英国 NCSC OTアーキテクチャの確定的な全体像の作成と維持 (2025.09.29)
こんにちは、丸山満彦です。
英国のNCSCが、オーストラリア通信総局(ASD)、米国のCISA/FBI、カナダのCSSC、ニュージーランドのNCSC-NZ、オランダのNCSC-NL、ドイツのBSIと共同で、「OTアーキテクチャの確定的な全体像の作成」と維持についてのガイダンスを作成していますね...
2024.03.18に作成されていたものを拡大した感じですかね...
「OTアーキテクチャの確定的な全体像の作成と維持」についての5つの原則を決めていますね...
- 原則1:確定記録の確立と維持のためのプロセスを定義する
- 原則2:OT情報セキュリティ管理プログラムを確立する
- 原則3:情報に基づいたリスクベースの意思決定を支援するため、資産を識別・分類する
- 原則4:OTシステム内の接続性を識別し文書化する
- 原則5:OTシステムに対する第三者のリスクを理解し文書化する
現状を把握し、管理プログラムを確立し、資産の識別・分類をし、接続性を特定し、第三者のリスクを理解し、それぞれ文書化する。。。
● NCSC
今回の部分...
・Creating and maintaining a definitive view of your OT architecture
PDF版もありますが、HTMLの方が読みやすいですよね...
・[PDF]
ブログの記事も参考になりますかね...
・2025.09.29 Understanding your OT environment: the first step to stronger cyber security
| Understanding your OT environment: the first step to stronger cyber security | OT環境を理解する:強固なサイバーセキュリティへの第一歩 |
| If you can’t see your entire operational technology environment, you can’t defend it. New guidance from the NCSC will help you gain that visibility. | 運用技術(OT)環境全体を把握できなければ、防御は不可能だ。NCSCの新たなガイダンスが可視化を支援する。 |
| If you work in operational technology (OT), you already know what’s at stake. | OT分野で働く者なら、その重要性を理解しているはずだ。 |
| OT systems keep the lights on, the water pumping, the manufacturing lines moving and our critical national services running. When these systems are compromised or disrupted, the real-world impacts affect safety, operations, the economy, and even national resilience. | OTシステムは、照明の点灯、水の供給、製造ラインの稼働、国家の重要サービスを維持している。これらのシステムが侵害されたり機能停止に陥ったりすると、現実世界では安全、運用、経済、さらには国家のレジリエンスにまで影響が及ぶ。 |
| That’s why today the NCSC is launching new guidance to help OT organisations create and maintain a ‘definitive record’ of their environment, an accurate and up-to-date view of the system that will change over time to maintain its accuracy and authority. | だからこそNCSCは本日、OT組織が自社の環境に関する「確定記録」を作成・維持するための新たなガイダンスを発表する。これは時間の経過とともに変化するシステムの正確かつ最新の状態を把握し、その正確性と信頼性を維持するためのものだ。 |
| Connectivity, complexity and change are part of today’s OT reality. Systems that were once air-gapped now interact with enterprise IT, cloud platforms, remote vendor management tools and external data services. Large, long-lived environments bring the extra challenge of undocumented changes, where temporary fixes become permanent, devices are swapped without records being updated, and network paths evolve over time. And without a complete, current understanding of your whole environment, effective cyber security controls can’t be designed, implemented or maintained. | 接続性、複雑性、変化は現代のOT環境の現実だ。かつてエアギャップされていたシステムも、今や企業IT、クラウドプラットフォーム、遠隔ベンダー管理ツール、外部データサービスと連携している。大規模で長期運用される環境では、文書化されていない変更がさらなる課題となる。一時的な修正が恒久化され、記録を更新せずにデバイスが交換され、ネットワーク経路が時間とともに変化するのだ。そして、環境全体の完全かつ最新の理解がなければ、効果的なサイバーセキュリティ対策の設計、実装、維持は不可能だ。 |
| The ‘definitive record’ the guidance describes isn’t just a technical asset list; it reflects how your OT supports your mission and your operations, and includes: | このガイダンスが述べる「決定的な記録」は単なる技術資産リストではない。OTがミッションと運用をどう支えるかを反映し、以下を含む: |
| ・Components: individual devices, controllers, software and virtualised systems, classified by their criticality, exposure, and availability requirements. | ・コンポーネント:個々のデバイス、コントローラー、ソフトウェア、仮想化システム。重要度、露出度、可用性要件で分類される。 |
| ・Connectivity: how those assets interact within the OT network and beyond, including external connectivity, protocols in use, and any limitations like latency or bandwidth. | ・接続性:OTネットワーク内外における資産間の相互作用。外部接続性、使用プロトコル、遅延や帯域幅などの制約を含む。 |
| ・Wider system architecture: zones, conduits and segmentation measures; resilience provisions such as redundancy or high-availability pairs; and the documented reasoning behind design choices. | ・広範なシステムアーキテクチャ:ゾーン、導管、セグメンテーション対策。冗長性や高可用性ペアなどの耐障害性措置。設計選択の背景にある文書化された根拠。 |
