米国 全米規制公益事業委員会協会 (NARUC) 電力供給システムと分散型エネルギー資源 (DER) の安全性基準 (2024.02.22)

こんにちは、丸山満彦です。

米国の全米規制公益事業委員会協会 (NARUC) が電力供給システムと分散型エネルギー資源の安全性基準 (BASELINES FOR ELECTRIC DISTRIBUTION SYSTEMS AND DER) を公表していますね。。。

ベースラインなので基本的なことですが、参考になると思います。

 

連邦エネルギー省 (DOE) の発表

● U.S. Department of Energy; DOE

・2024.02.22 New DOE-Funded Initiative Outlines Proposed Cybersecurity Baselines for Electric Distribution Systems and Distributed Energy Resources

New DOE-Funded Initiative Outlines Proposed Cybersecurity Baselines for Electric Distribution Systems and Distributed Energy Resources	DOEが資金提供する新しいイニシアティブが配電システムと分散型エネルギー資源のサイバーセキュリティ・ベースラインを示す
Office of Cybersecurity, Energy Security, and Emergency Response	サイバーセキュリティ・エネルギーセキュリティ・緊急対応室
New DOE-Funded Initiative Outlines Proposed Cybersecurity Baselines for Electric Distribution Systems and Distributed Energy Resources	DOEが資金提供する新たなイニシアティブが、配電システムと分散型エネルギー資源のサイバーセキュリティ・ベースラインを概説する
Cybersecurity Baselines Released for U.S. Distribution and Clean Energy Systems	米国の配電システムとクリーン・エネルギー・システムのサイバーセキュリティ・ベースラインを発表
WASHINGTON D.C. – Today, the U.S. Department of Energy (DOE) applauds the release of cybersecurity baselines for electric distribution systems and distributed energy resources (DER) such as solar, wind, and storage. The initiative spearheaded by the National Association of Regulatory Utility Commissioners (NARUC), was funded by DOE’s Office of Cybersecurity, Energy Security, and Emergency Response (CESER) and was guided by a steering group of industry and government subject matter experts including electricity sector owners and operators, state regulatory agencies, cybersecurity experts, and others. Today’s announcement reinforces the Biden-Harris Administration’s commitment to strengthening America’s national and energy security and reaching the President’s goal of a net-zero emissions economy by 2050.	ワシントンD.C.-本日、米国エネルギー省（DOE）は、配電システムと太陽光、風力、蓄電などの分散型エネルギー資源（DER）向けのサイバーセキュリティ・ベースラインを発表したことを称賛する。全米規制公益事業委員会協会（NARUC）が主導するこのイニシアティブは、DOEのサイバーセキュリティ・エネルギーセキュリティ・緊急対応局（CESER）が資金を提供し、電力セクターの所有者や運営者、州の規制機関、サイバーセキュリティの専門家など、業界と政府の専門家からなる運営グループによって指導された。本日の発表は、米国の国家とエネルギー安全保障を強化し、大統領の目標である2050年までのネット・ゼロ・エミッション経済の達成に向けたバイデン-ハリス政権のコミットメントを強化するものである。
“Safeguarding America’s energy infrastructure and advancing U.S. cybersecurity capabilities is critical to achieving President Biden’s ambitious climate goals,” said U.S. Deputy Secretary of Energy David M. Turk. “Today’s announcement underscores the Biden-Harris Administration’s commitment to working with key partners, like NARUC, to develop vital cybersecurity solutions and strengthen the resilience of America's electric systems.”	「米国のエネルギー・インフラを守り、米国のサイバーセキュリティ能力を向上させることは、バイデン大統領の野心的な気候変動目標を達成するために不可欠である。「本日の発表は、バイデン-ハリス政権がNARUCのような重要なパートナーと協力し、重要なサイバーセキュリティ・ソリューションを開発し、米国の電力システムの回復力を強化するというコミットメントを強調するものである。
“Americans want to know our electricity systems are safe and cyber secure. And companies want uniform expectations when it comes to cybersecurity,” said Anne Neuberger, Deputy National Security Advisor of the United States. "The Department of Energy and NARUC have taken the first step to achieving both, with the release of these cybersecurity baselines. Thank you to the many public and private sector contributors.”	「アメリカ国民は、電力システムが安全でサイバーセキュアであることを知りたがっている。そして企業は、サイバーセキュリティに関して統一された期待を望んでいる。「エネルギー省とNARUCは、このサイバーセキュリティ・ベースラインの発表により、その両方を達成するための第一歩を踏み出した。官民の多くの協力者に感謝する。
Cyber threats are increasingly sophisticated and target critical energy infrastructure more frequently than ever before. The 2023 National Cybersecurity Strategy called on DOE to promote cybersecurity for both electric distribution systems and for distributed energy resources infrastructure, and to do so in partnership with states and the energy industry. The regulatory oversight of electric distribution systems and distributed energy resources occurs at the state level. The guidance developed by NARUC, through CESER’s funding, will help provide states with uniform cybersecurity baselines instead of creating a patchwork of cybersecurity requirements across the country. Further, the baselines will enable electric companies and DER providers to work with state utility commissions and energy offices, boards, and communities to prioritize cybersecurity investments across the United States. The cyber baselines are based on DOE’s extensive work on energy sector cybersecurity and the U.S. Department of Homeland Security’s Cybersecurity Performance Goals (CPG). The baselines demonstrate the value of public-private partnership to advance national security priorities.	サイバー脅威はますます巧妙化し、重要なエネルギー・インフラを標的とする頻度もかつてないほど高まっている。2023年国家サイバーセキュリティ戦略は、配電システムと分散型エネルギー資源インフラの両方のサイバーセキュリティを推進し、州やエネルギー業界と連携して行うことをDOEに求めた。配電システムと分散型エネルギー資源の規制監督は州レベルで行われる。NARUCがCESERの資金提供を通じて開発したガイダンスは、全国にサイバーセキュリティ要件のパッチワークを作る代わりに、各州に統一されたサイバーセキュリティのベースラインを提供するのに役立つ。さらに、このベースラインによって、電力会社やDERプロバイダーは、州の公益事業委員会やエネルギー局、委員会、地域社会と協力して、全米でサイバーセキュリティ投資の優先順位を決めることができるようになる。サイバーベースラインは、エネルギー部門のサイバーセキュリティに関するDOEの広範な作業と、米国国土安全保障省のサイバーセキュリティ性能目標（CPG）に基づいている。ベースラインは、国家安全保障の優先事項を推進するための官民パートナーシップの価値を実証している。
In 2024, DOE looks forward to working with NARUC, industry, and states through a similar public-private approach to develop implementation strategies and adoption guidelines, driving towards uniform cybersecurity guidance across the country. The guidelines will include recommendations for assessing cybersecurity risks and prioritizing the assets the baselines might apply to, driving towards the goal of uniform cybersecurity guidance across the country.	2024 年には、DOE は NARUC、産業界、および各州と協力し、同様の官民アプローチを通じて実施 戦略と採用ガイドラインを策定し、全米で統一されたサイバーセキュリティ指針を推進することを期 待している。ガイドラインには、サイバーセキュリティリスクを評価し、ベースラインが適用される可能性のある資産に優先順位をつけるための推奨事項が含まれる。
For more information and to view the full cybersecurity baselines report, please click here.	サイバーセキュリティ・ベースライン・レポートの詳細と全文は、こちらをクリックしていただきたい。

