※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
- 1) ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界的な標準化のための専門的なシステムを形成します。 ISO または IEC のメンバーである国家機関は、国際規格の開発に参加しています。それらの準備は技術委員会に委ねられています。扱われる主題に関心のある ISO および IEC 加盟団体は、この準備作業に参加することができます。 ISO および IEC と連携している国際的な政府および非政府組織も、この準備に参加しています。
- 2)情報技術の分野では、ISO と IEC は合同技術委員会 ISO/IEC JTC 1 を設立しました。合同技術委員会によって採択された国際規格草案は、投票のために各国の機関に回覧されます。国際規格として発行するには、投票を行う国の機関の少なくとも 75% による承認が必要です。
- 3)各技術委員会は、関心のあるすべての IEC および ISO メンバー団体からの代表者を持っているため、技術的事項に関する IEC および ISO の正式な決定または合意は、関連する主題に関する国際的な意見の一致を可能な限り表現します。
- 4) IEC, ISO, および ISO/IEC の出版物は、国際的な使用のための推奨事項の形式を持ち、その意味で IEC および ISO のメンバー団体によって受け入れられています。 IEC, ISO, および ISO/IEC の出版物の技術的内容が正確であることを保証するためにあらゆる合理的な努力が払われていますが、IEC または ISO は、それらの使用方法またはエンドユーザーによる誤解に対して責任を負うことはできません。
- 5)国際的な統一性を促進するために、IEC および ISO のメンバー団体は、IEC, ISO, および ISO/IEC の出版物を可能な限り透過的に国内および地域の出版物に適用することを約束します。 ISO/IEC 刊行物と対応する国または地域の刊行物との相違点は、後者で明確に示す必要があります。
- 6) ISO および IEC は、承認を示すためのマーキング手順を提供しておらず、ISO/IEC 出版物に適合していると宣言された機器について責任を負うことはできません。
- 7)すべてのユーザーは、この出版物の最新版を持っていることを確認する必要があります。
- 8) IEC または ISO またはその取締役、従業員、使用人または代理店 (個々の専門家および技術委員会のメンバーを含む) および IEC または ISO のメンバー団体は、人身傷害、物的損害、またはその他のいかなる性質の損害についても、責任を負わないものとします。この ISO/IEC 刊行物またはその他の IEC, ISO, または ISO/IEC 刊行物の発行、使用、または依存から生じる直接的または間接的、または費用 (弁護士費用を含む) および費用。
- 9)この刊行物で引用されている規範的な参考文献に注意が必要です。この刊行物を正しく適用するには、参照されている刊行物を使用することが不可欠です。
- 10)この規格の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
国際規格 ISO/IEC 24767-1 は、ISO/IEC 合同技術委員会 1: 情報技術の小委員会 25: 情報技術機器の相互接続によって作成されました。
ISO/IEC 24767 シリーズの現在利用可能なすべての部分のリストは、一般的なタイトルである情報技術-ホーム ネットワーク セキュリティの下にあり、IEC Web サイトで見つけることができます。
この国際規格は、メンバー団体の投票によって承認されており、投票結果は、2 番目のタイトル ページに記載されているアドレスから取得できます。
この出版物は、ISO/IEC 指令に従って起草されています。 2.
