Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
こんにちは、丸山満彦です。
Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表していますね。。。U.K. のNCSCのウェブページから。。。
メタガイダンスのような形をとっていて、スマートシティー以外においても参考になるように思います。。。
⚫︎U.K. NCSC
・2023.04.20 UK and international partners publish joint guidance to help communities create secure smart cities
UK and international partners publish joint guidance to help communities create secure smart cities | 英国および国際的なパートナーが、地域社会が安全なスマートシティを作るための共同ガイダンスを発表 |
New guide, published during CYBERUK 2023, sets out cyber security best practices for creating connected places. | CYBERUK 2023期間中に発表された新しいガイドでは、コネクテッド・プレイスを作るためのサイバーセキュリティのベストプラクティスが示されている。 |
The UK and international partners have published new advice today (Thursday) to help communities balance the cyber security risks involved with creating smart cities. | 英国および国際的なパートナーは、本日(木)、コミュニティがスマートシティの構築に伴うサイバーセキュリティリスクのバランスを取るための新しい助言を発表した。 |
The new joint Cybersecurity Best Practices for Smart Cities guide, issued by the National Cyber Security Centre (NCSC) – a part of GCHQ – alongside agencies from the US, Australia, Canada and New Zealand, is designed to help ensure connected technologies are integrated into infrastructure in a way which protects systems and data. | GCHQの一部である国家サイバーセキュリティセンター(NCSC)が、米国、オーストラリア、カナダ、ニュージーランドの機関 省と共同で発行した「スマートシティのためのサイバーセキュリティ・ベストプラクティス」は、システムとデータを保護する方法で接続技術をインフラに確実に統合できるようにすることを目的とした。 |
It highlights that smart cities, or connected places, have the potential to offer communities cost savings and quality-of-living improvements, but notes these benefits must be balanced with the risks. | また、スマートシティやコネクテッド・プレイスは、地域社会にコスト削減や生活の質の向上をもたらす可能性があることを強調したが、これらの利点はリスクとバランスを取る必要があると指摘した。 |
These risks include an expanded and interconnected attack surface, risks from the supply chain and vulnerabilities that can be introduced by automating infrastructure operations. | これらのリスクには、相互接続された攻撃対象の拡大、サプライチェーンからのリスク、インフラ運用の自動化によってもたらされる可能性のある脆弱性などが含まれる。 |
Communities considering adopting smart cities technologies are encouraged to consult this new guidance to understand the risks and how to mitigate them. | スマートシティ技術の導入を検討したコミュニティは、この新しいガイダンスを参照して、リスクとその軽減方法を理解することが推奨される。 |
Lindy Cameron, NCSC CEO, said: | NCSCのCEOであるLindy Cameronは、次のように述べている: |
“Connected places have the potential to make everyday life safer and more resilient for citizens; however, it’s vital the benefits are balanced in a way which safeguards security and data privacy. | 「しかし、セキュリティとデータ・プライバシーを保護する方法で、その利点のバランスをとることが重要である。 |
“Our new joint guidance will help communities manage the risks involved when integrating connected technologies into their infrastructure and take action to protect systems and data from online threats.” | 「私たちの新しい共同ガイダンスは、地域社会がインフラに接続技術を組み込む際のリスクを管理し、システムやデータをオンラインの脅威から保護するための行動をとるのに役立つ。 |
The new guide has been published on day two of CYBERUK 2023, the UK’s flagship cyber security conference, which is taking place in Northern Ireland. | この新しいガイドは、北アイルランドで開催されている英国の主要なサイバーセキュリティ会議であるCYBERUK 2023の2日目に発表された。 |
The NCSC has issued this guide with the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). | NCSCは、サイバーセキュリティ・基盤セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)とともに本ガイドを発行した。 |
・[PDF]
Cybersecurity Best Practices for Smart Cities | スマートシティのためのサイバーセキュリティ・ベストプラクティス |
Publication: April 19, 2023 | 発行: 2023年4月19日 |
United States Cybersecurity and Infrastructure Security Agency | 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 |
United States National Security Agency | 米国国家安全保障局 |
United States Federal Bureau of Investigation | 米国連邦捜査局 |
United Kingdom National Cyber Security Centre | 英国ナショナル・サイバー・セキュリティ・センター |
Australian Cyber Security Centre | オーストラリア・サイバーセキュリティセンター |
Canadian Centre for Cyber Security | カナダ・センター・フォー・サイバー・セキュリティ |
New Zealand National Cyber Security Centre | ニュージーランド・ナショナル・サイバー・セキュリティ・センター |
Summary | 概要 |
This guidance is the result of a collaborative effort from the United States Cybersecurity and Infrastructure Security Agency (CISA), the United States National Security Agency (NSA), the United States Federal Bureau of Investigation (FBI), the United Kingdom National Cyber Security Centre (NCSC-UK), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). These cybersecurity authorities—herein referred to as “authoring organizations”—are aware that communities may seek cost-savings and quality-of-life improvements through the digital transformation of infrastructure to create “smart cities.” In this context, the term “smart cities” refers to communities that: |
本ガイダンスは、米国サイバーセキュリティ・基盤セキュリティ局(CISA)、米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、英国国家サイバーセキュリティセンター(NCSC-UK)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)による共同作業の結果、作成された。これらのサイバーセキュリティ当局(以下、「作成機関」と呼ぶ)は、地域社会がインフラのデジタル化を通じてコスト削減や生活の質の向上を求め、「スマートシティ」を実現する可能性があることを認識している。この文脈では、「スマートシティ」という用語は、以下のようなコミュニティを指す: |
• Integrate information and communications technologies (ICT), community-wide data, and intelligent solutions to digitally transform infrastructure and optimize governance in response to citizens’ needs. | ・情報通信技術(ICT),コミュニティ全体のデータ,インテリジェントなソリューションを統合し,インフラをデジタルに変換し,市民のニーズに対応したガバナンスを最適化する。 |
• Connect the operational technology (OT) managing physical infrastructure with networks and applications that collect and analyze data using ICT components—such as internet of things (IoT) devices, cloud computing, artificial intelligence (AI), and 5G. | ・物理インフラを管理する運用技術(OT)と、モノのインターネット(IoT)機器、クラウドコンピューティング、人工知能(AI)、5GなどのICTコンポーネントを使用してデータを収集・分析するネットワークやアプリケーションを接続する。 |
