« 米国 CISA 中小規模の組織のインフラストラクチャのセキュリティを支援するログ一元管理ツールであるロギング・メイド・イージー(LME) 2.0を公表 (2024.11.08) | Main | Five Eyes 日常的に悪用される脆弱性のトップ15 2023、上位の脆弱性の大半はゼロデイ (2024.11.12) »

2024.11.13

CSA 重要インフラのためのゼロトラストガイダンス (2024.10.28)

こんにちは、丸山満彦です。

Cloud Security Alliance; CSAが、重要インフラのためのゼロトラストガイダンスを公表していますね...

OT/ICS環境を意識していますね...

参考になるところは多いと思います...

 

● Cloud Security Alliance ; CSA

・2024.10.28 Zero Trust Guidance for Critical Infrastructure

 

Zero Trust Guidance for Critical Infrastructure 重要インフラのためのゼロトラストガイダンス
In most nations, the health of public services relies on secure and resilient Critical Infrastructure. We call these infrastructures "critical" because their destruction would have a drastic impact on the welfare of a nation. This publication promotes the implementation of Zero Trust principles for securing Critical Infrastructure. As an extensible and holistic enterprise security strategy, Zero Trust is the key for ensuring Critical Infrastructure protection.  ほとんどの国では、公共サービスの健全性は、安全でレジリエンスの高い重要インフラに依存している。これらのインフラを「重要」と呼ぶのは、その破壊が国家の福祉に劇的な影響を与えるからである。本書は、重要インフラの安全性を確保するための ゼロトラスト原則の導入を促進するものである。拡張可能で総合的なエンタープライズ・セキュリティ戦略として、 ゼロトラストは重要インフラの保護を確実にする鍵である。
More specifically, this document delves into the nuanced application of Zero Trust for Operational Technology and Industrial Control Systems security strategies. First, it clarifies the foundational concepts of Zero Trust. Then, it provides a tailored roadmap for implementing these principles into Operational Technology and Industrial Control Systems settings. This roadmap employs a systematic five-step approach based on the NSTAC Report to the President on Zero Trust. より具体的には、本書は、運用技術と産業制御システムのセキュリティ戦略におけるゼロトラストの微妙な適用について掘り下げている。まず、 ゼロトラストの基本概念を明確にする。次に、これらの原則をオペレーショナルテクノロジーと産業用制御システムの設定に導入するためのロードマップを提供する。このロードマップは、 ゼロトラストに関するNSTACの大統領報告書に基づく体系的な5段階のアプローチを採用している。
By leveraging this guidance, organizations will find a clear forward-looking path for continuous improvement of their security postures. このガイダンスを活用することで、組織は、セキュリティ体制を継続的に改善するための明確で前向きな道筋を見出すことができる。
Key Takeaways: 主な要点
・Unique security risks and threat vectors for Critical Infrastructure ・重要インフラ特有のセキュリティリスクと脅威のベクトル
・How Operational Technology converges with digital transformation ・オペレーショナル・テクノロジーとデジタルトランスフォーメーションの融合
・Differences in objectives and architecture of Operational Technology vs traditional Information Technology ・オペレーショナル・テクノロジーと従来の情報テクノロジーの目的とアーキテクチャの違い
・Review of the five-step implementation process for Zero Trust ・ゼロトラストのための5段階の実装プロセスのレビュー
・How to apply the five-step process to Industrial Controls Systems and Operational Technology security ・5ステッププロセスを産業制御システムとオペレーショナル・テクノロジーのセキュリティに適用する方法
・How vendors are building Zero Trust capabilities into new technology ・ベンダーはどのように ゼロトラスト機能を新しいテクノロジーに組み込んでいるか

 

20241113-02741

 

目次...

Acknowledgments 謝辞
Abstract 概要
Target Audience 対象読者
Introduction 序文
Goal 目標
Document Scope 文書の範囲
What Is Zero Trust? ゼロトラストとは何か?
Executive Summary エグゼクティブサマリー
Critical Infrastructure Sectors 重要インフラ部門
Survey of Global Critical Infrastructure Sectors 世界の重要インフラ部門の調査
ZT in CI and OT/ICS Environments CIおよびOT/ICS環境におけるZT
Unique Threat Vectors for Critical Infrastructure 重要インフラ特有の脅威ベクトル
Convergence of OT/IT with Digital Transformation OT/ITとデジタルトランスフォーメーションの融合
Differences in Objectives of OT vs IT OTとITの目的の違い
Differences in Architecture & Technology of OT vs IT OTとITのアーキテクチャとテクノロジーの違い
The Zero Trust Implementation Process ゼロトラストの実装プロセス
The Five-Step Implementation Process 5段階の実装プロセス
Incremental and Iterative Execution インクリメンタルかつ反復的な実行
CISA Zero Trust Maturity Model (ZTMM) CISAの ゼロトラスト成熟度モデル(ZTMM)
ZT Implementation Process for OT/ICS OT/ICSのZT導入プロセス
Step 1: Defining the Protect Surface for OT/ICS ステップ1:OT/ICSの防御面の定義
Step 2: Mapping Operational Flows for OT/ICS ステップ2:OT/ICSの運用フローのマッピング
Step 3: Building a Zero Trust Architecture in OT/ICS ステップ3:OT/ICSにおけるゼロトラストアーキテクチャの構築
Step 4: Creating Zero Trust Policy in OT/ICS ステップ4:OT/ICSにおけるゼロトラストポリシーの作成
Step 5: Ongoing Monitoring and Maintenance Activities in OT/ICS ステップ5:OT/ICSにおける継続的な監視と保守活動
SANS Top 5 Critical Controls in OT/ICS OT/ICS における SANS トップ 5 クリティカルコントロール
Guidance For New OT & ICS Systems 新しい OT および ICS システムのためのガイダンス
Conclusion 結論
Organizational Collaboration and Commitment 組織の協力とコミットメント
Useful Resources 有用なリソース
References 参考文献
Definitions of Acronyms Used in This Paper 本稿で使用した略語の定義
Glossary 用語集

 

 

概要からエグゼクティブサマリーまで...