 

 

全米規制公益事業委員会協会 (NARUC)のベースライン

 

● National Association of Regulatory Utility Commissioners; NARUC

・[PDF] CYBERSECURITY BASELINES FOR ELECTRIC DISTRIBUTION SYSTEMS AND DER

 

Executive Summary	要旨
The National Association of Regulatory Utility Commissioners (NARUC) has partnered with the Department of Energy (DOE) to develop a set of cybersecurity baselines for electric distribution systems and the distributed energy resources (DERs) that connect to them. Cybersecurity is an integral underpinning of power system resilience, and this initiative builds on work that states have undertaken over the last decade to mitigate cybersecurity risk across their critical infrastructures.	全米規制公益事業委員会連合（NARUC）はエネルギー省（DOE）と提携し、配電系統および配電系統に接続する分散型エネルギー資源（DERs）のためのサイバーセキュリティのベースラインを策定した。サイバーセキュリティは、電力系統の回復力を支える不可欠な要素であり、このイニシアティブは、各州が重要インフラ全体のサイバーセキュリティ・リスクを軽減するために過去10年にわたって取り組んできた作業を基礎としている。
Electric distribution system stakeholders recognize the importance of enhancing grid reliability, resilience, and security. Indeed, addressing cybersecurity risk is essential as electric distribution systems continue to evolve, spurred by new technologies and operational models as well as the ever-increasing threat of cyber-attacks. The National Cybersecurity Strategy, issued in 2023, also directed the U.S. Department of Energy (DOE) to “promote cybersecurity for electric distribution and distributed energy resources (DERs) in partnership with industry, states, federal regulators, Congress, and other agencies.” This NARUC/DOE initiative complements industry and government efforts by providing cybersecurity baselines, tailored for electric distribution systems and the DERs that connect to them, creating a common starting point for cyber risk reduction activities.	配電系統の関係者は、系統の信頼性、回復力、セキュリティを強化することの重要性を認識している。実際、配電システムが新しい技術や運用モデルによって進化し続け、サイバー攻撃の脅威がますます高まる中で、サイバーセキュリティリスクへの対応は不可欠である。2023年に発表された国家サイバーセキュリティ戦略は、米国エネルギー省（DOE）に対して、「産業界、州、連邦規制当局、議会、その他の機関と連携して、配電および分散型エネルギー資源（DER）のサイバーセキュリティを推進する」ことも指示している。このNARUC/DOEイニシアチブは、配電システムとそれに接続するDERに合わせたサイバーセキュリティ・ベースラインを提供することで、業界と政府の取り組みを補完し、サイバーリスク低減活動の共通の出発点を作るものである。
These baselines, coupled with the forthcoming implementation guidance, are intended to be a resource for state Public Utility Commissions, electric distribution utilities, and DER operators and aggregators. They encourage alignment across states that choose to adopt the baselines to mitigate cybersecurity risk and enhance grid security. NARUC convened a Steering Group of regulatory, cyber, and industry experts from across the sector to help execute this challenging task. The development process also included multiple stakeholder review and comment cycles to ensure a wide range of perspectives were considered.	これらのベースラインは、今後予定されている実施ガイダンスと相まって、各州の公益事業委員会、配電事業者、DER事業者、アグリゲータにとってのリソースとなることを意図している。サイバーセキュリティのリスクを軽減し、グリッドセキュリティを強化するために、ベースラインを採用する州間の連携を促すものである。NARUCは、この困難な課題の遂行を支援するため、規制、サイバー、業界の専門家で構成されるステアリング・グループを各セクターから招集した。また、開発プロセスでは、幅広い視点を考慮するため、複数の利害関係者によるレビューとコメントサイクルを実施した。
This initiative is divided into two phases:	このイニシアティブは2つのフェーズに分かれている：
•Phase 1: Development of a vetted set of Cybersecurity Baselines for Electric Distribution systems and the DERs that connect to them. These baselines define the cybersecurity controls that should be implemented, without specifying which procedures or technologies to use. It is expected that the baselines may be used by regulatory bodies and distribution utilities as a potential framework for developing their own cybersecurity requirements in conjunction with Phase 2 implementation strategies.	-フェーズ1：配電システムおよび配電システムに接続するDERのサイバーセキュリティ・ベースラインを策定する。これらのベースラインは、実施すべきサイバーセキュリティ管理を定義するものであり、どの手順や技術を使用すべきかを特定するものではない。このベースラインは、規制機関や配電ユーティリティ事業者が、フェーズ 2 の実施戦略と連動して独自のサイバーセキュリティ要件を策定するための潜在的な枠組みとして使用されることが期待される。