| ・Supply chain and third-party access: which vendors, integrators and service providers connect into your environment, how they are managed, and how those connections are protected. | ・サプライチェーンとサードパーティアクセス:どのベンダー、インテグレーター、サービスプロバイダーが環境に接続しているか、それらの管理方法、接続の保護策。 |
| ・Business and impact context: understanding what would happen operationally, financially and from a safety perspective if an asset or connection failed or were compromised, and using that to shape priorities. | ・事業影響の文脈:資産や接続が故障・侵害された場合の運用面、財務面、安全面での影響を把握し、優先順位設定に活用する。 |
| The more an adversary knows about your OT, the easier it is for them to plan and execute effective attacks. Every diagram, configuration and description is valuable intelligence to a skilled attacker. This means your definitive record is one of the most sensitive collections of information you will hold. It should only be accessible to those who need it, protected against tampering, and managed with secure change control. The guidance will help you protect this information appropriately while still enabling its operational and security value. Building your definitive record won’t happen overnight, and it’s not a ‘one and done’ task. Even a partial view to begin with is better than none, and it will mature as you work systematically through assets, networks and supplier relationships. | 敵対者がOTに関する情報を多く知れば知るほど、効果的な攻撃の計画と実行は容易になる。あらゆる図面、構成、説明は熟練した攻撃者にとって貴重な情報源だ。つまり、確定記録は保有する情報の中で最も機密性の高い集合体の一つとなる。必要な者だけがアクセス可能とし、改ざんから保護し、安全な変更管理で管理すべきだ。本ガイダンスは、運用上およびセキュリティ上の価値を維持しつつ、この情報を適切に保護する手助けとなる。決定版記録の構築は一夜にして成らず、一度きりの作業でもない。最初は部分的な見解でも、何もないよりはましだ。資産、ネットワーク、サプライヤー関係を体系的に処理するにつれ、成熟していく。 |
| For many organisations, pieces of the puzzle already exist, in design documents, vendor manuals, maintenance logs or monitoring tools. The goal is to bring these together, validate them, and keep them up to date. By taking this approach, you can make informed, risk-based decisions on patching, architecture changes, third-party access, and contingency planning, ensuring your controls are proportionate and targeted where they matter most. | 多くの組織では、設計文書、ベンダーマニュアル、保守ログ、監視ツールなどにパズルのピースが既に存在している。目標はこれらを統合し、検証し、最新の状態に保つことだ。このアプローチにより、パッチ適用、アーキテクチャ変更、第三者アクセス、緊急時対応計画について、情報に基づいたリスクベースの判断が可能となる。これにより、制御が適切に比例し、最も重要な箇所に的を絞ったものとなる。 |
| If you can’t see your whole OT environment, you can’t truly defend it. This guidance will help you gain that visibility, turning fragmented knowledge into a definitive, living record, and enabling you to protect the OT systems, services and supply chains that matter most. | OT環境全体を把握できなければ、真の防御は不可能だ。本ガイダンスは可視性の獲得を支援し、断片的な知識を決定的で生きた記録へと転換する。これにより、最も重要なOTシステム・サービス・サプライチェーンを保護できる。 |
| This guidance has been produced by the NCSC in partnership with: | 本ガイダンスはNCSCが以下の機関と共同で作成した: |
| ・Australian Signals Directorate (ASD) | ・オーストラリア信号局(ASD) |
| ・US Cybersecurity and Infrastructure Security Agency (CISA) | ・米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA) (CISA) |
| ・Canadian Centre for Cyber Security (Cyber Centre) | ・カナダサイバーセキュリティセンター(Cyber Centre) |
| ・US Federal Bureau of Investigation (FBI) | ・米国連邦捜査局(FBI) |
| ・New Zealand’s National Cyber Security Centre (NCSC-NZ) | ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ) |
| ・Netherland's National Cyber Security Centre (NCSC-NL) | ・オランダ国家サイバーセキュリティセンター(NCSC-NL) |
| ・Germany’s Federal Office for Information Security (BSI) | ・ドイツ連邦情報セキュリティ庁(BSI) |
| We thank all our partners who have contributed to this guidance. | 本ガイダンスの作成に貢献した全てのパートナーに感謝する。 |
詳細は
↓↓↓↓↓↓
| Creating and maintaining a definitive view of your OT architecture | OTアーキテクチャの決定版ビューの作成と維持 |
| How organisations who deploy or operate OT systems should build, maintain and store their systems understanding. | OTシステムを導入または運用する組織が、システム理解を構築・維持・保存する方法 |
| In this guidance | 本ガイダンスでは |
| Introduction | はじめに |
| Principle 1: Define processes for establishing and maintaining the definitive record | 原則1:決定版記録の確立と維持のためのプロセスを定義する |
