海外に学ぶSMBのクラウドセキュリティ基礎(OTセキュリティ編)(1)に引き続き、今回は、シンガポールサイバーセキュリティ庁の大企業・クラウドサービスプロバイダーを対象とするサイバートラストに基づいて開発されたOTセキュリティ固有のガイドを紹介していく。
シンガポール政府が大企業/CSP向けOTセキュリティガイドラインを提供
シンガポールサイバーセキュリティ庁のサイバートラストマークとCSA STAR認証との間には、相互承認制度(MRA:Mutual Recognition Agreement)が確立されている。サイバートラストマークの各管理策項目に対応するCCM v4の管理策項目については、「CSA サイバートラストとクラウドセキュリティアライアンス・クラウドコントロールマトリクスv4のクロスマッピング」で公開されている(https://isomer-user-content.by.gov.sg/36/2afb6128-5b9b-4e32-b151-5c6033b993f1/Cloud-Security-Companion-Guide-Cyber-Trust.pdf)。
以下では、サイバートラストマーク認証関連文書(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-trust/certification-for-the-cyber-trust-mark/)の1つとして公開されている「サイバートラスト(2025) マーク – 自己評価テンプレート」より、サイバートラストマークの各管理策項目におけるOTセキュリティ固有の管理策およびフォーカス領域を紹介する。
- B.1 ドメイン: ガバナンス
- B.2 ドメイン: ポリシーと手順
- B.3 ドメイン: リスクマネジメント
- B.4ドメイン: サイバー戦略
- B.5 ドメイン: コンプライアンス
- B.6 ドメイン: 監査
- B.7 ドメイン: トレーニングと認識
- B.8 ドメイン: 資産管理
- B.9 ドメイン: データ保護とプライバシー
- B.10 ドメイン: バックアップ
- B.11 ドメイン: Bring Your Own Device (BYOD)
- B.12 ドメイン: システムセキュリティ
- B.13 ドメイン: ウイルス対策/マルウェア対策
- B.14 ドメイン: 安全なソフトウェア開発ライフサイクル(SDLC)
- B.15ドメイン: アクセス制御
- B.16 ドメイン: サイバー脅威管理
- B.17 ドメイン: サードパーティリスクと監督
- B.18 ドメイン: 脆弱性評価
- B.19 ドメイン: 物理/環境セキュリティ
- B.20 ドメイン: ネットワークセキュリティ
- B.21 ドメイン: インシデント対応
- B.22 ドメイン: 事業継続/災害復旧
サイバートラストのOTセキュリティ管理策は、ガバナンス、リスクマネジメント、戦略、技術的制御、インシデント対応、事業継続を網羅している。特に、OTの安全性と可用性の優先、レガシーシステムのリスク、OT特有のプロトコルへの対応を強調している。そして、CISOの明確化と経営層の関与を促し、ITとOTのポリシー統合、部門間の連携強化、脅威に応じた技術的制御(セグメンテーション、OT向けIDS/IPS等)、OT固有のシナリオを含む演習によるサイバーレジリエンスの確保を求めている。
【サイバートラスト】B.1 ドメイン: ガバナンス
B.1.4 組織は、サイバーセキュリティプログラムの実装を監督し、組織内のサイバーセキュリティリスクを管理する責任者(例:最高情報セキュリティ責任者〈CISO〉)が誰であるかを明確にするために、役割と責任を定義し、割り当てている。
【OTセキュリティ固有の管理策】
・OTセキュリティが経営陣の関心を得られるよう、組織はITおよびOTセキュリティの両方を監督し、全体的な責任を担う上級管理職のメンバーを特定している。
【フォーカス領域】
・役割と責任の定義
B.1.5 取締役会および/または上級管理職は、サイバーセキュリティに関する十分な専門知識を有しており、サイバーセキュリティ戦略、方針、手順、ならびにリスク管理の実装を承認し、監督する役割を担っている。
【OTセキュリティ固有の管理策】
・取締役会および/または上級管理職は、OTに特有のリスク(例:サイバーセキュリティを十分にサポートできない可能性のあるレガシーOTシステムの継続運用)に関連する影響を考慮した適切な経営判断を下すために、OTセキュリティに関する十分な専門知識を有しているべきである。。
【フォーカス領域】
・取締役会および/または上級管理職の関与
B.1.7 取締役会および/または上級管理職は、サイバーセキュリティに関する取り組みや活動について定期的に議論し、サイバーセキュリティリスクを監督・監視するための専任のサイバーセキュリティ委員会/フォーラムを設置しており、組織のサイバーセキュリティ方針、手順、法規制の要求事項への準拠を確保している。
【OTセキュリティ固有の管理策】
・サイバーセキュリティ委員会/フォーラムは、OTセキュリティの最新のプラクティスに関する情報を常に把握するための施策を実装しており、例えばOTの特別研究会への参加などが含まれる。
【フォーカス領域】
・サイバーセキュリティ委員会/フォーラムの設置
【サイバートラスト】B.2 ドメイン: ポリシーと手順
B.2.3 組織は、サイバーセキュリティリスクの管理に採用しているプロセス、業界のベストプラクティスや標準、そして情報資産を保護するための対策について、従業員に定期的に伝達・更新するためのプラクティスを実装している。
【OTセキュリティ固有の管理策】
・組織内のOTおよびITセキュリティ運用が交差する領域において、OTとITのチームがそれぞれ独立して運用されている可能性があるため、そのギャップを埋めるために、組織は部門横断的またはチーム横断的なコミュニケーションの取り組みを実装している。
【フォーカス領域】
・サイバーセキュリティに関する指針や要求事項を従業員に定期的に伝達すること
B.2.4 組織は、サイバーセキュリティリスクを管理し、自身の環境における情報資産を保護するために、関連する要求事項、指針、方針を取り入れたポリシーおよび手順を策定・実装しており、従業員が明確な指針と方向性を持てるようにしている。
【OTセキュリティ固有の管理策】
・組織は、OT環境の安全な利用のためのポリシーおよび手順を策定・実装しており、OTとIT環境の違いを考慮しつつ、それらをITのポリシーおよび手順と統合している。
【フォーカス領域】
・ポリシーおよび手順の策定
【サイバートラスト】B.3 ドメイン: リスクマネジメント
B.3.1 組織は、環境内のサイバーセキュリティリスクを特定しており、オンプレミスのリスクに加え、該当する場合にはリモート環境におけるリスクも含めて、特定されたすべてのサイバーセキュリティリスクに対処できるようにしている。
【OTセキュリティ固有の管理策】
・組織は、OT特有のリスクを考慮に入れており、業界に影響を与えたインシデントに基づく業種固有のリスクも含めている。
【フォーカス領域】
・リスクの特定と是正対応
B.3.6 組織は、特定されたリスクとその優先度、対応計画、タイムライン、追跡および監視の担当従業員を含むサイバーセキュリティリスク登録簿を策定・実装・維持している。
【OTセキュリティ固有の管理策】
・リスク登録簿には、OT環境の特性により軽減が困難なOTセキュリティリスクを記録する必要がある。たとえば、安全でないまたは旧式のプロトコル、サポートが終了したシステム、保守スケジュールによる更新の遅延などが該当する。
【フォーカス領域】
・サイバーセキュリティリスク登録簿の策定
B.3.9 組織は、取締役会および/または経営陣によって承認されたサイバーセキュリティリスクの許容度およびリスク許容声明を策定しており、受容可能なサイバーセキュリティリスクの種類と水準について、組織内で合意が得られていることを確保している。
【OTセキュリティ固有の管理策】
・重大または重要なOTセキュリティリスク(例:サイバーセキュリティを十分にサポートできないレガシーOTシステムの継続的な導入)が軽減できない場合には、そのトレードオフおよび適切な補完的管理策の活用について、取締役会および/または経営陣に報告し、承認を得る必要がある。
【フォーカス領域】
・サイバーセキュリティリスクの許容度および許容範囲の策定
【サイバートラスト】B.4ドメイン: サイバー戦略
B.4.5 組織は、サイバーレジリエンスを確保し、人材・プロセス・技術の観点からサイバーセキュリティ脅威に対抗するためのサイバーセキュリティ戦略を策定している。この戦略は、計画された目標を一定期間内に達成するためのロードマップへと具体化されている。
【OTセキュリティ固有の管理策】
・サイバーセキュリティ戦略およびロードマップでは、以下の要素が考慮されている:
–OTシステムにおけるサイバーセキュリティ目標(安全性、信頼性、物理的なシステムおよびプロセスへの重点など)
–OT資産の長期ライフサイクル
–組織のOTに関する運用モデル(例:内製、外部委託、マネージドセキュリティサービスの利用など)
【フォーカス領域】
・サイバーセキュリティ戦略とロードマップ
B.4.9 組織は、事業目標との整合性を確保し、変化するサイバー脅威の状況を考慮するために、サイバーセキュリティ戦略、ロードマップおよび作業計画を少なくとも年に一度見直し、更新している。
【OTセキュリティ固有の管理策】
・組織はまた、OT(制御技術)への敵対的関心が高まっているというOTの脅威状況も考慮に入れている。
【フォーカス領域】
・サイバーセキュリティ戦略、ロードマップおよび作業計画の更新
【サイバートラスト】B.5 ドメイン: コンプライアンス
B.5.1 組織は、自社の事業領域に適用されるサイバーセキュリティ関連の法律、規制、および(業界特有の)ガイドラインを特定し、それらに準拠するための対応を行っている。
【OTセキュリティ固有の管理策】
・関連する法律、規制およびガイドラインを特定するにあたり、組織は適用される安全に関する法律、規制およびガイドラインも考慮している。
【フォーカス領域】
・サイバーセキュリティ関連の法律および規制の領域の特定
【サイバートラスト】B.6 ドメイン: 監査
B.6.6 組織は、OT環境における制約により十分なサイバーセキュリティ対策の実装が困難な場合(例:時間的制約により暗号化の使用が難しい、OT運用への影響により脆弱性修正のためのソフトウェア更新が困難など)、監査結果への対応およびリスク軽減のために、適切な代替管理策を策定・実装している。
【OTセキュリティ固有の管理策】
・組織は、OT環境における制約により十分なサイバーセキュリティ対策の実装が困難な場合(例:時間的制約により暗号化の使用が難しい、OT運用への影響により脆弱性修正のためのソフトウェア更新が困難など)、監査結果への対応およびリスク軽減のために、適切な代替管理策を策定・実装している。
【フォーカス領域】
・監査結果への対応
【サイバートラスト】B.7 ドメイン: トレーニングと認識
B.7.6 その組織は、研修の種類、頻度、参加者の要求事項、および研修の実装・参加手順に関する方針と手続きを策定・実装しており、それらが確実に遵守されるようにしている。
【OTセキュリティ固有の管理策】
・組織は、ITチームとOTチームのクロスドメイン研修を導入しており、統合されたIT/OT環境に備えるためのスキルを習得させている。
【フォーカス領域】
・サイバーセキュリティ意識向上および研修に関するポリシーと手順の策定
【サイバートラスト】B.8 ドメイン: 資産管理
B.8.4 組織は、ハードウェアおよびソフトウェアを機密性および/または機微度レベルに従って分類および処理するプロセスを確立し、実装している。これにより、それらが適切なセキュリティと保護を受けることを保証する。
【OTセキュリティ固有の管理策】
・OTにおいては、安全性と可用性が優先されるため、組織はそれらを考慮した分類および取り扱いのプロセス(例:セキュリティレベル)を策定・実装している。
【フォーカス領域】
・高度に機密性の高い資産の取り扱いに関する対策
B.8.9 組織は、ハードウェアおよびソフトウェア資産を追跡して管理するために、適切な、業界で認識されている資産インベントリ管理システムの使用を確立し、実装している。これにより、正確性を確保し、見落としを避けることができる。
【OTセキュリティ固有の管理策】
・組織の資産インベントリ管理システムには、OT資産を追跡・管理する機能が備わっている。
【フォーカス領域】
・資産インベントリ管理システム
【サイバートラスト】B.9 ドメイン: データ保護とプライバシー
B.9.3 暗号化を使用している組織は、推奨されるプロトコルやアルゴリズム、最小鍵長の使用に関するプロセスを定義し、適用しており、安全性が確保され、業界のベストプラクティスと整合していることを保証している。
【OTセキュリティ固有の管理策】
・暗号化を実装した結果、OTの運用や安全性に悪影響を及ぼすような遅延が発生する場合には、組織は合理的な代替管理策を策定・実装している。
【フォーカス領域】
・暗号アルゴリズムおよび鍵長を業界のベストプラクティスに整合させること
B.9.5 組織は、リスク分類を行い、機密性および機微度レベルに従ってビジネスに重要なデータ(個人データ、企業秘密、知的財産など)を取り扱うためのポリシーおよび手順を確立し、実装している。これにより、データが適切なセキュリティおよび保護を受けることを保証する。
【OTセキュリティ固有の管理策】
・OTにおいては、安全性と可用性が優先されるため、組織はそれらを考慮した分類および取り扱いに関するポリシーと手順を策定・実装している。
OTデータの例としては、コントローラーの設定ファイル、プログラマブルロジックコントローラー(PLC)のプログラムコード、CAD/CAM(コンピュータ支援設計/製造)ファイルなどが挙げられる。
【フォーカス領域】
・高度に機密性の高い資産の取り扱いに関する対策
B.9.6 組織は、業務上重要なデータ(個人データ、企業秘密、知的財産を含む)が、組織内の情報システムやプログラムを通じてどのように流れるかを文書化するためのデータフロー図に関するポリシーと手順を策定・実装しており、これらのデータが組織の環境内に留まるよう、適切な管理措置も実装している。
【OTセキュリティ固有の管理策】
・組織のOT向けデータフロー図には、OT環境における想定される運用上のデータの流れが含まれており、以下の内容が示されている:
–ネットワーク境界を越えるデータフロー(論理セグメントまたは物理セグメント間の通信経路を含む)
–安全でないプロトコルを通じたデータフローの事例
【フォーカス領域】
・データフロー図の作成
B.9.11 組織は、業務上重要なデータ(個人データ、企業秘密、知的財産など)を組織内で通信・保存・転送する際に、認可されたデバイスのみが安全なプロトコルを用いて行えるようにするためのポリシーと手順を策定・実装している。
【OTセキュリティ固有の管理策】
・OT環境において、認可されたデバイスが安全でないプロトコルを使用している場合には、組織は合理的な代替管理策を策定・実装している。
【フォーカス領域】
・暗号鍵のライフサイクル管理
【サイバートラスト】B.10 ドメイン: バックアップ
B.10.3 組織は、バックアップ作業が確実に実行され、人の介入なしに行えるよう、自動化されたバックアッププロセスを策定・実装している。
【OTセキュリティ固有の管理策】
・自動バックアップが適切でない、または推奨されない状況(例:OTの運用や安全性に悪影響を及ぼす場合)において、組織は定期的なスケジュールに基づく手動バックアップの実装を策定・実装している。
【フォーカス領域】
・自動化されたバックアップの利用
B.10.4 組織は、業務上重要なデータをバックアップするために取るべき手順を明確にするため、バックアップの種類、頻度、保存方法に関する計画を策定・実装している。
【OTセキュリティ固有の管理策】
・OTにおいては、安全性と可用性が優先されるため、組織は重要なOTデータ(プログラムやデバイスの設定などを含む可能性がある)に対してイミュータブルストレージ(不可変ストレージ)の活用を検討している。このようなストレージは以下の利点を提供する:
–読み取り専用形式で保存することによるデータ完全性の強化
–保守用ワークステーションで読み取り専用ドライブとして使用することで、新たなソフトウェアのインストールに対する追加的な保護
【フォーカス領域】
・バックアップ計画の策定
【サイバートラスト】B.12 ドメイン: システムセキュリティ
B.12.5 組織は、各種ログを安全に保存・分類するためのログ管理プロセスを定義・運用しており、効果的なトラブルシューティングに活用できるようにしている。
【OTセキュリティ固有の管理策】
・OT機器にはディスク容量やメモリに制限がある可能性があるため、組織は以下の対策を実施している:
–機器の容量超過やログ記録機能の喪失を防ぐための、十分なローカルまたはリモートストレージの確保
–OT機器から代替ストレージへログを安全に転送・保存するための仕組みの導入
【フォーカス領域】
・ログ管理プロセスの実装
B.12.6 組織は、アップデートやパッチを安全にテスト・適用するためのパッチ管理プロセスを定義・運用しており、悪影響が生じないようにしている。
【OTセキュリティ固有の管理策】
・パッチ管理プロセスでは、OTサブシステムやネットワークセグメントごとに異なる可用性要求事項や、パッチ適用に対する対応能力の違いを考慮しており、組織は対応すべき主要な脆弱性を追跡している。
【フォーカス領域】
・パッチ管理プロセスの実装
B.12.11 組織は、システムの構成を望ましくかつ一貫した状態に維持するために、業界で認知され、適切とされる構成管理ツール/ソリューションを導入・運用している。
【OTセキュリティ固有の管理策】
・組織は、可能な範囲でOTの構成情報を管理できる構成管理ツール/ソリューションを導入・運用している。
【フォーカス領域】
・構成管理ツール/ソリューションの実装
B.12.12 組織は、システムの構成要求事項が業界のベンチマークや標準に整合するよう、ポリシーおよび手順を策定・実装している。
※補足:システム構成のベンチマークを提供している組織の一例として、Center for Internet Security(CIS)が挙げられる。
【OTセキュリティ固有の管理策】
・特殊なOTシステムに関して、組織はOTベンダーやサービスプロバイダーから構成要求事項を取得している。
【フォーカス領域】
・システム構成ベンチマークの策定
【サイバートラスト】B.13 ドメイン: ウイルス対策/マルウェア対策
B.13.6 組織は、出所不明のコードやアプリケーションを業務環境で使用する前に、ウイルスおよび/またはマルウェアの有無を検査するため、隔離されたテスト環境内で実行するプロセスを定義し、適用している。
【OTセキュリティ固有の管理策】
・組織は、出所不明のコードやアプリケーションがOT環境に導入されないようなプロセスを実装している。
認可されたベンダーから新しいアップデートが提供され、かつ組織に冗長機器や予備システムがなくテストが困難な場合には、ベンダーのテスト環境での検証を行うか、定期保守期間やダウンタイム中に自社環境でテストを実施する体制を整えている。
【フォーカス領域】
・コードやアプリケーションの隔離
B.13.8 組織は、外部機関からの脅威インテリジェンスに加入し、ウイルスやマルウェア攻撃を含むサイバー攻撃に関する情報の共有および検証を行うためのポリシーとプロセスを策定・実装している。
【OTセキュリティ固有の管理策】
・組織は、OT特有の脅威に対する可視性を維持するための方針およびプロセスを策定・実装しており、自組織または関連業界向けに特化されたOT向け脅威インテリジェンスへの加入や、OT関連の専門グループ等への参加を通じて、新たな脅威や脆弱性に関する早期警戒や助言を受けられる体制を整えている。
【フォーカス領域】
・脅威インテリジェンスの利用
【サイバートラスト】B.14 ドメイン: 安全なソフトウェア開発ライフサイクル(SDLC)
B.14.4 組織は、ソフトウェア開発ライフサイクル(SDLC)を管理するために、サイバーセキュリティ対策および要求事項を組み込んだSDLCフレームワークを策定・実装しており、これによりデータの完全性、認証、認可、責任追跡、例外処理などの領域に対応できる体制を整えている。
【OTセキュリティ固有の管理策】
・組織は、OT環境に適したSDLCフレームワークを導入・運用しており、以下の要素が含まれている:
–セキュリティ管理
–セキュリティ要求事項の明確化
–セキュリティ・バイ・デザインの実践
–安全な実装
–セキュリティ要求事項に基づくテスト
–セキュリティアップデートの管理
–セキュリティガイドライン
【フォーカス領域】
・セキュアなSDLCフレームワークの策定
【サイバートラスト】B.15ドメイン: アクセス制御
B.15.6 組織は、機密情報および/または業務上重要なデータへのアクセス、ならびに特権アクセスを適切に管理・制限するために、要求事項・ガイドライン・具体的な手順を明記したセキュアなログオンポリシーおよび手順を策定・実装している。
【OTセキュリティ固有の管理策】
・組織は、従業員の認証情報が漏えいした場合に、コーポレートITネットワークからOT環境へのラテラルムーブメント(水平移動)を防止するため、OTおよびIT(またはコーポレート)ネットワークの両方にアクセスする従業員に対して、認証メカニズムおよび/または認証情報を分離して実装している。
・OTにおいては、安全性と可用性が最優先されるため、組織はセキュアなログオンポリシーおよび手順に伴う潜在的な遅延が、緊急時におけるOT担当者のアクセスを妨げないよう配慮している。
【フォーカス領域】
・安全なログオンポリシーおよび手順
B.15.7 組織は、強固なパスフレーズの定義に関する指針を提供するために、パスフレーズの設定およびアップデートに関する要求事項・ガイドライン・具体的な手順を明記したパスフレーズポリシーおよび手順を策定・実装している。
【OTセキュリティ固有の管理策】
・このポリシーおよび手順では、以下のようなOT資産に関する制約と、それに対応する代替的な管理策(補完的統制)が明記されている:
–初期設定のパスワードが変更できない場合
–セキュアなパスワードやパスフレーズがサポートされていない場合
–レガシープロトコルの影響で、パスワードやパスフレーズが平文で送信される場合
–パスワードの使用が推奨されない場合
–その他の制約や制限が存在する場合
【フォーカス領域】
・パスフレーズポリシーおよび手順
B.15.11 組織は、ユーザーの認証および役割に基づくアクセスの承認を行うために、業界で適切かつ認知された特権アクセス管理ソリューションを策定・実装しており、より効率的かつ効果的なアクセス管理を実現している。
【OTセキュリティ固有の管理策】
・組織は、特権アクセス認証情報が漏えいした場合に、コーポレートITネットワークからOT環境へのラテラルムーブメント(水平移動)を防止するため、OT環境とIT環境それぞれに対して特権アクセス管理ソリューションを分離して導入・運用している。
【サイバートラスト】B.16 ドメイン: サイバー脅威管理
B.16.5 組織は、システムのログ監視およびレビュー、インシデントの調査、関係者への報告を実施するための役割と責任を定義し、割り当てている。
【OTセキュリティ固有の管理策】
・組織は、OTおよびITのセキュリティ運用が統合されつつある状況を踏まえ、両者がそれぞれ独立して運用される可能性があることを考慮し、OTおよびITのログ監視・レビュー、インシデントの調査および報告を行うための役割と責任を割り当てている。
【フォーカス領域】
・ログ監視に関する役割と責任
B.16.6 組織は、ログを中央で保管・相関分析し、より効果的なログ監視を実現するために、セキュリティ情報イベント管理(SIEM)を実装している。
【OTセキュリティ固有の管理策】
・SIEMソリューションによるアクティブスキャンがOT環境において適切でない、または推奨されない状況では、組織は以下の対応を行っている:
–パッシブスキャンの実施
–計画されたメンテナンス期間やダウンタイム中にアクティブスキャンを実施
【フォーカス領域】
・セキュリティ情報イベント管理(SIEM)の実装
B.16.7 組織は、システム上で異常を特定できるように分析および監視を行うためのセキュリティベースラインプロファイルを策定・実装している。
【OTセキュリティ固有の管理策】
・OT環境には決定論的な特性があり、OTの活動やトラフィックは予測可能かつ反復的である傾向があることを踏まえ、組織は通常の人間の行動およびOTプロセスの挙動を考慮したネットワークトラフィックおよびデータフローのベースラインを確立している。これにより、通常または一時的な状態と異常を区別し、誤検知(フォールスポジティブ)アラートの最小化を図っている。
【フォーカス領域】
・セキュリティベースラインプロファイルの確立
B.16.8 組織は、異常または不審なログを検出した際に、それらを迅速に調査・報告・是正するための要求事項、ガイドライン、および具体的な手順を明記したポリシーおよび手順を策定・実装している。
【OTセキュリティ固有の管理策】
・OTにおいては、安全性と可用性が最優先であるため、組織のポリシーおよび手順では、対応の優先順位(例:フォレンジックデータの保全や調査よりも、OTの運用を正常状態に復旧すること)を明示している。
【フォーカス領域】
・異常または不審なログを検出した際のポリシーおよび手順
B.16.11 組織は、IT環境内に潜む脅威を積極的に探索するための対策およびプロセスを策定・実装している。
【OTセキュリティ固有の管理策】
・これには、OT環境や、組織自身の業界および隣接する業界を標的とする潜在的な脅威に対する脅威ハンティングも含まれる。
【フォーカス領域】
・積極的な脅威ハンティング
【サイバートラスト】B.17 ドメイン: サードパーティリスクと監督
B.17.4 組織は、サードパーティに対して最低限のサイバーセキュリティ要求事項が定義されていることを確保し、サードパーティが自らのセキュリティ上の責務を認識するよう周知するとともに、システムおよびデータのセキュリティが確保されるよう対策を策定・実装している。
【OTセキュリティ固有の管理策】
・これには、OTサプライチェーンへの依存度が高い状況、たとえばOTベンダーに関して、組織がサードパーティの運用を見直すことも含まれている:
–サードパーティが提供する製品、サービス、またはシステムのサイバーセキュリティ体制
–組織のOTシステムに対して、ソフトウェアのアップグレードやパッチの提供、統合サービスの実施、運用・保守の支援を行う際のサードパーティのサイバーセキュリティ運用
【フォーカス領域】
・サードパーティのセキュリティ責務
B.17.5 組織は、サードパーティと契約を締結する前やオンボーディングの段階で、提供されるサービスの種類に応じたリスクに基づき、必要なセキュリティ義務をすべて満たしていることを確認するための評価措置を策定・実装している。
【OTセキュリティ固有の管理策】
・これには、プロジェクトのリスクレベルに基づき、サードパーティが満たすべき最低限のサイバーセキュリティ要求事項の評価が含まれている。
【フォーカス領域】
・サードパーティの関与時に実施するセキュリティ評価
【サイバートラスト】B.18 ドメイン: 脆弱性評価
B.18.3 組織は、自身のシステムに対して脆弱性評価をレビュー・実施するために、目的、範囲、要求事項を定めた脆弱性評価計画を策定している。
【OTセキュリティ固有の管理策】
・脆弱性評価計画には、各OTサブシステム、ネットワークセグメント、および/またはゾーン内の脅威と脆弱性の特定および評価が含まれている。
【フォーカス領域】
・脆弱性評価計画の策定
B.18.4 組織は、少なくとも年に一度、システムに対して非侵入型のスキャンを実施し、脆弱性を発見するための定期的な脆弱性評価を行っている。
【OTセキュリティ固有の管理策】
・脆弱性評価を実施する際、リアルタイムのOT運用に影響を与える可能性があるアクティブスキャンについて、組織はOTシステムに干渉しないパッシブスキャンや監視ツールの活用を検討している。
・アクティブスキャンを実施する場合には、脆弱性評価計画の中に、事前のテストを行うプロセスや、スキャンを計画されたメンテナンス期間またはダウンタイム中に実施する手順を含めている。
【フォーカス領域】
・定期的な脆弱性評価の実装
B.18.7 組織は、評価によって明らかになった脆弱性について、その重大度に応じて適切に是正されるよう、追跡、レビュー、評価、および対応のための対策とプロセスを策定・実装している。
【OTセキュリティ固有の管理策】
・脆弱性を速やかに緩和できない状況(例:レガシーなOT機器や、ソフトウェアパッチが提供されていないシステム)において、組織はこれらの脆弱性に対応するための代替的な管理策(補完的対策)を実施している。
【フォーカス領域】
・特定された脆弱性の追跡と是正
B.18.8 組織は、ペネトレーションテスト(侵入テスト)を安全に実施できるように、目的、範囲、および実施ルールを定めたテスト計画を策定・実装している。
【OTセキュリティ固有の管理策】
・組織のOT環境におけるペネトレーションテスト計画には、以下の内容が含まれている:
–OTシステムはタイミング制約に敏感だったり、リソースが限られていたりする場合があるため、テストによってOT機能に悪影響を及ぼさないようにするための対策を実施していること
–必要に応じて、複製された環境、仮想化された環境、またはシミュレーション環境を用いてペネトレーションテストを実施するなど、代替的な管理策を考慮していること
–テストの実施にあたって、必要に応じて本番OT環境を計画されたメンテナンス期間やダウンタイム中にオフラインにする必要性を考慮していること
【フォーカス領域】
・ペネトレーションテスト計画の策定
【サイバートラスト】B.19 物理/環境セキュリティ
B.19.2 組織は、自らの環境における物理的・環境的リスクを特定し、脅威に迅速に対応できるようにするための検知手段を実装している。
【OTセキュリティ固有の管理策】
・例としては、以下が含まれる:
–OT環境への許可されていない人物による物理的アクセス
