米国 CISA他 OTへのサイバー脅威を軽減するための主な緩和策（2025.05.06）: まるちゃんの情報セキュリティ気まぐれ日記

December 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

2025.06.03

米国 CISA他 OTへのサイバー脅威を軽減するための主な緩和策（2025.05.06）

こんにちは、丸山満彦です。

1ヶ月ほど前になるのですが、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)、エネルギー省(DOE)が、OT、ICSへのサイバー脅威を軽減するよう、啓発していますね...

● CISA

・2025.05.06 Primary Mitigations to Reduce Cyber Threats to Operational Technology

Primary Mitigations to Reduce Cyber Threats to Operational Technology	OTへのサイバー脅威を軽減するための主な緩和策
Overview	概要
The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Environmental Protection Agency (EPA), and Department of Energy (DOE)—hereafter referred to as “the authoring organizations”—are aware of cyber incidents affecting the operational technology (OT) and industrial control systems (ICS) of critical infrastructure entities in the United States. The authoring organizations urge critical infrastructure entities to review and act now to improve their cybersecurity posture against cyber threat activities specifically and intentionally targeting internet connected OT and ICS.	サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)、エネルギー省(DOE)-以下「作成機関」-は、米国の重要インフラ事業体の運用技術(OT)および産業制御システム(ICS)に影響を及ぼすサイバーインシデントを認識している。認可機関は、重要インフラ事業体に対し、インターネットに接続された OT および ICS を特に意図的に標的とするサイバー脅威活動に対するサイバーセキュリティ態勢を改善するために、今すぐ検討し、行動するよう促す。
Mitigations	緩和策
The authoring organizations recommend critical infrastructure asset owners and operators implement the following mitigations[1] to defend against OT cyber threats.	認可機関は、重要インフラ資産の所有者および運用者に対して、OT のサイバー脅威を防御するために以下の緩和策[1]を実施することを推奨する。
Remove OT connections to the public internet. OT devices are easy targets when connected to the internet. OT devices lack authentication and authorization methods that are resistant to modern threats and are quickly found by searching for open ports on public IP ranges with search engine tools to target victims with OT components [CPG 2.X].	公共インターネットへの OT 接続を削除する。OT デバイスがインターネットに接続されていると、標的になりやすい。OT デバイスは、最新の脅威に耐性のある認証と認可の方法を欠いており、OT コンポーネントを持つ被害者を標的にするために、検索エンジンツールで公開 IP 範囲のオープンポートを検索することですぐに見つかる[CPG 2.X]。
Cyber threat actors use simple, repeatable, and scalable toolsets available to anyone with an internet browser. Critical infrastructure entities should identify their public-facing assets and remove unintentional exposure.	サイバー脅威アクターは、インターネットブラウザがあれば誰でも利用できる、シンプルで反復可能かつ拡張性のあるツールセットを使用している。重要インフラ事業体は、公衆向けの資産を識別し、意図しないエクスポージャーを取り除くべきである。
Change default passwords immediately and use strong, unique passwords. Recent analysis of this cyber activity indicates that targeted systems use default or easily guessable (using open source tools) passwords. Changing default passwords is especially important for public-facing internet devices that have the capability to control OT systems or processes [CPG 2.A][CPG 2.B][CPG 2.C].	デフォルトのパスワードを直ちに変更し、強力でユニークなパスワードを使用すること。このサイバー活動の最近の分析によると、標的とされたシステムは、デフォルトのパスワードまたは（オープンソースツールを使用して）容易に推測可能なパスワードを使用している。デフォルトパスワードの変更は、OT システムまたはプロセスを制御する機能を持つ、公衆に面したインターネット機器にとって特に重要である [CPG 2.A][CPG 2.B][CPG 2.C]。
Secure remote access to OT networks. Many critical infrastructure entities, or contractors working on their behalf, make risk-based tradeoffs when implementing remote access to OT assets. These tradeoffs deserve careful reevaluation. If remote access is essential, upgrade to a private IP network connection to remove these OT assets from the public internet and use virtual private network (VPN) functionality with a strong password and phishing-resistant multifactor authentication (MFA) for user remote access.	OT ネットワークへの安全なリモートアクセス。多くの重要インフラ事業体、またはそのために働く請負業者は、OT 資産へのリモート・アクセスを実施する際、リスクに基づくトレードオフを行っている。これらのトレードオフは、慎重な再評価に値する。リモート・アクセスが不可欠な場合は、プライベート IP ネットワーク接続にアップグレードして、これらの OT 資産を公共のインターネットから取り除き、ユーザーのリモート・アクセスには、強力なパスワードとフィッシングに強い多要素認証（MFA）を備えた仮想プライベート・ネットワーク（VPN）機能を使用する。
Document and configure remote access solutions to apply principles of least privilege for the specific asset and user role or scope of work [CPG 2.H]. Further, disable dormant accounts.	特定の資産及びユーザの役割又は業務範囲に対して最小特権の原則を適用するために、リモート・アクセス・ソリューションを文書化し、構成する [CPG 2.H]。さらに、休眠アカウントを無効にする。