•Phase 2: Preparation of Implementation Strategies and Adoption Guidelines to support electric distribution system stakeholders as they continue to develop and refine their cybersecurity requirements. These Implementation Guidelines will include recommendations for assessing cybersecurity risks, prioritizing the assets to which the cybersecurity baselines might apply, and prioritizing the order in which the baselines might be implemented based on cyber risk assessments. The guidance will also address risk-based implementation timelines. The Implementation Strategies and Adoption Guidelines are aimed at Public Utility Commissions, utilities, and DER operators who wish to adopt the baselines. Phase 2 is expected to be completed over the course of the next year.	-フェーズ 2：配電系統の利害関係者がサイバーセキュリティ要件の策定と改良を継続するのを支援するための実施戦略と採用ガイドラインの作成。これらの実施ガイドラインには、サイバーセキュリティリスクの評価、サイバーセキュリティベースラインが適用される可能性のある資産の優先順位付け、サイバーリスク評価に基づくベースラインの実施順序の優先順位付けに関する推奨事項が含まれる。ガイダンスはまた、リスクベースの実施スケジュールについても言及する。実施戦略と採用ガイドラインは、ベースラインの採用を希望する公益事業委員会、電力会社、DER事業者を対象としている。フェーズ2は来年中に完了する予定である。
The Phase 1 Cybersecurity Baselines are intended to be used in concert with Phase 2 Implementation Guidance. Implementing the baselines without thoughtful consideration of scope, priorities, sequencing, and risk may result in the inefficient use of limited resources on the part of Commissions, distribution utilities, and DER providers and aggregators, thus diluting the effectiveness of cyber protections being applied where they matter most. Publishing the baselines now while undertaking Phase 2 allows for broader awareness of their development and provides an opportunity for commissions to engage in discussions with key stakeholders within their jurisdictions as the implementation guidance is being designed.	フェーズ1のサイバーセキュリティベースラインは、フェーズ2の実施ガイダンスと連携して使用されることを意図している。範囲、優先順位、順序、リスクについて熟考することなくベースラインを実施することは、委員会、配電ユーティリティ事業者、DERプロバイダーおよびアグリゲーターの側において、限られたリソースを非効率的に使用することになり、最も重要なところで適用されるサイバー保護の効果を希薄にする可能性がある。フェーズ2を実施しながらベースラインを公表することで、その策定をより広く認知させることができ、実施ガイダンスを策定する際に、委員会が管轄区域内の主要な利害関係者と議論する機会を提供することができる。
Phase 2 will tailor cybersecurity controls that focus on addressing risk to the different stakeholders that participate in the distribution system. The number of distribution system participants continues to increase, and each participant faces different types of risk based on entity sizes, architectures, components, and control mechanisms of power systems. Those risks will evolve over time as the power systems change, and as technologies advance and become more pervasive. Phase 2 will develop implementation guidelines based on these and other factors. As Phase 2 develops, enhancements to the baselines may be suggested.	フェーズ2では、配電系統に参加する様々な利害関係者のリスクへの対応に焦点を当てたサイバーセキュリティ対策を調整する。配電系統参加者の数は増加の一途をたどっており、各参加者は、電力系統の事業体規模、アーキテクチャ、構成要素、および制御メカニズムに基づいて、さまざまな種類のリスクに直面している。これらのリスクは、電力系統が変化し、技術が進歩し、普及するにつれて、時間の経過とともに進化する。フェーズ2では、これらおよびその他の要因に基づいて、実施ガイドラインを策定する。フェーズ 2 の進展に伴い、ベースラインの強化が提案される可能性がある。
Development of Cybersecurity Baselines	サイバーセキュリティ・ベースラインの策定
Rather than starting from scratch, NARUC,DOE, and the Steering Group recognized the importance of leveraging existing resources when developing these baselines. The Department of Homeland Security Cybersecurity and Infrastructure Security Agency’s (DHS/CISA) Cybersecurity Performance Goals (CPGs) were selected as the starting point because they are risk-informed, and intended to be tailored to each particular industry’s use. The CPGs were created to inform protections that could be deployed by sectors that had not already adopted more sophisticated and robust security practices. Work done during Phase 1 tailors the CPGs for electric distribution systems and the DERs that connect to them. Tailoring of the CPGs took into consideration existing cybersecurity frameworks, standards, and best practices, especially those within the electric sector. A key focus for the steering group was to promote risk-informed cybersecurity practices that, when applied, produce demonstrable cybersecurity benefits. Phase 2 will continue this risk informed focus and provide guidance, designed to help states and others interested in effectively implementing the baselines to achieve risk-informed, cost-effective cybersecurity objectives across their electric distribution systems.	