Note: Terms that also refer to communities with this type of integration include “connected places,” “connected communities,” and “smart places.” The communities adopting smart city technologies in their infrastructure vary in size and include university campuses, military installations, towns, and cities. | 注)このような統合が進んだコミュニティを指す言葉として、"接続された地域"、"接続されたコミュニティー"、"スマート地域 "もある。スマートシティ技術をインフラに採用しているコミュニティの規模はさまざまで、大学キャンパス、軍事施設、町、都市などが含まれる。 |
Integrating public services into a connected environment can increase the efficiency and resilience of the infrastructure that supports day-to-day life in our communities. However, communities considering becoming smart cities should thoroughly assess and mitigate the cybersecurity risk that comes with this integration. Smart cities are attractive targets for malicious cyber actors because of: | 公共サービスをコネクテッド環境に統合することで、コミュニティでの日常生活を支えるインフラの効率と回復力を高めることができる。しかし、スマートシティ化を検討しているコミュニティは、この統合に伴うサイバーセキュリティリスクを十分に評価し、軽減する必要がある。スマートシティが悪意のあるサイバーアクターの魅力的なターゲットとなるのは、次のような理由からである: |
• The data being collected, transmitted, stored, and processed, which can include significant amounts of sensitive information from governments, businesses, and private citizens. | ・収集,送信,保存,処理されるデータには,政府,企業,民間人からの大量の機密情報が含まれる可能性がある。 |
• The complex artificial intelligence-powered software systems, which may have vulnerabilities, that smart cities sometimes use to integrate this data. | ・スマートシティがこのデータを統合するために使用する、複雑な人工知能を搭載したソフトウェアシステム(脆弱性がある場合がある)。 |
The intrinsic value of the large data sets and potential vulnerabilities in digital systems means there is a risk of exploitation for espionage and for financial or political gain by malicious threat actors, including nation-states, cybercriminals, hacktivists, insider threats, and terrorists. | 大規模なデータセットの本質的な価値とデジタルシステムの潜在的な脆弱性は、国家、サイバー犯罪者、ハクティビスト、内部脅威者、テロリストなどの悪意のある脅威行為者によって、スパイ活動や金銭的または政治的利益のために悪用されるリスクがあることを意味する。 |
No technology solution is completely secure. As communities implement smart city technologies, this guidance provides recommendations to balance efficiency and innovation with cybersecurity, privacy protections, and national security. Organizations should implement these best practices in alignment with their specific cybersecurity requirements to ensure the safe and secure operation of infrastructure systems, protection of citizens’ private data, and security of sensitive government and business data. | 完全に安全なテクノロジーソリューションはない。コミュニティがスマートシティ技術を導入する際、このガイダンスは、効率とイノベーションとサイバーセキュリティ、プライバシー保護、および国家安全保障のバランスをとるための推奨事項を提供する。組織は、インフラシステムの安全・安心な運用、市民の個人データの保護、政府および企業の機密データのセキュリティを確保するため、それぞれのサイバーセキュリティ要件に合わせてこれらのベストプラクティスを実施する必要がある。 |
The authoring organizations recommend reviewing this guidance in conjunction with NCSCUK’s Connected Places Cyber Security Principles, ACSC’s An Introduction to Securing Smart Places, CCCS’s Security Considerations for Critical Infrastructure, CISA’s Cross-Sector Cybersecurity Performance Goals, Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default, and Protecting Against Cyber Threats to Managed Service Providers and their Customers. | 本ガイダンスは、NCSCUK の「接続された地域のサイバーセキュリティ原則」、ACSC の「スマート地域をセキュアにするための紹介」、CCCS の「重要インフラのためのセキュリティ考慮事項」、CISA の「分野横断サイバーセキュリティ成果ゴール」、「サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインと - デフォルト、マネージドサービスプロバイダーのための原則とアプローチ」 と「マネージドサービスプロバイダーとその顧客に対するサイバー脅威から守るために」と合わせて確認するよう提言する。 |
Risk to Smart Cities | スマートシティのリスク |
Smart cities may create safer, more efficient, more resilient communities through technological innovation and data-driven decision-making; however, this opportunity also introduces potential vulnerabilities that, if exploited, could impact national security, economic security, public health and safety, and critical infrastructure operations. Cyber threat activity against OT systems is increasing globally, and the interconnection between OT systems and smart city infrastructure increases the attack surface and heightens the potential consequences of compromise. | スマートシティは、技術革新とデータ駆動型の意思決定を通じて、より安全で効率的、かつ強靭なコミュニティを構築する可能性がある。しかし、この機会は、悪用された場合、国家安全保障、経済安全保障、公衆衛生と安全、重要インフラの運用に影響を与える可能性のある潜在的な脆弱性も組み込んでしまっている。OTシステムに対するサイバー脅威活動は世界的に増加しており、OTシステムとスマートシティインフラの相互接続は、攻撃対象領域を拡大し、侵害の潜在的な結果を高めている。 |
Smart cities are an attractive target for criminals and cyber threat actors to exploit vulnerable systems to steal critical infrastructure data and proprietary information, conduct ransomware operations, or launch destructive cyberattacks. Successful cyberattacks against smart cities could lead to disruption of infrastructure services, significant financial losses, exposure of citizens’ private data, erosion of citizens’ trust in the smart systems themselves, and physical impacts to infrastructure that could cause physical harm or loss of life. Communities implementing smart city technologies should account for these associated risks as part of their overall risk management approach. The authoring organizations recommend the following resources for guidance on cyber risk management: | スマートシティは、犯罪者やサイバー脅威者にとって、脆弱なシステムを悪用して重要インフラのデータや専有情報を盗んだり、ランサムウェアの運用を行ったり、破壊的なサイバー攻撃を仕掛ける魅力的なターゲットである。スマートシティに対するサイバー攻撃が成功すると、インフラサービスの中断、多額の金銭的損失、市民の個人情報の流出、スマートシステムそのものに対する市民の信頼の低下、身体的被害や人命の損失を引き起こす可能性のあるインフラへの物理的影響につながる恐れがある。スマートシティ技術を導入するコミュニティは、全体的なリスク管理手法の一環として、これらの関連リスクを考慮する必要がある。執筆団体は、サイバーリスク管理に関するガイダンスとして、以下のリソースを推奨する: |
• An introduction to the cyber threat environment (CCCS) |
・サイバー脅威環境入門(CCCS) |
