この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自発的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
この文書は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
序章
情報セキュリティは、あらゆる情報通信技術 (ICT) システムの主要な関心事であり、モノのインターネット (IoT) システムも例外ではありません。 IoT システムは、高度に分散され、多数の多様なエンティティが関与するという点で、情報セキュリティに特定の課題をもたらします。これは、攻撃対象領域が非常に大きく、情報セキュリティ管理システム (ISMS) がシステム全体に適切なセキュリティ制御を適用して維持するという重大な課題があることを意味します。
プライバシーまたは個人を特定できる情報 (PII) の保護は、一部の種類の IoT システムにとって重大な懸念事項です。 IoT システムが PII を取得または使用する場合、通常、PII の取得、保存、および処理に適用される法律および規制が存在します。規制が問題にならない場合でも、IoT システムによる PII の処理は、関係する組織の評判と信頼に関する懸念のままです。情報。
このドキュメントのセキュリティとプライバシーの管理は、IoT システム環境の利害関係者向けに開発されており、IoT システムのライフ サイクル全体で各 IoT 利害関係者が利用できるようになっています。
1 スコープ
このドキュメントでは、モノのインターネット (IoT) ソリューションのセキュリティとプライバシーに関するリスク、原則、および制御に関するガイドラインを提供します。
2 参考文献
このドキュメントには規範的な参照はありません。
3 用語と定義
このドキュメントの目的のために、ISO/IEC 20924, ISO/IEC 27000, ISO/IEC 29100, ISO 31000 および以下に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
クラウドコンピューティング
セルフサービスのプロビジョニングとオンデマンドの管理により、共有可能な物理または仮想リソースのスケーラブルで弾力性のあるプールへのネットワーク アクセスを可能にするパラダイム
注記1:リソースの例には、サーバー、オペレーティングシステム、ネットワーク、ソフトウェア、アプリケーション、およびストレージ機器が含まれます。
[出典:ITU-T勧告Y.3500 | ISO/IEC 17788:2014, 3.2.5]
3.2
クラウド サービス
定義されたインターフェイスを使用して呼び出される クラウド コンピューティング (3.1) を介して提供される 1 つまたは複数の機能
[出典:ITU-T勧告Y.3500 | ISO/IEC 17788:2014, 3.2.8]
3.3
IoT デバイス
センシングまたはアクチュエーションを通じて物理世界と相互作用し、通信する IoT システムのエンティティ
3.4
IoT デバイス開発者
組み立てられた最終的な IoT デバイスを作成するエンティティ
注記 1:この定義における「最終」とは、組み立てプロセスにおける IoT サービス開発者への提供の段階を意味します。
3.5
IoT プラットフォーム
IoT デバイスの展開、管理、運用を可能にするインフラストラクチャ
3.6
IoTシステム
モノのインターネットの機能を提供するシステム
注記 1: IoT システムには、IoT デバイス、IoT ゲートウェイ、センサー、およびアクチュエーターが含まれます。
注記 2:このドキュメントのコンテキストでは、これには IoT ソリューションをサポートするアプリケーションとバックエンドも含まれます。
3.7
IoT ソリューション
潜在的にセンサー、ゲートウェイ、アクチュエーターを含む、シームレスに統合されたテクノロジーのバンドル
注記 1:これらは、特定の問題またはニーズを解決することができます。また、他の非 IoT ソリューションで追加機能を構築するために使用することもできます。
3.8
エコシステム
組織と利害関係者のネットワークに基づくインフラストラクチャとサービス
注記1組織には公的機関を含めることができる。
[出典:ISO/IEC TS 27570:2021, 3.8]
参考文献
| [1] | ISO/IEC 20924, 情報技術 — モノのインターネット (IoT) — 語彙 |
| [2] | ISO/IEC 30141:2018, モノのインターネット (IoT) — リファレンス アーキテクチャ |
| [3] | ISO/IEC TR 22417:2017, 情報技術 — モノのインターネット (IoT) の使用例 |
| [4] | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [5] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [6] | ISO/IEC 27002, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理 |
| [7] | ISO 31000:2018, リスク管理 — ガイドライン |
| [8] | ISO/IEC 27701, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 への拡張 — 要件とガイドライン |
| [9] | ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| [10] | ISO/IEC 29134, 情報技術 — セキュリティ技術 — プライバシー影響評価のガイドライン |
| [11] | ISO/IEC 2703, 情報技術 — セキュリティ技術 — 情報セキュリティ インシデント管理 |
| [12] | ISO/IEC 27036-1, サイバーセキュリティ — サプライヤーとの関係 — 1: 概要と概念 |
| [13] | ISO/IEC 27036-2, 情報技術 — セキュリティ技術 — サプライヤー関係のための情報セキュリティ — 2: 要件 |
| [14] | ISO/IEC 27036-3, 情報技術 — セキュリティ技術 — サプライヤー関係のための情報セキュリティ — 3: 情報通信技術のサプライ チェーン セキュリティに関するガイドライン |
| [15] | ISO/IEC 27036-4, 情報技術 — セキュリティ技術 — サプライヤー関係のための情報セキュリティ — 4:クラウドサービスのセキュリティに関するガイドライン |
| [16] | TR 64:2018, (ICS 35.030) — スマート国家の IoT セキュリティのガイドライン。シンガポール規格評議会 |
| [17] | IEC 6244, 産業用通信ネットワーク — ネットワークおよびシステム セキュリティの一連の規格 |
| [18] | 勧告 ITU-T Y.3500 | ISO/IEC 177 |
| [19] | ISO/IEC TS 27570:2021, プライバシー保護 — スマート シティのプライバシー ガイドライン |
| [20] | ISO/IEC 27017,情報技術 — セキュリティ技術 — クラウド サービス向けの ISO/IEC 27002 に基づく情報セキュリティ管理の実施基準 |
| [21] | ISO/IEC 27018,情報技術 — セキュリティ技術 — PII プロセッサとして機能するパブリック クラウドでの個人を特定できる情報 (PII) を保護するための行動規範 |
| [22] | ISO/IEC 27005,情報技術 — セキュリティ技術 — 情報セキュリティ リスク管理 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Introduction
Information security is a major concern of any information and communication technology (ICT) system and Internet of Things (IoT) systems are no exception. IoT systems present particular challenges for information security in that they are highly distributed and involve a large number of diverse entities. This implies that there are a very large attack surface and a significant challenge for the information security management system (ISMS) to apply and maintain appropriate security controls across the whole system.