NARUC、DOE、および運営グループは、ベースラインの策定をゼロから始めるのではなく、 既存のリソースを活用することの重要性を認識した。国土安全保障省サイバーセキュリティ・インフラセキュリティ局（DHS/CISA）のサイバーセ キュリティ・パフォーマンス目標（CPG）が出発点として選択されたのは、CPG がリスク情報に基づ いており、各業界の用途に合わせて調整することを意図しているからである。CPGs は、より洗練された強固なセキュリティ対策をまだ導入していないセクターが導入可能な対策を示すために作成された。フェーズ1で行われた作業は、配電系統とそれに接続するDER向けにCPGを調整するものである。CPGの調整には、既存のサイバーセキュリティの枠組み、標準、ベストプラクティス、特に電力部門内のものを考慮した。運営グループの主な焦点は、リスク情報に基づいたサイバーセキュリティの実践を推進することであり、その実践が適用されれば、サイバーセキュリティ上のメリットが実証される。第 2 段階では、このリスク情報に基づく重点的な取り組みを継続し、配電システム全体でリスク情報に基 づいた費用対効果の高いサイバーセキュリティ目標を達成するために、ベースラインの効果的な実施に関心を持 つ州やその他の関係者を支援するためのガイダンスを提供する。
Cybersecurity Baselines for Electric Distribution Systems and DER	配電システムと DER のサイバーセキュリティベースライン
1.A Asset Inventory	1.A 資産のインベントリ
Maintain an inventory of critical IT and digital OT assets, using the organization’s  risk-based criteria for classifying the criticality of assets that are essential to the delivery of energy.	エネルギー供給に不可欠な資産の重要度を分類するための組織のリスクベースの基準を使用して、重要な IT およびデジタル OT 資産のインベントリを維持する。
1.B Organizational Cybersecurity Leadership	1.B 組織的サイバーセキュリティリーダーシップ
1.C OT Cybersecurity Leadership	1.C OT サイバーセキュリティのリーダーシップ
1.D Improving IT and OT Cybersecurity Relationships	1.D IT と OT のサイバーセキュリティ関係の改善
Designate a senior-level role/title/position with explicit accountability for governance, planning, resourcing, and executing IT and OT cybersecurity activities. Identify the senior-level role(s)/title(s)/position(s) with delegated responsibility for planning, allocating resources, managing, and executing cybersecurity activities while promoting a culture of cybersecurity.	IT と OT のサイバーセキュリティ活動のガバナ ンス、計画、リソースの確保、実行につい て明確な説明責任を持つシニアレ ベルの役割／役職／ポジションを指定する。サイバーセキュリティの文化を促進しつつ、サイバーセキュリティ活動の計画、リソースの割り当て、管理、実行の責任を委譲されたシニアレベルの役割／役職／ポジションを特定する。
1.E Mitigating Known Vulnerabilities	1.E 既知の脆弱性を緩和する
Establish and implement a vulnerability management plan to address known exploited vulnerabilities, prioritizing critical assets identified in 1.A. Identify compensating controls for critical assets where removing the vulnerability is either not possible or may substantially compromise availability or safety.	1.A.で特定した重要資産に優先順位をつけ、既知の悪用される脆弱性に対処するための脆弱性管理計画を策定し、実施する。脆弱性を除去することが不可能であるか、または可用性もしくは安全性を実質的に損なう可能性がある重要資産については、代償となる管理策を特定する。
1.F Third-Party Validation of Cybersecurity Control Effectiveness	1.F 第三者によるサイバーセキュリティ・コントロールの有効性の検証
Develop and implement a plan for periodic independent validation of the organization’s cybersecurity controls and mitigate findings in a timely, risk-informed manner.	組織のサイバーセキュリティ統制の第三者による定期的な妥当性確認のための計画を策定し、実施し、発見された事項をリスク情報に基づいた方法で適時に緩和する。
1.G Supply Chain Incident Reporting	1.G サプライチェーンインシデント報告
1.H Supply Chain Vulnerability Disclosure	1.H サプライチェーンの脆弱性の開示
As new procurements are made for critical devices or services, make a good-faith effort to negotiate procurement documents and contracts stipulating that vendors and/or service providers:	重要な機器やサービスを新規に調達するときは、ベンダーやサービスプロバイダが以下のことを規定する調達文書や契約について誠実に交渉するよう努める：
Notify the procuring customer of security incidents within a risk-informed time frame, as determined by the organization.	セキュリティインシデントが発生したことを、当該組織が決定したリスク情報に基づ く期間内に調達顧客に通知する。
Notify the procuring customer of confirmed security vulnerabilities in their assets within a risk-informed time frame, as determined by the organization	調達先顧客の資産にセキュリティ上の脆弱性があることが確認された場合，当組織が判断したリスク情報に基づく期限内に，調達先顧客に通知する。
1.I Vendor/ Supplier Cybersecurity Requirements	1.I ベンダー／サプライヤのサイバーセキュリティ要件