• Control System Defense: Know the Opponent (CISA, NSA) |
・制御システムの防御: 相手を知る (CISA,NSA) |
• Cyber threat bulletin: Cyber threat to operational technology (CCCS) | ・サイバー脅威速報 運用技術に対するサイバー脅威(CCCS) |
• Cyber Assessment Framework (NCSC-UK) | ・サイバーアセスメントフレームワーク(NCSC-UK) |
Expanded and Interconnected Attack Surface | 拡張され相互接続された攻撃面 |
Integrating a greater number of previously separate infrastructure systems into a single network environment expands the digital attack surface for each interconnected organization. This expanded attack surface increases the opportunity for threat actors to exploit a vulnerability for initial access, move laterally across networks, and cause cascading, crosssector disruptions of infrastructure operations, or otherwise threaten confidentiality, integrity, and availability of organizational data, systems, and networks. For example, malicious actors accessing a local government IoT sensor network might be able to obtain lateral access into emergency alert systems if the systems are interconnected. | これまで別々に存在していた多数のインフラシステムを単一のネットワーク環境に統合することで、相互接続された各組織のデジタル攻撃対象領域が拡大する。この攻撃対象領域の拡大により、脅威行為者が脆弱性を悪用して初期アクセスを行い、ネットワークを横断して移動し、インフラ運用に連鎖的・横断的な混乱を引き起こす、あるいは組織のデータ、システム、ネットワークの機密性、完全性、可用性を脅かす機会が増加する。例えば、地方自治体のIoTセンサーネットワークにアクセスした悪意ある行為者は、システムが相互接続されている場合、緊急警報システムに横からアクセスすることができるかもしれない。 |
Additionally, as a result of smart cities integrating more systems and increasing connectivity between subnetworks, network administrators and security personnel may lose visibility into collective system risks. This potential loss of visibility includes components owned and operated by vendors providing their infrastructure as a service to support integration. It is critical that system owners maintain awareness and control of the evolving network topology as well as the individuals/vendors responsible for the overall system and each segment. Ambiguity regarding roles and responsibilities could degrade the system’s cybersecurity posture and incident response capabilities. Communities implementing smart city technology should assess and manage these risks associated with complex interconnected systems. | さらに、スマートシティがより多くのシステムを統合し、サブネットワーク間の接続性を高めた結果、ネットワーク管理者やセキュリティ担当者は、集合的なシステムリスクに対する可視性を失う可能性がある。このような可視性の喪失の可能性には、統合をサポートするためにインフラをサービスとして提供するベンダーが所有・運営するコンポーネントも含まれる。システム所有者は、進化するネットワーク・トポロジーの認識と管理を維持し、システム全体と各セグメントに責任を持つ個人/ベンダーを把握することが重要である。役割と責任に関するあいまいさは、システムのサイバーセキュリティ態勢とインシデント対応能力を低下させる可能性がある。スマートシティ技術を導入するコミュニティは、複雑に相互接続されたシステムに関連するこれらのリスクを評価し、管理する必要がある。 |
Risks From the ICT Supply Chain and Vendors | ICTサプライチェーンとベンダーのリスク |
Communities building smart infrastructure systems often rely on vendors to procure and integrate hardware and software that link infrastructure operations via data connections. Vulnerabilities in ICT supply chains—either intentionally developed by cyber threat actors for malicious purposes or unintentionally created via poor security practices—can enable: | スマートインフラシステムを構築するコミュニティは、データ接続を介してインフラ運用をつなぐハードウェアとソフトウェアの調達と統合をベンダーに依存することが多い。ICTサプライチェーンの脆弱性は、サイバー脅威者が悪意を持って意図的に開発したもの、あるいはセキュリティの不備によって意図せずに作られたものであり、以下のような可能性がある: |
• Theft of data and intellectual property, | ・データおよび知的財産の窃盗 |
• Loss of confidence in the integrity of a smart city system, or | ・スマートシティのシステムの完全性に対する信頼性の喪失,または |
• A system or network failure through a disruption of availability in operational technology. | ・運用技術における可用性の中断によるシステムまたはネットワークの障害。 |
ICT vendors providing smart city technology should take a holistic approach to security by adhering to secure-by-design and secure-by-default development practices. Software products developed in accordance with these practices decrease the burden on resource-constrained local jurisdictions and increase the cybersecurity baseline across smart city networks. See the following resource for guidance on secure-by-design and secure-by-default development practices: | スマートシティ技術を提供するICTベンダーは、セキュアバイデザインやセキュアバイデフォルトの開発手法を遵守することで、セキュリティに対する全体的なアプローチを取るべきである。これらの手法に従って開発されたソフトウェア製品は、リソースに制約のある地方自治体の負担を軽減し、スマートシティネットワーク全体のサイバーセキュリティのベースラインを向上させることができる。セキュアバイデザインとセキュアバイデフォルトの開発手法に関するガイダンスについては、以下のリソースを参照すること: |
• Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ) | ・サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインおよびデフォルトの原則とアプローチ(CISA,NSA,FBI,ACSC,NCSC-UK,CCCS,BSI,NCSC-NL,CERT NZ, NCSC-NZ) |
The risk from a single smart city vendor could be much higher than in other ICT supply chains or infrastructure operations, given the increased interdependencies between technologies and basic or vital services. Organizations should consider risks from each vendor carefully to avoid exposing citizens, businesses, and communities to both potentially unreliable hardware and software and deliberate exploitation of supply chain vulnerabilities as an attack vector. This includes scrutinizing vendors from nation-states associated with cyberattacks, or those subject to national legislation requiring them to hand over data to foreign intelligence services. | テクノロジーと基本的または重要なサービスとの相互依存が高まっていることから、単一のスマートシティベンダーからのリスクは、他のICTサプライチェーンやインフラ運用よりもはるかに高くなる可能性がある。組織は、市民、企業、およびコミュニティを、信頼性の低いハードウェアやソフトウェアの可能性と、攻撃ベクトルとしてのサプライチェーンの脆弱性の意図的な悪用の両方にさらすことを避けるため、各ベンダーからのリスクを慎重に検討する必要がある。これには、サイバー攻撃に関連する国家のベンダーや、外国の諜報機関にデータを渡すことを義務付ける国内法の対象になっているベンダーを精査することも含まれる。 |
Illicit access gained through a vulnerable ICT supply chain could allow the degradation or disruption of infrastructure operations and the compromise or theft of sensitive data from utility operations, emergency service communications, or visual surveillance technologies. Smart city IT vendors may also have access to vast amounts of sensitive data from multiple communities to support the integration of infrastructure services—including sensitive government information and personally identifiable information (PII)—which would be an attractive target for malicious actors. The aggregation of sensitive data may provide malicious actors with information that could expose vulnerabilities in critical infrastructure and put citizens at risk. See the following resources for guidance on mitigating supply chain risks: | 脆弱なICTサプライチェーンを通じて不正アクセスを受けると、インフラ運用の低下や中断、公共事業、緊急サービス通信、視覚監視技術などの機密データの侵害や盗難が発生する可能性がある。スマートシティのITベンダーは、インフラサービスの統合をサポートするために、複数のコミュニティから、政府の機密情報や個人を特定できる情報(PII)を含む膨大な量の機密データにアクセスできる可能性もあり、悪意ある行為者にとって魅力的なターゲットとなるでしょう。機密データの集約は、重要インフラの脆弱性を暴き、市民を危険にさらす可能性のある情報を悪意ある行為者に提供する可能性がある。サプライチェーンリスクを軽減するためのガイダンスについては、以下のリソースを参照すること: |
• Information and Communications Technology Supply Chain Risk Management (CISA) | ・情報通信技術のサプライチェーンリスク管理(CISA) |
• Supply chain security guidance (NCSC-UK) | ・サプライチェーンセキュリティガイダンス (NCSC-UK) |
• Identifying Cyber Supply Chain Risks (ACSC) | ・サイバーサプライチェーンリスクの特定(ACSC) |
• Cyber supply chain: An approach to assessing risk (CCCS) | ・サイバーサプライチェーンの リスク評価へのアプローチ(CCCS) |
Automation of Infrastructure Operations | インフラ運用の自動化 |
Smart cities can achieve efficiencies by automating operations, such as wastewater treatment or traffic management. Automation reduces the requirement for direct human control of those systems. Automation can also allow for better consistency, reliability, and speed for standardized operations. However, automation can also introduce new vulnerabilities because it increases the number of remote entry points into the network (e.g., IoT sensors and remote access points). The volume of data and complexity of automated operations—including reliance on third-party vendors to monitor and manage operations—can reduce visibility into system operations and potentially hinder real-time incident response. | スマートシティは、排水処理や交通管理などの業務を自動化することで効率化を図ることができる。自動化により、これらのシステムを人間が直接制御する必要性が低くなる。また、自動化によって、標準化された業務の一貫性、信頼性、スピードが向上する。しかし、自動化は、ネットワークへのリモートエントリーポイント(IoTセンサーやリモートアクセスポイントなど)の数を増やすため、新たな脆弱性をもたらす可能性もある。また、自動化された運用のデータ量や複雑さ(運用の監視・管理をサードパーティベンダーに依存することも含む)は、システム運用の可視性を低下させ、リアルタイムの事故対応を妨げる可能性がある。 |
Automation for infrastructure operations in smart city environments may require the use of sensors and actuators that increase the number of endpoints and network connections that are vulnerable to compromise. The integration of AI and complex digital systems could introduce new unmitigated attack vectors and additional vulnerable network components. Reliance on an AI system or other complex systems may decrease overall transparency into the operations of networked devices as these systems make and execute operational decisions based on algorithms instead of human judgment. | スマートシティ環境におけるインフラ運用の自動化では、センサーやアクチュエーターの使用が必要となる場合があり、侵害の恐れがあるエンドポイントやネットワーク接続の数が増加する。AIや複雑なデジタルシステムの統合により、新たな未知の攻撃ベクトルや脆弱なネットワークコンポーネントが追加される可能性がある。AIシステムやその他の複雑なシステムに依存すると、これらのシステムが人間の判断ではなくアルゴリズムに基づいて運用上の意思決定を行い実行するため、ネットワーク機器の運用に対する全体的な透明性が低下する可能性がある。 |
Recommendations | 推奨事項 |
Secure Planning and Design | セキュアな企画・設計 |
The authoring organizations strongly recommend communities include strategic foresight and proactive cybersecurity risk management processes in their plans and designs for integrating smart city technologies into their infrastructure systems. New technology should be deliberately and carefully integrated into legacy infrastructure designs. Communities should ensure any “smart” or connected features they are planning to include in new infrastructure are secure by design and incorporate secure connectivity with any remaining legacy systems. Additionally, communities should be aware that legacy infrastructure may require a redesign to securely deploy smart city systems. Security planning should focus on creating resilience through defense in depth and account for both physical and cyber risk as well as the converged cyberphysical environment that IoT and industrial IoT (IIoT) systems introduce. See the following consolidated, baseline practices that organizations of all sizes can implement to reduce the likelihood and impact of known IT and OT risks. | 筆者らは、コミュニティが、スマートシティ技術をインフラシステムに統合するための計画や設計に、戦略的な先見性とプロアクティブなサイバーセキュリティリスク管理プロセスを含めることを強く推奨する。新技術は、レガシーなインフラ設計に意図的かつ慎重に統合する必要がある。コミュニティは、新しいインフラに組み込む予定の「スマート」または「接続」機能が安全な設計になっており、残存するレガシーシステムとの安全な接続を組み込んでいることを確認する必要がある。さらに、コミュニティは、スマートシティシステムを安全に導入するために、レガシーインフラの再設計が必要になる場合があることを認識する必要がある。セキュリティ計画は、深層防護によるレジリエンスの創出に重点を置き、物理的リスクとサイバーリスクの両方、およびIoTと産業用IoT(IIoT)システムが導入するサイバーフィジカル環境の統合を考慮する必要がある。ITおよびOTの既知のリスクの可能性と影響を低減するために、あらゆる規模の組織が実施できる、以下の統合的な基本プラクティスを参照すること。 |
• Cross-Sector Cybersecurity Performance Goals (CISA) | ・分野横断サイバーセキュリティ成果目標 (CISA) |
See the following additional resources for guidance on accounting for risks in the cyber, physical, and converged environments: | サイバー環境、物理環境、および融合環境におけるリスクの会計処理に関するガイダンスについては、以下の追加リソースを参照すること: |
• Improving ICS Cybersecurity with Defense-in-Depth Strategies (CISA) | ・深層防衛戦略によるICSサイバーセキュリティの向上(CISA) |
• Cybersecurity and Physical Security Convergence (CISA) | ・サイバーセキュリティと物理セキュリティの融合(CISA) |
• Consequence-Driven Cyber-Informed Engineering (INL) | ・結果駆動型サイバーインフォームドエンジニアリング (INL) |
Apply the principle of least privilege. | 最小特権の原則を適用する。 |
The organizations responsible for implementing smart city technology should apply the principle of least privilege throughout their network environments. As defined by the U.S. National Institute of Standards and Technology (NIST), the principle of least privilege is, “The principle that a security architecture should be designed so that each entity is granted the minimum system resources and authorizations that the entity needs to perform its function.” Administrators should review default and existing configurations along with hardening guidance from vendors to ensure that hardware and software is only permissioned to access other systems and data that it needs to perform its functions. Administrators should also immediately update privileges upon changes in administrative roles or the addition of new users or administrators from newly integrated systems. They should use a tiered model with different levels of administrative access based on job requirements. Administrators should limit access to accounts with full privileges across an enterprise to dedicated, hardened privileged access workstations (PAWs). Administrators should also use time-based or just-intime privileges and identify high-risk devices, services, and users to minimize their access. For detailed guidance, see: | スマートシティ技術の実装を担当する組織は、ネットワーク環境全体に最小特権の原則を適用する必要がある。米国国立標準技術研究所(NIST)の定義によると、最小特権の原則とは、「セキュリティアーキテクチャは、各主体がその機能を果たすために必要な最小限のシステムリソースと権限を付与されるように設計されるべきであるという原則」である。管理者は、ハードウェアおよびソフトウェアが、その機能を実行するために必要な他のシステムおよびデータへのアクセスのみが許可されていることを確認するために、ベンダーからのハードニングガイダンスとともに、デフォルトおよび既存の設定を確認する必要がある。また、管理者は、管理者の役割の変更や、新しく統合されたシステムから新しいユーザーや管理者が追加された場合、直ちに権限を更新する必要がある。管理者は、職務要件に基づいて管理者アクセスのレベルが異なる階層モデルを使用する必要がある。管理者は、企業全体の全権限を持つアカウントへのアクセスを、専用の堅牢な特権アクセスワークステーション(PAW)に制限する必要がある。また、管理者は、時間ベースの特権またはジャストインタイムの特権を使用し、リスクの高いデバイス、サービス、およびユーザーを特定し、そのアクセスを最小限に抑える必要がある。詳細なガイダンスについては、以下を参照すること: |
• Defend Privileges and Accounts (NSA) | ・特権とアカウントの保護 (NSA) |
• Restricting Administrative Privileges (ACSC) | ・管理者権限の制限(ACSC) |
• Managing and controlling administrative privileges (CCCS) | ・管理者権限の管理・制御(CCCS) |
Enforce multifactor authentication. | 多要素認証を実行する |
The organizations responsible for implementing smart city technology should secure remote access applications and enforce multifactor authentication (MFA) on local and remote accounts and devices where possible to harden the infrastructure that enables access to networks and systems. Organizations should explicitly require MFA where users perform privileged actions or access important (sensitive or high-availability) data repositories. Russian state-sponsored APT actors have recently demonstrated the ability to exploit default MFA protocols. Organizations responsible for implementing smart cities should review configuration policies to protect against “fail open” and re-enrollment scenarios. See the following resource for guidance on implementing MFA: | スマートシティ技術の導入を担当する組織は、ネットワークやシステムへのアクセスを可能にするインフラを強化するために、リモートアクセスアプリケーションを保護し、ローカルおよびリモートのアカウントとデバイスに可能な限り多要素認証(MFA)を適用する必要がある。組織は、ユーザーが特権的な操作を行ったり、重要な(機密または高可用性の)データリポジトリにアクセスしたりする場合に、MFAを明示的に要求する必要がある。ロシアの国家が支援するAPTアクターは最近、デフォルトのMFAプロトコルを悪用する能力を実証している。スマートシティの実装を担当する組織は、「フェイルオープン」や再登録のシナリオから保護するために、設定ポリシーを見直す必要がある。MFAの実装に関するガイダンスについては、以下のリソースを参照すること: |
• #More Than a Password (CISA) | ・パスワードを超えるもの(CISA) |
• Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and “PrintNightmare” Vulnerability (FBI, CISA) | ・ロシアの国家支援によるサイバーアクターが、デフォルトの多要素認証プロトコルと「PrintNightmare」脆弱性を悪用してネットワークアクセスを獲得(FBI、CISA)。 |
• Transition to Multi-Factor Authentication (NSA) | ・多要素認証(NSA)への移行について |
• MFA for online services (NCSC-UK) | ・オンラインサービス用MFA(NCSC-UK) |
• Implementing MFA (ACSC) | ・MFAの実装(ACSC) |
• Zero trust architecture design principles - Authenticate and authorize (NCSC-UK) | ・ゼロトラストアーキテクチャ設計原則-認証と承認(NCSC-UK) |
Implement zero trust architecture. | ゼロトラストアーキテクチャを導入する。 |
Implementing zero trust network design principles will create a more secure network environment that requires authentication and authorization for each new connection with a layered, defense-in-depth approach to security. Zero trust also allows for greater visibility into network activity, trend identification through analytics, issue resolution through automation and orchestration, and more efficient network security governance. See the following resources for guidance on implementing zero trust: | ゼロトラスト・ネットワーク設計原則を導入することで、セキュリティに対するレイヤー化された深層防御アプローチにより、新しい接続ごとに本人認証と認可を必要とする、より安全なネットワーク環境を実現する。また、ゼロトラストにより、ネットワーク活動の可視化、分析による傾向の特定、自動化とオーケストレーションによる問題解決、ネットワークセキュリティガバナンスの効率化が可能になる。ゼロトラストの導入に関するガイダンスについては、以下のリソースを参照すること: |
• Zero trust architecture design principles (NCSC-UK) | ・ゼロトラストアーキテクチャ設計原則(NCSC-UK) |
• Zero Trust Maturity Model (CISA) | ・ゼロトラスト成熟度モデル(CISA) |
• Embracing a Zero Trust Security Model (NSA) | ・ゼロ・トラスト・セキュリティ・モデル(NSA)の採用 |
• A zero trust approach to security architecture (CCCS) | ・セキュリティ・アーキテクチャへのゼロ・トラスト・アプローチ(CCCS) |
• Zero Trust security model (CCCS) | ・ゼロトラストセキュリティモデル(CCCS) |
Note: Both zero trust architecture and MFA should be applied wherever operationally feasible in balance with requirements for endpoint trust relationships. Some OT networks may require trust-by-default architectures, but organizations should isolate such networks and ensure all interconnections with that network are secured using zero trust and related principles. | 注:ゼロトラストアーキテクチャと MFA の両方は、エンドポイントの信頼関係の要件とのバランスにおいて、運用上可能な限り適用される必要がある。一部の OT ネットワークでは Trust-by-default アーキテクチャが必要な場合があるが、組織はそのような ネットワークを分離し、そのネットワークとのすべての相互接続がゼロトラスト及び関連原則を使用してセキュリ ティを確保する必要がある。 |
Manage changes to internal architecture risks. | 内部アーキテクチャのリスクに対する変更管理 |
The organizations responsible for implementing smart city technology should understand their environment and carefully manage communications between subnetworks, including newly interconnected subnetworks linking infrastructure systems. Network administrators should maintain awareness of their evolving network architecture and the personnel accountable for the security of the integrated whole and each individual segment. Administrators should identify, group, and isolate critical business systems and apply the appropriate network security controls and monitoring systems to reduce the impact of a compromise across the community. See the following resources for detailed guidance: | スマートシティ技術の実装に責任を持つ組織は、自分たちの環境を理解し、インフラシステムをつなぐ新たに相互接続されたサブネットワークを含む、サブネットワーク間の通信を慎重に管理する必要がある。ネットワーク管理者は、進化するネットワーク・アーキテクチャと、統合された全体と各個別セグメントのセキュリティに責任を持つ担当者について認識を保つ必要がある。管理者は、重要なビジネスシステムを特定、グループ化、隔離し、適切なネットワークセキュリティ制御と監視システムを適用して、コミュニティ全体における侵害の影響を軽減する必要がある。詳細なガイダンスについては、以下のリソースを参照すること: |
• CISA Vulnerability Scanning (CISA) | ・CISA 脆弱性スキャニング (CISA) |
• Vulnerability Scanning Tools and Services (NCSC-UK) | ・脆弱性スキャニングツールとサービス(NCSC-UK) |
• Security architecture anti-patterns (NCSC-UK) | ・セキュリティアーキテクチャのアンチパターン(NCSC-UK) |
• Security architecture anti-patterns (NCSC-UK) | ・横揺れを防止する(NCSC-UK) |
• Segment Networks and Deploy Application-aware Defenses (NSA) | ・ネットワークをセグメント化し,アプリケーションを意識した防御を展開する(NSA) |
Securely manage smart city assets. | スマートシティの資産の安全管理 |
Secure smart city assets against theft and unauthorized physical changes. Consider implementing physical and logical security controls to protect sensors and monitors against manipulation, theft, vandalism, and environmental threats. | スマートシティの資産を盗難や不正な物理的変更から保護する。センサーやモニターを操作、盗難、破壊行為、環境の脅威から保護するために、物理的および論理的なセキュリティ管理の実施を検討する。 |
Improve security of vulnerable devices. | 脆弱なデバイスのセキュリティの向上 |
See the following resources for guidance on protecting devices by securing remote access: | リモートアクセスの保護によるデバイスの保護に関するガイダンスについては、以下のリソースを参照すること: |
• Selecting and Hardening Remote Access VPN Solutions (CISA, NSA) | ・リモートアクセスVPNソリューションの選択と強化(CISA,NSA) |
• Using Virtual Private Networks (ACSC) | ・バーチャルプライベートネットワークの活用(ACSC) |
• Virtual private networks (CCCS) | ・仮想プライベートネットワーク(CCCS) |
Protect internet-facing services. | インターネットに接続されたサービスを保護する。 |
See the following resources for guidance on protecting internet-facing services: | インターネットに面したサービスを保護するためのガイダンスについては、以下のリソースを参照すること: |
• Protecting internet-facing services on public service CNI (NCSC-UK) | ・公共サービスCNIにおけるインターネット接続サービスの保護(NCSC-UK) |
• Strategies for protecting web application systems against credential stuffing attacks (CCCS) | ・クレデンシャル・スタッフィング攻撃(CCCS)からWebアプリケーションシステムを保護するためのストラテジー |
• Isolate web-facing applications (CCCS) | ・Web向けアプリケーションを分離する(CCCS) |
Patch systems and applications in a timely manner. | システム、アプリケーションへの適時なパッチ適用 |
Where possible, enable automatic patching processes for all software and hardware devices that include authenticity and integrity validation. Leverage threat intelligence to identify active threats and ensure exposed systems and infrastructure are protected. Secure software assets through an asset management program that includes a product lifecycle process. This process should include planning replacements for components and software nearing or past end-of life, as patches may cease to be developed by manufacturers or developers. See the following resources for guidance on protecting systems and networks via asset management: | 可能であれば、すべてのソフトウェアとハードウェアのデバイスに対して、本人認証と完全性検証を含む自動パッチ適用プロセスを有効にする。脅威インテリジェンスを活用してアクティブな脅威を特定し、露出したシステムおよびインフラストラクチャを確実に保護する。製品ライフサイクルプロセスを含む資産管理プログラムを通じて、ソフトウェア資産を保護する。このプロセスには、製造業者や開発業者によってパッチが開発されなくなる可能性があるため、耐用年数が近い、または過ぎたコンポーネントやソフトウェアの交換を計画することが含まれるべきである。資産管理によるシステムおよびネットワークの保護に関するガイダンスについては、以下のリソースを参照すること: |
• Known Exploited Vulnerabilities Catalog (CISA) | ・既知の悪用された脆弱性カタログ (CISA) |
• Asset management for cyber security (NCSC-UK) | ・サイバーセキュリティのための資産管理(NCSC-UK) |
Review the legal, security, and privacy risks associated with deployments. | 導入に関連する法的リスク、セキュリティリスク、およびプライバシーリスクの検討 |
Implement processes that continuously evaluate and manage the legal and privacy risks associated with deployed solutions. | 導入されたソリューションに関連する法的リスクとプライバシーリスクを継続的に評価し、管理するプロセスを導入する。 |
Proactive Supply Chain Risk Management | サプライチェーンリスクマネジメントの推進 |
All organizations responsible for implementing smart city technology should proactively manage ICT supply chain risk for any new technology, including hardware or software that supports the implementation of smart city systems or service providers supporting implementation and operations. Organizations should use only trusted ICT vendors and components. The ICT supply chain risk management process should include participation from all levels of the organization and have full support from program leaders implementing smart city systems. Procurement officials from communities implementing smart city systems should also communicate minimum security requirements to vendors and articulate actions they will take in response to breaches of those requirements. Smart city technology supply chains should be transparent to the citizens whose data the systems will collect and process. | スマートシティ技術の導入を担当するすべての組織は、スマートシティシステムの導入をサポートするハードウェアやソフトウェア、または導入や運用をサポートするサービスプロバイダーを含む、あらゆる新しい技術について、ICTサプライチェーンのリスクを積極的に管理する必要がある。組織は、信頼できるICTベンダーとコンポーネントのみを使用する必要がある。ICTサプライチェーンリスクマネジメントプロセスは、組織の全レベルからの参加を含み、スマートシティシステムを実施するプログラムリーダーからの完全な支持を得るべきである。また、スマートシティシステムを導入するコミュニティの調達担当者は、ベンダーに最低限のセキュリティ要件を伝え、その要件に違反した場合に取るべき行動を明確にする必要がある。スマートシティ技術のサプライチェーンは、システムがデータを収集・処理する市民に対して透明であるべきである。 |