1 スコープ
ISO/IEC 24767 のこの部分では、家の内外から発生する可能性のあるホーム ネットワーク セキュリティ要件を指定しています。これは、家庭環境に影響を与える脅威に対するセキュリティ サービスの開発の基盤として機能します。
この標準のセキュリティ要件に関する議論は、比較的非公式な方法で提示されています。ここで説明する項目の多くは、ホーム ネットワーク内またはインターネット経由で適用されるセキュリティ メカニズムの設計を導くことが期待されていますが、正式な要件とは見なされていません。
ホームネットワークにはさまざまな機器が接続されています。図 1 を参照してください。「ライブ ネットワーク」のデバイス、「A/V エンターテイメント」のデバイス、および「情報アプリケーション」のデバイスは、異なる機能とパフォーマンスを提供します。この標準は、ネットワーク化された各デバイスのリスクを分析し、特定の「セキュリティ要件」を定義する手段を提供します。
2 用語、定義および略語
2.1 用語と定義
このドキュメントでは、次の定義が適用されます。
2.1.1
ブラウングッズ
テレビや DVD レコーダーなど、主に娯楽用に使用される A/V デバイス
2.1.2
守秘義務
許可されていない個人、エンティティ、またはプロセスに対して情報が利用可能または開示されないという特性
2.1.3
データ認証
通信の当事者が主張するデータのソースが正しく検証されることを保証するために使用されるサービス
2.1.4
データの整合性
データが許可されていない方法で変更または破壊されていないこと
2.1.5
ユーザ認証
通信の当事者が主張する ID が正しく検証されることを保証するために使用されるサービス。一方、認証サービスは、識別および認証された当事者がホーム ネットワーク上の特定のデバイスまたはアプリケーションにアクセスする資格があることを保証します。
2.1.6
白物家電
エアコン、冷蔵庫などの日常生活で使用する電化製品
2.2 略語
この文書では、以下の略語が適用されます。
| AV/AV | オーディオ/ビジュアル |
| DDoS | 分散型サービス拒否 |
| DOS | サービス拒否 |
| DRM | デジタル著作権管理 |
| DTV | デジタルテレビ |
| DVD | デジタル多用途ディスク |
| ESM | 外部サポート 複数のホーム HES |
| エスエス | 外部サポート シングル ホーム HES |
| 彼は | 家電システム |
| ICT | 情報通信技術 |
| 知財 | インターネットプロトコル |
| IPsec | IP セキュリティ プロトコル |
| IPv4 | インターネット プロトコル バージョン 4 |
| IPv6 | インターネット プロトコル バージョン 6 |
| it | 情報技術 |
| MPEG | 動画専門家グループ |
| OSS | オーナー様サポート型一戸建てHES |
| 携帯情報端末 | 携帯端末 |
| SSL | セキュア・ソケット・レイヤー |
| TCP | 伝送制御プロトコル |
| TLS | トランスポート層のセキュリティ |
| URL | ユニフォームリソースロケータ |
| ビデオデッキ | ビデオレコーダー |
| VOIP | ボイス オーバー インターネット プロトコル |
参考文献
| ISO/IEC 10116, 情報技術 — セキュリティ技術 — n ビット ブロック暗号の動作モード | |
| ISO/IEC 1802, 情報技術 — セキュリティ技術 — IT ネットワーク セキュリティ | |
| ISO/IEC 18033-3, 情報技術 — セキュリティ技術 — 暗号化アルゴリズム — 3: ブロック暗号 | |
| ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための行動規範 | |
| 欧州委員会 COM (2001) 298 | |
| ネットワークと情報セキュリティ: 欧州政策アプローチの提案 | |
| http://ec.europa.eu/transparency/regdoc/liste.cfm?&type=1&annee=2001&numero=298&ElementsPerPage=20&tr i=cote&CL=en | |
| Freier, А.О., P. Carlton and PC Kocher, The SSL Protocol Version 3.0. | |
| Dierks, T. および C. Allen, TLS プロトコル バージョン 1.0, RFC 2246, Internet Engineering Task Force, 1999 年 1 月。 | |
| ケント、S.、R. アトキンソン、インターネット プロトコルのセキュリティ アーキテクチャ、RFC 2401, インターネット エンジニアリング タスク フォース、1998 年 11 月。 | |
| NIST, FIPS PUB 197, 「Advanced Encryption Standard (AES)」、2001 年 11 月。 | |
| RFC 2267, Network Ingress Filtering: Defeating Denial of Service Attacks which uses IP Source Address Spoofing |
FOREWORD
- 1) ISO (International Organization for Standardization) and IEC (International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards. Their preparation is entrusted to technical committees; any ISO and IEC member body interested in the subject dealt with may participate in this preparatory work. International governmental and non-governmental organizations liaising with ISO and IEC also participate in this preparation.
- 2) In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
- 3) The formal decisions or agreements of IEC and ISO on technical matters express, as nearly as possible, an international consensus of opinion on the relevant subjects since each technical committee has representation from all interested IEC and ISO member bodies.
- 4) IEC, ISO and ISO/IEC publications have the form of recommendations for international use and are accepted by IEC and ISO member bodies in that sense. While all reasonable efforts are made to ensure that the technical content of IEC, ISO and ISO/IEC publications is accurate, IEC or ISO cannot be held responsible for the way in which they are used or for any misinterpretation by any end user.
- 5) In order to promote international uniformity, IEC and ISO member bodies undertake to apply IEC, ISO and ISO/IEC publications transparently to the maximum extent possible in their national and regional publications. Any divergence between any ISO/IEC publication and the corresponding national or regional publication should be clearly indicated in the latter.
- 6) ISO and IEC provide no marking procedure to indicate their approval and cannot be rendered responsible for any equipment declared to be in conformity with an ISO/IEC publication.
