米国 CISA他 OT所有者および運営者向け資産インベントリガイダンス (2025.08.13)

こんにちは、丸山満彦です。

• 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）
• 米国環境保護庁（EPA）
• 米国国家安全保障局（NSA）
• 米国連邦捜査局（FBI）
• オーストラリア信号局 オーストラリアサイバーセキュリティセンター（ASD ACSC）
• カナダサイバーセキュリティセンター（Cyber Centre）
• ドイツ連邦情報セキュリティ局（BSI）
• オランダ国家サイバーセキュリティセンター（NCSC-NL）
• ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）

が、共同で、OT所有者および運営社向け資産インベントリガイダンスを作成し、公表していますね。このガイダンスには、石油・ガス事業者、電力事業者、上下水道事業者向けの例示もついていますね...

経済安全保障もあって今後日本でも特定重要設備の重要維持管理等のためのシステムを含む資産の一覧の作成が重要となりますから、いろいろと参考になるところもあるかもですね...

● CISA

・2025.08.13 CISA and Partners Release Asset Inventory Guidance for Operational Technology Owners and Operators

CISA and Partners Release Asset Inventory Guidance for Operational Technology Owners and Operators	CISA とパートナーが、OT所有者および運営者向けの資産インベントリガイダンス
CISA, along with the National Security Agency, the Federal Bureau of Investigation, Environmental Protection Agency, and several international partners, released comprehensive guidance to help operational technology (OT) owners and operators across all critical infrastructure sectors create and maintain OT asset inventories and supplemental taxonomies.	CISA は、国家安全保障局、連邦捜査局、環境保護庁、および複数の国際パートナーと共同で、すべての重要インフラセクターの運用技術 (OT) 所有者および運営者が OT 資産インベントリおよび補足分類を作成・維持するための包括的なガイダンスを発表した。
An asset inventory is a regularly updated, structured list of an organization's systems, hardware, and software. It includes a categorization system—a taxonomy—that classifies assets based on their importance and function. This guidance explains how OT owners and operators can create, maintain, and use asset inventories and taxonomies to identify and safeguard their critical assets.	資産インベントリとは、組織のシステム、ハードウェア、およびソフトウェアを定期的に更新する構造化されたリストである。これには、資産をその重要度および機能に基づいて分類する分類体系（分類法）が含まれる。このガイダンスでは、OT の所有者および運営者が、重要な資産を識別および保護するために、資産インベントリおよび分類法を作成、維持、および使用する方法について説明している。
Following this guidance, organizations may gain deeper insights into their architecture, optimize their defenses, better assess and reduce cybersecurity risk in their environments, and enhance incident response planning to ensure service continuity.	このガイダンスに従うことで、組織は自社のアーキテクチャについてより深い洞察を得、防御を最適化し、自社の環境におけるサイバーセキュリティリスクをより適切に評価および軽減し、インシデント対応計画を強化してサービスの継続性を確保することができる。

 

・2025.08.13 Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators

Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators

OT サイバーセキュリティの基礎：所有者および運営者向け資産インベントリガイダンス

This guidance was developed to provide operational technology (OT) owners and operators across all critical infrastructure sectors with a systematic approach for creating and maintaining an OT asset inventory and supplemental taxonomy—essential for identifying and securing critical assets, reducing the risk of cybersecurity incidents, and ensuring the continuity of the organization's mission and services. By following the outlined process, organizations can enhance their overall security posture, improve maintenance and reliability, and ensure the safety and resilience of their OT environments.

このガイダンスは、すべての重要インフラセクターの OTの所有者とオペレータに、OT 資産インベントリおよび補足分類を作成および維持するための体系的なアプローチを提供するために作成された。これは、重要な資産を識別して保護し、サイバーセキュリティインシデントのリスクを軽減し、組織のミッションとサービスの継続性を確保するために不可欠である。このガイダンスで概説されているプロセスに従うことで、組織は全体的なセキュリティ体制を強化し、保守と信頼性を向上させ、OT 環境の安全性とレジリエンスを確保することができる。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序論
Acknowledgements	謝辞
OT Taxonomies	OT タクソノミー
Steps to Develop an OT Asset Inventory and Taxonomy	OT資産インベントリとタクソノミーの開発手順
Post Inventory and Taxonomy Development Actions	インベントリと分類体系の策定後のアクション
OT Cybersecurity and Risk Management	OT サイバーセキュリティおよびリスクマネジメント
Maintenance and Reliability	保守および信頼性
Performance Monitoring and Reporting	パフォーマンス監視と報告
Training and Awareness	トレーニングおよび意識向上
Continuous Improvement	継続的な改善
Additional Resources	追加リソース
Questions and Feedback	質問とフィードバック
Contact Information	連絡先情報
Disclaimer	免責事項
Version History	バージョン履歴
Appendix A: Asset Inventory Fields	附属書 A：資産インベントリフィールド
Appendix B: Taxonomy for Oil and Gas Organizations	附属書 B：石油・ガス組織のための分類
Exercise Steps	演習の手順
Appendix C: Taxonomy for Electricity Organizations	附属書 C：電力組織のための分類法
Exercise Steps	演習の手順
Appendix D: Water and Wastewater	附属書 D：上下水道
Exercise Steps	演習の手順
References	参考文献

