20210505-51225

| | Comments (0)

2021.04.28

中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

こんにちは、丸山満彦です。

中国の個人情報関係の規則や基準ってどうも全体像がよくわかりません。。。どこかでじっくり学ばないとですね。。。

 

中共中央网络安全和信息化委员会办公室中国共産党中央委員会ネットワークセキュリティ・情報化対策室

・2021.04.26 移动互联网应用程序个人信息保护管理暂行规定 - 公开征求意见(モバイル・インターネット・アプリケーションの個人情報保護管理に関する暫定規定 - 意見募集)

 

北大法宝

・2021.04.25 将出台App个人信息保护管理暂行规定(アプリ個人情報保護管理規定が導入されます)

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

(いわゆるTC260)がセキュリティについて以下の意見募集をおこなっています。。。関係する標準もありますね。。。

国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件」
国家标准《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》  国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション(APP)個人情報セキュリティ測定仕様」
国家标准《信息安全技术 移动互联网应用程序(APP)SDK安全指南》 国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション(APP)SDKセキュリティガイド」
国家标准《信息安全技术 政务网络安全监测平台技术规范》  国家標準「政府機関ネットワークのセキュリティ監視プラットフォームの情報セキュリティ技術技術仕様」 
国家标准《信息安全技术 信息系统密码应用测评要求》  国家標準「情報セキュリティ技術 情報システムパスワードアプリケーション測定要件」
国家标准《信息安全技术 个人信息去标识化效果分级评估规范》 国家標準「情報セキュリティ技術 個人情報匿名化効果採点評価仕様書」
国家标准《信息安全技术 边缘计算安全技术要求》  国家標準「情報セキュリティ技術 エッジコンピューティング セキュリティ技術の要件」
国家标准《信息安全技术 IPSec VPN安全接入基本要求与实施指南》 国家標準「情報セキュリティ技術 IPSec VPN セキュリティアクセス基本要件および実装ガイド」

 

Photo_20210427233701

 


まるちゃんの情報セキュリティきまぐれ日記

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 


↓↓↓↓ パブコメの対象 ↓↓↓↓

Continue reading "中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定"

| | Comments (0)

2021.04.26

総務省 意見募集 「スマートシティセキュリティガイドライン(第2.0版)」(案)

こんにちは、丸山満彦です。

総務省が、「スマートシティセキュリティガイドライン(第2.0版)」(案)についての意見募集をしておりますね。。。

● 総務省

・2021.04.23 「スマートシティセキュリティガイドライン(第2.0版)」(案)に対する意見募集

・[PDF] スマートシティセキュリティガイドライン(第2.0版)(案)概要

20210425-225138

 

意見募集対象 

・[PDF] スマートシティセキュリティガイドライン(第2.0版)(案)

20210425-225250

目次

1. ガイドラインの背景と目的
1.1.
背景
1.2.
目的
1.3.
関係主体の定義
1.4.
対象範囲
1.5.
想定読者
1.6.
全体構成
1.7.
活用方法

2. スマートシティセキュリティの考え方
2.1.
スマートシティリファレンスアーキテクチャ
2.2.
スマートシティのセキュリティ検討のアプローチ
 2.2.1.
スマートシティの各カテゴリにおけるセキュリティ検討
 2.2.2. スマートシティ全体におけるセキュリティ検討

2.3.
スマートシティのセキュリティの概要
 2.3.1.
各カテゴリにおけるセキュリティの考え方
 2.3.2. スマートシティ特有のセキュリティの考え方

3. スマートシティにおけるセキュリティ対策
3.1.
各カテゴリのセキュリティ対策
 3.1.1.
ガバナンス
 3.1.2. サービス
 3.1.3. 都市 OS
 3.1.4. アセット

3.2.
スマートシティ特有のセキュリティ対策
 3.2.1.
適切なサプライチェーン管理
 3.2.2. インシデント対応時の連携
 3.2.3. データ連携時のセキュリティ

3.3.
スマートシティ特有のセキュリティ対策事例
 3.3.1.
セキュリティ管理体制に関する問題
 3.3.2. マルチステークホルダ間の責任分界に関する問題
 3.3.3. マルチステークホルダにおけるセキュリティポリシーに関する問題
 3.3.4. マルチステークホルダにおけるデータ管理ポリシーに関する問題
 3.3.5. データの連携先の拡大に関する問題

4. セキュリティ検討のための補助コンテンツ
4.1.
セキュリティ対策一覧
4.2.
スマートシティセキュリティ導入チェックシート

AppendixA 参照すべき法令・ガイド
AppendixB セキュリティ上のリスク一覧
AppendixC セキュリティ対策一覧
AppendixD 各分野におけるリスク特定とセキュリティ対策検討のイメージ


■ 参考

● 総務省

・2020.10.14 [PDF] スマートシティ セキュリティガイドライン (第 1.0 版)概要

・2020.10.14 [PDF] スマートシティ セキュリティガイドライン (第 1.0 版)

