この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
導入
O-TTPS のPart 1 は一連のガイドライン、要件、推奨事項であり、実際に適用されると、技術取得者が悪意を持って汚染された製品や偽造品を取得するリスクが軽減されるというビジネス上のメリットが生まれます。成熟した業界プロバイダーの経験から得られ、コンセンサスプロセスを通じて厳密にレビューされ、この文書の要件および推奨事項として確立されたベストプラクティスを文書化することは、リスクを軽減するための基礎を確立する上で大きな利点となります。大小を問わずテクノロジー プロバイダー、ハードウェアおよびソフトウェア コンポーネントのサプライヤー、およびインテグレーターによるこの文書の採用への取り組みは、特定の方法論を使用してハードウェアまたはソフトウェアの商用オフザシェルフ (COTS) 情報および通信技術 (ICT) 製品。この文書は詳細かつ規範的であり、すべてのプロバイダーの基準を高めるのに役立ち、有意義かつ再現可能な方法で遵守されていることを保証する付随する認証プロセスに役立ちます。
O-TTPS (本書) のPart 1 は、製品ライフサイクル全体にわたるハードウェアおよびソフトウェア COTS ICT 製品の完全性に対する特定の脅威に対処する一連のガイドライン、要件、推奨事項です。このバージョンの O-TTPS は、悪意を持って汚染された製品や偽造製品に関連する脅威に対処します。
プロバイダーの製品ライフサイクルには、製品の設計と開発を行う作業と、そのライフサイクルのサプライ チェーンの側面が含まれており、設計、調達、製造、履行、流通、維持、廃棄の各フェーズに集合的に広がります。この文書は、プロバイダーの制御範囲の完全に外側で発生する脅威、たとえば、相手先商標製品製造業者 (OEM) との元々のつながりがない偽のプリント基板アセンブリを製造する偽造業者などに完全に対処することはできませんが、この文書で詳しく説明されている実践方法は、この文書は、ある程度の緩和策を提供します。このような行為の例としては、正規の製品におけるセキュリティラベル技術の使用が挙げられます。
この文書で扱うように、買収企業が今日 COTS ICT 調達において直面する 2 つの主要な脅威は次のように定義されます。
- 1.悪意を持って汚染された製品 – 製品はプロバイダーによって製造され、プロバイダーの承認されたチャネルを通じて入手されましたが、悪意を持って改ざんされています。
- 2.偽造製品 – 製品がプロバイダー以外によって、またはプロバイダーのために製造されたか、プロバイダーの認可されたチャネル以外からプロバイダーに供給され、正規品ではないにもかかわらず正規品であるかのように提示されます。
注:この文書内で「汚染」、「汚染」、「汚染」という言葉が使用されているすべての例は、それぞれ、悪意のある汚染、悪意のある汚染、および悪意のある汚染を指します。
信頼できるテクノロジー プロバイダーは、定義、監視、検証されたベスト プラクティスを適用することで、拡張サプライ チェーンを含む製品ライフサイクルを管理します。プロバイダーとサプライヤーがこの文書に指定されている要件と推奨事項に従う場合、製品の完全性は強化されます。ここおよび Open Trusted Technology Provider Framework (O-TTPF) に反映されている業界のコンセンサスは、製品の完全性に不可欠な次の領域、つまり製品開発/エンジニアリング、安全な開発/エンジニアリング、およびサプライ チェーン セキュリティから得られています。さらに、サプライヤー、取引先、プロバイダー間の慣行に従うこと、また必要に応じて顧客を獲得して製品の意図された構成を維持することによって、製品の完全性とサプライ チェーンのセキュリティが強化されます。
Introduction
Part 1 of the O-TTPS is a set of guidelines, requirements, and recommendations that, when practically applied, create a business benefit in terms of reduced risk of acquiring maliciously tainted or counterfeit products for the technology acquirer. Documenting best practices that have been taken from the experience of mature industry providers, rigorously reviewed through a consensus process, and established as requirements and recommendations in this document, can provide significant advantage in establishing a basis to reduce risk. A commitment by technology providers, large and small, suppliers of hardware and software components, and integrators to adopt this document is a commitment to using specific methodologies to assure the integrity of their hardware or software Commercial Off-The-Shelf (COTS) Information and Communications Technology (ICT) products. This document is detailed and prescriptive enough to be useful in raising the bar for all providers and lends itself to the accompanying certification process that provides assurance that it is being followed in a meaningful and repeatable manner.
Part 1 of the O-TTPS (this document) is a set of guidelines, requirements, and recommendations that address specific threats to the integrity of hardware and software COTS ICT products throughout the product lifecycle. This version of the O-TTPS addresses threats related to maliciously tainted and counterfeit products.
The provider’s product lifecycle includes the work it does designing and developing products, as well as the supply chain aspects of that lifecycle, collectively extending through the following phases: design, sourcing, build, fulfillment, distribution, sustainment, and disposal. While this document cannot fully address threats that originate wholly outside any span of control of the provider – for example, a counterfeiter producing a fake printed circuit board assembly that has no original linkage to the Original Equipment Manufacturer (OEM) – the practices detailed in this document will provide some level of mitigation. An example of such a practice would be the use of security labeling techniques in legitimate products.
The two major threats that acquirers face today in their COTS ICT procurements, as addressed in this document, are defined as:
- 1. Maliciously tainted product – the product is produced by the provider and is acquired through a provider’s authorized channel, but it has been tampered with maliciously.
- 2. Counterfeit product – the product is produced other than by, or for, the provider, or it is supplied to the provider by other than a provider’s authorized channel and is presented as being legitimate even though it is not.
NOTE All instances, within this document, of the use of the words: taint, tainted, tainting, refer to malicious taint, maliciously tainted, and malicious tainting, respectively.
Trusted Technology Providers manage their product lifecycle, including their extended supply chains, through the application of defined, monitored, and validated best practices. The product’s integrity is strengthened when providers and suppliers follow the requirements and recommendations specified in this document. The industry consensus reflected here and in the Open Trusted Technology Provider Framework (O-TTPF) draws from the following areas that are integral to product integrity: product development/engineering, secure development/engineering, and supply chain security. Additionally, product integrity and supply chain security are enhanced by following practices among suppliers, trading partners, providers, and, when appropriate, acquiring customers to preserve the product’s intended configuration.