| Principle 2: Establish an OT information security management programme | 原則2:OT情報セキュリティ管理プログラムを確立する |
| Principle 3: Identify and categorise assets to support informed risk-based decisions | 原則3:情報に基づいたリスクベースの意思決定を支援するため、資産を識別・分類する |
| Principle 4: Identify and document connectivity within your OT system | 原則4:OTシステム内の接続性を識別し文書化する |
| Principle 5: Understand and document third-party risks to your OT system. | 原則5:OTシステムに対する第三者リスクを理解し文書化する |
| This guidance defines a principles-based approach for how operational technology (OT) organisations should build, maintain and store their systems understanding. It is aimed at cyber security professionals working in organisations that deploy or operate OT across greenfield and brownfield deployments. Integrators and device manufactures can also use these principles to ensure their solutions enable effective asset and configuration management. | 本ガイダンスは、運用技術(OT)組織がシステム理解を構築・維持・保存すべき方法に関する原則ベースのアプローチを定義する。新規導入(グリーンフィールド)および既存システム(ブラウンフィールド)においてOTを展開または運用する組織で働くサイバーセキュリティ専門家を対象とする。インテグレーターやデバイスメーカーも、これらの原則を活用して自社のソリューションが効果的な資産管理および構成管理を実現できるようにすることができる。 |
This guidance has been developed with contributions from partnering agencies and is part of a series of publications aiming to draw attention to the importance of cyber security in Operational Technology. |
本ガイダンスは、提携機関の協力のもとで作成され、運用技術におけるサイバーセキュリティの重要性に注目を集めることを目的とした一連の出版物の一部である。 |
| It is produced by the UK National Cyber Security Centre (NCSC) in partnership with the Australian Signals Directorate Australian Cyber Security Centre (ASD's ACSC), US Cybersecurity and Infrastructure Security Agency (CISA), the Canadian Centre for Cyber Security (Cyber Centre), the US Federal Bureau of Investigation (FBI), New Zealand’s National Cyber Security Centre (NCSC-NZ), Netherlands National Cyber Security Centre (NCSC-NL) and Germany’s Federal Office for Information Security (BSI). | 英国国家サイバーセキュリティセンター(NCSC)が、オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASDのACSC)、 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、カナダサイバーセキュリティセンター(Cyber Centre)、米国連邦捜査局(FBI)、ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)、オランダ国立サイバーセキュリティセンター(NCSC-NL)、ドイツ連邦情報セキュリティ庁(BSI)との連携により作成された。 |
| Introduction | 序論 |
| OT systems are a prime target due to their criticality and the potential impact if these systems are disrupted. As the number and capability of threat actor targeting OT increases, so too does the need for robust cyber security controls. However, the complexity, scale, and long-standing nature of OT systems often means organisations can lack a holistic view of their environment, which undermines their ability to implement effective cyber security measures. | OTシステムは重要度が高く、障害が発生した場合の影響が大きいため、主要な標的となっている。OTを標的とする脅威アクターの数と能力が増加するにつれ、強固なサイバーセキュリティ対策の必要性も高まっている。しかし、OTシステムの複雑さ、規模、そして長年にわたる運用実績は、組織が自社の環境を包括的に把握できていないことを意味することが多く、効果的なサイバーセキュリティ対策の実施能力を損なっている。 |
| Traditionally, OT networks were isolated (or ‘air-gapped’) from the internet and external systems. However, modern operational demands have led to increased connectivity as networks now integrate with enterprise systems, third-party vendors and cloud services. This makes designing appropriate security controls increasingly critical, to reduce the risks to previously isolated systems. | 従来、OTネットワークはインターネットや外部システムから隔離(エアギャップ)されていた。しかし現代の運用要求により、エンタープライズシステムや第三者ベンダー、クラウドサービスとの統合が進み、接続性が向上している。これにより、従来は隔離されていたシステムへのリスクを低減するため、適切なセキュリティ対策の設計がますます重要となっている。 |
| To design appropriate and effective controls a holistic system understanding is required. In this guidance, the term definitive record is used to describe a continually updated, accurate and up-to-date view of the system. A definitive record is an evolving collection of information that will change over time, with all system changes recorded to maintain its accuracy and authority. | 適切かつ効果的な制御を設計するには、システム全体の理解が必要だ。本ガイダンスでは「確定記録」という用語を用い、継続的に更新され正確かつ最新のシステム状態を示す。確定記録は時間の経過と共に変化する情報の集合体であり、正確性と信頼性を維持するため全てのシステム変更が記録される。 |
| Establishing a definitive record of your organisation's OT will allow you to effectively assess risks and implement the proportionate security controls. Rather than focusing solely on individual assets, a holistic approach enables you to consider the broader context which leads to a better assessment of the criticality and potential impacts of compromises. | 組織のOT(オペレーショナルテクノロジー)に関する確定記録を確立することで、リスクを効果的に評価し、適切なセキュリティ管理策を実施できるようになる。個々の資産のみに焦点を当てるのではなく、包括的なアプローチにより、より広い文脈を考慮することが可能となり、侵害の重要性と潜在的な影響をより適切に評価できる。 |
| Note: The process of establishing a definitive record should be collaborative, with both OT and IT teams involved. Use the NCSC cyber security culture principles to support this approach. | 注記:確定記録の確立プロセスは、OTチームとITチームが協働して行うべきである。このアプローチを支援するため、NCSCサイバーセキュリティ文化原則を活用すること。 |
| Key priorities | 主要な優先事項 |
| Your organisation should aim to create a definitive record of all OT systems that it owns and operates. Since this task can be complex and time-consuming, you should prioritise systems based on: | 組織は、所有・運用する全てのOTシステムについて確定記録を作成することを目指すべきである。この作業は複雑で時間を要するため、以下の基準に基づいてシステムの優先順位を付けること: |
| 1. The impact of the system to either your business function or the potential of national impact. | 1. システムが事業機能に与える影響、または国家レベルへの潜在的影響。 |
| 2. Third party connections, particularly where these connections can change the configuration of system components (or have direct control over the process). | 2. 第三者接続、特にシステムコンポーネントの設定変更(またはプロセスへの直接制御)を可能とする接続。 |
| 3. The overall exposure of the system, taking into account how many connections the system has to external services where your organisation does not set the configuration of security controls. | 3. 組織がセキュリティ制御の設定を管理しない外部サービスへの接続数を考慮した、システムの全体的なエクスポージャー。 |
| Principles-based guidance | 原則に基づくガイダンス |
| This guidance outlines the principles that organisations should aim to achieve when documenting their OT. They are intended as goals rather than minimum requirements. | 本ガイダンスは、組織がOTを文書化する際に達成すべき原則を概説する。これらは最低限の要件ではなく目標として位置付けられる。 |
| Cyber security professionals should use these principles as a framework to develop a comprehensive record of their systems. This will require time and may present complexities, particularly in brownfield deployments. However, much of the information necessary to establish a definitive record is likely already available within your organisations. This information may be found in configuration files, existing documentation, or through monitoring and security tools. Identifying these existing resources is crucial for minimising the burden of ongoing maintenance of the record. | サイバーセキュリティ専門家は、これらの原則を枠組みとして活用し、システムに関する包括的な記録を作成すべきである。これには時間がかかり、特に既存環境(ブラウンフィールド)での展開では複雑さが伴う可能性がある。しかし、確定的な記録を確立するために必要な情報の多くは、組織内に既に存在している可能性が高い。この情報は設定ファイル、既存の文書、あるいは監視・セキュリティツールを通じて発見できる。これらの既存リソースの識別は、記録の継続的な保守の負担を最小限に抑える上で極めて重要である。 |
| Integrators and device manufactures are encouraged to make these principles easier for organisations to achieve, through freely providing comprehensive documentation for supplied systems and offering tools that enable effective asset and configuration management. It is especially important that this documentation is available for 'turn-key' solutions, allowing operators to understand the design and implement appropriate security controls throughout the system's lifecycle. | システムインテグレーターやデバイスメーカーは、供給システムに関する包括的なドキュメントを無償提供し、効果的な資産・構成管理を可能にするツールを提供することで、組織がこれらの原則を達成しやすくすることが推奨される。特に「ターンキー」ソリューションにおいてこのドキュメントが利用可能であることが重要であり、これにより運用担当者は設計を理解し、システムのライフサイクル全体を通じて適切なセキュリティ制御を実装できる。 |
| Terminology | 用語 |
| Asset Any physical or virtual component within your OT system such as field devices, digital sensors, digital actuators, networking equipment, protocol gateways and computer platforms. Assets do not only include physical components but also digital services and software. | 資産:OTシステム内の物理的または仮想的な構成要素。フィールドデバイス、デジタルセンサー、デジタルアクチュエータ、ネットワーク機器、プロトコルゲートウェイ、コンピュータプラットフォームなどが該当する。資産には物理的コンポーネントだけでなく、デジタルサービスやソフトウェアも含まれる。 |
| Asset inventory An organised, regularly updated list of an organisation’s systems, hardware, and software. The inventory includes fields that describe the asset attributes such as manufacturer, model, and supporting communications protocols. | 資産インベントリ:組織のシステム、ハードウェア、ソフトウェアを体系的に整理し、定期的に更新されるリスト。インベントリには、製造事業者、モデル、対応コミュニケーションプロトコルなど、資産の属性を記述する項目が含まれる。 |
| Architecture A holistic design that not only encompasses the components of a system (including technology, security controls, people and process), but how these elements integrate into larger business functions and objectives. The architecture is not just about technology; it is about how people and processes interact with it. | アーキテクチャ :システムの構成要素(技術、セキュリティ対策、人、プロセスを含む)だけでなく、これらの要素がより大きな業務機能や目標にどう統合されるかを包括的に設計したもの。アーキテクチャは技術だけに関するものではなく、人とプロセスが技術とどう関わるかに関するものである。 |
| Brownfield An existing OT environment that is already deployed and operational. Brownfield environments present unique challenges when integrating new technologies, requiring careful planning to retrofit, secure, and modernise without disrupting critical operations. | ブラウンフィールド :既に展開・稼働中の既存OT環境を指す。新規技術統合時には特有の課題が生じ、重要業務を妨げずに改修・保護・近代化するための綿密な計画が必要となる。 |
| Definitive record A definitive record describes a continually updated, accurate and up-to-date view of the system (or element of a system). The definitive record will change over time with all system changes recorded to maintain its accuracy and authority. | 確定記録 :システム(またはシステム要素)の継続的に更新され、正確かつ最新の状態を示す記録を指す。確定記録は時間の経過とともに変化し、その正確性と権威を維持するため、全てのシステム変更が記録される。 |
| External connectivity Any connection that leaves the OT network boundary, including connections to any third parties, vendors and/or enterprise systems. | 外部接続性: OTネットワーク境界を離れるあらゆる接続を指す。これには第三者、ベンダー、および/またはエンタープライズシステムへの接続が含まれる。 |
| Internal connectivity Any communications with assets within your organisation OT system. This includes all LAN and WAN components. | 内部接続性:組織のOTシステム内にある資産とのあらゆるコミュニケーションを指す。これにはLANおよびWANの全コンポーネントが含まれる。 |
| Information In this guidance, information can refer to raw data (sensor values or industrial protocols), documents (reports or diagrams), configurations (settings or policies), records (logs or audit trails) and procedural/process data (workflows or operating plans). | 情報:本ガイダンスにおいて、情報は以下のものを指し得る:生データ(センサー値や産業プロトコル)、文書(報告書や図面)、構成(設定やポリシー)、記録(ログや監査証跡)、手順/プロセスデータ(ワークフローや運用計画)。 |
| Principle 1: Define processes for establishing and maintaining the definitive record | 原則1:確定記録の確立と維持のためのプロセスを定義する |
| To create a definitive record of your organisation's OT systems, you should first determine how your organisation will gather, validate and maintain this information. Establishing a robust change management process is crucial to ensure the ongoing accuracy and relevance of this record over time. Your process should answer the following 3 questions: | 組織のOTシステムに関する確定記録を作成するには、まず組織がこの情報を収集、妥当性確認、維持する方法を決定すべきである。時間の経過とともにこの記録の正確性と関連性を継続的に確保するためには、堅牢な変更管理プロセスの確立が不可欠である。プロセスは以下の3つの質問に答えるべきである: |
| 1. How will information be collected? | 1. 情報はどのように収集されるか? |
| Once you’ve established the OT systems that you need to collect information on, you need to identify what sources you can use. When selecting information sources for the definitive record you should also consider any identified information gaps within the organisation. | 情報を収集すべきOTシステムを特定したら、利用可能な情報源を識別する必要がある。確定記録の情報源を選択する際には、組織内で識別された情報の欠落部分も考慮すべきである。 |
| Information sources could include, but are not limited to: | 情報源には以下が含まれるが、これらに限定されない: |
| Asset Inventory | 資産インベントリ |
| An OT asset inventory should list OT systems, hardware, and software with their attributes, including supported communications protocols. | OT資産インベントリには、OTシステム、ハードウェア、ソフトウェアを、サポートされているコミュニケーションプロトコルを含む属性とともに記載すべきである。 |
| Existing designs and documents | 既存の設計と文書 |
| OT systems undergo extensive design work before they are commissioned to ensure they function as intended. Use any existing design, process or safety documentation as an initial step towards creating a definitive OT system architecture record. | OTシステムは、意図した通りに機能することを保証するため、稼働前に広範な設計作業を経る。既存の設計、プロセス、安全に関する文書を、確定的なOTシステムアーキテクチャ記録を作成する最初のステップとして活用する。 |
| Your staff | 従業員 |
| Many OT systems have evolved in line with business needs. If a change management process has not been implemented, it is likely this information is still known by your organisation's experts. Work with system owners to identify what knowledge is already documented, and how current it is. | 多くのOTシステムは、ビジネスニーズに沿って進化してきた。変更管理プロセスが導入されていない場合、この情報は組織内の専門家が依然として把握している可能性が高い。システム所有者と協力し、既に文書化されている知識を識別し、その最新性を確認する。 |
| Passive monitoring | 受動的監視 |
| Use passive monitoring tools to help build your OT architecture record. These tools can also aid in spotting undocumented changes to the OT system. If you find differences between your documented designs and monitoring results, you must validate if the changes were planned and where this is the case, document the changes. | 受動的監視ツールを活用してOTアーキテクチャ記録を構築する。これらのツールは、OTシステムへの未文書化された変更の発見にも役立つ。文書化された設計と監視結果に差異が見つかった場合、その変更が計画されたものかどうかを妥当性確認し、計画された変更である場合は変更内容を文書化しなければならない。 |
| Configuration information | 構成情報 |
| Use configuration information stored on support and management components in the environment. This could include project files and related configurations for assets like programmable logic controllers and remote terminal units. This should also include the configuration of network devices within the OT environment. | 環境内のサポートおよび管理コンポーネントに保存された構成情報を利用する。これにはプログラマブルロジックコントローラやリモートターミナルユニットなどの資産に関するプロジェクトファイルや関連設定が含まれる。OT環境内のネットワークデバイスの構成もこれに含まれるべきである。 |
| SBOM and HBOM | SBOMとHBOM |
| A Software Bill of Materials (SBOM) and Hardware Bill of Materials (HBOM) can be requested from your manufactures. These can provide visibility into underlying components and help identify potentially vulnerable components. Prior to purchase, an organisation can use the SBOM/HBOM as part of their product risk assessment. The US Cybersecurity and Infrastructure Security Agency (CISA) has published a HBOM framework as well as a number of resources on SBOMs. This NCSC blog will also help you to understand where SBOMs can add value in your organisation as well as their limitations. | ソフトウェア部品表(SBOM)およびハードウェア部品表(HBOM)は製造事業者から要求できる。これらは基盤コンポーネントの可視化を提供し、潜在的に脆弱なコンポーネントの識別に役立つ。購入前に組織は製品リスクアセスメントの一環としてSBOM/HBOMを活用できる。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はHBOM枠組みとSBOMに関する複数のリソースを公開している。このNCSCブログも、組織におけるSBOMの付加価値と限界を理解する助けとなる。 |
| Point-in-time active scanning | 特定時点でのアクティブスキャン |
| Conducting a point-in-time active scanning assessment can help you identify additional assets and their configurations within your environment. Before you conduct any actives scanning in OT environments, you should be aware that this process has the potential to overwhelm legacy devices that may have limited processing power, leading to performance degradation, freezing or crashing. Thoroughly consider and test for these implications before implementation. | 特定時点でのアクティブスキャンアセスメントを実施することで、環境内の追加資産とその構成を識別できる。OT環境でアクティブスキャンを実施する前に、このプロセスが処理能力の限られたレガシーデバイスを過負荷状態に陥らせ、性能低下・フリーズ・クラッシュを引き起こす可能性があることを認識すべきだ。実装前にこれらの影響を徹底的に検討しテストすること。 |
| Note: If your organisation decides to use active scanning, ensure that it employs native ICS/OT protocols and tools, and that the scanning methods have been tested and validated by the original equipment manufacturer (OEM) of each asset. | 注記:アクティブスキャンを採用する場合、ネイティブのICS/OTプロトコルとツールを使用し、各資産のOEM(オリジナル機器製造事業者)によってスキャン方法がテストおよび妥当性確認されていることを確認すること。 |
| Where your OT system is monitored, it is crucial to inform your Security Operations Centre about your active scanning plans, including the date, time, and scope of the activity. This will help prevent any malicious active scanning from being overlooked after data collection. Planned maintenance windows can further ensure that this assessment does not impact your operations. | 監視対象のOTシステムがある場合、セキュリティ・オペレーションセンターに対し、アクティブスキャンの計画(実施日時・範囲を含む)を通知することが極めて重要である。これにより、データ収集後に悪意のあるアクティブスキャンが見落とされるのを防げる。計画的なメンテナンスウィンドウを設定することで、このアセスメントが運用に影響を与えないようにできる。 |
| Summary | 要約 |
| Your organisation should have a documented systematic approach to collect OT systems information. You should understand the sources of information available to you for the definitive record and how you can use this data. You should look to gather information from a range of sources, including from people, documentation, scanning and configurations. | 組織は、OTシステム情報を収集するための体系的なアプローチを文書化しておくべきだ。確定記録として利用可能な情報源と、そのデータの活用方法を理解しておく必要がある。人、文書、スキャン、設定など、多様な情報源から情報を収集するよう努めるべきだ。 |
| 2. How will information be validated? | 2. 情報の妥当性確認方法 |
| Your process should also define how you validate any information you have collected. This is a critical step in ensuring you are building an up-to-date and definitive view of your OT system architecture. You will likely need to look at a several factors, including: | 収集した情報の妥当性確認方法もプロセスで定義しておくべきだ。これは、OTシステムアーキテクチャの最新かつ確定的な見解を構築するために不可欠なステップである。以下の複数の要素を検討する必要がある: |
| ・Completeness How complete is the information? Does it capture all the details, or is it a draft document that will need additional information? | ・完全性 情報の完成度はどうか?詳細を全て網羅しているか、それとも追加情報が必要なドラフト段階か? |
| ・Accuracy Does the documentation match your engineers' understanding of the system? Ensure that subject matter experts verify accuracy. | ・正確性 文書は技術者のシステム理解と一致しているか?専門家による正確性の検証を確保せよ。 |
| ・Consistency Does the information confirm findings contained in other sources or are there conflicts? Any conflicts should be investigated to get to a consistent understanding of the current state of the system. | ・整合性:情報は他の情報源の知見と一致しているか、矛盾はないか?矛盾がある場合は調査し、システムの現状について一貫した理解を得る必要がある。 |
| ・Timelines When was the document produced? Combining this information with known business maintenance/planning windows can help you assess the likelihood that the documentation is representative of the current system state. | ・タイムライン:文書はいつ作成されたか?この情報を既知の業務保守/計画期間と組み合わせることで、文書が現在のシステム状態を代表している可能性を評価できる。 |
| Validation is especially important in brownfield environments, where systems often change from their original designs. | 妥当性確認は、システムが当初の設計から変更されることが多い既存環境において特に重要である。 |
| Summary | 要約 |
| Your organisation should have a documented approach to validate OT systems architecture records. Implementing a strong validation framework will enable you to establish an accurate and complete architectural overview. The process should ensure that you can create a single source of truth that shows the “as is” state of the OT architecture. | 組織はOTシステムアーキテクチャ記録を妥当性確認する文書化されたアプローチを持つべきだ。強力な妥当性確認枠組みを導入することで、正確かつ完全なアーキテクチャ概要を確立できる。このプロセスは、OTアーキテクチャの「現状」を示す単一の信頼できる情報源を作成できることを保証すべきだ。 |
| 3. How will the definitive record be maintained? | 3. 確定記録はどのように維持されるか? |
| Once a definitive record of the OT architecture has been established, it is critical to maintain the integrity and accuracy of this record. Change management processes and controls are vital for achieving this. | OTアーキテクチャの確定記録が確立された後は、この記録の完全性と正確性を維持することが極めて重要である。変更管理プロセスと統制はこれを達成するために不可欠だ。 |