 

● 内閣府

スマートシティ

・2021.04.09 スマートシティ・ガイドブック Ver.1.00

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.26 IoT対応のスマートシティにおけるセキュリティとプライバシー:課題と将来の方向性 (IEEE Security & Privacy)

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities(プライバシー保護- スマートシティーのためのプライバシーガイドライン

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.08.13 スウェーデンデータ保護局 公共交通機関のビデオ監視についてのガイドライン

| | Comments (0)

2021.04.25

英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)は、スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性について発表していますね。。。


スマートデバイスの工場出荷時のパスワードを全て同じにしてたらあかんで、販売する時にセキュリティアップデートの期間を説明する必要がありまっせとか、脆弱性を見つけた場合の報告先を作っときや、といった規制が考えれているようですね。。。

U.K. Government - Department for Digital, Culture, Media & Sport 

発表文

・2021.04.21 (press) New cyber security laws to protect smart devices amid pandemic sales surge

Groundbreaking plans to protect people from cyber attacks


規制概要のまとめページ

・2021.04.21 (Policy Paper) Regulating consumer smart product cyber security - government response

The government's response to a call for views on proposals for regulating consumer smart product cyber security.


法律の方向性

・2021.04.21 Government response to the call for views on consumer connected product cyber security legislation

1. Ministerial foreword 1. 大臣による序文
2. Executive summary 2. エグゼクティブサマリー
3. Policy objectives 3. 政策目標
3.1 Protecting citizens, networks and infrastructure from harm 3.1 市民、ネットワーク、インフラを被害から守ること
3.2 Enabling emerging tech to grow and flourish by improving security, and Increasing consumer confidence 3.2 セキュリティを向上させ、消費者の信頼を高めることで、新興技術の成長と繁栄を可能にする。
3.3 Adopting a proportionate approach to placing obligations on relevant economic actors, without compromising effectiveness 3.3 有効性を損なうことなく、関連する経済主体に義務を課すための比例的なアプローチを採用する。
3.4 Continuing to protect citizens, networks and infrastructures from harm in the face of an uncertain future 3.4 不確実な未来に直面する中で、市民、ネットワーク、インフラを被害から守り続けること
4. Overview of the government’s intent 4. 政府の意図の概要
4.1 Key policy positions 4.1 主要な政策的立場
4.2 Key policy positions - scope of the intended legislation 4.2 主要な政策的立場-意図された法律の範囲
4.3 Key policy positions - role of economic actors 4.3 主要な政策的立場-経済関係者の役割
4.4 Key policy positions - how the legislation will be enforced 4.4 主要な政策的立場-立法の執行方法
4.5 Key policy positions - scope of the intended legislation 4.5 主要な政策的立場-意図する立法の範囲
4.6 Key policy positions - role of economic actors 4.6 主要な政策的立場-経済的関係者の役割
4.7 Key policy positions - How this legislation will be enforced 4.7 主要な政策的立場-本立法をどのように施行するか
5. Call for views - analysis overview 5. 意見募集-分析概要
6. Call for views - questions 6. 意見募集-質問

対象予定のスマート製品の例は

  • スマートフォン
  • ネット接続されるカメラ、テレビ、スピーカー
  • ネット接続される子供用玩具とベビーモニター
  • ネット接続される安全関連製品(煙探知器やドアロックなど)
  • 複数の機器が接続するIoT基地局とハブ
  • ネット接続されるウェアラブルフィットネストラッカー
  • ウェアラブルではないネット接続型アウトドアレジャー製品(携帯型GPS機器など)
  • ネット接続されるホームオートメーション、家庭警報システム
  • ネット接続される電化製品(洗濯機、冷蔵庫など)
  • スマートホームアシスタント

のようです。。。

明示的に除外されるもの

  • 既存の規制または将来予定されている規制によって、セキュリティがすでにカバーされている製品
    • スマートメーター
  • ビジネスへの影響を評価するための追加的な関与と分析が行われるまで、政府が含めることが不適切と判断した製品
    • ノートパソコン、デスクトップパソコン、携帯電話に接続していないタブレット
  • 含めることで企業に非現実的な義務を課すことになる製品
    • 中古製品

予定されている規制内容

  • 一定のセキュリティ要件または指定された基準に適合しない限り、消費者向け接続製品を英国市場で販売しないことを義務付ける

 

セキュリティ要件 採用 指定された外部基準
セキュリティ要件 1
ユニバーサル・デフォルト・パスワードの禁止


管理インターフェースのパスワードやサブコンポーネントのファームウェア内のパスワードなど、ユーザーが通常アクセスできないものも含め、デバイス内のすべてのパスワードを対象とすることを意図しています。サードパーティが提供するデバイスにプリインストールされているソフトウェアアプリケーション(アプリ)も対象となります。我々の意図は、デバイスごとにユニークであっても、容易に推測可能であり、したがってリスクをもたらすパスワードを禁止することです(例えば、「password1」、「password2」などの増分カウンタが使用されている場合など)。 EN 303 645 provisions 5.1-1 and 5.1-2
セキュリティ要件 2
脆弱性の報告を管理する手段の導入