Include cybersecurity requirements and questions, as appropriate, in the organization’s procurement process, and evaluate responses as part  of the vendor selection.	組織の調達プロセスに、必要に応じてサイバーセキュリティ要件及び質問を含め、ベンダ選定の一環として回答を評価する。
2.A Changing Default Passwords	2.A デフォルトパスワードの変更
Establish and maintain a process to change default passwords before installation. Document and implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	インストール前にデフォルトパスワードを変更するプロセスを確立し、維持する。例外が必要な場合は、同等またはそれ以上に効果的な代替方法または代償措置を文書化し、実施する。
2.B Password Management	2.B パスワード管理
Establish and enforce a policy that requires a minimum password length of 15 or more characters for in-scope IT and OT assets that are not otherwise protected behind multifactor authentication (MFA) or other passwordless authentication mechanism.	多要素認証（MFA）または他のパスワードレス認証メカニズムで保護されていない、対象範囲内の IT および OT 資産について、最低 15 文字以上のパスワードを要求するポリシーを確立し、実施する。
• If 15-character passwords, MFA, or other passwordless authentication mechanisms are not feasible, use the maximum password length that the technology supports and document and implement equally or more effective alternative measures or compensating controls to achieve the intended action(s).	・15 文字のパスワード、MFA、または他のパスワードレス認証メカニズムが実行可能でない場合 は、テクノロジがサポートする最大パスワード長を使用し、意図したアクションを達成するために、同等ま たはそれ以上に効果的な代替手段または補償コントロールを文書化し、実装する。
Establish and enforce a policy to prohibit password reuse, unless an organizationdefined risk exception is necessary and documented.	組織で定義されたリスクの例外が必要であり、文書化されている場合を除き、パスワードの再利 用を禁止するポリシーを確立し、実施する。
2.C Unique Credentials	2.C 一意のクレデンシャル
Provide unique and separate credentials for users accessing services and assets on IT and OT networks. Establish and implement a process to manage and approve access to shared accounts / service accounts / machine accounts. Document and implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	IT および OT ネットワーク上のサービスおよび資産にアクセスするユーザに、固有の個別のクレ デンシャルを提供する。共有アカウント／サービスアカウント／マシンアカウントへのアクセスを管理および承認するプロセスを確立し、実施する。例外が必要な場合は、同等またはより効果的な代替方法または代償管理を文書化し、実施する。
2.D Revoking Credentials for Departing Employees	2.D 退社する従業員のクレデンシャルの失効
Establish and enforce an administrative process to (1) revoke physical access and (2) disable logical access to critical organizational resources within 24 hours of an employee’s separation unless an organization-defined risk exception is necessary and documented.	組織で定義されたリスク例外が必要かつ文書化されていない限り、従業員の離職後 24 時間以内に、(1) 物理的アクセスを失効させ、(2) 重要な組織リソースへの論理的アクセスを無効にする管理プロセスを確立し、実施する。
2.E Separating User and Privileged Accounts	2.E ユーザーアカウントと特権アカウントの分離
Establish and maintain a policy to restrict administrator rights on user accounts on critical assets. Require separate user accounts for actions and activities not associated with the administrator role (e.g., for business email, web browsing). Reevaluate privileges on a recurring basis to validate continued need for a given set of permissions.	重要な資産のユーザーアカウントの管理者権限を制限するポリシーを確立し、維持する。管理者の役割に関連しない操作や活動（例えば、業務上の電子メールやウェブ閲覧）については、別のユーザ・アカウントを要求する。権限の継続的な必要性を検証するために、定期的に権限を再評価する。
Document and implement alternative measures or compensating controls in instances where administrative privileges cannot be removed.	管理者権限を削除できない場合の代替措置または代償措置を文書化し、実施する。
2.F Network Segmentation	2.F ネットワークのセグメンテーション
Separate IT and OT networks, and OT networks of different trust levels.	IT ネットワークと OT ネットワーク、および信頼レベルの異なる OT ネットワークを分離する。
•Use an appropriate network security device to enforce a deny-by-default policy on communications between networks that permits only those connections that are explicitly allowed (e.g., by IP address and port) for specific system functionality.	-適切なネットワークセキュリティデバイスを使用し、ネットワーク間の通信について、特定のシス テム機能に対して（例えば、IP アドレスとポートによって）明示的に許可された接続のみを許可す る、デフォルト拒否ポリシーを実施する。
•Maintain documentation of allowed ports and services and their business justification.	・許可されたポートおよびサービスと,そのビジネス上の正当性についての文書を維持する。