Segment IT and OT networks. Segmenting critical systems and introducing a demilitarized zone for passing control data to enterprise logistics reduces the potential impact of cyber threats and reduces the risk of disruptions to essential OT operations [CPG 2.F ].	IT ネットワークと OT ネットワークをセグメント化する。重要なシステムをセグメント化し、エンタープライズ・ロジスティクスに制御データを渡すための非武装地帯を導入することで、サイバー脅威の潜在的な影響を低減し、必要不可欠な OT オペレーションが中断するリスクを低減する [CPG 2.F]。
Practice and maintain the ability to operate OT systems manually. The capability for organizations to revert to manual controls to quickly restore operations is vital in the immediate aftermath of an incident. Business continuity and disaster recovery plans, fail-safe mechanisms, islanding capabilities, software backups, and standby systems should all be routinely tested to ensure safe manual operations in the event of an incident.	OT システムを手動で操作する能力を実践し、維持する。インシデントが発生した直後には、組織が手動制御に戻してオペレーションを迅速に復旧させる能力が不可欠である。事業継続および災害復旧計画、フェイルセーフメカニズム、アイランド化機能、ソフトウェアバックアップ、スタンバイシステムはすべて、インシデント発生時に安全な手動操作を確保するために、日常的にテストされるべきである。
The authoring organizations recommend that critical infrastructure organizations regularly communicate with their third-party managed service providers, system integrators, and system manufacturers who may be able to provide system-specific configuration guidance as they work to secure their OT.	認可組織は、重要インフラ組織がOTの安全確保に取り組む際に、システム固有の構成ガイダンスを提供できる可能性のあるサードパーティのマネージドサービス・プロバイダ、システムインテグレータ、およびシステム製造事業者と定期的にコミュニケーションをとることを推奨する。
Misconfigurations may be introduced during standard operations, by the system integrator, by a managed service provider, or as part of the default product configuration by the system manufacturer. Working with the relevant groups to address these issues may prevent future unintentional vulnerabilities from being introduced.	誤った構成は、標準運用中、システムインテグレータ、マネージドサービス・プロバイダー、またはシステム製造事業者によるデフォルト製品構成の一部として導入される可能性がある。関連グループと協力してこれらの問題に対処することで、将来、意図しない脆弱性が持ち込まれるのを防ぐことができる。
Resources	リソース
CISA recommends critical infrastructure organizations review and implement, if possible, the following resources to enhance their security posture.	CISAは、重要インフラストラクチャー組織がセキュリティ態勢を強化するために、以下のリソースを検討し、可能であれば実施することを推奨する。
1. For an overview of tools to help identify public-facing devices on the internet and ways to reduce your internet attack surface, see CISA’s Stuff off Search web page.	1. インターネット上の公衆向けデバイスを識別するのに役立つツールの概要と、インターネット上の攻撃対象領域を減らす方法については、CISAの「Stuff off Search」ウェブ・ページを参照すること。
2. For more information on using strong passwords, see CISA’s Use Strong Passwords web page.	2. 強力なパスワードの使用に関する詳細については、CISAの「強力なパスワードを使用する」のWebページを参照のこと。
3. For more information on phishing-resistant MFA, see CISA’s Implementing Phishing-Resistant MFA fact sheet .	3. フィッシングに強いMFAの詳細については、CISAの「フィッシングに強いMFAの実装」ファクト・シートを参照のこと。
4. For more information on network segmentation, see CISA’s Layering Network Security Through Segmentation fact sheet.	4. ネットワーク・セグメンテーションの詳細については、CISAのファクト・シート「セグメンテーションによるネットワーク・セキュリティの強化」を参照のこと。
5. For more information on procuring Secure by Design OT components, see CISA’s Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products.	5. セキュア・バイ・デザインのOTコンポーネントの調達に関する詳細については、CISAの「デジタル製品を選択する際に、運用技術の所有者と運営者が優先的に考慮すべきこと」を参照。
6. For more information on top cyber actions to secure water systems and accompanying resources, see Top Cyber Actions for Securing Water Systems.	6. 水道システムの安全性を確保するためのトップ・サイバー・アクションとそれに付随するリソースの詳細については、「水道システムの安全性を確保するためのトップ・サイバー・アクション」を参照のこと。
7. For more information on addressing network segmentation for water systems, please see EPA Guidance on Improving Cybersecurity at Drinking Water and Wastewater Systems, Factsheet 2.F.	7. 水道システムのネットワークセグメンテーションへの対応に関する詳細については、EPA 飲料水・廃水システムにおけるサイバーセキュリティ改善のためのガイダンス、ファクトシート2.F. を参照のこと。
8. For more comprehensive security controls to address advanced threat actors who pivot through enterprise networks to reach OT, see Identifying and Mitigating Living Off the Land Techniques.	8. エンタープライズ・ネットワークを迂回して OT に到達する高度脅威アクターに対処するためのより包括的なセキュリティ対策については、「現地調達手法の特定と緩和」を参照のこと。