この要求事項の意図は、第三者がメーカーに脆弱性を報告するための透明なルートを提供し、セキュリティ問題の解決を可能にすることにあります。消費者向けのコネクテッド製品のメーカーでは、このような慣行はまだ一般的ではありませんが、セキュリティ上の欠点を特定して対処し、この分野でのセキュリティ革新を支援するためには、このような仕組みが不可欠です。

注:この成果に対する指定基準は、デバイスおよび関連するデジタルサービスに適用されなければならない。
EN 303 645 provisions 5.2-1

OR

ISO/IEC 29147(2018): clause 6.2
セキュリティ要件 3
最低限、どのくらいの期間、製品がセキュリティアップデートを受けるかについての透明性の提供


セキュリティアップデートの提供は、お客様を保護するための最も重要な仕組みの一つです。セキュリティアップデートの目的は、お客様のプライバシー、データ、およびセキュリティを危険にさらすセキュリティ上の欠陥に対処することであり、通常、製品が市場に投入されて初めて認識され、利用できるようになります。また、お客様が十分な情報を得た上で購入を決定できるようにすることも目的としています。消費者は、製品を購入する際に、その製品がセキュリティアップデートでサポートされる最低期間を知ることができます。また、定義されたサポート期間は、常にメーカーによって一方的に延長される可能性があることにも留意する必要があります。 EN 303 645 provision 5.3-13

 

 

Uk

 


 

関連する過去の調査

 

・[PDF] Consumer attitudes to IoT security - research report

20210425-91646  

 

・[PDF]  The UK code of practice for consumer IoT security - PETRAS/UCL research report

 

20210425-91705

| | Comments (0)

2021.04.23

NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(暫定ドラフト)

こんにちは、丸山満彦です。

NISTが「SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(暫定ドラフト)」を公開し、意見募集をしていますね。。。

● NIST - ITL

SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources (Preliminary Draft)

● NIST -NNCoE

・2021.04.22 NCCoE Releases Draft Guide on Securing the Industrial Internet of Things

Example Solution Addresses Cybersecurity Challenges for Distributed Energy Resources

Securing the Industrial Internet of Things

20210423-111045

20210423-111030

  • SP 1800-32C: How-To Guides (under development)

 