2.G Unsuccessful (Automated) Login Attempts	2.G 成功しない（自動化された）ログイン試行
Implement a process to detect, alert, and monitor unsuccessful logins and to inform the appropriate personnel. Document and implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	失敗したログインを検出、警告、監視し、適切な担当者に通知するプロセスを導入する。例外が必要な場合は、同等またはそれ以上に効果的な代替方法または代償手段を文書化し、実装する。
2.H Phishing-Resistant Multifactor Authentication (MFA)	2.H フィッシングに強い多要素認証（MFA）
Implement MFA for remote access to assets using the strongest available method  for that asset and where technically feasible. Document and implement equally or more effective alternative methods or compensating controls where exceptions  are necessary.	資産へのリモートアクセスには、その資産で利用可能な最も強力な方法を使用し、技術的に実行可能な場合にはMFAを実装する。例外が必要な場合は、同等またはそれ以上に効果的な代替方法または代償手段を文書化し、実装する。
2.I Basic Cybersecurity Training	2.I 基本的なサイバーセキュリティ研修
Conduct training, at least annually, for all organizational employees and contractors that cover basic security concepts, such as phishing, business email compromise, basic operational security, password security, etc., as well as foster an internal culture of security and cyber awareness.	フィッシング、ビジネスメールの漏洩、基本的な運用セキュリティ、パスワー ドセキュリティなど、基本的なセキュリティの概念を網羅する研修を、少なくとも年 1 回、組織の全従業員および請負業者に対して実施し、セキュリティとサイ バーに対する意識の社内文化を醸成する。
• New employees receive initial cybersecurity training within 30 days of onboarding and recurring training on at least an annual basis.	・新入社員は配属後 30 日以内にサイバーセキュリティに関する初回研修を受け、少なくとも年 1 回は定期的な研修を受ける。
• Training topics and goals are clearly defined and related to the nature of their duties to the extent practicable.	・研修のトピックと目標は明確に定義され,可能な範囲で職務の性質に関連する。
2.J OT Cybersecurity Training	2.J OT サイバーセキュリティ研修
In addition to basic cybersecurity training, conduct OT-specific cybersecurity training, at least annually, for personnel who access or secure OT as part of their regular duties.	基本的なサイバーセキュリティ研修に加え、通常の職務の一環として OT にアクセスし、または OT を保護する要員に対して、少なくとも年 1 回、OT に特化したサイバーセキュリティ研修を実施する。
2.K Strong and Agile Encryption	2.K 強力かつ機動的な暗号化
Establish and implement a policy that addresses the protection of critical data in transit, including how the organization will update outdated/deprecated encryption technologies or document and implement equally or more effective alternative methods or compensating controls.	送信中の重要データの保護に取り組む方針を確立し、実施する。これには、組織がどのように古くなった／非推奨の暗号化技術を更新するか、または同等もしくはそれ以上に効果的な代替方法もしくは代償となる管理を文書化し、実施するかを含む。
2.L Secure Sensitive Data	2.L 機密データの保護
Establish and maintain a process to identify and securely store sensitive data, using strong access control methods for authenticated and authorized users and system applications. Document and implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	認証され許可されたユーザ及びシステム・アプリケーションのための強力なアクセス制御方法を使用して、機密データを識別し、安全に保管するプロセスを確立し、維持する。例外が必要な場合は、同等またはそれ以上の効果的な代替方法または代償措置を文書化し、実施する。
2.M Email Security	2.M 電子メールセキュリティ
Establish and maintain a process to reduce risk from email threats.	電子メールの脅威によるリスクを低減するためのプロセスを確立し、維持する。
2.N Disable Macros by Default	2.N デフォルトでマクロを無効にする
Establish software restriction policies to prevent the execution of unauthorized code, such as a system-enforced policy that disables Microsoft Office macros, or similar embedded code, by default. If macros must be enabled in specific circumstances, establish a policy for authorized users to request that macros are enabled on specific assets, for only as long as they are needed. Document and implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	Microsoft Office のマクロまたは同様の埋め込みコードをデフォルトで無効にするシステム強制ポリシーなど、不正なコードの実行を防止するソフトウェア制限ポリシーを確立する。特定の状況でマクロを有効にする必要がある場合は、許可されたユーザーが、必要な期間だけ特定の資産でマクロを有効にするよう要求できるポリシーを確立する。例外が必要な場合は、同等またはそれ以上に効果的な代替方法または代償措置を文書化し、実施する。
2.O Document Device Configurations	2.O デバイス設定の文書化
