安全なロケットを、安全な施設から、安全な方法で打ち上げ、そして、ミッションを遂行することを考えてみると、IoTシステムの法律問題という観点から検討することができるかと思います。 そのような観点から、エントリでは、
で触れたところです。一弁の宇宙法研究会で、発表することもあるので、米国のNISTの標準について見ていこうと考えます。この点についての米国のNISTの標準は、
- NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)
- NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用
- NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)
になります(宇宙システムに関係するものに限ります)。
これらについての「まるちゃんの」では、「NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)」にリンクもまとめられています。
上の二つについてみていきたいとおもいます。
1 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)
まずは、NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)”Cybersecurity Profile for the Hybrid Satellite Networks (HSN) Cybersecurity”です。丸山さんのブログは、こちらです。
ここでHSNというのは、何か、ということになりますが、
宇宙分野において、多国籍/複数組織のコンソーシアムでセンシング、通信、PNT の各機能を提供するネットワーク
と定義することができます。
この標準は、1 HSNサイバーセキュリティプロファイル-序、2 HSNサイバーセキュリティプロファイルの利用法 、3 HSNサイバーセキュリティプロファイル-概観からなりたっていすま。
利用法では、このプロファイルは、
- HSN サービスの操作、中断、喪失がビジネスと業務目標に及ぼす潜在的影響 の評価に基づいて、組織がサイバーセキュリティリスクを決定することを支援するものであること、
- 組織が標準や実務、その他の指針によって、HSN を利用する、あるいは HSN に部品を提供するシステムのサイバーセキュリティ脅威のリスクを管理できる領域を特定するのに役立つツールとなり得ること、
に触れています。また、組織の検討しておくべき事項としては、
- HSN が必要とするデータ、プロセスおよび資産は何か。
- どのようなプロセスと資産が HSN データの従属的な受信者であるか(すなわち、二次的な影 響を特定する)?
- プロセスや資産が失われたり劣化したりした場合、組織にはどのような影響があるか?
- どのようなプロセスや資産が脆弱か?
- どのような安全策があるか?
- 懸念される脅威を特定するために、どのような技法を使用できるか?
- 懸念される脅威に対応するために、どのような技術を用いることができるか?
- HSNを正常な動作状態に戻すために、どのような技術を使用できるか?
があげられています。
概観は、想定されるプロファイルの内容の概要と、プロファイルの対象となる HSN サービスの種類についての簡単な説明を含んでいます。プロファイルは、リスク管理、サイバーセキュリティ能力、および NIST サイバーセキュリティ フレームワークへのマッピングに関する情報を提供し、PNT サイバーセキュリティの具体的な実装を支援するものである。プロファイルは、参考文献(既存の標準、指針、慣行を含む)および用語集を含んでいます。
内容の概要は、リスク管理の概要、 サイバーケイパビリティの概観、プロファイルから成り立っています。
リスク管理の概要(3.1)
リスク管理は、組織の使命目標に関連するリスクを特定し、評価し、対応する継続的なプロセスです。このプロファイルは、サイバーセキュリティリスク管理プロセスを支援し、それによって情報を得ることができる。このプロファイルを使用することにより、組織は、HSN に依存するシステムの特定、適切な HSN ソースの特定、HSN サービスの妨害と操作の検出、これらのシステムへのリスク管理、および多様性による回復力の確保に役立つサイバーセキュリティ活動および支出の選択と優先順位の決定について、より多くの情報に基づく意思決定を行うことができるようになる。重要なインフラストラクチャの場合、HSN ソースと配電網は、複数の独立したソース、通信経路、および通信媒体で構成され るべきである。
サイバーセキュリティリスク管理プロセスの例としては、国際標準化機構(ISO)31000:2018、ISO/国際電気標準会議(IEC)27005:2018、NIST Special Publication 800-39がある。有用なリソースの完全なリストは、サイバーセキュリティ HSN プロファイルの附属書に記載される予定である。このセクションでは、組織が(HSN の劣化や機能停止に伴う)残留リスクを管理する能力に影響を与える、いくつかの能力と管理について説明する。
サイバーケイパビリティの概観(3.2)