- 7) All users should ensure that they have the latest edition of this publication.
- 8) No liability shall attach to IEC or ISO or its directors, employees, servants or agents including individual experts and members of their technical committees and IEC or ISO member bodies for any personal injury, property damage or other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and expenses arising out of the publication of, use of, or reliance upon, this ISO/IEC publication or any other IEC, ISO or ISO/IEC publications.
- 9) Attention is drawn to the normative references cited in this publication. Use of the referenced publications is indispensable for the correct application of this publication.
- 10) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
International Standard ISO/IEC 24767-1 was prepared by subcommittee 25: Interconnection of information technology equipment, of ISO/IEC joint technical committee 1: Information technology.
The list of all currently available parts of the ISO/IEC 24767 series, under the general title Information technology — Home network security, can be found on the IEC web site.
This International Standard has been approved by vote of the member bodies, and the voting results may be obtained from the address given on the second title page.
This publication has been drafted in accordance with the ISO/IEC Directives, 2.
1 Scope
This part of ISO/IEC 24767 specifies home network security requirements that may come from inside or outside a home. It serves as a foundation for the development of security services against threats affecting the home environment.
The discussions about security requirements in this standard are presented in a relatively informal manner. Although many of the items discussed here are expected to guide the design of security mechanisms applied either inside home networks or through the Internet, they are not considered formal requirements.
Various devices are connected to the home network; see Figure 1. The devices of the"living network", the devices for"A/V entertainment" and the devices for"informational applications" provide different features and performance. This standard provides means to analyse the risks for each networked device and to define its specific"security requirements".
2 Terms, definitions and abbreviations
2.1 Terms and definitions
For the purpose of this document the following definitions apply.
2.1.1
brown goods
A/V devices that are mainly used for entertainment, for example, television orDVD recorder
2.1.2
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities or processes
2.1.3
data authentication
service used to ensure that the source of the data claimed by a party to a communication is correctly verified
2.1.4
data integrity
property that data has not been altered or destroyed in an unauthorized manner
2.1.5
user authentication
service used to ensure that the identity claimed by a party to a communication is correctly verified, whereas an authorization service ensures that the identified and authenticated party is entitled to access a particular device or application on the home network
2.1.6
white goods
appliances that are used for daily life, for example, air conditioner, refrigerator and so on
2.2 Abbreviations
For the purpose of this document the following abbreviations apply.
| A/V | Audio/ Visual |
| DDoS | Distributed Denial of Service |
| DoS | Denial of Service |
| DRM | Digital Rights Management |
| DTV | Digital TeleVision |
| DVD | Digital Versatile Disc |
| ESM | Externally Supported Multiple homes HES |
| ESS | Externally Supported Single home HES |
| HES | Home Electronic System |
| ICT | Information and Communication Technology |
| IP | Internet Protocol |
| IPSec | IP Security protocol |
| IPv4 | Internet Protocol version 4 |
| IPv6 | Internet Protocol version 6 |
| it | Information Technology |
| MPEG | Moving Picture Expert Group |
| OSS | Owner supported single home HES |
| PDA | Personal Digital Assistant |
| SSL | Secure Sockets Layer |
| TCP | Transmission Control Protocol |
| TLS | Transport Layer Security |
| URL | Uniform Resource Locator |
| VCR | Video Cassette Recorder |
| VoIP | Voice over Internet Protocol |
Bibliography
| ISO/IEC 10116, Information technology — Security techniques — Modes of operation for an n-bit block cipher | |
| ISO/IEC 18028 (all parts), Information technology — Security techniques — IT network security | |
| ISO/IEC 18033-3, Information technology — Security techniques — Encryption algorithms — 3: Block ciphers | |
| ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management | |
| European commission COM (2001) 298 | |
| Network and Information Security: Proposal for A European Policy Approach | |
| http://ec.europa.eu/transparency/regdoc/liste.cfm?&type=1&annee=2001&numero=298&ElementsPerPage=20&tr i=cote&CL=en | |
| Freier, А.О., P. Carlton and P.C. Kocher, The SSL Protocol Version 3.0. | |
| Dierks, T. and C. Allen, The TLS Protocol Version 1.0, RFC 2246, Internet Engineering Task Force, January 1999. | |
| Kent, S., R. Atkinson, Security Architecture for the Internet Protocol, RFC 2401, Internet Engineering Task Force, November 1998. | |
| NIST, FIPS PUB 197,"Advanced Encryption Standard (AES)," November 2001. | |
| RFC 2267, Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing |