ドイツ BSIがICSセキュリティ大要 (ICS-Security-Kompendium) を11年ぶりに改訂
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティ局 (BSI) が、ICSセキュリティ大要を11年ぶりに改訂しています。なお、この大要は122ページあります(^^)
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.04.23 BSI aktualisiert ICS-Security-Kompendium
| BSI aktualisiert ICS-Security-Kompendium | BSIがICSセキュリティ大要を改訂 |
| Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das ICS (Industrial Control Systems)-Security-Kompendium aktualisiert. Es stellt ein Grundlagenwerk für die IT-Sicherheit in industriellen Steuerungs- und Automationssystemen bereit. Damit schafft das Kompendium eine gemeinsame Basis für unterschiedliche Anwendungsgebiete wie Fabrikautomation, Prozesssteuerung und Gebäudeautomation. Es ermöglicht sowohl IT-Sicherheits- als auch ICS-Experten den einfachen Zugang zur IT-Sicherheit in ICS. Dazu erläutert das Dokument die notwendigen Grundlagen der IT-Sicherheit, der ICS-Abläufe sowie relevanter Normen und Standards. Eine Sammlung von Best Practices, die angesichts der heutigen Bedrohungslage im Kontext Cybersicherheit seitens der Anlagenbetreiber umgesetzt werden sollten, rundet den Inhalt ab. | ドイツ連邦情報セキュリティ局(BSI)は、ICS(産業用制御システム)セキュリティ大要を改訂した。この大要は、産業用制御システムやオートメーションシステムにおけるITセキュリティのための基本的な作業を提供するものである。この大要は、ファクトリーオートメーション、プロセス制御、ビルディングオートメーションなど、さまざまな応用分野に共通の基礎を提供する。ITセキュリティとICSの専門家の両方に、ICSにおけるITセキュリティへの容易なアクセスを提供する。そのために、ITセキュリティ、ICSプロセス、関連規範・規格の必要な基本を解説している。コンテンツは、サイバーセキュリティの文脈における現在の脅威状況に鑑み、プラント事業者が実施すべきベストプラクティス集で締めくくられている。 |
| Neben der Aktualisierung der Inhalte wurden im Zuge der Überarbeitung die bisher getrennten Dokumente für Betreiber und Hersteller beziehungsweise Integratoren zusammengeführt. Damit lassen sich insbesondere die Abhängigkeiten zwischen den Beteiligten besser verdeutlichen. | 内容の更新に加え、以前はオペレーター向けとメーカーまたはインテグレーター向けに分かれていた文書が、改訂の一環として統合された。これにより、関係者間の依存関係が明確になりやすくなった。 |
| Dieses Grundlagenwerk eignet sich insbesondere für den Einsatz in Lehre und Ausbildung, als Lektüre für Berufsstarter, aber auch zur Sensibilisierung von Herstellern, Integratoren und Betreibern. | この基本書は、特に教育やトレーニング、キャリアをスタートさせる人のための読み物として、またメーカー、インテグレーター、オペレーターの感化にも適している。 |
| Gelegenheit zum direkten Austausch mit den BSI-Expertinnen und -Experten über den Themenkomplex Cybersicherheit im Bereich ICS gibt es auf der Hannover-Messe vom 22. bis 26. April 2024 am Stand A12 in Halle 16. | 2024年4月22日から26日までハノーバー・メッセで開催されるホール16のスタンドA12で、ICS分野のサイバーセキュリティについてBSIの専門家と直接話す機会がある。 |
・[PDF]
| Inhalt | 目次 |
| 1 Einleitung | 1 はじめに |
| 1.1 Motivation | 1.1 動機 |
| 1.2 Ziele | 1.2 目的 |
| 1.3 Adressatenkreis | 1.3 対象グループ |
| 1.4 Inhalte | 1.4 目次 |
| 2 Grundlagen von ICS und OT | 2 ICSとOTの基礎 |
| 2.1 Glossar | 2.1 用語集 |
| 2.2 Grundcharakteristika | 2.2 基本的な特徴 |
| 2.2.1 Vertikale Integration | 2.2.1 垂直統合 |
| 2.2.2 Horizontale Integration | 2.2.2 水平統合 |
| 2.2.3 Lebenszyklus | 2.2.3 ライフサイクル |
| 2.2.4 Echtzeitverhalten | 2.2.4 リアルタイム動作 |
| 2.2.5 Funktionale Sicherheit | 2.2.5 機能安全性 |
| 2.2.6 Physikalische Trennung | 2.2.6 物理的分離 |
| 2.2.7 Software | 2.2.7 ソフトウェア |
| 2.2.8 Updates | 2.2.8 アップデート |
| 2.2.9 Hardware | 2.2.9 ハードウェア |
| 2.3 Gliederung von ICS | 2.3 ICSの組織 |
| 2.3.1 Hierarchische ICS-Strukturen | 2.3.1 階層的ICS構造 |
| 2.3.2 Ebene 0: Feldebene / Shopfloor | 2.3.2 レベル0:現場レベル/製造現場 |
| 2.3.3 Ebene 1: Steuerungsebene | 2.3.3 レベル1:管理レベル |
| 2.3.4 Ebene 2: Prozessleitungsebene | 2.3.4 レベル2:工程管理レベル |
| 2.3.5 Ebene 3: Betriebsführungsebene | 2.3.5 レベル3:オペレーション管理レベル |
| 2.3.6 Ebene 4: Unternehmensebene | 2.3.6 レベル4:企業レベル |
| 2.3.7 Ausnahmen | 2.3.7 例外 |
| 2.3.8 Diskrete Fertigung vs. Prozessfertigung | 2.3.8 個別製造とプロセス製造の比較 |
| 2.3.9 Prozessleitsystem vs. SCADA | 2.3.9 プロセス制御システム対SCADA |
| 2.3.10 IT-/OT Konvergenz | 2.3.10 IT/OTコンバージェンス |
| 2.3.11 Virtualisierung | 2.3.11 仮想化 |
| 2.3.12 Cloud und Edge Integration | 2.3.12 クラウドとエッジの統合 |
| 2.3.13 Service orientierte Produktion | 2.3.13 サービス指向の生産 |
| 2.4 Kommunikationsvorgänge | 2.4 通信プロセス |
| 2.4.1 Kommunikationsvorgänge auf Ebene 0 | 2.4.1 レベル0のコミュニケーション・プロセス |
| 2.4.2 Kommunikationsvorgänge auf Ebene 1 | 2.4.2 レベル1のコミュニケーション・プロセス |
| 2.4.3 Kommunikationsvorgänge auf Ebene 2 | 2.4.3 レベル2のコミュニケーション・プロセス |
| 2.4.4 Kommunikationsvorgänge auf Ebene 3 | 2.4.4 レベル3のコミュニケーション・プロセス |
| 2.4.5 Kommunikationsvorgänge auf Ebene 4 | 2.4.5 レベル4のコミュニケーション・プロセス |
| 2.4.6 Ebenenübergreifende Kommunikation | 2.4.6 クロスレベルコミュニケーション |
| 2.4.7 Drahtlose Kommunikation | 2.4.7 無線通信 |
| 2.5 OT-Architekturen | 2.5 OTアーキテクチャ |
| 2.6 ICS-Lieferkette | 2.6 ICSサプライチェーン |
| 3 Schwachstellen und Cyberangriffe in der OT | 3 OT における脆弱性とサイバー攻撃 |
| 3.1 Schwachstellen im OT-Umfeld | 3.1 OT 環境における脆弱性 |
| 3.1.1 Organisatorische Schwachstellen | 3.1.1 組織的脆弱性 |
| 3.1.2 Technische Schwachstellen | 3.1.2 技術的脆弱性 |
| 3.1.3 Schwachstelle Lieferkette | 3.1.3 サプライチェーンの脆弱性 |
| 3.2 Cyberangriffe auf die OT | 3.2 OTに対するサイバー攻撃 |
| 3.2.1 Cyberangriffe und vorsätzliche Handlungen | 3.2.1 サイバー攻撃と意図的行為 |
| 3.2.2 Cyberangriffe im Rahmen von 5G und Mobilfunk | 3.2.2 5Gとモバイル通信の文脈におけるサイバー攻撃 |
| 3.2.3 MitM-Angriffe in OT-Netzwerken | 3.2.3 OTネットワークにおけるMitM攻撃 |
| 3.2.4 Machine-to-Machine-Angriffe in OT-Netzwerken | 3.2.4 OTネットワークにおけるMachine-to-Machine攻撃 |
| 3.2.5 Cyberangriffe im Rahmen von Lieferketten | 3.2.5 サプライチェーンにおけるサイバー攻撃 |
| 3.2.6 Auswirkungen von Cyberangriffen auf Anlagen | 3.2.6 サイバー攻撃がシステムに及ぼす影響 |
| 4 Organisationen, Verbände und deren Standards | 4 組織、団体、およびその基準 |
| 4.1 International | 4.1 国際機関 |
| 4.1.1 IT-/Cybersicherheit | 4.1.1 IT/サイバーセキュリティ |
| 4.1.2 Funktionale Sicherheit | 4.1.2 機能的セキュリティ |
| 4.2 National | 4.2 国内 |
| 4.2.1 Cybersicherheit in der OT | 4.2.1 OTにおけるサイバーセキュリティ |
| 4.2.2 Funktionalen Sicherheit | 4.2.2 機能安全 |
| 5 Funktionale Sicherheit | 5 機能安全 |
| 5.1 Unterschiede zwischen Funktionaler Sicherheit und Cybersicherheit in der OT | 5.1 OTにおける機能安全とサイバーセキュリティの違い |
| 5.2 Auswirkung von Cyberbedrohungen auf Funktionale Sicherheit | 5.2 機能安全に対するサイバー脅威の影響 |
| 5.3 Einheitliche Risikoanalyse Funktionale Sicherheit und Cybersicherheit in der OT | 5.3 OT における機能安全とサイバーセキュリティの標準化されたリスク分析 |
| 5.4 Zusammenarbeit unterschiedlicher Fachexperten | 5.4 異なる技術専門家間の協力 |
| 6 Good-Practices zum Schutz der OT | 6 OT を保護するためのグッドプラクティス |
| 6.1 Organisation | 6.1 組織化 |
| 6.1.1 Aufbau einer Cybersicherheitsorganisation | 6.1.1 サイバーセキュリティ組織の設立 |
| 6.1.2 Dokumentation | 6.1.2 文書化 |
| 6.1.3 Beschaffung | 6.1.3 調達 |
| 6.1.4 Produktentwicklung | 6.1.4 製品開発 |
| 6.1.5 Betriebsprozesse | 6.1.5 運用プロセス |
| 6.1.6 Notfallmanagement | 6.1.6 緊急事態管理 |
| 6.2 Personal | 6.2 人材 |
| 6.2.1 Training des Personals | 6.2.1 スタッフの研修 |
| 6.2.2 Prozesse für Einstellung, Wechsel und Ausscheiden von Personal | 6.2.2 人員の採用、変更、退職のプロセス |
| 6.3 Physische Sicherheit | 6.3 物理的セキュリティ |
| 6.3.1 Physische Absicherung | 6.3.1 物理的セキュリティ |
| 6.3.2 Umgang mit Wechseldatenträgern | 6.3.2 リムーバブル記憶媒体の取り扱い |
| 6.3.3 Entsorgung von Hardware | 6.3.3 ハードウェアの廃棄 |
| 6.3.4 Einsatz von mobilen Systemen zu Wartungszwecken | 6.3.4 保守目的でのモバイルシステムの使用 |
| 6.4 Technische Maßnahmen | 6.4 技術的対策 |
| 6.4.1 Komponenteneigenschaften & Härtung | 6.4.1 コンポーネントの特性及び硬化 |
| 6.4.2 Entwicklung / Konfiguration | 6.4.2 開発/設定 |
| 6.4.3 Absichern der OT-Netze | 6.4.3 OTネットワークの保護 |
| 6.4.4 Betrieb | 6.4.4 運用 |
| 6.4.5 Notfallmanagement | 6.4.5 緊急時管理 |
| 6.4.6 Authentisierung | 6.4.6 認証 |
| 6.4.7 Schutz vor Schadprogrammen | 6.4.7 マルウェアからの保護 |
| 6.4.8 Monitoring | 6.4.8 監視 |
| 7 Audits, Assessments und Tests | 7 監査、評価、テスト |
| 7.1 Prüfung von OT-Netzwerken und -Systemen | 7.1 OTネットワークとシステムの試験 |
| 7.1.1 Initiales Assessment | 7.1.1 初期評価 |
| 7.1.2 Physische Begehung | 7.1.2 物理的検査 |
| 7.1.3 Gap-Analyse | 7.1.3 ギャップ分析 |
| 7.1.4 Vulnerability Assessments | 7.1.4 脆弱性評価 |
| 7.1.5 OT-Penetrationstests | 7.1.5 OT侵入テスト |
| 7.2 Prüfung der OT-Komponenten | 7.2 OT コンポーネントのテスト |
| 7.3 Prüfung der SPS-Programmierung | 7.3 PLC プログラミングのテスト |
| 8 Abkürzungsverzeichnis | 8 略語リスト |
| 9 Literaturverzeichnis | 9 参考文献 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.02.02 ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2023年版を発行
・2022.02.09 ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行
« 公認会計士協会 財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の改正の公表 | Main | ドイツ BSIが人工衛星の地上セグメント用のITベースライン保護プロファイルを公表 »
Comments