ケイパビリティの概観は、さらに、ポリシと手続き、セキュリティ技術能力の概要、HSN サイバーセキュリティ・プロファイルから成り立っています。
3.2.1 政策と手続きにおいては、 HSN に影響を与える、あるいは関与するサイバーセキュリティ事象の共有などの共同作業を可能にするために、部門内で 一定のレベルの一貫性が存在すべきであること、そして、この一貫性は、継承されたリスクの受容と拒否を容易にし、互換性のあるツール、技術、プロセスにより、協調的な対応を可能にすること、方針と手続きは、組織の事業継続計画(COOP)に反映されるべきであることが論じられています。
3.2.2 セキュリティ技術能力の概要においては、組織的な計画を策定することが必要であること、HSNのレジリエンスに関する技術的能力を検討する場合、ユーザーは、ジオシンクの伝搬遅延、干渉事象、放射線、 その他の宇宙環境関連の懸念など、HSN サービスが遭遇する可能性のある特定の技術的課題を考慮しなけ ればならないこと、複数の独立した技術の統合の可能性を分析することで、異常の検出が容易になり、最終的に障害発生時 のシステムの耐障害性向上に寄与することを考慮することは有益であることが論じられています。
プロファイル(3.3)
また、HSN サイバーセキュリティ・プロファイルは、3.3.1 HSN サービスに対する妨害の検出 3.3.2 HSNサービスの回復力 から論じられています。
2 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用(Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control)
サマリ
この文書は、サイバーセキュリティフレームワークを宇宙分野の地上セグメントのためのプロファイルの作成に適用することを意図しています。利害関係者がリスクを管理するための柔軟な枠組みを提供するのが、プロファイルになり、組織は、自らのサイバーエコシステム、アーキテクチャ、およびリスク許容度に照らし合わせて、リスク管理の決定を行うことが推奨されます。
このプロファイルの目標は、既存のレジリエンス対策を補完し、成熟度の低い取り組みの姿勢を向上させることである。本
報告書で定義されたプロファイルは、宇宙の安全性に関する SPD-5 の目標に対応するのに役立つ。それは、宇宙システムが、重要機能の完全性、機密性、および可用性を検証する能力、ならびに、宇宙機の積極的な制御を保持または回復する能力を確保するための、サイバーセキュリティ計画の策定と実施などの主要 原則を直接的に支援するものである。地上部門プロファイルは任意であり、規制を発行したり、強制的な実施方法を定義したり、準拠のためのチェックリストを提供したり、法的権限を持たせたりするものではない。このプロファイルは、以下のような基本的なガイドラインとなることを意図している。
構成
この枠組は、1 序、2 目的とされた利用、3 概観、4 ベースラインプロファイルからできています。
1 序
2 目的とされた利用
利用目的としてあげられている事項は、以下のとおりです。
- どのような地上部門のプロセスや資産が他の資産に依存しているか(すなわち、外部性や副次的効果は何か)?
- 地上セグメントと他のプロセスとの相互接続性(論理的及び物理的)はどの程度か。
- どのようなプロセスや資産が脆弱なのか?
- ミッションへの影響を回避するための完全性及び可用性の閾値は何か?
- 機密保持の要件は何か?
- 現在、どのような保護措置がとられているか?
- あるプロセスや資産が失われたり、劣化した場合、組織にどのような影響があるか?
- 懸念される事象を検知するために、どのような技術を用いることができるか?
- 懸念される事象に対応するために、どのような技術を使用することができるか?
- どのような技術を用いれば、事象発生前の能力まで回復できるか。
- 導入されたポリシーの有効性を測定し、セキュリティ対策を反復的に修正するために、どのような技術を活用できるか。
3 概観
リスクマネジメント概観(3.1)では、リスクマネジメントの概念、プロファイルの意味、既存のプロセスに追加することが触れられています。
サイバーセキュリティフレームワーク概観では
- フレームワークの中核は、共通言語を用いて、望ましいサイバーセキュリティ活動と成果 のカタログを提供する。この中核は、組織の既存のサイバーセキュリティ及びリスク管理プロセスを補完する形で、組織がサイバーセキュリティリスクを管理し、 減少させることを導くものである。
- フレームワークの実施階層は、組織がサイバーセキュリティリスクマネジメントをどのように見ているかについ ての文脈を提供する。この階層は、組織が、機能的で反復可能なサイバーセキュリティリスクマネジメントプロセスを有しているかどうか、また、サイバーセキュリティリスクマネジメントが、より広範な組織のリスクマネジメントの意思決定とどの程度統合されているかを理解するのに役立つものである。
- フレームワークのプロファイルは、組織の要件に合わせて、コアの成果に合わせてカスタマイズされている。プロファイルは、主に、組織におけるサイバーセキュリティを改善するための機会の特定と優先順位付けに使用される。
とされています。
