IPA スマート工場化でのシステムセキュリティ対策事例 調査報告書
こんにちは、丸山満彦です。
IPAが、「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を公表していますね。。。
● IPA
・2023.07.31 スマート工場化でのシステムセキュリティ対策事例 調査報告書
・[PDF]
システムセキュリティのシステムをどう読むかという問題もあるかもしれませんが、「平常、インシデント時も含めた製造という運用全体を含むシステム」という意味と、「情報技術・運用技術に関するシステム(IT, OTシステム)」という意味の二つがあるとは思いますが、今回の対策事例は後者の色が強いように感じますね。。。
本来的な目的を考えると、平常時、インシデント時を含めた製造という運用全体を考えた対策事例にするべきであったかもしれないですね。。。
昔(2011年)に書いたこの書籍「」に書いたような気がするんですけどね。。。これは最近でいう、「オールハザード型BCP/BCM」について書いた本です。。。
この対策事例集のベースになっているはずの、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver1.0」に遡ってみても、やはり、平常時が中心すぎますね。。。これは経済産業省の政策としては、改善が必要かもです。。。
重要インフラに限定されていませんが、生産システムは業務全体としての可用性をもっと考慮する必要があると思うのですが、それがこの調査報告書では重要視されているように見えないです。。。
まず、2つにわけて考えるところからスタートしていないのが、まずいです。
1:平常時
2:インシデント時
ガバナンス、全体的な統制としては共通的に作る必要があるのですが、プロセスは別れます。なので、それぞれについてのプロセスの設計をしていかないといけないのですが、平常時中心で、インシデント時については、おまけ的に作られている感じです。。。
次に、平常時中心になっているので、平常時の運用のシステムライフサイクルにそって作られていますが、これが2つ目にまずい部分です。この枠組みだと、予防的な対策が中心になりすぎます。なぜなら、システムが止まった時の話は、システムライフサイクルの埒外になってしまうからです。。。本来であれば、これに合わせて、サイバーセキュリティフレームワークの枠組みを入れればよかったかもです。。。
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver1.0を改定するときに、全体を見直したほうがよいですね。。。(インシデント対応は今は現場でできるからということで問題はないでしょうが、より高度な対応をするためには、もう少しガイドを拡充することが重要ですね。。。)
レジリエンスということになると思うのですが、その際には、
・NIST SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems
・NIST SP 800-160 Vol. 2 Rev. 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach
をもっと参照してもよいかもです。
それから、レジリエンスという意味では、生産系システムとは違いますが、金融機関での取り組みが絶対に参考になります。なので、バーゼル、FSB、米国SEC、英国健全性監督機構(RPA)、もちろん金融庁などのオペレーショナルレジリエンス、サイバーレジリエンスに関する資料等も参考にしたほうがよいと思います。
私のブログの
・2023.04.29 金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方
がとっかかりとしては良いかもです。。。
オペレーショナルレジリエンスということで、ちゃんと枠組みを作った方が良いかもですね。。。
NISCの重要インフラのサイバーセキュリティに係る安全基準等策定指針と重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書もありますが、これも予防的な観点が強いですからね。。。
ということは、統一基準自体も、レジリエンス対応が弱いということですね。。。統一基準はもともと政府機関の情報セキュリティ対策を基本的なレベルまで引き上げるためにつくったものですから、ディザスターリカバリーまでしか範囲にしませんでしたからね。。。オペレーショナルレジリエンスは範囲外。。。(それは業務側の責任という割り切りでしたからね。。。)
という課題意識をもって、読んでもよいかもですね。。。
● まるちゃんの情報セキュリティ気まぐれ日記
オペレーショナルレジリエンス/サイバーレジリエンス関係...
・2023.07.06 内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
・2023.07.06 内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合
・[PDF] 重要インフラのサイバーセキュリティに係る安全基準等策定指針
・2023.04.29 金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方
● BIS
プレス・リリース
市中協議文書「オペレーショナル・レジリエンスのための諸原則」
・[PDF] Consultative Document Principles for operational resilience
・[DOCX] 仮訳
市中協議文書「健全なオペレーショナル・リスク管理のための諸原則の改訂」
・[PDF] Consultative Document Revisions to the principles for the sound management of operational risk
・[DOCX] 仮訳
・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ
・[PDF] SP 800-160 Vol. 2 Rev. 1
・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)
・[PDF] SP 800-160 Vol. 1 Rev. 1
工場セキュリティ関係
・2022.12.24 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版)
・2022.11.21 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」
・2022.11.07 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ
・2022.05.01 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」に対する意見募集
・2022.02.24 半導体製造業界:SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様
・2020.06.10 EKANS / Snake - 工場やプラントのセキュリティ
Comments