–自然災害や停電によって組織のサイバーセキュリティ対策が妨げられ、OT環境がサイバーセキュリティインシデントに対して脆弱になること
【フォーカス領域】
・検知的統制の確立
B.19.3 組織は、内部および外部の脅威から物理的資産を保護するための対策を講じており、例えば盗難や改ざんを防ぐためにケーブルロックを使用している。
【OTセキュリティ固有の管理策】
・論理的および/または物理的なセグメンテーションが、リスクや重要度、セキュリティ要求事項に基づいてOT資産を分類・隔離するために用いられていることから、組織はOTのサブシステムやネットワークセグメントを隔離するための物理的統制を実施している。例えば、OT資産を収納するために施錠されたキャビネットや部屋を使用することなどが挙げられる。
【フォーカス領域】
・内部および外部の脅威に対する保護
【サイバートラスト】B.20 ドメイン: ネットワークセキュリティ
B.20.3 組織は、基本的なパケットフィルタリング型ファイアウォールよりも高度なコンテキストに基づいてパケットをフィルタリングできるよう、ステートフルファイアウォールの使用を確立し、実装している。これにより、より高い効果でセキュリティを確保している。
【OTセキュリティ固有の管理策】
・組織は、OT環境向けに特化して設計された、またはOT環境に合わせて調整されたファイアウォールを実装しており、一般的なOTプロトコルに対応している。これにより、論理的または物理的なセグメント間のOTネットワーク、ならびにIT環境やインターネットに接続されるOTネットワークの保護が可能となっている。
【フォーカス領域】
・ステートフルファイアウォールの実装
B.20.5 組織は、有線および無線ネットワークの両方を安全に構成するためのプロセスを定義し、実装している。これには、少なくとも安全なネットワーク認証と暗号化プロトコルの使用、およびWPS(Wi-Fi Protected Setup)の無効化が含まれており、ネットワークの安全性を確保し、データの損失や漏えいを防止している。
【OTセキュリティ固有の管理策】
・OTの通信やネットワークの保護が適切でない、または推奨されない状況(例:OTの運用や安全性に悪影響を及ぼす場合)において、組織は代替的な管理策を実施している。
例としては:
–安全なネットワーク認証や暗号化プロトコルが実装できない場合、MAC(メディアアクセス制御)アドレスフィルタリングなどの対策を講じる
–レガシーなOT機器が安全でない無線接続しか対応していない場合、物理的な制御(例:無線ネットワークのカバレッジ範囲を安全な物理エリア内に限定する)を用いる
【フォーカス領域】
・ネットワークセキュリティの実装
B.20.6 組織は、ネットワークをプライベートネットワークとパブリックネットワークに分離するためのネットワークセグメンテーションのプロセスを定義し、実装している。プライベートネットワークには業務上重要なデータが保持されており、インターネットとは接続されていないことで、外部の脅威から隔離された状態が確保されている。
【OTセキュリティ固有の管理策】
・組織は、以下の目的のために(物理的セグメンテーションを含む)セグメンテーションを実装している:
–セキュリティ要求事項、リスク、重要度に基づいて、セグメント間の通信および情報の流れを制限・管理すること
–セキュリティ上の脆弱性を抱えるOTのレガシーシステムを保護し、他のセグメントやインターネットから拡散する脅威から隔離すること
【フォーカス領域】
・ネットワークセグメンテーションの実装
B.20.9 組織は、悪意のあるネットワークトラフィックを監視・検出するためにネットワーク侵入検知を確立し、実装している。これにより、脅威を迅速に特定し、対処できる体制が整えられている。
【OTセキュリティ固有の管理策】
・OTネットワークにおけるネットワーク侵入検知について、組織はOT向けに特化または調整されたネットワーク侵入検知ソリューションを確立し、実装している。これには、Modbus TCP、Distributed Network Protocol 3(DNP3)、Inter-Control Center Communications Protocol(ICCP)など、一般的なOTプロトコルに対応した攻撃シグネチャが組み込まれている。
・OT環境において非IPベースのプロトコルやコントローラベースのオペレーティングシステムに対応したネットワーク侵入検知ソリューションが利用できない場合には、組織は補完的な管理策(例:異常検知システム)を検討している。
【フォーカス領域】
・ネットワーク侵入検知の実装
B.20.11 組織は、悪意のあるネットワークトラフィックを遮断し、脅威から保護するためにネットワーク侵入防止を確立し、実装している。
【OTセキュリティ固有の管理策】
・OTネットワークにおけるネットワーク侵入防止について、組織はOT向けに特化または調整されたネットワーク侵入防止ソリューションを確立し、実装している:
