オーストラリア通信電子局(Australian Signals Directorate、以降ASD)のサイバーセキュリティセンター(Australian Cyber Security Centre、以降ACSC)は、重要インフラ組織によるシステムとオンライン・サプライチェーンの保護を支援するためのガイダンスとして、国内外の協力の下、「運用技術サイバーセキュリティの原則(Principles of operational technology cyber security)」を公開しました。
OT data is extremely valuable and needs to be protectedThe supply chain must be secure今回公開されたガイダンスの使用方法としては、OTの意思決定者が上記6つの原則を適用して、その決定がOT環境のサイバー セキュリティ に悪影響を及ぼす可能性があるかどうかを判断することが推奨されています。もし決定が原則の1つ以上に影響を与えたり、破ったりする場合には、OT環境に脆弱性をもたらす可能性が高いので、そのような決定は、適切なサイバー セキュリティ 対策が確実に講じられ、対策後の残存リスクが許容可能であることを確認するために、より詳細に検討する、あるいは提案を再考する必要があるとしています。 なお、本文書の対象者は、OTの意思決定者のみならず、OTに影響を与える決定を選別する必要がある全ての人とされており、組織の戦略的決定を行う役員や取締役会のメンバーなどはもちろん、戦術的決定および運用上の決定を行う技術担当者までが含まれています。 ガイダンスには上記6つの原則のそれぞれについて概説および「例と意味(Examples and implications)」が記載されています。ここからはそれらの内容を簡単に要約して紹介します。なお、あくまで要約であり、説明が十分でないところもありますので、必要に応じて原文を参照してください。物理的環境での安全性は極めて重要であり、OTシステムのリーダーは日々の意思決定において生命への脅威を考慮しなければならない。重要インフラにはさまざまな一次的な危険が存在し、必須サービスの中断は市民生活に直接影響を与える。サイバー セキュリティ システムは決定論的で予測可能であるべきで、エンジニアはシステムの弱点を深く理解する必要がある。インシデント対応においては安全性に関連する重要な問題点(インシデント発生現場へのスタッフ派遣の安全性、ランサムウェア対応における復号化の信頼性、バックアップ自体の信頼性)を考慮し、一般的なサイバー衛生タスク(バックアップ、資産発見、パッチ適用、変更管理)においても安全性の観点から慎重に検討する必要がある。事業に関する深い知識は、サイバーインシデントへの防御・準備・対応の能力を向上させる。特に、組織の上層部でOTシステムのサイバーリスクの理解・可視化・報告が行われることが重要である。重要インフラ組織は、極めて重要なシステムの特定、OTプロセスの理解、防御アーキテクチャの構築、システムの依存関係の把握などのベースラインを満たす必要がある。保護すべき対象の理解には、トップダウンとボトムアップの両方の思考が必要であり、最小限必要なOT機器のセットの特定が重要である。OT特有のインシデント対応計画は組織の他の緊急時対応計画と統合されることが不可欠であり、物理的な側面(ケーブルの色分けなど)もOTシステムの理解を助ける。OTサイバー セキュリティ 担当者には、プラントの運用に関する実務的な知識と、物理プラント担当者との良好な関係の維持が求められる。敵対者の視点から見ると、OT環境の構成情報は長期間変更されないため非常に価値がある。特に、エンジニアリング構成データは20年以上変わることがない可能性もあり、敵対者にとって高い価値がある。一時的なOTデータ、知的財産、個人識別情報も保護が必要である。組織はOTデータの保存場所と方法を定義・設計し、厳重に管理する必要がある。理想的には、重要なOTデータは常にOTシステムと同レベルで保護され、企業環境やインターネットから分離・隔離されて保護されたリポジトリに保存されるべきである。OTネットワークは外部からデータを引き出すのではなく、ネットワークからデータをプッシュアウトすべきである。組織は、OTデータの機密性、完全性、可用性の保護にとどまらず、データの閲覧や流出時の警報システムの実装も検討すべきである。また、敵対者が既にアクセスしているデータの変更可能性も考慮する必要がある。OTネットワークをインターネットやIT環境から分離するだけでなく、他の組織のOTネットワークからも分離する必要がある。特に、ピア組織や上流・下流の組織からOTネットワークを保護することが重要である。また、OTネットワーク内でも、資産やプロセスの重要度に応じてセグメント化を行なう必要がある。さらに、OTシステムの管理・運用インターフェースをIT環境から適切に分離することも重要である。OTネットワークへの接続が存在する場合、接続先の組織の規模に関わらず、同等の セキュリティ を確保する必要がある。また、より重要な環境は常に同等以上の セキュリティ 態勢を持つネットワークから管理されるべきである。バックアップインフラなども含め、組織は定期的にOT環境における管理システムとサービスの分離が十分であるか評価する必要がある。従来の大規模ベンダーや工学的に重要なベンダーだけでなく、あらゆる規模のベンダーや機器に対する監視が必要である。