Privacy or personally identifiable information (PII) protection is a significant concern for some types of IoT systems. Where an IoT system acquires or uses PII, it is usually the case that there are laws and regulations that apply to the acquisition, storage and processing of PII. Even where regulations are not a concern, the handling of PII by an IoT system remains a reputational and trust concern for the organizations involved, for example, if the PII is stolen or is misused, potentially causing some form of harm to the people identified by the information.
Security and privacy controls in this document are developed for stakeholders in an IoT system environment, so as to be utilized by each IoT stakeholder, throughout the IoT system life cycle.
1 Scope
This document provides guidelines on risks, principles and controls for security and privacy of Internet of Things (IoT) solutions.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 20924, ISO/IEC 27000, ISO/IEC 29100, ISO 31000 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
cloud computing
paradigm for enabling network access to a scalable and elastic pool of shareable physical or virtual resources with self-service provisioning and administration on-demand
Note 1 to entry: Examples of resources include servers, operating systems, networks, software, applications and storage equipment.
[SOURCE:Recommendation ITU-T Y.3500 | ISO/IEC 17788:2014, 3.2.5]
3.2
cloud service
one or more capabilities offered via cloud computing (3.1) invoked using a defined interface
[SOURCE:Recommendation ITU-T Y.3500 | ISO/IEC 17788:2014, 3.2.8]
3.3
IoT device
entity of an IoT system that interacts and communicates with the physical world through sensing or actuating
3.4
IoT device developer
entity that creates an assembled final IoT device
Note 1 to entry: “final” in this definition means the stage of delivery to the IoT service developer in the assemble process.
3.5
IoT platform
infrastructure that enables the deployment, management and operation of IoT devices
3.6
IoT system
system providing functionalities of Internet of Things
Note 1 to entry: IoT system is inclusive of IoT devices, IoT gateways, sensors, and actuators.
Note 2 to entry: In the context of this document, this also includes applications and backend that support IoT solutions.
3.7
IoT solution
seamlessly integrated bundle of technologies, potentially including sensors, gateways and actuators
Note 1 to entry: These can solve a specific problem or need or they can be used to build additional functionality in other none IoT solutions
3.8
ecosystem
infrastructure and services based on a network of organizations and stakeholders
Note 1 to entry: Organizations can include public bodies.
[SOURCE:ISO/IEC TS 27570:2021, 3.8]
Bibliography
| [1] | ISO/IEC 20924, Information technology — Internet of Things (IoT) — Vocabulary |
| [2] | ISO/IEC 30141:2018, Internet of Things (IoT) — Reference Architecture |
| [3] | ISO/IEC TR 22417:2017, Information technology — Internet of things (IoT) use cases |
| [4] | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [5] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [6] | ISO/IEC 27002, Information security, cybersecurity and privacy protection —Information security controls |
| [7] | ISO 31000:2018, Risk management — Guidelines |
| [8] | ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| [9] | ISO/IEC 29100, Information technology — Security techniques — Privacy framework |
| [10] | ISO/IEC 29134, Information technology — Security techniques — Guidelines for privacy impact assessment |
| [11] | ISO/IEC 27035 (all parts), Information technology — Security techniques — Information security incident management |
| [12] | ISO/IEC 27036-1, Cybersecurity — Supplier relationships — 1: Overview and concepts |
| [13] | ISO/IEC 27036-2, Information technology — Security techniques — Information security for supplier relationships — 2: Requirements |
| [14] | ISO/IEC 27036-3, Information technology — Security techniques — Information security for supplier relationships — 3: Guidelines for information and communication technology supply chain security |
| [15] | ISO/IEC 27036-4, Information technology — Security techniques — Information security for supplier relationships — 4: Guidelines for security of cloud services |
| [16] | TR 64:2018, (ICS 35.030) — Guidelines for IoT security fo smart nation. Singapore Standards Council |
| [17] | IEC 62443 (all parts), Industrial communication networks — Network and system security series of standards |
| [18] | Recommendation ITU-T Y.3500 | ISO/IEC 177 |
| [19] | ISO/IEC TS 27570:2021, Privacy protection — Privacy guidelines for smart cities |
| [20] | ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services |
| [21] | ISO/IEC 27018 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| [22] | ISO/IEC 27005 Information technology — Security techniques — Information security risk management |