そして、このコアは、アイデンティティ、保護、探索、対応、回復にわけられること、それぞれ、カテゴリ、サブカテゴリにわけられて、参照が、マトリックスを構成することが述べられています。
4 ベースラインプロファイル
以下は、リスクとそのレファレンスのマトリックスです。図示をするとこんな感じです。
4.1 識別
資産管理カテゴリー(ID.AM)
組織のビジネス目標を達成するためのデータ、人員、デバイス、システム、設備が、組織の目標および組織のリスク戦略に対する重要性と整合する方法で識別され、管理されている。資産管理と優先順位付けは、将来の攻撃に対する危機管理計画、マルウェア事象への対応、緊急対応、復旧活動など、他の機能・活動においても重要な要素である。資産管理は、対応と復旧活動の優先順位付けを支援する。
サブカテゴリー | 地上セグメントへの適用 | 参照 | |||
ID.AM-1:組織内の物理的なデバイスとシステムがインベントリ化されている。 | 組織は、現在のシステムを反映した、クラウドベースのリソースを含むコンポーネントのインベントリーを文書化し、維持する必要があります。ま た、組織は、すべての物理コンポーネントの物理的な位置を文書化する構成管理ツールの組み込みを検討し、その後、物理的な検査の際に各コンポーネ ントの位置を検証し、その物理的なインターフェースを識別する必要があります。 |
[NIST-SP800-53r5] CM-8, CM-9, PM-5 [NIST-SP800-160V1] 2.3 |
|||
ID.AM-2:組織内のソフトウェアプラットフォーム及びアプリケーションをインベントリ化している | 組織は、アプリケーション、ファームウェア、オペレーティングシステムを含むソフトウェアコンポーネントのインベントリを文書化し、維持する 必要があります。インベントリには、仮想マシンイメージやアプリケーションプログラミングインタフェース(API)などの非伝統的なコンポーネン トも含まれる必要がある。また、ライセンスやバージョンなどの関連情報も追加する必要があります。ソフトウェアインベントリは、組織が定義したと おりにレビューし、更新する必要がある。 |
[NIST-SP800-53r5] CM-8、PM-5 [NIST-SP800-204] |
|||
ID.AM-3: 組織のコミュニケーション及びデータの流れがマッピングされている。 | 組織は、システム内及びシステム間のすべての接続を識別し、すべての接続とインタフェースを文書化し、承認し、レビューする必要があります。 接続情報には、物理的および論理的なインターフェースの特性、データの特性、ポート、プロトコル、アドレス、セキュリティ要件、接続の目的などが 含まれる場合があります。 一部のコンポーネント(スペースセグメントに直接コマンドを送信するものなど)は、通常、他のネットワークから分離されています。アップデート、 診断、スキャンのためのコンポーネントへの一時的な接続は、マッピングに含まれる べきである。 |
[IEC61850-90-4] 10, 14 [NIST-SP800-53r5] AC-4、CA-3、CA-9、PL-8、SA-17 |
|||
ID.AM-4:外部情報システムがカタログ化されている。 | 一般的に、外部情報システムへの接続は、地上セグメントでは厳しく制限されている。組織は、宇宙船と直接インターフェースするコンポーネント が、外部ネットワークから安全に隔離されていることを確認する必要がありますが、異常解決支援のための衛星ベンダーへのリーチバックや外部データ ベースへの接続など、外部ソースから必要なデータにアクセスすることができます。このデータがどのように転送されるかは、カタログ化されるべきで す。 |
[NIST-SP800-53r5] AC-20, PM-5, SA-9 | |||
ID.AM-5:リソース(例:ハードウェア、デバイス、データ、時間、人員、ソフトウェア)は、その分類、重要性、及び事業価値に基づいて 優先順位を付けられる。 |
組織は、地上システムのコンポーネント、プロセッサ、サービス及び機能を、宇宙セグメントの積極的な制御の維持という観点から、その分類、重要性及び価値に基づいて特定し、優先順位を付けるべきである。 組織は、(組織のビジネスプランに定義された閾値と一致する)タイムリーにサポートが利用できるように、適切な訓練を受けた適切な人員を提供するべきである。 利害関係者は、特定と優先順位付けの手順を知らせるために、サイバーセキュリティフレームワーク内の他の機能を使用することを助言される。例えば、事業継続手順のテスト中に、ミッションのどのリソースがどの程度影響を受けたかを特定し、それに応じて優先順位を付け直すために、調査結果を 使用することです。 |
[NIST-SP800-37r2】を参照。] [NIST-SP800-53r5] AC-20、CP-2、RA-2、RA-9、SA-20、SC-6 |
ビジネス環境カテゴリ
特定する。ビジネス環境カテゴリ 組織のミッション、目的、利害関係者、活動が文書化され、レビューされ、優先順位が付けられている。この情報は、サイバーセキュリティの役割、責任、及びリスクマネジメントの決定を通知するために使用される。