Abstract 概要
This document delves into the critical and nuanced application of Zero Trust (ZT) principles within Operational Technology (OT) and Industrial Control Systems (ICS). It aims to bridge the gap between traditional information technology (IT) security methodologies and the unique demands of OT/ICS in Critical Infrastructure (CI) sectors. Recognizing the distinct challenges and architectures inherent in these environments, the paper not only clarifies the foundational concepts of ZT but also provides a tailored roadmap for implementing these principles effectively in OT/ICS settings. This roadmap employs a systematic approach from defining Protect Surfaces to continuous monitoring and maintenance based on the five-step process outlined in the NSTAC Report to the President on Zero Trust and Trusted Identity Management, ensuring resilience and security in CI amidst a rapidly evolving digital technology and threat landscape 本書は、運用技術(OT)および産業制御システム(ICS)における ゼロトラスト(ZT)原則の重要かつ微妙な適用について掘り下げている。この文書は、従来の情報技術(IT)セキュリティ方法論と、重要インフラ(CI)分野におけるOT/ICS特有の要求とのギャップを埋めることを目的としている。これらの環境に特有の課題とアーキテクチャを認識した上で、ZTの基本概念を明確にするだけでなく、これらの原則をOT/ICS環境で効果的に実装するためのロードマップを提供する。このロードマップは、「ゼロトラストと信頼されるID管理に関する大統領へのNSTAC報告書」で概説された5段階のプロセスに基づき、防御領域の定義から継続的なモニタリングと保守に至る体系的なアプローチを採用しており、急速に進化するデジタル技術と脅威の状況の中で、CIにおけるレジリエンスとセキュリティを確保する。
Target Audience 対象者
The primary audience is any security professional function, such as: Cybersecurity Architects, Security Engineers, SOC Analysts, ZT Practitioners, Operational Technology (OT) and Industrial Control Systems (ICS) Operators and Engineers, IT personnel, and Executive Stakeholders overseeing ZT strategy and/or Operational Technology 主な対象者は、以下のようなセキュリティ専門機能である: サイバーセキュリティ・アーキテクト、セキュリティ・エンジニア、SOCアナリスト、ZTプラクティショナー、運用技術(OT)および産業制御システム(ICS)のオペレータおよびエンジニア、IT職員のほか、ZT戦略および/または運用技術を監督するエグゼクティブ・ステークホルダーである。
The secondary audience is Chief Information Security Officers (CISOs), Threat Modelers, Incident Managers, Auditors, Business and Operational System Owners, Compliance Officers, Risk Managers, Network Administrators, IT Compliance Analysts, Data Privacy professionals, and vendors producing solutions and technologies in this space 副次的な対象者は、最高情報セキュリティ責任者(CISO)、脅威モデラー、インシデント・マネージャー、監査担当者、ビジネス・運用システム・オーナー、コンプライアンス・オフィサー、リスク・マネージャー、ネットワーク管理者、ITコンプライアンス・アナリスト、データ・プライバシー専門家、およびこの分野のソリューションや技術を提供するベンダーである。
Introduction 序文
Goal 目的
The goal of this paper is to educate the target audience on considerations and application of ZT principles for Critical Infrastructure (such as energy, water, transportation, and healthcare ), with a focus on Operational Technology (OT) and Industrial Control Systems (ICS). This guidance should serve as a tool for communication and collaboration between teams tasked with cybersecurity policies and controls and the system owners and operators of OT and ICS. Securing OT/ICS assets, especially in CI sectors, requires education and collaboration among cross-functional teams 本稿の目的は、対象読者に対して、運用技術(OT)と産業制御システム(ICS)に焦点を当て、重要インフラ(エネルギー、水、輸送、ヘルスケアなど)に対するZT原則の検討と適用について教育することである。このガイダンスは、サイバーセキュリティポリシーと管理を担当するチームと、OT や ICS のシステム所有者や運用者とのコミュニケーションとコラボレーションのためのツールとして役立つはずである。特に CI セクターにおける OT/ICS 資産の安全確保には、部門横断的なチーム間の教育と協力が必要である。
Document Scope 文書の範囲
The scope of this document is centered on operationalizing Zero Trust security frameworks specifically within the Operational Technology (OT) and Industrial Control Systems (ICS) landscapes. It is dedicated to delineating practical strategies and specific methodologies tailored for CI environments. The document offers a detailed examination of the inherent differences between traditional IT and OT/ICS systems, focusing on aspects such as network design, device heterogeneity, and specific security requirements. It then progresses into a step-by-step implementation guide, presenting actionable insights for each stage of deploying a ZT model in these unique settings. This includes specific guidance on identifying critical assets, mapping data flows, constructing a tailored ZT Architecture (ZTA), policy formulation, and the nuances of continuous monitoring within an OT/ICS context. Targeted primarily at security architects, OT/ICS operators, and decision-makers in CI, this document serves as a comprehensive manual for adapting and applying ZT principles in sectors where security is paramount and yet distinctly challenging この文書の範囲は、特にOT(Operational Technology:運用技術)及びICS(Industrial Control Systems:産業制御システム)ランドスケープにおけるゼロトラスト・セキュリティの枠組みの運用を中心とする。この文書は、CI環境に合わせた実践的な戦略と具体的な方法論を明確にすることに特化している。本書では、ネットワーク設計、デバイスの異種性、特定のセキュリティ要件などの側面に焦点を当て、従来のITシステムとOT/ICSシステムとの本質的な違いを詳細に検証している。その後、ステップ・バイ・ステップの導入ガイドへと進み、これらのユニークな環境におけるZTモデルの展開の各ステージについて、実用的な洞察を提示している。これには、重要資産の特定、データフローのマッピング、カスタマイズされたZTアーキテクチャ(ZTA)の構築、ポリシーの策定、OT/ICSコンテキスト内での継続的モニタリングのニュアンスに関する具体的なガイダンスが含まれる。主にセキュリティ・アーキテクト、OT/ICSオペレータ、CIの意思決定者を対象とした本書は、セキュリティが最重要でありながら明らかに困難な分野で、ZTの原則を適応・適用するための包括的なマニュアルとなっている。
What Is Zero Trust?  ゼロトラストとは何か?
