複数国のサイバーセキュリティ機関が協力し、運用技術(OT)組織向けに、自社アーキテクチャの決定的な把握を構築・維持するための新たなガイダンスを作成しました。
8月中旬、アメリカ、カナダ、オーストラリア、ニュージーランド、オランダ、ドイツの各機関が、OT所有者および運用者向けに資産インベントリガイダンスを発表しました。
イギリスも加わり、これらの国々は、組織が資産インベントリやSBOM、その他のデータソースを活用して決定的な記録を作成・維持する方法を説明するフォローアップ文書を公開しました。これは、OTシステムの正確かつ最新の状況を表す、継続的に更新される文書群です。
「組織のOTに関する決定的な記録を確立することで、リスクを効果的に評価し、適切なセキュリティコントロールを実施することができます。個々の資産だけに注目するのではなく、全体的なアプローチを取ることで、重要度や侵害時の潜在的影響をより適切に評価できるようになります」とガイダンスは説明しています。
作成機関は、すべてのOTシステムの決定的な記録を作成するのは複雑かつ時間がかかる場合があることを認めており、ビジネス機能への影響や国家的影響、設定変更やプロセス制御が可能なサードパーティ接続、システム全体の露出度などに基づいて、システムの優先順位付けを推奨しています。
ガイダンスは5つの原則に焦点を当てています。最初の原則は、決定的な記録を確立・維持するためのプロセスの定義に関するものです。これには、データソースの確立、収集情報の検証プロセスの設定、決定的な記録の維持方法の決定が含まれます。
2つ目の原則は、OT情報セキュリティ管理プログラムの確立に関するものです。決定的な記録には脅威アクターにとって非常に価値のある情報が含まれる可能性があることを念頭に、組織はプログラムの範囲を定め、攻撃者にとってのOT情報の価値を判断し、情報の安全性を確保する必要があります。
3つ目の原則は、リスクベースの意思決定を支援するための資産の特定と分類に焦点を当てています。これには、各資産の重要度、露出度、可用性の定義が含まれ、新たなセキュリティコントロールの導入や更新を検討する際に、組織が効果的な意思決定を行えるようにします。
広告です。スクロールして続きをお読みください。
OTネットワーク内の接続性の特定と文書化は、4つ目の原則で取り上げられています。組織は資産の通信要件を特定し、必要な通信プロトコルとそのセキュリティ方法、現在実装されているアーキテクチャ上のセキュリティコントロール、ネットワーク制約の文書化、既存のセキュリティコントロールが侵害時に攻撃者によって回避される可能性があるかどうかを判断する必要があります。
5つ目で最後の原則は、OTシステムに対するサードパーティリスクの文書化に焦点を当てています。これには、外部接続に関連する各エンティティの信頼レベル、サードパーティによって課される契約上の要件、サードパーティがアウトオブバンドアクセス用の機器を設置しているかどうかの判断が含まれます。
「OTシステムを最新の状態に保つことは、効果的なサイバーセキュリティ保護のために不可欠です。なぜなら、セキュリティチームは、どの資産が存在し、どのように接続され、どんな役割を果たしているかを明確に把握しない限り、脆弱性の検出、コントロールの適用、インシデントへの効果的な対応ができないからです」とSwimlaneのプリンシパル・セキュリティ・ソリューション・アーキテクトであるジョシュア・ロバック氏はSecurityWeekに語っています。
「ガイダンスから得られる重要なポイントの一つは、OTチームとITチーム間の連携を促進することです。これは特に今重要であり、従来は別々だった両分野が、インサイダー脅威の増加やShinyHuntersやScattered Spiderのようなランサムウェアグループの台頭など、複数の共通の脅威に直面しているからです」とロバック氏は付け加えました。「両チームの連携により、ITチームのサイバーセキュリティ実践の知識と、OTチームの産業プロセスや運用上の制約に関する知識が融合し、組織全体にとって大きなメリットとなるOTアーキテクチャの大幅な改善が可能となります。」