ID.BE-1:サプライチェーンにおける組織の役割が特定され、伝達される。 | 組織は、地上セグメントシステムに関して、サプライチェーンのリスクマネジメントの方針及び手順を評価し、実施する必要がある。 | [NIST-SP800-53r5] SR-1, SR-3 [NIST-SP800-161] |
ID.BE-2: 重要インフラストラクチャ及びその産業部門における組織の位置付けが特定され、伝達される。 | 衛星が提供するペイロード又はサービスの種類に応じて、組織は、広範なサイバーリスク管理方針の一環として、地上セグメントの他の重要インフ ラセグメントへの依存性及び相互依存性を考慮すべきである。また、関連する規制要件も考慮する必要があります。 |
[NIST-SP800-53r5] PM-8 |
ID.BE-3: 組織のミッション、目的、及び活動の優先順位が確立され、伝達されている。 | 組織は、衛星サービスの潜在的な顧客がその範囲とミッションへの適合性を理解できるように、優先順位、閾値、客観的な性能パラメータを伝えることを検討する必要があります。 | [NIST-SP800-53r5] PM-11 |
ID.BE-4:重要なサービスを提供するための依存関係及び重要な機能が確立されていること。 | 組織は、ミッションに影響を与える可能性のある他部門(電力、輸送、通信など)の重要な機能を特定する必要がある。組織のインフラストラクチャ(ネットワーク通信アーキテクチャ、サービス、プロトコル、ハードウェアコンポーネントなど)は、復旧時間に影響を与える可能性がある。組織は、地上セグメントの電源への依存、冗長性と地理的に多様な通信経路を考慮する必要がある。 | [NIST-SP800-53r5] CP-2, CP-8, PE-9, PE-11, PM-8, RA-9, SA-20, SR-2 |
ID.BE-5: 全ての動作状態(例:強迫/攻撃時、復旧時、通常動作)に対して、重要なサービスの提供を支援する回復力の要件が設定されている |
MOCとPCCに対する弾力性要件は、宇宙部門とユーザー部門に強く依存する。宇宙部門が自律的に機能する能力、ペイロードが提供するサービスの重要性、システムのアーキテクチャ、手続き上の考慮事項のすべてが、回復時間、停止期間などの回復力要件の上限および下限を定義します。 | [IEC61850-90-4] 12.2, 14.2.4 [NIST-SP800-53r5] CP-2, CP-11, RA-9, SA-8, SA-20 |
ガバナンスカテゴリー
Identify:Governance Category 組織の規制、法律、リスク、環境、運用の要件を管理・監視するための方針、手順、プロセスが文書化され、レビューされ、サイバーセキュリティリスクの管理に反映されている。
ID.GV-1:組織のサイバーセキュリティ方針が確立され、伝達されている。 | このサブカテゴリーは、組織が重要な機能を特定し、包括的なサイバーセキュリティアプローチを確保するために責任分野を割り当てることを可能 にします。 |
[NIST-SP800-53r5] AC-1, AT-1, AU-1, CA-1, CM-1, CP-1, IA-1, IR-1, MA-1, MP-1, PE-1, PL-1, PM-1, PS-1, PT-1, RA-1, SA-1, SC-1, SI-1, SR-1 |
ID.GV-2: 内部役割及び外部パートナーとサイバーセキュリティ上の位置付けが調整・連携されていること。 | 組織は,クラウドベースのインフラストラクチャやその他のサービスなど,組織とあらゆるサードパーティの間で役割と責任を定義する必要があ る。これらの合意は、通常、事前に行われる。社内の役割と責任を明確に定義することで、緊急時の対応が容易になります。MOCは、宇宙状況認識や 宇宙気象状況について、外部のパートナーとの調整を必要とする場合がある。PCC が外部パートナーによって運用される場合、ミッションオーナーとペイロード運用の間の役割と責 任の調整は、ケースバイケースで事前に決定されなければならない。 |
[NIST-SP800-53r5] PM-1, PM-2, PM-29, PS-7, PS-9 |
ID.GV-3: プライバシー及び市民的自由の義務を含むサイバーセキュリティに関する法的及び規制要件が理解及び管理されている |
MOCとPCCはバスやペイロードとインターフェースするものであり、含まれるデータではないため、自由権やプライバシーに関する考慮は一般 的に適用されないが、組織は地上セグメントと関連サービスを、あらゆる関連規制と法的要件について確認する必要がある。 |
[NIST-SP800-53r5] AC-1, AT-1, AU-1, CA-1, CM-1, CP-1, IA-1, IR-1, MA-1, MP-1, PE-1, PL-1, PM-1, PS-1, PT-1, RA-1, SA-1, SC-1, SI-1, SR-1 |
