ファイブアイズ諸国を含む7カ国の国家サイバーセキュリティ機関が、新たな運用技術(OT)セキュリティガイダンスを発表しました。
新しいガイダンスは、9月29日に公開され、OT機器やシステムを導入・運用する組織で働くサイバーセキュリティ担当者を対象としています。
ステップバイステップのOTセキュリティガイダンス
この文書は、OTセキュリティを強化するための5つの基本原則に基づいて構成されています:
- 決定的な記録を確立・維持するためのプロセスを定義する
- OT情報セキュリティ管理プログラムを確立する
- 資産を特定・分類し、リスクベースの意思決定を支援する
- OTシステム内の接続性を特定し、文書化する
- OTシステムに対するサードパーティリスクを理解し、文書化する
この文書では、各原則を効果的に適用するためにOTセキュリティチームが取るべき具体的なアクションを、ステップバイステップで解説しています。
「OTシステムは、照明を点灯させ、水を供給し、製造ラインを動かし、重要な国家サービスを稼働させ続けています。これらのシステムが侵害または妨害されると、安全性、運用、経済、さらには国家のレジリエンスにまで実世界で影響が及びます」と、ガイダンスの署名機関の一つである英国国家サイバーセキュリティセンター(NCSC)の広報担当者は公式声明で警告しています。
OTの決定的な記録の確立
このガイダンスは、組織が自社のOT環境の「決定的な記録」を作成・維持するのに役立つ原則ベースのアプローチを定義しています。
この記録には、個々のデバイス、コントローラー、ソフトウェア、仮想化システムなど、すべてのOTコンポーネントが含まれ、それぞれの重要度、公開度、可用性要件に基づいて分類されるべきとされています。
資産の分類に加え、この記録にはOT資産管理の他の重要な側面をマッピングするためのベストプラクティスも組み込まれています。
これには、OTネットワーク内および外部システムとの間で資産がどのように相互作用しているか、使用されているプロトコル、レイテンシや帯域幅制限などの運用上の制約を詳細に記述した接続性の評価が含まれます。
より広範なシステムアーキテクチャも文書化されており、ゾーンやコンジットの分割、冗長化や高可用性構成などのレジリエンス対策、重要な設計判断の根拠などがカバーされています。
もう一つの重要な考慮事項は、サプライチェーンおよびサードパーティアクセスです。これには、環境に接続されているベンダー、インテグレーター、サービスプロバイダー、それらの関係の管理方法、およびそれらの接続を保護するためのセキュリティ管理策が記載されています。
最後に、この文書は、ビジネスおよび影響の文脈を明確に定義し、資産や接続の障害または侵害が運用、財務、安全性に及ぼす影響を評価する必要があると説明しています。
英国NCSCに加え、参加機関にはオーストラリア信号局(ASD)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、カナダサイバーセキュリティセンター(Cyber Centre)、FBI、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、オランダ国家サイバーセキュリティセンター(NCSC-NL)、ドイツ連邦情報セキュリティ庁(BSI)が含まれています。
この文書は、上記7カ国のうち6カ国が初の統一OTセキュリティ分類法に署名してから1か月後に発表されました。
翻訳元: https://www.infosecurity-magazine.com/news/national-cyber-authorities-ot/