Document, backup and maintain baselines and current configuration details of critical IT and OT assets to facilitate more effective vulnerability management and response and recovery activities. Periodically review and update documentation.	より効果的な脆弱性管理および対応・復旧活動を促進するために、重要な IT および OT 資産のベースラインと現在の構成の詳細を文書化し、バックアップし、維持する。定期的に文書を見直し、更新する。
2.P Document & Maintain Network Topology	2.P ネットワークトポロジーの文書化と維持
Document, backup and maintain physical and logical network topology across critical IT and OT networks. Review and document any change to the topology.	重要な IT および OT ネットワークにわたる物理的および論理的なネットワーク・トポロジーを文書化し、バックアップし、維持する。トポロジーに変更があった場合は、レビューし、文書化する。
2.Q Hardware and Software Approval Process	2.Q ハードウェアおよびソフトウェアの承認プロセス
Implement an administrative policy or automated process for critical IT and OT assets that requires approval before new hardware, firmware, or software/software version is installed or deployed, or before the asset is removed/decommissioned. Documentand implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	重要な IT および OT 資産について、新しいハードウェア、ファームウェア、ソフトウェア／ソフトウェ アのバージョンがインストールまたは展開される前、あるいは資産が撤去／廃止される前に、 承認を必要とする管理ポリシーまたは自動化されたプロセスを導入する。例外が必要な場合は、同等またはそれ以上に効果的な代替方法または代替コントロールを文書化し、実施する。
2.R System Backups	2.R システムバックアップ
Establish and maintain a documented system restoration plan, including processes to back up critical systems where deemed appropriate by the organization.	組織が適切と判断した重要システムのバックアッププロセスを含む、文書化されたシステム復旧計画を確立し、維持する。
2.S Incident Response (IR) Plans	2.S インシデント対応（IR）計画
Establish, maintain, and regularly (at least annually) validate IT and OT cybersecurity incident response plans for both common and organizationally specific threat scenarios and TTPs through cybersecurity exercises.	サイバーセキュリティ演習を通じて、一般的な脅威シナリオと組織特有の脅威シナリオの両方と TTP に対す る IT および OT サイバーセキュリティのインシデント対応計画を策定し、維持し、定期的（少なくとも年 1 回）に検証する。
•Update incident response plans within a risk-informed time frame to incorporate lessons learned from the exercise.	・リスク情報に基づいた時間枠内でインシデント対応計画を更新し,演習から得られた教訓を取り入れる。
2.T Log Collection	2.T ログ収集
Collect and develop a process to securely store and protect time-synchronized access- and security-focused logs (e.g., authentication, intrusion detection systems/ intrusion prevention systems, firewall, data loss prevention, virtual private network) based on criticality for use in both detection and incident response activities (e.g., forensics).	検知活動とインシデント対応活動（フォレンジックなど）の両方で使用するため、重要性に基づ いて、時間同期されたアクセスログとセキュリティに焦点を当てたログ（認証、侵入検知シス テム/侵入防御システム、ファイアウォール、データ損失防止、仮想プライベートネットワークな ど）を収集し、安全に保管・保護するプロセスを開発する。
•Update incident response plans within a risk-informed time frame to incorporate lessons learned from the exercise.Update incident response plans within a risk-informed time frame to incorporate lessons learned from the exercise.	・リスク情報に基づいた時間枠内でインシデント対応計画を更新し、演習から学んだ教訓を取り入れる。リスク情報に基づいた時間枠内でインシデント対応計画を更新し、演習から学んだ教訓を取り入れる。
2.T Secure Log Storage	2.T 安全なログ保管
Establish and maintain a process to protect logs for critical IT and OT assets from unauthorized access.	重要な IT および OT 資産のログを不正アクセスから保護するプロセスを確立し、維持する。
2.V Prohibit Connection of Unauthorized Devices	2.V 許可されていないデバイスの接続の禁止
Establish and maintain policies and processes to reduce the probability that unauthorized media or hardware are connected to IT and OT assets, such as by limiting use of USB devices and removable media and disabling AutoRun.	USB デバイスやリムーバブルメディアの使用を制限し、自動実行を無効にするなど、未承認のメディ アやハードウェアが IT および OT 資産に接続される可能性を低減するためのポリシーおよびプロセ スを確立し、維持する。
•Define acceptable types of media and hardware and establish scanning requirements when appropriate for devices that have a storage component.	・許容可能なメディアとハードウェアの種類を定義し,ストレージ・コンポーネントを持つデバイスに適切な場合,スキャン要件を設定する。
•Establish validation and authorization steps when new devices are connected to ensure no unauthorized devices are connected.	・新しいデバイスが接続される際に,未承認のデバイスが接続されないようにするため,検 証と承認のステップを確立する。