ID.GV-4: ガバナンスとリスク管理プロセスによりサイバーセキュリティリスクに対応する。 | 組織は、サイバーセキュリティへの配慮を含む包括的なリスク管理戦略を策定する必要がある。ペイロードをホストする組織の場合、バスの C2に関するリスク管理プロセスは、ペイロードのミッションの変更に影響される可能性がある。また、組織は必要に応じてリスクマネジメント戦略を見直し、更新する必要がある。 | [NIST-SP800-53r5] PM-3, PM-7, PM-9, PM-10, PM-11, PM-28, RA-1, RA-2, RA-3, SA-2 [NIST-SP800-160V1] 3.3.8 |
リスク評価カテゴリー
組織は、業務(ミッション、機能、イメージ、または評判を含む)、資産、および個人に対するサイバーセキュリティリスクを文書化し、レビューする。地上セグメントは組織のリスク評価プロセスの重要な部分であるが、影響や可能性などの属性は、宇宙セグメントとユーザセグメントを考慮しなければならない。リスクアセスメントは通常、個々のセグメントで行われることはない。通常、分析はミッション全体を考慮する組織内の別グループが行う。
ID.RA-1:資産の脆弱性が特定され、文書化されている。 | 組織は、地上セグメントに存在する脆弱性を特定し、文書化し、報告する必要があります。脆弱性スキャンは通常、代表的なシステムでテストされ、運用システムにとって安全かつ実行可能であることが確認されます。資産管理および構成管理技術からの情報を使用して、既知のソフトウェアの脆弱なバージョンや既知のセキュリティの誤構成を見つけるなど、運用システムにとってよりリスクの低い脆弱性スキャンの代替案があります。組織は、システムを頻繁にテストし、発見された脆弱性を優先的に文書化する必要があります。また、システムに変更があった場合は常にテストを実施する必要があります。 | [NIST-SP800-53r5] CA-2, CA-5, CA-7, CA-8, PM-4, PM-15, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5 |
ID.RA-2: サイバー脅威情報は、情報共有フォーラム及び情報源から受信される。 | 組織は、様々な情報源から脅威のインテリジェンスを受信し、分析する手順とプロセスを持つ必要があります。商業団体は、ベンダー、公益団体、業界団体及びセクター固有の組織(このセクターのための空間情報共有及び分析センター[ISAC])によって作成されたレポートなどのリソースを使用することができます。場合によっては、国の情報源から適切なチャンネルを通じて脅威情報を受け取ることもある。 | [CISA-ICS] [DHS-NCCIC] [NIST-SP800-53r5] PM-15, PM-16, RA-10, SI-5 [NIST-SP800-150] |
ID.RA-3:内外の脅威が特定され,文書化されている。 | 組織は、地上セグメントに対する既存及び将来の脅威を特定し理解するために、脅威のモデル化プロセスを取り入れるべきである。潜在的な脅威のモデル化カテゴリーには、運動学的物理的、非運動学的物理的、電子的、及びサイバーセキュリティの脅威が含まれる場合がある。脅威の特定と文書化は、悪意ある攻撃や情報システムに対する脅威に限定されない。組織は、自然災害や事故なども考慮する必要がある。 | [CCSDS-GREEN] [DIA-SPACE] [NASIC] [NIST-IR8179] [NIST-SP800-37r2] [NIST-SP800-53r5] PM-12, PM-16, RA-3, RA-10, SI-5 [NIST-SP800-154] [NIST-SP800-160V1] 2.3 [RTCA-DO-235] 4-12 |
ID.RA-4: ビジネスへの影響と可能性を識別していること。 | 組織は、ID.RA-1 から ID.RA-3の実行結果に基づいて、あらゆる潜在的な影響を特定する必要がある。利害関係者は、この種の分析は確率的であり、通常、範囲として示されることを認識させるべきである。可能性は、平和な時と緊張が高まっている時など、外部性の影響を受ける。悪意のある脅威エージェントにとって、可能性は能力と意図の関数である。脅威エージェントの能力に関する組織の知識が深まり、攻撃の可能性を高めるような事象が発生した場合には、評価を更新する必要がある。影響度分析は、組織のビジネスと知識の発展に応じて更新する必要がある。 | [NIST-SP800-53r5] CP-2, PM-9, PM-11, RA-2, RA-3, RA-9 [RTCA-DO-235] 2.1, 13 |
ID.RA-5: 脅威、脆弱性、可能性及び影響は、リスクを決定するために使用されます。 | リスク決定には、脅威分析者(脅威分子の能力と意図)、システム設計者(脆弱性評価)、ミッション所有者(影響)の間で協調した取り組みが必要である。組織は、定期的に、また、以下に示すような実質的な変更があった場合に、リスクを再評価する必要があります。
-システムの脆弱性(機器のアップグレードなど) – 脅威実現の可能性の変化(国際情勢の緊迫化など) 脅威が実現した場合の影響の変化(組織が衛星のペイロードサービスの利用や依存度を増した場合など) ・復旧活動から得られた教訓の結果。 |
[IETF-RFC8915] 3-9 [NIST-SP800-30r1] [NIST-SP800-53r5] CA-2, CA-7, PM-16, PM-28, RA-2, RA-3 [NIST-SP800-160V1] 2.3, 2.4 [RTCA-DO-235] 2.1-2.4, 3, 14 |