Executive Summary エグゼクティブサマリー
Protecting Industrial Internet of Things (IIoT) devices at the grid edge is arguably one of the more difficult tasks in cybersecurity. There is a wide variety of devices, many of which are deployed and operate in a highly specific manner. Their connectivity—the conduit through which they can become vulnerable—represents a growing cyber threat to the distribution grid. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. We demonstrate how to monitor and detect unusual behavior of connected IIoT devices and build a comprehensive audit trail of trusted IIoT data flows. グリッドエッジにある産業用IoT(IIoT)機器を保護することは、サイバーセキュリティにおいて最も困難な課題の一つであることは間違いありません。機器には様々な種類があり、その多くは非常に特殊な方法で設置され、動作しています。これらの機器の接続性は、機器が脆弱になるきっかけとなるもので、配電網に対するサイバー脅威が高まっていることを示しています。本実践ガイドでは、NCCoE(National Cybersecurity Center of Excellence)が、標準規格、ベストプラクティス、および市販の技術を用いて、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、制御を保護します。接続されたIIoT機器の異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築する方法を紹介します。
CHALLENGE 課題
The use of small-scale distributed energy resources (DERs)—grid-edge devices such as wind and solar photovoltaics—is growing rapidly and transforming the traditional power grid. As the use of DERs expands, the distribution grid is becoming a multisource grid of interconnected devices and systems driven by two-way data communication and power flows. These data and power flows often rely on IIoT technologies that are connected to wireless networks, given a level of digital intelligence that allows them to be monitored and tracked and to share data on their status and communicate with other devices. 風力発電や太陽光発電などのグリッドエッジ機器である小規模分散型エネルギー源(DER)の利用は急速に拡大しており、従来の電力網に変化をもたらしています。DERの使用が拡大するにつれ、配電網は、双方向のデータ通信と電力の流れによって駆動される、相互に接続された機器とシステムのマルチソースグリッドになりつつあります。これらのデータや電力の流れは、多くの場合、無線ネットワークに接続されたIIoT技術に依存しています。IIoT技術には、監視や追跡、状態に関するデータの共有、他の機器との通信を可能にするデジタルインテリジェンスが付与されています。
A distribution utility may need to remotely communicate with thousands of DERs—some of which may not even be owned or configured by the utility—to monitor the status of these devices and control the operating points. Many companies are not equipped to offer secure access to DERs and to monitor and trust the rapidly growing amount of data coming from them. Securing DER communications will be critical to maintain the reliability of the distribution grid. Any attack that can deny, disrupt, or tamper with DER communications could prevent a utility from performing necessary control actions and could diminish grid resiliency. 配電事業者は、何千ものDER(その中には事業者が所有していないものや設定されていないものもある)と遠隔で通信し、これらの機器の状態を監視し、動作点を制御する必要があるかもしれません。多くの企業は、DERへの安全なアクセスを提供したり、DERから送られてくる急速に増加するデータを監視したり信頼したりする能力を備えていません。配電網の信頼性を維持するためには、DERの通信を確保することが重要です。DERの通信を拒否、妨害、改ざんするような攻撃を受けた場合、電力会社は必要な制御を行うことができなくなり、送電網の回復力が低下する可能性があります。
SOLUTION 解決策
The NCCoE collaborated with stakeholders in the electricity sector, the University of Maryland, and cybersecurity technology providers to build an environment that represents a distribution utility interconnected with a campus DER microgrid. Within this ecosystem, we are exploring several scenarios in which information exchanges among DERs and electric distribution grid operations can be protected from certain cybersecurity compromises. The example solution demonstrates the following capabilities:  NCCoEは、電力セクターの関係者、メリーランド大学、サイバーセキュリティ技術プロバイダーと協力して、キャンパス内のDERマイクログリッドと相互接続された配電ユーティリティを表す環境を構築しました。このエコシステムでは、DER間の情報交換や配電網の運用を、特定のサイバーセキュリティ侵害から保護するためのいくつかのシナリオを検討しています。このソリューション例では、以下の機能を実現しています。
・   authentication and access control to ensure that only known, authorized systems can exchange information ・    認証およびアクセス制御により、既知の認可されたシステムのみが情報を交換できるようにする
・   communications and data integrity to ensure that information is not modified in transit ・    通信とデータの整合を維持し、情報が転送中に変更されないようにする。
・   malware detection to monitor information exchanges and processing to identify potential malware infections ・    情報のやり取りや処理を監視し、マルウェアに感染する可能性を検知するマルウェア検知機能
・   command register that maintains an independent, immutable record of information exchanges between distribution and DER operators ・    配電事業者とDER事業者の間で行われる情報交換の独立した変更できない記録を維持するコマンドレジスタ
・   behavioral monitoring to detect deviations from operational norms ・    動作標準からの逸脱を検出するための動作監視
・   analysis and visualization processes to monitor data, identify anomalies, and alert operators ・    データを監視し、異常を特定し、オペレータに警告するための分析・可視化プロセス
The example solution documented in the practice guide uses technologies and security capabilities (shown below) from our project collaborators. The solution is mapped to security standards and guidelines of the NIST Cybersecurity Framework; NIST Interagency or Internal Report 7628 Rev 1: Guidelines for Smart Grid Cybersecurity; and the Institute of Electrical and Electronics Engineers (IEEE) 1547-2018, IEEE Standard for Interconnection and Interoperability of Distributed Energy Resources with Associated Electric Power Systems Interfaces. 実践ガイドに掲載されているソリューション例では、協力者の技術とセキュリティ機能(下図)を使用しています。このソリューションは、「NIST Cybersecurity Framework」、「NIST Interagency or Internal Report 7628 Rev 1: Guidelines for Smart Grid Cybersecurity」、「IEEE(Institute of Electrical and Electronics Engineers)1547-2018, IEEE Standard for Interconnection and Interoperability of Distributed Energy Resources with Associated Electric Power Systems Interfaces」のセキュリティ基準とガイドラインにマッピングされています。
... ...
HOW TO USE THIS GUIDE このガイドの使い方
Depending on your role in your organization, you might use this guide in different ways: Business decision makers, including chief information security and technology officers, can use this part of the guide, NIST Special Publication (SP) 1800-32A: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization. 本ガイドは、組織内での役割に応じて、さまざまな方法でご利用することができます。最高情報セキュリティ責任者や技術責任者などの経営意思決定者は、本書である、NIST Special Publication (SP) 1800-32A: Executive Summary(エグゼクティブサマリー)を使用して、本ガイドの推進要因、本ガイドが取り組むサイバーセキュリティの課題、この課題を解決するためのアプローチ、およびその解決策が組織にどのようなメリットをもたらすかを理解することができます。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-32B: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security control mappings. リスクを特定、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラムマネージャーは、NIST SP 1800-32B: Approach, Architecture, and Security Characteristics(アプローチ、アーキテクチャ、セキュリティ特性)を利用することができ、実行したリスク分析やセキュリティ管理のマッピングなど、構築するもの、またその理由について説明を知ることができます。
Information technology (IT) or operational technology (OT) professionals who want to implement an approach like this can use NIST SP 1800-32C: How-To Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project. このようなアプローチを実装したいと考えている情報技術(IT)や運用技術(OT)の専門家は、NIST SP 1800-32C:How-To Guides(ガイド)を利用することができます。このガイドには、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が記載されており、このプロジェクトのすべてまたは一部を再現することができます。

 