•OT: When feasible, establish procedures to remove, disable, or otherwise secure physical ports to prevent the connection of unauthorized devices or establish procedures for granting access through approved exceptions.	・OT: OT:実行可能な場合,物理ポートを削除,無効化,またはその他の方法で保護し,未承認デ バイスの接続を防止する手順を確立するか,または,承認された例外を通じてアクセスを許可 する手順を確立する。
•Document and implement equally or more effective alternative methods or compensating controls where exceptions are necessary.	・例外が必要な場合は,同等またはそれ以上に効果的な代替方法または代償措置を文書化し,実施する。
2.W No Exploitable Services on the Internet	2.W インターネット上に搾取可能なサービスを提供しない
Implement a process to minimize the number of ports and services exposed to the Internet.	インターネットに公開されるポートおよびサービスの数を最小限に抑えるプロセスを導入する。
•Prevent assets on the public internet from exposing services with known exploits.	・公衆インターネット上の資産が,既知のエクスプロイトを持つサービスを公開しないようにする。
•Where these services must be exposed, document and implement appropriate compensating controls to prevent common forms of abuse and exploitation.	・これらのサービスを公開しなければならない場合は,一般的な悪用や搾取を防ぐために,適切な代償措置を文書化し,実施する。
•Disable unnecessary applications and network protocols on internet-facing assets.	・インターネットに面した資産上の不要なアプリケーションやネットワークプロトコルを無効にする。
2.X Limit OT Connections to Public Internet	2.X 公共インターネットへの OT 接続の制限
Establish and implement a process to ensure OT assets are not placed on the public internet, unless explicitly required for operation. Document necessary exceptions and implement compensating controls for excepted assets to prevent and detect exploitation attempts (such as logging, MFA, mandatory access via proxy or other intermediary, etc.).	運用に明示的に必要な場合を除き、OT 資産が公共のインターネット上に置かれないことを保証するプロセスを確立し、実施する。必要な例外を文書化し、悪用の試みを防止・検知するために、例外とされた資産に 対して補償的な管理策を実施する（ロギング、MFA、プロキシまたは他の仲介者を介した強制アクセ スなど）。
3.A Detecting Relevant Threats and TTPs	3.A 関連する脅威と TTP の検知
Maintain situational awareness of threats and cyber actor tactics, techniques, and procedures (TTPs) relevant to their organization (e.g., based on industry, sectors), and maintain the ability to detect instances of those key threats (such as via rules, alerting, or commercial prevention and detection systems).	自組織に関連する脅威及びサイバー行為者の戦術、技術及び手順（TTPs）について状況認識を維持し（例えば、業種、部門に基づく）、それらの主要な脅威のインスタンスを検知する能力を維持する（例えば、ルール、アラート、商用の防止及び検知システムを介して）。
4.A Incident Reporting	4.A インシデント報告
Establish and maintain codified policy and procedures on when, to whom, and how to report all confirmed cybersecurity incidents to appropriate external entities.	確認されたすべてのサイバーセキュリティインシデントを、適切な外部エンティティに、いつ、誰に、 どのように報告するかについて、成文化されたポリシーと手順を確立し、維持する。
4.B Vulnerability Disclosure/Reporting	4.B 脆弱性の公開／報告
Establish and maintain a public, easily discoverable method for security researchers to notify the organization of vulnerable, misconfigured, or otherwise exploitable assets (e.g., via email address or web form). Acknowledge and respond to valid submissions in a timely manner, taking into account the completeness and complexity of the vulnerability. Mitigate validated and exploitable weaknesses consistent with their severity and organizational policy. Establish policies concerning coordinated vulnerability disclosure/reporting.	セキュリティ研究者が、脆弱性、設定ミス、またはその他の悪用可能な資産を組織に通知するための、公開され、容易に発見可能な方法を確立し、維持する（例えば、電子メールアドレスまたは Web フォームを介して）。脆弱性の完全性と複雑性を考慮した上で、有効な提出を適時に承認し、対応する。有効性が確認された脆弱性及び悪用可能な脆弱性を、その重大性及び組織の方針に沿って緩和する。調整された脆弱性の開示／報告に関するポリシーを確立する。
4.C Deploy Security.TXT Files	4.C Security.TXTファイルを配備する
Ensure that public-facing web domains have a security.txt file that conforms to the recommendations in RFC 9116 “A File Format to Aid in Security Vulnerability Disclosure.”	一般向けの Web ドメインに、RFC9116「A File Format to Aid in Security Vulnerability Disclosure（セキュリティ脆弱性開示を支援するファイル形式）」の推奨事項に準拠した security.txt ファイルを配置する。
5.A Incident Planning and Preparedness	5.A インシデントの計画と準備
Develop, maintain, and execute plans to recover and restore to service business or mission-critical assets or systems that might be impacted by a cybersecurity incident.	サイバーセキュリティインシデントによって影響を受ける可能性のあるビジネスまたはミッションクリティカルな資産またはシステムを復旧し、サービスを再開するための計画を策定し、維持し、実行する。