ID.RA-6:リスク対応が特定され、優先順位が付けられている。 | 脅威が実現した場合の影響の変化(組織が衛星のペイロードサービスの利用や依存度を増した場合など) ・復旧活動から得られた教訓の結果。組織は、リスク対応を特定し、優先順位をつけるためのプロセス及び手順を有していなければならない。リスク対応には、リスクを認め受け入れること、リスクを移転すること、技術的又は運用的手段により脆弱性に対処してリスクを軽減すること、又は運用を変更することによりリスクを排除することなどの活動が含まれる。 |
[NIST-SP800-53r5] CA-5, PM-4, PM-9, PM-28, RA-7 特定する。 |
リスクマネジメント戦略カテゴリー
組織の優先順位、制約、リスク許容度、仮定が設定され、運用リスクの決定をサポートするために使用される。リスク管理戦略は、3つのセグメント(宇宙、地上、ユーザー)すべてのリスク要因を適切に考慮する。このプロファイルは、リスク管理戦略に地上セグメントを含めることに重点を置いている。
ID.RM-1:リスクマネジメントプロセスは、組織の利害関係者によって確立、管理、同意される。 | 組織は、リスクマネジメント戦略をどのように策定するかを詳述したリスクマネジメントプロセスを確立する必要がある。このプロファイルは地上セグメントに集中しているが、組織は宇宙セグメントとユーザーセグメントに同じプロセスと側面を使用し、最終的なリスクマネジメント戦略には3つのセグメントすべてが含まれることになる。 | [NIST-SP800-53r5] PM-9, PM-28 |
ID.RM-2:組織のリスク許容度が決定され、明確に表現されている。 | 組織は、その地上セグメントのリスク許容度を決定する必要があります。このリスク許容度には、MOCとPCCが含まれる。地上セグメントの組織的なリスク許容度は、その後、宇宙およびユーザセグメントのリスク管理で使用することができる。 | [NIST-SP800-53r5] PM-9 |
ID.RM-3:組織のリスク許容度の決定は、重要インフラ及びセクター固有のリスク分析におけるその役割によって知らされる。 | 組織は、地上セグメントに関連するリスク許容度を決定すべきである。組織は、その運用するすべてのセグメントにわたってリスク許容度を決定してもよい。リスク許容度は、組織全体(宇宙及びユーザセグメントを含む)で決定し、地上セグメントのリスクは、MOC及びPCCを含め、その決定に含まれるべきである。 | [NIST-SP800-53r5] PM-8、PM-9、PM-11、RA-9 |
サプライチェーンリスク管理区分
組織の優先順位、制約条件、リスク許容度、仮定が確立され、サプライチェーンリスクの管理に関連するリスク決定を支援するために使用されている。組織は、サプライチェーンリスクを特定し、評価し、管理するためのプロセスを確立し、実施している。
ID.SC-1:サイバーサプライチェーンリスク管理プロセスが、組織の利害関係者によって特定、確立、評価、管理、及び合意されている。 | 地上セグメントの性質上、使用される機器の中には、サプライチェーンが限定され、高度に専門化したものがある。組織は、サプライチェーンリスクを決定し、管理する際に、この特殊な性質を考慮すべきである。サプライチェーンリスク管理のプロセスと手続きは、地上セグメントの制約された外 部接続によって必要とされる更新とパッチの独特な配信も考慮すべきである。MOCは、制約された外部接続と、宇宙セグメントと直接通信する重要な コンポーネントを持ち、通常ネットワークから安全に分離されている。 |
[NIST-SP800-53r5] PM-30, SA-9, SR-1, SR-2, SR-3, SR-5 [NIST-SP800-161] |
ID.SC-2: 情報システム、コンポーネント、サービスのサプライヤー及び第三者パートナーが、サイバーサプライチェーンリスク評価プロセスを用いて特定、優先化、及び評価される。 |
組織は、異なる製造業者による品目ごとの交換を容易にするために、ハードウェア又はソフトウェアの複数の供給元を持つことを検討すべきであ る。この措置により、ベンダーの損失や生産ロットの不備による機器の納期遅れによるサプライチェーンの断絶の影響を回避することができる。地上部 門でのサードパーティパートナーの使用は非典型的である。サードパーティーの使用は制限されるべきで、情報はパートナーから安全に隔離されるべき である。組織は、サービス(ホストされたペイロードを収容するバスなど)及び C2 メッセージの形成及び伝送、ペイロードの確認応答やテレメトリーを受信する可能性のある装置の取得に関する現在及び将来の規制について、常に情報を得る必要があります。 |
[NIST-SP800-53r5] PM-9, RA-3, SA-15, SR-2, SR-3, SR-5, SR-6 [NIST-SP800-161] |
ID.SC-3: 供給者及び第三者パートナーとの契約は、組織のサイバーセキュリティプログラム及びサイバーサプライチェーンリスク管理計画の目的を満たすよう設計された適切な手段を実施 するために使用されている。 |