SP 1800-32B: Approach, Architecture, and Security Characteristics の目次

Continue reading "NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(暫定ドラフト)"

| | Comments (0)

2021.04.22

欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

こんにちは、丸山満彦です。

欧州データ保護監督官 (European Data Protection Supervisor: EDPS) の2020年次報告書が公開されていますね。

EDPSの活動の他、個人データの侵害件数等、のデータも少しありますね。。。

 

● European Data Protection Supervisor: EDPS

・2021.04.19 (press) EDPS Annual Report 2020: data protection during COVID-19

・2021.04.19 Annual Report 2020

・[PDF] Full Text

20210421-150651 

・[PDF] Exective Summary

20210421-173649 

 

Full Textの目次と図表です。。。

 

FOREWORD 序文
MISSION, VALUES AND PRINCIPLES ミッション、バリュー、プリンシプル
EDPS STRATEGY 2020-2024 EDPS戦略2020-2024
CHAPTER 1: ABOUT THE EDPS 第1章 EDPSについて
1.1 Supervision and Enforcement 1.1 監督と執行
1.2 Policy and Consultation 1.2 政策と協議
1.3 Technology and Privacy 1.3 テクノロジーとプライバシー
1.4 The EDPS works on transversal issues 1.4 EDPSは横断的な問題に取り組んでいる
CHAPTER 2: THE EDPS’ 2020 HIGHLIGHTS 第2章 EDPSの2020年のハイライト
2.1 Data protection in a global health crisis 2.1 世界的な健康危機におけるデータ保護
2.2 EUIs’ compliance with data protection law 2.2 EUIのデータ保護法への対応
2.3 Safeguarding digital rights 2.3 デジタル権の保護
2.4 Monitoring technologies 2.4 テクノロジーの監視
2.5 The EDPS as a member of the EDPB 2.5 EDPBのメンバーとしてのEDPS
2.6 International cooperation in data protection 2.6 データ保護のための国際協力
2.7 Internal administration 2.7 内部管理
2.8 Communicating data protection 2.8 データ保護の伝達
2.9 Key Performance Indicators 2.9 主要業績評価指標
CHAPTER 3: 2020 — AN OVERVIEW 第3章 2020年 - 概要
3.1 Data Protection amid a global health crisis 3.1 世界的な健康危機の中でのデータ保護
3.2 Safeguarding EU digital rights 3.2 EUのデジタル権を守る
3.3 Supervising European institutions, bodies and agencies (EUIs) 3.3 欧州の機関・団体・組織(EUI)の監督
3.4 Supervising Area of Freedom, Security and Justice 3.4 自由・安全・正義の領域の監督
3.5 Technology and Privacy 3.5 テクノロジーとプライバシー
3.6 Legislative Consultations 3.6 立法機関への諮問
3.7 The EDPS as a member of the EDPB 3.7 EDPBのメンバーとしてのEDPS
3.8 International Cooperation 3.8 国際協力
3.9 Cooperation with Civil Society 3.9 市民社会との協力
CHAPTER 4: TRANSPARENCY AND ACCESS DOCUMENTS 第4章 透明性とアクセス文書
CHAPTER 5: THE SECRETARIAT 第5章 事務局
5.1 Information and Communication 5.1 情報とコミュニケーション
5.2 Administration, budget and staff 5.2 管理、予算およびスタッフ
CHAPTER 6. THE DATA PROTECTION OFFICER AT THE EDPS 第6章 EDPSにおけるデータ保護担当者
6.1 Accountability 6.1 説明責任
6.2 Enquiries and complaints 6.2 照会および苦情
6.3 Advising the EDPS 6.3 EDPSへの助言
6.4 Awareness-raising 6.4 アウェアネス・レイジング
6.5 Collaboration with DPOs of other EUIs 6.5 他のEUIのDPOとの連携
CHAPTER 7. ANNEXES 第7章 附属書
Annex A Legal Framework 附属書A 法的枠組み
Annex B Extract from Regulation (EU) 2018/1725 附属書B 規則(EU)2018/1725の抜粋
Annex C List of Data Protection Officers 附属書C データ保護担当者のリスト
Annex D List Of Opinions and Formal Comments 附属書D 意見と正式なコメントのリスト
Annex E List of Consultations and Prior Consultations 附属書E 協議および事前協議のリスト
Annex F Speeches by the Supervisor 附属書F 監督者のスピーチ
Annex G The EDPS 附属書G EDPSについて
   