OT環境では、ネットワークがかなりオープンである(重要な制御メッセージが暗号化されていないなど)ため、ほぼ全てのデバイスが重要な制御メッセージを閲覧したり、望ましくないアクションを引き起こすメッセージを作成・注入したりすることができてしまう。そのため、周辺機器を含む全てのデバイスの出所(source)・出自(provenance)を把握することが重要である。また、デバイスの現在の設定だけでなく、ファームウェアや設定が変更された場合に何ができるかも考慮する必要がある。サードパーティによる干渉から保護するために、事業体は確実に、ファームウェアが信頼できる場所から受信され、暗号方式で署名され、その署名が検証されるようにすべきである。ベンダーの要求や習慣、アーキテクチャがOTサイバー セキュリティ の原則を破る場合、それはOTシステムのサイバー攻撃への脆弱性を高める可能性がある。例えば、OTとインターネットを直接接続することを必要とするライセンスやファームウェアの更新プロセスなどが挙げられる。サイバー関連インシデントの防止・特定・対応には、必要なツールと訓練を受けた人材が不可欠である。強力な安全性ベースのサイバー セキュリティ 文化が、OTシステムの継続的なサイバーレジリエンスにとって重要である。特に現場技術者や運用スタッフは、組織の最前線の防御と検知を担っている。効果的なOTサイバー セキュリティ の実践には、OTだけでなく、ITを含め、さまざまなスキル、知識、経験、 セキュリティ 文化を持つ多様な人材の混成が必要である。そのうえで、組織全体でOTの原則に関する認識を合わせることが重要である。特に非工学系や非重要インフラ系のバックグラウンドを持つ人々にとって「安全第一」の原則は、考え方の根本的な転換を求められるものであることが多い。さらに、現場運用スタッフのサイバー セキュリティ 意識を高め、潜在的な懸念事項を躊躇なく提起・報告できる文化を醸成することが重要である。 今回、6つの原則について紹介した内容は独自に要約したものであり、少々分かりにくい部分もあったかと思いますが、ガイダンスでは詳細に分かりやすく説明されていますので、OT セキュリティ に関わる方には原文に目を通すことを強くお勧めします。Australian Cyber Security Centre(2024年10月2日)https://www.
cyber.gov.au/about-us/view-all-content/publications/principles-operational-technology-cyber-securityASD’s ACSC, CISA, FBI, NSA, and International Partners Release Guidance on Principles of OT Cybersecurity for Critical Infrastructure Organizations
United States Latest News, United States Headlines
Similar News:You can also read news stories similar to this one that we have collected from other news sources.
京都のタンドリーチキン専門店『セクションドール』。旨いだけじゃない黄金比率の味わいとは(2024年10月22日)|BIGLOBEニュース食楽web京都にある「タンドリーチキン」一本で勝負する人気レストラン『SectionD’or(セクションドール)』とは?ある日、「京都の岡崎にスゴいレストランがある」という情…|BIGLOBEニュース
Read more »
大谷翔平、ワールドシリーズへ 沖縄から熱いエールを送る「マチョ谷翔平」とは?大谷翔平、ワールドシリーズへ 沖縄から熱いエールを送る「マチョ谷翔平」とは? - 琉球新報デジタル
Read more »
【いい育児の日特集】「いい母親・いい父親」とは? 母親が子どもに抱く罪悪感「マミーギルト」経験ありが77% Antway調査【いい育児の日特集】「いい母親・いい父親」とは? 母親が子どもに抱く罪悪感「マミーギルト」経験ありが77% Antway調査 株式会社Antwayのプレスリリース
Read more »
【コラム】トランプ政権を選んだのは米国だ、世界ではない-クルス「全ての国はそれにふさわしい政府を持つ」とは、ある哲学者が残した言葉だ。米国は今回の選挙を通じ、ドナルド・トランプ氏が率いる政権を再び選んだ。しかし米国以外の国はこの選挙に参加していない。新たなトランプ政権は世界にふさわしいのだろうか。
Read more »
『【再放送】【AWS初心者向け】セキュリティリスクを高める、間違った「AWSネットワーク設計」とは?』というテーマのウェビナーを開催『【再放送】【AWS初心者向け】セキュリティリスクを高める、間違った「AWSネットワーク設計」とは?』というテーマのウェビナーを開催
Read more »
AIの発展につながるディープラーニングブームを後押しした「先見の明を持って型破りなアイデアを追求した3人」とは?ディープラーニング(深層学習)とは、生物の神経系を模倣したニューラルネットワークを用いた機械学習手法であり、近年のAIテクノロジーの発展に大きく貢献しました。そんなディープラーニングのブームを後押しした「先見の明を持って型破りなアイデアを追求した3人」について、AI系ブログのUnderstanding AIが解説しています。
Read more »