組織は、契約が規制上の制約を含む地上セグメントのニーズを満たすことを確実にするために、契約を開発し、見直すためのプロセスを有するべき である。考慮すべき事項は以下の通りである。 1. 機能要件、 2.関連する適用可能な連邦法、規制、又は政策、 3.脅威環境、 4.ミッションレベルの目標、重要性、及び機能、 5.セキュリティ政策、 6.組織政策、 及び 7.事業目標。ビジネス目標 |
[NDAA] Section 889 [NIST-SP800-53r5] SA-4, SA-9, SR-2, SR-3, SR-5 |
ID.SC-4:供給者及び第三者パートナーは、監査、テスト結果、又は他の形式の評価を定期的に行い、契約上の義務を満たしていることを確 認する。 |
組織は、以下のような地上セグメントのサプライチェーンに関する考慮事項の中で、評価及び査定を実施する必要があります。 1.システム及び部品の偽造リスク、 2.供給者の開発及び運用環境、 3.物流又は配送環境、 及び4.機密情報及びデータの保護対策。機密情報及びデータの保護対策 組織は、敵対者が情報を取得し、宇宙又は地上セグメントに混乱を引き起こす可能性のあるハードウェア、ソフトウェア、又はファームウェアを導入す ることを可能にする可能性のあるサプライチェーン内のアクセス経路、及び存在し得るあらゆる依存性を考慮すべきである。 |
[NIST-SP800-53r5] AU-6, CA-2, CA-7, PS-7, SA-9, SA-11 |
ID.SC-5: 対応及び復旧計画並びにテストは、供給者及び第三者供給者と共に実施されている。 | 組織は、地上セグメントに適切な復旧計画及びテストに、供給者及び第三者プロバイダを含めるべきである。これが適用される可能性のあるシナリ オは、以下の状況を含む。- PCCとMOCが独立した組織である – クラウドサービスプロバイダがある – 独立した組織が地上サイト、アンテナなどをリースしている。一般的に、このような活動は衛星の打ち上げ前に行われますが、これらの活動は衛星の寿命が尽きるまで変更される 可能性があります。 |
[NIST-SP800-53r5] CP-2, CP-4, IR-3, IR-4, IR-8, IR-9 4.2 |
4.2 保護
保護機能には、地上セグメント内の保証又は機能の喪失を防止するための開発、実施及び検証手段 が含まれる。さらに、保護機能は、計画及び準備活動により、サイバーセキュリティ事象への対応及び復旧を可能にし、 リスク軽減の実行は、対応機能及び復旧機能で扱われる。
宇宙事業では、一般に現代の高度に相互接続されたサイバーエコシステムの一部となるように作られ ていないカスタムソフトウェアとハードウェアを使用している。これは、セキュリティのベストプラクティスが開発される前に作成されたかもしれない、あるいは時代遅れのセキュリ ティ手段を使用するレガシーコンポーネントで特に問題となる可能性がある。従来の情報技術(IT)サイバーセキュリティ対策が利用できない場合、「プロファイル」は代償となる対策を提案するよう努めている。
(以下、マトリックスは、省略)
アクセスコントロールカテゴリ
物理的及び論理的資産と関連施設へのアクセスは、許可されたユーザー、プロセス及びデバイスに制限されている。管理の範囲と制限の程度は、評価された不正アクセスのリスクと一致する。地上セグメントとの関連では、資産には、アンテナ、受信機及びサーバーが含まれる場合がある。「物理的アクセス」は、指向性アンテナ、ビーム整形、直接系列スペクトル拡散(DSS)実装内のアクセスコードの使用等の手段によるRF放射を保護する手段を含むことができる。緊急時のシナリオは、レスポンスとリカバー機能でより詳細に扱われます。しかし、アクセス制御のカテゴリーにも重要な影響がある。地上部門が運用される環境のため、緊急時には通常のアクセス制御をバイパスしなければならない場合があります。
意識向上と訓練カテゴリー
組織の職員とパートナーが、サイバーセキュリティに関する意識向上教育を受け、関連する方針、手順、協定と一致したサイバーセキュリティ関連の任務と責任を果たすための訓練を受けている。意識向上と訓練のカテゴリーは、衛星業界に特有のものではありません。焦点は、宇宙セグメントとサードパーティパートナーとのインタフェースとなる機器を操作、監視、保守する 特権ユーザーにある。ホスト型ペイロードシナリオでは、PCC と MOC 間の第三者パートナーシップは多岐に渡り、事前に調整され ます。
データセキュリティカテゴリ
情報とデータは、組織のリスク戦略と整合性のある方法で、コマンド、応答、またはテレメトリの機密性、完全性、および可用性を保護するために管理される。地上セグメントとの関連では、TT&C アップリンクとダウンリンクに焦点が当てられている。これらのデータフローの典型的な特性は以下の通りである。
- 比較的低い帯域幅の要求
- 遅延に対する耐性
- ジッターに対する耐性
- 法的要件または組織のポリシーに従ったアーカイブ化
情報保護プロセスと手続き カテゴリー
セキュリティポリシー(目的、範囲、役割、責任、マネジメントのコミットメント、組織体間の調整を扱う)、プロセス、手続きが維持され、情報システムおよび資産の保護を管理するために使用されている。