TABLES AND GRAPHS 表とグラフ
Figure 1 EDPS KPI analysis table 図1 EDPSのKPI分析表
Figure 2 Number of complaints received 図2 苦情受付件数の推移
Figure 3 Evolution of the number of complaints, including admissible complaints, received by the EDPS 図3 EDPS が受理した苦情数(認容性のある苦情を含む)の推移
Figure 4 Europol statistics 図4 Europol統計
Figure 5 Number of personal data breach notifications per month 図5 月間の個人データ侵害通知数
Figure 6 Number of Personal Data Breach Notifications per month for the years 2019 and 2020 図6 2019 年および 2020 年の 1 ヶ月あたりの個人データ侵害通知数
Figure 7 Type of submission on personal data breach notifications in the year 2019 and 2020 図7 2019 年と 2020 年の個人データ侵害通知に関する提出物の種類
Figure 8 Type of Data Breach Notifications 図8 データ違反通知の種類
Figure 9 Root Cause of the personal data breach incidents 図9 個人データ侵害インシデントの根本原因
Figure 10 Root Cause of the personal data breach incidents - Comparison 2019-2020 図10 個人データ侵害インシデントの根本原因 - 2019 年と 2020 年の比較
Figure 11 Number of individuals affected from personal data breach incidents 図11 個人データ侵害インシデントで影響を受けた個人の数
Figure 12 Special categories of data in personal data breach incidents 図12 個人データ侵害インシデントにおけるデータの特別なカテゴリー
Figure 13 Number of personal data breach where the controller informed the data subject 図13 管理者がデータ対象者に通知した個人データ侵害の件数
Figure 14 Social media statistics 図14 ソーシャルメディアの統計

 


■ 関連

● EDPS -  Our work by topics

・ COVID 19

・2019.10.21  (press)  EDPS investigation into IT contracts: stronger cooperation to better protect rights of all individuals

・2020.09.28 Joint Parliamentary Scrutiny Group on Europol (JPSG) - Wojciech Wiewiórowski

・2020.10.29 Strategy for EU institutions to comply with “Schrems II” Ruling

欧州データ戦略に対する意見

・2020.06.20 [PDF] Opinion 3/2020 on the European strategy for data

20210421-174659

欧州委員会「AI白書 - 卓越性と信頼性のための欧州的アプローチ」に対する意見 

・2020.06.29 [PDF] Opinion 4/2020 EDPS Opinion on the European Commission’s White Paper on Artificial Intelligence – A European approach to excellence and trust

20210421-175303

オンラインでの児童性的虐待関連

・2020.11.10 [PDF] Opinion 7/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online

20210421-180644

健康データ関連

・2020.11.17 [PDF] Preliminary Opinion 8/2020 on the European Health Data Space

20210421-181153


科学研究データ関係

・2020.01.06 [PDF] A Preliminary Opinion on data protection and scientific research

20210421-181717

 

EDPSの中期計画(2020-2024)

・2020.06.30 Shaping a safer digital future The EDPS Strategy 2020-2024

・2020.06.30 [PDF] Shaping a safer digital future The EDPS Strategy 2020-2024

20210421-182416


■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.09 EUデータ保護当局 (EDPB/EDPS) は、デジタルグリーン証明書の提案についての共同意見を採択

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

| | Comments (0)

2021.04.20

経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

こんにちは、丸山満彦です。

経済産業省が、

...セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。 

とのことです。。。産業サイバーセキュリティ研究会WG3の成果物ですね。(ちなみに私はWG2です。。。)

● 経済産業省

・2021.04.19 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました


本手引きは、セキュリティ検証サービスの高度化を目的とするもので、以下の点について整理したものです。

  • 機器のセキュリティ検証において検証サービス事業者が実施すべき事項
  • より良い検証サービスを受けるために検証依頼者が実施すべき事項及び持つべき知識
  • 検証サービス事業者・検証依頼者間の適切なコミュニケーションのために二者間で共有すべき情報や留意すべき事項

 

手引きの本編・別冊の概要

20210420-132405

(いわゆる白表紙。。。表紙より中身です。もちろん!でも、諸外国の資料と比べるとなぁ...とか...)


本編の目次

----
「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」 の策定にあたって

1. 背景と目的
1.1
背景
1.2
本手引きの目的
1.3
本手引きで対象とする機器
1.4
対象者
1.5
本手引きの活用方法
1.6
本手引き・本編の構成

2. 機器検証とは
2.1
検証の目的
2.2
一般的な検証手法
2.3
その他の検証手法

3. 検証の実施
3.1
検証手順
3.2
検証に向けた準備
3.3
検証計画の策定
3.4
検証実施
3.5
検証における留意点

4 検証結果の報告
4.1
検証結果の分析
4.2
検証結果の報告

5 付録
5.1
機器固有の検証手法等
5.2
用語集
5.3
参考文書


【別冊1】脅威分析及びセキュリティ検証の詳細解説書の目次

1. 背景と目的

2. 対象機器の調査・モデル化

3. 対象機器の脅威分析
3.1
概要
3.2
脅威分析の対象の決定と守るべき資産の洗い出し
3.3 DFD
によるデータフローの可視化
3.4 STRIDE
による脅威の洗い出し
3.5 Attack Tree
による脅威を実現する攻撃手法の調査
3.6 DREAD
による脅威が実現した場合のリスクの評価
3.7
脅威分析の具体例
3.8
分析結果のセキュリティ検証への活用