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
When building a modern defensible architecture, it is essential for operational technology (OT) owners and operators across all critical infrastructure sectors to create an OT asset inventory supplemented by an OT taxonomy. Using these tools helps owners and operators identify which assets in their environment should be secured and protected, and structure their defenses accordingly to reduce the risk a cybersecurity incident poses to the organization’s mission and service continuity.	最新の防御可能なアーキテクチャを構築する場合、すべての重要インフラセクターの OT (オペレーショナルテクノロジー) 所有者と運営者は、OT 分類法を補足した OT 資産インベントリを作成することが不可欠である。これらのツールを使用することで、所有者と運営者は、環境内のどの資産をセキュリティで保護し、防御すべきかを識別し、それに応じて防御体制を構築して、サイバーセキュリティインシデントが組織のミッションとサービスの継続性に及ぼすリスクを軽減することができる。
An asset inventory is an organized, regularly updated list of an organization’s systems, hardware, and software. For OT environments, a key part of creating an asset inventory is developing an OT taxonomy: a categorization system that organizes and prioritizes OT assets, aids in risk identification, vulnerability management, and incident response by classifying assets based on function and criticality.	資産インベントリとは、組織のシステム、ハードウェア、およびソフトウェアを整理し、定期的に更新するリストのことである。OT 環境では、資産インベントリを作成するための重要な要素として、OT 分類体系の構築がある。これは、OT 資産を整理して優先順位付けし、機能や重要度に基づいて資産を格付けすることで、リスクの特定、脆弱性の管理、およびインシデントへの対応を支援する分類システムである。
This guidance outlines a process for OT owners and operators to create an asset inventory and OT taxonomy. This process includes defining scope and objectives for the inventory, identifying assets, collecting attributes, creating a taxonomy, managing data, and implementing asset life cycle management. These steps define a thorough and systematic approach to creating and maintaining an OT asset inventory and OT taxonomy, enabling organizations to maintain an accurate and up-to-date record of their OT assets.	このガイダンスでは、OT の所有者と運営者が資産インベントリと OT 分類法を作成するためのプロセスについて概要を説明する。このプロセスには、インベントリの適用範囲と目的の定義、資産の識別、属性の収集、分類法の作成、データの管理、および資産ライフサイクル管理の実施が含まれる。これらのステップは、OT 資産インベントリおよび OT 分類法を作成および維持するための徹底的かつ体系的なアプローチを定義し、組織が OT 資産に関する正確かつ最新の記録を維持することを可能にする。
Furthermore, this guidance outlines how OT owners and operators can maintain, improve, and use their asset inventory to protect their most vital assets. Steps include OT cybersecurity and risk management, maintenance and reliability, performance monitoring and reporting, training and awareness, and continuous improvement. By addressing these areas, organizations can enhance their overall security posture and ensure the reliability and safety of their OT environments.	さらに、このガイダンスでは、OT の所有者と運用者が、最も重要な資産を保護するために、資産インベントリを維持、改善、および活用する方法についても概要を説明している。その手順には、OT のサイバーセキュリティとリスクマネジメント、保守と信頼性、パフォーマンスのモニタリングと報告、トレーニングと意識向上、および継続的な改善が含まれる。これらの分野に取り組むことで、組織は全体的なセキュリティ体制を強化し、OT 環境の信頼性と安全性を確保することができる。
To illustrate real world examples of OT taxonomies, CISA developed conceptual taxonomies through working sessions with organizations in the 39TUEnergy SectorU39T and Water and Wastewater Sector (see Appendix B: Taxonomy for Oil and Gas Organizations, Appendix C: Taxonomy for Electricity Organizations, and Appendix D: Water and Wastewater). These are not authoritative taxonomies for these sectors but are meant to help guide sector-specific organizations develop their own asset classification systems.	OT 分類の実際の例を示すため、CISA は、39TU エネルギーセクターU39T および上下水道セクターの組織との作業セッションを通じて、概念的な分類を開発した（附属書 B：石油・ガス組織の分類、附属書 C：電力組織の分類、および附属書 D：上下水道）を参照）。これらは、これらのセクターの権威ある分類ではなく、セクター固有の組織が独自の資産分類システムを開発するための指針となることを意図したものである。

 

 

 資産インベントリ手順...

 

上記の3番目...

OTタクソノミーの構築方法