メンテナンスカテゴリー
産業用制御・情報システムコンポーネントのメンテナンスと修理は、方針と手続きに沿って実施される。地上セグメントは、宇宙船に代わって保守作業を行う必要がある場合があり、保守・修理活動においてそれを考慮する必要があります。
4.3 検出
検出機能は、異常な事象を監視し、その発生時にユーザーとアプリケーションに通知するための適切な活動の開発と展開に対処する。検出機能は、識別機能から情報を受け、保護機能によって有効にされる。
検出機能の目的には、以下が含まれる。
- 監視と整合性チェックによる検出を可能にすること、
- 検出された異常と事象の処理/処分を行う ためのプロセスを確立すること。
検出機能は、自動化及びセキュリティ情報及びイベント管理(SIEM)のような機能を活用し、既 に発見された脅威の検知を支援し、偽陽性を最小化することができる。これらの機能には、データの解析、分析、および情報の共有が含まれる。実用的であれば、相互運用性、統合、および共有を促進するために、データフォーマット、メッセージフォー マット、およびメッセージ送信のための標準ベースのソリューションに準拠すること。
異常とイベント カテゴリ
異常な活動を検出し、イベントの潜在的な影響を理解する。検出する。セキュリティ継続監視カテゴリー 情報システム及び資産を監視し、サイバーセキュリティイベントを特定し、保護措置の有効性を検証している。監視の粒度と分析の深さは、リスクアセスメント(ID.RA-1~ID.RA-5を参照)の結果と一致している。地上セグメントとの関連では、このカテゴリーは、バスまたはペイロードへのインターフェース、コマンド、応答、テレメトリを処理し形成する受信機、処理されたテレメトリ、宇宙セグメントからの健全性情報の状態を対象とする。
検出プロセス カテゴリー
検出プロセスおよび手順は、異常な事象を確実に認識するために維持され、テストされる。地上セグメントとの関連では、情報システム、資産、分析プロセスおよび手順に関連するプロセスおよび手順が維持され、更新され、テストされる。
4.4 対応
対応機能の活動は、検知されたサイバーセキュリティ攻撃または異常なインシデントに対する適切な対応 を策定し実施することにより、インシデントの影響を抑制する能力を支援するものである。
対応機能の動作は、検出機能によって生成された出力によって起動される。保護機能により、応答機能は、事前に定義された計画に従って、事象に対する適切な対応を実行することができる。
対応機能の目的は、以下の通りである。
- 検証された対応手順を用いて事象を抑制する、
- 事象の発生と衛星運用及び利害関係者への影響を伝達する、
- 既知又は予想される新たな脅威又は脆弱性への対応及び緩和のプロセスを開発する、
- 教訓に基づき対応戦略及び計画を発展させる、
である。
計画カテゴリー
対応プロセスおよび手順は、サイバーセキュリティが検知された後に実行され、維持される
通信カテゴリー
対応活動は、内部及び外部の利害関係者と調整される。地上セグメントの文脈では、外部の利害関係者は、独立した組織をホストしている(またはホストされている)ペイロードを持つ組織を含む場合がある。
分析カテゴリー
対応の有効性を検証し、復旧活動を支援するための分析を実施する。
緩和(Mitigation)カテゴリー
イベントを抑制し、その影響を緩和し、インシデントを解決するために実施される活動である。
改善カテゴリ
このカテゴリは、サイバーセキュリティフレームワーク内の他の機能を含む、インシデント後の分析活動である。組織の対応活動は、現在および過去の検知・対応活動から学んだ教訓を取り入れることによって改善される。
4.5 回復
回復機能では、回復力を維持し、サイバーセキュリティ事象により損なわれた能力やサービスを回復するための適切な活動を策定し、実施する。
回復機能の活動は、インシデント発生後、通常業務へのタイムリーな回復と組織の正常な動作状態への復帰を支援する。回復機能の有効性は、これまでの機能(識別、保護、検知、対応)の実施に依存する。
回復機能の目的は以下の通りである。
- サービスに依存するシステムが適切に機能できるように、検証された復旧手順を用いて地上セグメントの サービスを適切な動作状態に復旧させる。
- 復旧活動及び地上セグメントサービスの状況を利害関係者に伝達する。
- – 教訓に基づく復興戦略・計画の進化
復旧計画カテゴリ
復旧プロセスおよび手順は、サイバーセキュリティインシデントによって影響を受けたシステムまたは資産を適切な動作状態に復旧するために実行および維持される。復旧計画は、通常、事業継続計画の一部である。
改善 カテゴリ
復旧計画及びプロセスは、得られた教訓を今後の活動に取り入れることによって改善される。地上セグメントとの関連では、宇宙セグメントの制御の回復、テスト計画、ユーザーへの通知、フェイルオーバーなど、復旧活動の有効性が評価され、同様の事象が発生した場合に改善される。
通信カテゴリ
復旧作業は、内部および外部の関係者と調整されます。地上セグメントとの関連では、外部関係者には、サードパーティのペイロードをホストしている(またはホストしている)パートナーが含まれる場合があります。復旧活動には、異常の修正、校正、検証、および妥当性確認手順が含まれる。