4. セキュリティ検証の詳細手順
4.1
概要
4.2
検証環境
4.3
ファームウェア解析
4.4
バイナリ解析
4.5
ネットワークスキャン
4.6
既知脆弱性の診断
4.7
ファジング
4.8 
ネットワークキャプチャ

5. 検証結果の分析と報告
5.1
ファームウェア解析
5.2
バイナリ解析
5.3
ネットワークスキャン
5.4
既知脆弱性の診断
5.5
ファジング
5.6
ネットワークキャプチャ

6 付録
6.1
用語集
6.2
参考文書
6.3
脅威分析手法の補足
6.4 Raspberry Pi
環境の構築手順
6.5 Bluetooth
インタフェースに対する検証について
6.6
セキュリティ検証に活用できるツール、技術の補足
6.7 DREAD
によるスコアリングの補足


 

1. 背景と目的

2. IoT 機器等開発における検証の位置づけ

3. 機器メーカにおける脅威分析の実施
3.1 守るべき資産の検討
3.2 攻撃ポイントの分析
3.3 想定される脅威の分析
3.4 セキュリティ要求事項の検討

4. 検証依頼にあたって機器メーカが知るべき検証手法
4.1 機器メーカが知るべき代表的な検証手法
4.2 ハードウェアハッキング・ファームウェア解析
4.3 バイナリ解析
4.4 ネットワークスキャン
4.5 既知脆弱性の診断
4.6 ファジング
4.7 ネットワークキャプチャ
4.8 検証依頼時に用意することが望まれる情報

5. 検証結果を踏まえた対応の検討
5.1 検証報告に対する機器メーカの対応
5.2 検証結果に基づくリスク評価と対応方針の検討
5.3 ハードウェアハッキング・ファームウェア解析の結果を踏まえての対応
5.4 バイナリ解析の結果を踏まえての対応
5.5 ネットワークスキャンの結果を踏まえての対応
5.6 既知脆弱性の診断の結果を踏まえての対応
5.7 ファジングの結果を踏まえての対応
5.8 ネットワークキャプチャの結果を踏まえての対応
5.9 製品リリースにあたり機器メーカとして検討しておくべき事項

6 付録
6.1 国内外のセキュリティガイドラインと本別冊との対応
6.2 検証依頼時に用意することが望まれる情報の逆引き表
6.3 用語集


 

| | Comments (0)

気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

こんにちは、丸山満彦です。

今日は、気になった記事を2つ紹介したいと思います。

最初は、JNSAの自動車セキュリティに関連する記事で、J-Auto-ISACの中島さんの記事です...

● JNSA - リレーコラム

・2021.04.16 第209号:大変革期に突入した自動車産業とサイバーセキュリティ

印象に残ったのが、


すでにクルマの制御プログラムに使用するソースコードの総行数はスマホOSの1,200万行、戦闘機の2,400万行を大きく上回り、2億行に迫っています。今後の自動運転技術の進展を踏まえて6億行に達するという予測も出ています。


という話です。自動車のコードって戦闘機よりのコードよりも多いんですね。プロが乗る戦闘機と違い、一般大衆が乗る自動車だからこそ、エラー処理も含めて丁寧に対応する必要もあってコードが増えているという面もあるのですかね。。。

まぁ、いずれにしても2億行もコードがあれば、どこかに脆弱性はあるでしょうし、いろいろな利害関係者のネットワークと思うと対応が難しいかもしれませんね。。。そして、


今、自動車業界は「ソフトウェアのサプライチェインマネジメント」という課題に直面しています。しかし何層もの裾野産業に支えられた巨大なピラミッド構造を考えると解決は容易ではありません。


という話です。

ソフトウェアというかプログラムの資産管理が必要かもしれませんね。。。ソフトウェアBOMのような仕組みです。オープンソフトも含めて考えなければならないのですが、何かアイデアを絞って考える必要がありますね。。。

 

 

もう一つは、「クラウドネイティブセキュリティ101」です。

● Cloud Seucurity Alliance

・2021.04.19 Cloud-Native Security 101

これは、Intezerブログ2021.04.01に掲載されていたものを再掲載したものです。これからクラウドネイティブに変わるとセキュリティについての考え方を変えて行かないといけないのでは、という話です。

Traditional perimeter-based security approaches fall short for cloud-native applications. The deployment and delivery processes have become more decentralized and agile, but security strategies need to be revamped to keep up with development. As those strategies change and enterprises shift to cloud-native applications, what are the do’s and don’ts of security? 従来の境界線を利用したセキュリティアプローチでは、クラウド・ネイティブ・アプリケーションには対応できません。デプロイメントとデリバリーのプロセスはより分散化され、アジャイルになっていますが、開発に追いつくためにはセキュリティ戦略を見直す必要があります。このような戦略の変化と企業のクラウドネイティブアプリケーションへの移行に伴い、セキュリティの「やるべきこと」と「やってはいけないこと」はどのようになっているのでしょうか。

という話です。

deployment と delivery の違いとか、整理しないといけないなぁと思ったりしました。。。

次のポイントが指摘されていました。参考まで...