For detailed supply chain security guidance, see: | サプライチェーンのセキュリティに関する詳細なガイダンスについては、以下を参照すること: |
• Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure (CISA, ACSC, NCSC-NZ, NCSC-UK, CCCS) | ・重要インフラに対するロシアの国家支援および犯罪的なサイバー脅威(CISA,ACSC,NCSC-NZ,NCSC-UK,CCCS) |
• Supply chain security guidance (NCSC-UK) | ・サプライチェーンセキュリティガイダンス (NCSC-UK) |
• ICT Supply Chain Library (CISA) | ・ICTサプライチェーンライブラリー(CISA) |
• Cyber-Physical Security Considerations for the Electricity Sub-Sector (CISA) | ・電力サブセクターにおけるサイバーフィジカルセキュリティの考慮点(CISA) |
• Cyber Supply Chain Risk Management (ACSC) | ・サイバーサプライチェーンリスクマネジメント(ACSC) |
Software Supply Chain | ソフトウェアサプライチェーン |
The organizations responsible for implementing smart city technology should set security requirements or controls for software suppliers and ensure that potential vendors use a software development lifecycle that incorporates secure development practices, maintains an active vulnerability identification and disclosure process, and enables patch management. | スマートシティ技術の実装に責任を持つ組織は、ソフトウェア供給業者に対するセキュリティ要件または管理を設定し、候補となる業者が、安全な開発手法を取り入れ、脆弱性の識別と開示プロセスを積極的に維持し、パッチ管理を可能にするソフトウェア開発ライフサイクルを使用することを確認すべきである。 |
Product vendors should also assume some of the risk associated with their products and develop smart city technology in adherence to secure-by-design and secure-by-default principles and active maintenance for the products they provide. Vendors adhering to these principles give the organizations responsible for procuring and implementing smart city technology more confidence in the products they introduce into their networks. | また、製品ベンダーは、自社製品に関連するリスクの一部を引き受け、セキュアバイデザインおよびセキュアバイデフォルトの原則を遵守してスマートシティ技術を開発し、提供する製品のメンテナンスを積極的に行うべきである。これらの原則を遵守するベンダーは、スマートシティ技術の調達と実装を担当する組織に対して、ネットワークに導入する製品に対する信頼性を高めることができる。 |
For detailed guidance, see: | 詳細なガイダンスについては、こちらをご覧ください: |
• Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ) | ・サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインおよびデフォルトの原則とアプローチ(CISA,NSA,FBI,ACSC,NCSC-UK,CCCS,BSI,NCSC-NL,CERT NZ, NCSC-NZ) |
• Software Bill of Materials (CISA) | ・ソフトウェア部品表(CISA) |
• Supply Chain Cyber Security: In Safe Hands (NCSC-NZ) | ・サプライチェーンサイバーセキュリティを 安全な手に(NCSC-NZ) |
• Securing the Software Supply Chain: Recommended Practices Guide for Customers (ODNI, NSA, CISA, CSCC, DIBSCC, ITSCC) | ・ソフトウェアサプライチェーンの安全性確保: 顧客向け推奨プラクティスガイド(ODNI,NSA,CISA,CSCC,DIBSCC,ITSCC) |
• Coordinated Vulnerability Disclosure Process (CISA) | ・協調的脆弱性開示プロセス(CISA) |
• Protecting your organization from software supply chain threats (CCCS) | ・ソフトウェアサプライチェーンの脅威から組織を守るために(CCCS) |
Hardware and IoT Device Supply Chain | ハードウェアとIoTデバイスのサプライチェーン |
Organizations responsible for implementing smart city technology should determine whether the IoT devices and hardware that will enable “smart” functionality will require support from third-party or external services. These organizations should perform due-diligence research on how parts are sourced and assembled to create products. They should also determine how the devices store and share data and how the devices secure data at rest, in transit, and in use. Organizations should maintain a risk register that identifies both their own and their vendors’ reliance on cloud computing support, externally sourced components, and similar dependencies. For detailed guidance, see: | スマートシティ技術の導入を担当する組織は、「スマート」な機能を実現するIoT機器やハードウェアが、サードパーティや外部サービスによるサポートを必要とするかどうかを判断する必要がある。これらの組織は、製品を作るために部品がどのように調達され、組み立てられるかについてデューディリジェンス調査を行う必要がある。また、デバイスがどのようにデータを保存・共有するか、デバイスが静止時、転送時、使用時のデータをどのように保護するかについても判断する必要がある。組織は、自社及びベンダーのクラウドコンピューティングへの依存、外部調達された部品、及び同様の依存関係を特定するリスク登録簿を維持する必要がある。詳細なガイダンスについては、以下を参照すること: |
• Cyber supply chain: An approach to assessing risk (CCCS) |
・サイバー・サプライ・チェーン: リスクを評価するためのアプローチ(CCCS) |
• Cybersecurity for IOT Program (NIST) |
・サイバーセキュリティ・フォー・IOTプログラム(NIST) |
• Defending Against Software Supply Chain Attacks (CISA, NIST) | ・ソフトウェアサプライチェーン攻撃への防御(CISA,NIST) |
Managed Service Providers and Cloud Service Providers | マネージドサービスプロバイダー、クラウドサービスプロバイダー |
Organizations should set clear security requirements for managed service providers and other vendors supporting smart city technology implementation and operations. Organizations should account for the risks of contracting with third-party vendors in their overall risk management planning and ensure organizational security standards are included in contractual agreements with external parties. Similarly, organizations should carefully review cloud service agreements, including data security provisions and responsibility sharing models. For detailed guidance, see: | 組織は、スマートシティ技術の導入と運用を支援するマネージドサービスプロバイダやその他のベンダーに対して、明確なセキュリティ要件を設定する必要がある。組織は、全体的なリスク管理計画の中で、第三者ベンダーとの契約によるリスクを考慮し、組織のセキュリティ基準が外部との契約合意に含まれていることを確認する必要がある。同様に、組織は、データセキュリティ条項や責任分担モデルなど、クラウドサービス契約を慎重に検討する必要がある。詳細なガイダンスについては、以下を参照すること: |
• Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ) |
・サイバーセキュリティリスクのバランスを変える:Security-byDesign および -Default の原則とアプローチ(CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCSC-NZ)。 |
• Protecting Against Cyber Threats to Managed Service Providers and their Customers (NCSC-UK, CCCS, NCSC-NZ, CISA, NSA, FBI) |
・マネージドサービスプロバイダーとその顧客に対するサイバー脅威からの保護(NCSC-UK, CCCS, NCSC-NZ, CISA, NSA, FBI) |
• Six steps toward more secure cloud computing (FTC) | ・より安全なクラウドコンピューティングに向けた6つのステップ(FTC) |