・ネットワーク侵入防止システムに伴う自動応答がOT環境に影響を及ぼす可能性がある場合(例:誤検知による影響)、組織は適切な緩和策を講じている。たとえば、ネットワーク侵入防止システムをOTネットワーク内のDMZ(非武装地帯)インターフェースなど、より上位のレベルに配置することで対応している。
【フォーカス領域】
・ネットワーク侵入防止の実装
【サイバートラスト】B.21 ドメイン: インシデント対応
B.21.3 組織は、サイバーセキュリティインシデント対応計画に関与する従業員と迅速に連絡が取れるように、連絡先情報の確認手段を定義し、適用している。
通常関与する機能別グループには以下が含まれる:
–経営陣
–インシデント対応チームまたはサイバーセキュリティチーム
–法務チーム
–広報・コミュニケーションチーム
【OTセキュリティ固有の管理策】
・OTのインシデント管理においては、以下のような他の機能部門が関与する場合がある:
–OT業務に関与するIT担当者
–OT担当者
–セキュリティ担当者および安全管理担当者
【フォーカス領域】
・インシデント対応に関与する担当者の連絡可能性の確認
B.21.4 組織は、関係者がインシデント発生時に何をすべきかを理解し、十分に備えられるようにするため、サイバー演習を実施するプロセスを定義し、適用している。
【OTセキュリティ固有の管理策】
・組織は、これらのサイバー演習にOT特有のシナリオを含めている。
・OTの顧客とOTのサプライチェーン(例:OTベンダー)との間に強い依存関係や接点がある場合には、これらの演習にOTサプライチェーン上の主要な外部関係者も参加させている。
【フォーカス領域】
・サイバー演習の実施
B.21.6 組織は、インシデントを調査して証拠を収集し、根本原因を特定できるようにするための要求事項、指針、具体的な手順を明記したポリシーおよび手順を定義し、確立している。
【OTセキュリティ固有の管理策】
・組織は、OT特有のインシデント対応を全社的なインシデント対応計画に統合している。
・策定されたポリシーおよび手順には、必要な対応措置とそれがOT業務に与える影響の評価が含まれている。例えば、侵害されたシステムの物理的な隔離はOT業務に悪影響を及ぼす可能性があり、運用パフォーマンスや安全性の低下を招くことがある。
【フォーカス領域】
・インシデント調査のためのポリシーおよび手順の策定
【サイバートラスト】B.22 ドメイン: 事業継続/災害復旧
B.22.2 組織は、高可用性が求められる重要資産を特定し、それらに対して冗長性を確保するための対策を実装している。
【OTセキュリティ固有の管理策】
・組織は、サイバーセキュリティインシデント発生時に制限された運用や縮小された運用を維持するために必要な重要な接続性および資産を特定している。
また、容易に入手できないOTコンポーネントに対しては、冗長性や代替品を確保するための措置を講じている。
【フォーカス領域】
・高可用性が求められる重要資産の特定
B.22.5 組織は、事業継続/災害復旧に関するポリシーを確立し、実装している。このポリシーには、システムの重要度に応じて事業再開を実施できるようにするための要求事項、役割と責任、指針(RTOおよびRPOを含む)が明記されている。
【OTセキュリティ固有の管理策】
・復旧活動の優先順位を決定する際、組織はリスク評価を考慮し、運用上の依存関係を持つOT機器の起動活動に対して適切な順序を策定している。
【フォーカス領域】
・事業継続/災害復旧ポリシーの確立
B.22.6 組織は、サイバーセキュリティインシデントを含む一般的な業務中断シナリオに対応・復旧するための事業継続/災害復旧計画を確立し、実装している。これにより、サイバーレジリエンスの確保を図っていまる。
【OTセキュリティ固有の管理策】
・組織は、復旧活動の優先順位を決定している。例えば、OTシステムよりも先に重要なインフラを支えるシステムを復旧するなどである。
・組織の事業継続/災害復旧計画は、電子形式と紙形式の両方で文書化され、すぐにアクセスできる状態で保管されなければならない。
【フォーカス領域】
・事業継続/災害復旧計画の策定
B.22.8 組織は、事業継続/災害復旧計画の目的達成に向けた有効性を確保するために、少なくとも年に一度は定期的に計画をテストするためのポリシーおよびプロセスを確立し、実施している。
【OTセキュリティ固有の管理策】
・運用上または安全上の理由により復旧計画のテストが困難な場合、組織はOT機器の復旧手順を確認するために、ラボでのテストやオフラインでのテストなどの代替手段を実施している。
【フォーカス領域】
・事業継続/災害復旧計画のテスト
B.22.10 組織は、プロセスおよび手順の有効性を評価するために、第三者と連携して一定期間にわたる事業継続/災害復旧演習を実施している。
【OTセキュリティ固有の管理策】
・OTの顧客とOTのサプライチェーン(例:OTベンダー)との間に強い依存関係や連携がある場合、これらの演習にはOTサプライチェーンにおける主要な外部関係者も参加している。
【フォーカス領域】
・事業継続/災害復旧演習の実施
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司