The “Cattle, Not Pets” Approach 「ペットではなく牛」というアプローチ
Dynamically scalable environments drive agility in the cloud, where environments are created and destroyed as needed. This means that security should be integrated with the deployment process through security as code to keep up with the speed of development. In short, security should be integrated into design from day one, not as an afterthought. 動的に拡張可能な環境は、必要に応じて環境を作成したり破壊したりするクラウドのアジリティを促進します。つまり、開発のスピードに追いつくためには、セキュリティをコードとして統合し、デプロイメント・プロセスに組み込む必要があります。つまり、セキュリティは後付けではなく、初日から設計に組み込まれるべきなのです。
As workloads move to the cloud, deployments get automated through infrastructure as code (IaC). If you integrate security best practices into IaC, the resources will be protected when you deploy for the first time, reducing the attack surface. Deploying resources first and securing them later leaves your application vulnerable to attack. ワークロードがクラウドに移行すると、Infrastructure as Code(IaC)によってデプロイメントが自動化されます。IaCにセキュリティのベストプラクティスを統合すれば、最初にデプロイする際にリソースが保護され、攻撃対象が減少します。リソースを先にデプロイし、後からセキュリティを確保すると、アプリケーションは攻撃されやすい状態になります。
... ...
Focus on Runtime Protection ランタイム保護の重視
When compared to cloud non-native deployments, the focus shifts from perimeter security to runtime security in the cloud. While minimizing attack surface is important, it is also crucial to ensure comprehensive runtime security. クラウドの非ネイティブなデプロイメントと比較すると、クラウドでは境界線のセキュリティからランタイムのセキュリティに焦点が移ります。攻撃対象を最小限に抑えることは重要ですが、包括的なランタイム・セキュリティを確保することも重要です。
... ...
Undetected Threats in Linux Linuxに潜む脅威
... ...
Linux is traditionally considered secure, as it has features like SELinux and restricted user access, which is reinforced with cloud firewalls and access control mechanisms. However, recent trends show that Linux is increasingly becoming a preferred target for attackers. Linuxは、SELinuxのような機能を持ち、ユーザーのアクセスが制限されており、クラウドのファイアウォールやアクセス制御機構で強化されているため、伝統的に安全だと考えられています。しかし、最近の傾向では、Linuxが攻撃者の好ましい標的となるケースが増えています。
... ...
Cloud-Native Microservices クラウドネイティブなマイクロサービス
... ...
However, keep in mind that the cloud follows a shared responsibility model, where ownership of workload security is still with the customer. Defense-in-depth security practices for cloud-native microservices should include guardrails at all layers, such as the cluster, containers and code security. しかし、クラウドは責任共有モデルを採用しており、ワークロードのセキュリティの所有権は依然として顧客にあることに留意してください。 クラウドネイティブなマイクロサービスのための徹底したセキュリティ対策には、クラスター、コンテナ、コードセキュリティなど、すべての層でガードレールを設ける必要があります。
... ...
Moving one layer deeper to containers, where the workloads are deployed, it is recommended to implement image scanning to identify compromised images. Enabling the principle of least privilege (PoLP) for users will help to protect against unauthorized access to containers. You should also avoid security anti-patterns, such as disabling SELinux, host root access, and privilege elevation. Any configuration change should be enabled only through CI/CD pipelines, and deviations should be strictly monitored and reported. また、ワークロードが配置されているコンテナについては、イメージスキャンを実施して危険なイメージを特定することが推奨されます。ユーザーにPoLP(Principle of least privilege)を有効にすることで、コンテナへの不正なアクセスから保護することができます。また、SELinuxの無効化、ホストのルートアクセス、特権昇格など、セキュリティのアンチパターンを避ける必要があります。構成の変更は、CI/CDパイプラインを通じてのみ有効にし、逸脱は厳密に監視して報告する必要があります。
In addition to cluster and container security, you should also ensure code security through static code analysis, third-party library scanning for vulnerabilities, use of automated tools to protect from known attacks, port restriction, and other means. クラスタやコンテナのセキュリティに加えて、静的なコード解析、サードパーティのライブラリによる脆弱性のスキャン、既知の攻撃から保護するための自動化ツールの使用、ポートの制限などにより、コードのセキュリティを確保する必要があります。
... ...

セキュリティ対策の根本は変わらないと思いますが、重点を当てる部分や手段は環境に合わせて考える必要がありますね。。。

 

2021.04.20 13:12 追記

「“Cattle, Not Pets”って何?」と質問がきたのですが、これはパブリッククラウドを説明する際に、過去から時々出てくる言い回しのようなもので、要は、「あなたにとってかけがえのないたった一つのペット(従来のオンプレミスの比喩)ではなくて、広大な牧場にいる番号で管理されている牛の群れ(クラウドの比喩)を扱っているという感覚ですよ。。。ということだと思います。。。多分。。。」

1_20210420085201

| | Comments (0)

より以前の記事一覧