• Choosing the best cyber security solution for your organization (CCCS) | ・組織に最適なサイバーセキュリティソリューションの選択(CCCS) |
Operational Resilience | オペレーショナル・レジリエンス |
The organizations responsible for implementing smart city technology should develop, assess, and maintain contingencies for manual operations of all critical infrastructure functions and train staff accordingly. Those contingencies should include plans for disconnecting infrastructure systems from one another or from the public internet to operate autonomously. In the event of a compromise, organizations should be prepared to isolate affected systems and operate other infrastructure with as little disruption as possible. | スマートシティ技術の導入に責任を持つ組織は、すべての重要なインフラ機能を手動で操作するためのコンティンジェンシーを開発、評価、維持し、それに基づいてスタッフを訓練する必要がある。これらの緊急事態には、インフラシステムを互いに切り離し、または公共のインターネットから切り離して自律的に動作させるための計画を含めるべきである。侵害が発生した場合、組織は、影響を受けるシステムを隔離し、可能な限り混乱なく他のインフラを運用できるように準備する必要がある。 |
Backup systems and data. | システムおよびデータのバックアップ |
The organizations responsible for implementing smart city technology should create, maintain, and test backups, both for IT system records and for manual operational capabilities for the physical systems integrated in a smart city network. These organizations should identify how and where data will be collected, processed, stored, and transmitted and ensure each node in that data lifecycle is protected. System administrators should store IT backups separately and isolate them to inhibit the spread of ransomware—many ransomware variants attempt to find and encrypt/delete accessible backups. Isolating backups enables restoration of systems/data to their previous state in the case of a ransomware attack. | スマートシティ技術の実装に責任を持つ組織は、ITシステムの記録と、スマートシティネットワークに統合された物理システムの手動操作能力の両方のバックアップを作成、維持、およびテストする必要がある。これらの組織は、データがどのように、どこで収集、処理、保存、送信されるかを特定し、そのデータライフサイクルの各ノードが保護されていることを確認する必要がある。ランサムウェアの多くは、アクセス可能なバックアップを見つけ、暗号化/削除しようとする。バックアップを分離することで、ランサムウェアの攻撃を受けても、システム/データを以前の状態に戻すことができる。 |
The organizations responsible for implementing smart city technology should have plans in place and training for staff so operations managers can disconnect normally connected infrastructure systems and operate manually in an “offline” mode to maintain basic service levels. For detailed guidance, see: | スマートシティ技術の導入を担当する組織は、基本的なサービスレベルを維持するために、運用管理者が通常接続されているインフラシステムを切断し、「オフライン」モードで手動操作できるように、計画を立て、スタッフに対するトレーニングを実施する必要がある。詳細なガイダンスについては、以下を参照すること: |
• Offline backups in an online world (NCSC-UK) | ・オンライン世界におけるオフライン・バックアップ(NCSC-UK) |
Conduct workforce training. | 従業員のトレーニングを実施する。 |
Though implementation of smart city technology may include extensive automation, employees responsible for managing infrastructure operations should be prepared to isolate compromised IT systems from OT and manually operate core functions if necessary. Organizations should train new and existing employees on integrated, automated operations as well as isolated, manual backup procedures, including processes for restoring service after a restart. Organizations should update training regularly to account for new technologies and components. For detailed guidance, see: | スマートシティ技術の導入には広範な自動化が含まれる可能性があるが、インフラの運用管理を担当する従業員は、侵害された IT システムを OT から切り離し、必要に応じて中核機能を手動で操作する準備をする必要がある。組織は、統合された自動化されたオペレーションと、再起動後にサービスを回復するためのプロセスを含む、分離された手動バックアップ手順について、新規および既存の従業員をトレーニングする必要がある。組織は、新しい技術やコンポーネントを考慮し、定期的にトレーニングを更新する必要がある。詳細なガイダンスについては、以下を参照すること: |
• ICS Training Available Through CISA (CISA) | ・CISA (CISA)で受講できるICSトレーニング |
Develop and exercise incident response and recovery plans. | インシデントレスポンスとリカバリーの計画策定と演習 |
Incident response and recovery plans should include roles and responsibilities for all stakeholders including executive leaders, technical leads, and procurement officers from inside and outside the smart city implementation team. The organizations responsible for implementing smart city technology should maintain up-to-date and accessible hard copies of these plans for responders should the network be inaccessible (e.g., due to a ransomware attack). Organizations should exercise their plans annually and coordinate with continuity managers to ensure continuity of operations. For detailed guidance see: | インシデント対応・復旧計画には、スマートシティ導入チーム内外の幹部リーダー、技術リーダー、調達担当者を含むすべての関係者の役割と責任を含める必要がある。スマートシティ技術の導入に責任を持つ組織は、ネットワークがアクセス不能になった場合(ランサムウェア攻撃など)、対応者のためにこれらの計画の最新かつアクセス可能なハードコピーを維持する必要がある。組織は、毎年計画を実施し、業務の継続性を確保するために、継続性管理者と連携する必要がある。詳細なガイダンスについては、以下を参照すること: |
• Incident Response Plan Basics (CISA) | ・インシデントレスポンス計画の基本(CISA) |
• Effective steps to cyber exercise creation (NCSC-UK) | ・サイバー演習作成への効果的なステップ(NCSC-UK) |
• Incident Management: Be Resilient, Be Prepared (NCSC-NZ) | ・インシデント管理: レジリエントであること,準備すること(NCSC-NZ) |
• Preparing for and Responding to Cyber Security Incidents (ACSC) | ・サイバーセキュリティインシデントへの備えと対応(ACSC) |
• Developing your incident response plan (CCCS) | ・インシデント対応計画の策定(CCCS) |
• Developing your IT recovery plan (CCCS) | ・ITリカバリープランを策定する(CCCS) |
Purpose | 目的 |
This guidance was developed by U.S., U.K., Australian, Canadian, and New Zealand cybersecurity authorities to further their respective cybersecurity missions, including their responsibilities to develop and issue cybersecurity specifications and mitigations. | このガイダンスは、米国、英国、オーストラリア、カナダ、ニュージーランドのサイバーセキュリティ当局が、サイバーセキュリティの仕様と緩和策を策定し発行する責任を含む、それぞれのサイバーセキュリティのミッションを推進するために作成したものである。 |
Acknowledgements | 謝辞 |
Microsoft, IBM, and Nozomi Networks contributed to this guidance. | 本ガイダンスには、マイクロソフト、IBM、ノゾミネットワークスの各社が協力している。 |
Comments