“Zero Trust is a cybersecurity strategy premised on the idea that no user or asset is to be implicitly trusted 「 ゼロトラストとは、いかなるユーザーや資産も暗黙のうちに信頼してはならないという考えを前提としたサイバーセキュリティ戦略である。
It assumes that a breach has already occurred or will occur, and therefore, a user should not be granted access to sensitive information by a single verification done at the enterprise perimeter. Instead, each user, device, application, and transaction must be continually verified.[1]” この戦略では、情報漏えいがすでに発生しているか、または今後発生する可能性があることを前提としているため、エンタープライズ境界で行われる1回の検証によって、ユーザーに機密情報へのアクセスを許可すべきではない。その代わり、各ユーザー、デバイス、アプリケーション、トランザクションは継続的に検証されなければならない[1]」。
Traditional, centralized, trust-based, “castle and moat,” physical network perimeter security architectures are increasingly ineffective in today's decentralized computing landscape and remote workforce environments, where few organizational assets and users still reside inside the “castle.” 従来の中央集権的で、信頼に基づく、「城と堀」のような物理的なネットワーク境界セキュリティ・アーキテクチャは、今日の分散化されたコンピューティング環境とリモート・ワークフォース環境ではますます効果がなくなってきている。
Sophisticated threat actors are increasingly adept at exploiting any exposed technical or human vulnerability in modern, highly distributed enterprise networks that often leverage Internet connectivity heavily. Successful cyberattacks generally exploit implicit trust in some manner. This makes “trust” within digital systems a dangerous vulnerability that should be mitigated and managed. With ZT, all network assets and packets are implicitly untrusted and treated identically with every other packet flowing through the system. The trust level is defined as zero, hence the term Zero Trust 洗練された脅威行為者は、インターネット接続を多用する現代の高度に分散したエンタープライズ・ネットワークにおいて、技術的または人的な脆弱性を悪用することにますます長けている。サイバー攻撃は一般的に、何らかの形で暗黙の信頼を悪用する。このため、デジタルシステム内の「信頼」は、低減・管理すべき危険な脆弱性となる。ZTでは、すべてのネットワーク資産とパケットは暗黙のうちに信頼されず、システムを流れる他のすべてのパケットと同じように扱われる。信頼レベルはゼロと定義されるため、 ゼロトラスト(Zero Trust)と呼ばれる。
ZT is an extensible, holistic enterprise security strategy that encompasses cloud/multi-cloud (all service models), on-premise/hybrid systems, internal and external partner/stakeholder user (organization-managed and Bring Your Own Device (BYOD)) endpoints, is inclusive of operational technology (OT), Industrial Control Systems (ICS) and Internet of Things (IoT), and even extends to physical security in some cases. Consequently, ZT has been compared to a mountain that should be climbed one step at a time[2]; that is, implemented incrementally and in a risk-based manner. These principles are a common theme in Cloud Security Alliance (CSA) Zero Trust (ZT) guidance ZTは、クラウド/マルチクラウド(あらゆるサービスモデル)、オンプレミス/ハイブリッドシステム、社内外のパートナー/関係者ユーザー(組織管理およびBYOD(Bring Your Own Device))エンドポイントを包含し、運用技術(OT)、産業制御システム(ICS)、モノのインターネット(IoT)を含み、場合によっては物理的セキュリティにまで及ぶ、拡張可能で全体的なエンタープライズ・セキュリティ戦略である。その結果、ZTは、一歩ずつ登るべき山に例えられてきた[2]。つまり、段階的に、リスクに応じた方法で実施される。これらの原則は、クラウド・セキュリティ・アライアンス(CSA)の ゼロトラスト(ZT)ガイダンスの共通のテーマである。
Executive Summary エグゼクティブサマリー
In most nations, the health of public services relies on secure and resilient Critical Infrastructure (CI). These infrastructures are deemed critical because their incapacitation or destruction would have a debilitating impact on the national security, economy, and social welfare of a nation. Operational Technology (OT) systems serve as the backbone of CI around the world ほとんどの国では、公共サービスの健全性は、安全でレジリエンスに優れた重要インフラ(CI)に依存している。これらのインフラは、その機能停止や破壊が国家の安全保障、経済、社会福祉に壊滅的な影響を与えるため、重要であるとみなされる。オペレーショナル・テクノロジー(OT)システムは、世界中のCIのバックボーンとして機能している。
“OT encompasses a broad range of programmable systems or devices that interact with the physical environment (or manage devices that interact with the physical environment). These systems/devices detect or cause a direct change by monitoring and/or controlling devices, processes, and events. Examples include industrial control systems (ICS), building automation systems, transportation systems, physical access control systems, physical environment monitoring systems, and physical environment measurement systems.”[3] 「OTは、物理的環境と相互作用する(または物理的環境と相互作用する装置を管理する)プログラム可能なシステムまたは装置を幅広く包含する。これらのシステム/デバイスは、デバイス、プロセス、及びイベントを検知及び/又は制御することにより、直接的な変化を検知又は引き起こす。例えば、産業用制御システム(ICS)、ビルディングオートメーションシステム、輸送システム、物理的アクセス制御システム、物理的環境モニタリングシステム、物理的環境測定システムなどがある」[3]。
[1] NSTAC Report to the President on Zero Trust & Trusted Identity Management, pg. 1 & CSA definition of Zero Trust [1] ゼロトラストと信頼された ID 管理に関する NSTAC 報告書、1 ページおよび CSA によるゼロトラストの定義
[2] CISA Zero Trust Maturity Model [2] CISA ゼロトラスト成熟度モデル
[3] NIST Guide to Operational Technology (OT) Security: NIST SP 800-82r3 [3] NIST の運用技術(OT)セキュリティガイド: NIST SP 800-82r3

 

20241113-05150

 

 


 

Sample Purdue Model

1_20241113005601

 

 


 

|

« 米国 CISA 中小規模の組織のインフラストラクチャのセキュリティを支援するログ一元管理ツールであるロギング・メイド・イージー(LME) 2.0を公表 (2024.11.08) | Main | Five Eyes 日常的に悪用される脆弱性のトップ15 2023、上位の脆弱性の大半はゼロデイ (2024.11.12) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 CISA 中小規模の組織のインフラストラクチャのセキュリティを支援するログ一元管理ツールであるロギング・メイド・イージー(LME) 2.0を公表 (2024.11.08) | Main | Five Eyes 日常的に悪用される脆弱性のトップ15 2023、上位の脆弱性の大半はゼロデイ (2024.11.12) »