| An effective change management process ensures systematic review, approval, and documentation of modifications, minimising the risk of errors. This process should define roles and responsibilities of key stakeholders, focusing on their potential impact on both operational efficiency and cyber security. Additionally, implement version control mechanisms to create a clear audit trail of all changes, enabling easy tracking of design evolution over time. | 効果的な変更管理プロセスは、変更の体系的なレビュー、承認、文書化を保証し、エラーのリスクを最小限に抑える。このプロセスでは、主要な関係者の役割と責任を定義し、運用効率とサイバーセキュリティの両方への潜在的な影響に焦点を当てるべきだ。さらに、バージョン管理メカニズムを導入し、全ての変更に対する明確な監査証跡を作成することで、設計の経時的な進化を容易に追跡できるようにする。 |
| Regular training sessions should be conducted to ensure that personnel involved in design and documentation understand the protocols and their significance. | 設計と文書化に関わる要員がプロトコルとその重要性を理解できるよう、定期的なトレーニングセッションを実施すべきである。 |
| Summary | 要約 |
| Your organisation should have an established change management process to govern your definitive OT record. The change management process should establish clearly documented personnel roles, version control, and ongoing training to ensure the integrity and accuracy of the record is maintained over time. | 組織は、確定OT記録を管理するための確立された変更管理プロセスを持つべきである。変更管理プロセスは、記録の完全性と正確性が経時的に維持されるよう、明確に文書化された要員の役割、バージョン管理、継続的なトレーニングを確立すべきである。 |
| Principle 2: Establish an OT information security management programme | 原則2:OT情報セキュリティ管理プログラムを確立する |
| The definitive record will be a collection of documents that consolidates a wide range of information about your organisation and OT environment. This makes it a high-value target for an attacker. As you build your definitive record, it is important to consider how it will be secured and your broader approach to OT information security management. | 確定記録は、組織とOT環境に関する広範な情報を集約した文書群となる。これは攻撃者にとって高価値な標的だ。確定記録を構築する際には、その保護方法とOT情報セキュリティ管理への包括的アプローチを考慮することが重要である。 |
| Skilled threat actors will seek to gain insight into a target system to support their capability development and attack planning. The easier it is for an attacker to build an understanding of your OT system, the more likely an attack will be successful. Since physical assets in an OT environment are operational for long periods, any exposed information is likely to remain relevant for longer (when compared to planning attacks on conventional IT systems). | 熟練した脅威アクターは、能力開発や攻撃計画を支援するため、標的システムに関する知見を得ようとする。攻撃者がOTシステムを理解しやすければ、攻撃が成功する可能性は高まる。OT環境の物理資産は長期間稼働するため、露出した情報は(従来のITシステムへの攻撃計画と比較して)より長く関連性を保つ可能性が高い。 |
| Your organisation could use standards such as ISO/IEC 27001 to aid in the implementation of an OT information security management system. At a minimum, your OT information security management programme should enable you to answer the following 3 questions: | 組織はISO/IEC 27001などの標準を活用し、OT情報セキュリティ管理システムの構築を支援できる。最低限、OT情報セキュリティ管理プログラムは以下の3つの質問に答えられるようにすべきだ: |
| 1. What is in scope of the OT information security management programme? | 1. OT情報セキュリティ管理プログラムの対象範囲は何か? |
| You should understand and create a record of all the information your organisation holds or shares relating to your OT systems. This could be as a standalone inventory or as part of the wider definitive record. Your organisation should record the purpose of the information, any relevant data flow diagrams as well as any key properties such as access permissions, retention and data format. | 組織が保有または共有するOTシステム関連情報を全て把握し、記録を作成すべきだ。これは単独のインベントリとしても、より広範な確定記録の一部としても可能である。組織は情報の目的、関連するデータフロー図、アクセス権限・保存期間・データ形式などの主要特性を記録すべきだ。 |
| Standard information types (such as documents) may be stored in a data repository that already produces a record of all or many of these attributes. For less standard information types (such as data generated from OT devices), this may need to be manually produced. | 文書などの標準的な情報タイプは、これらの属性の全てまたは多くを記録するデータリポジトリに保存されている場合がある。非標準的な情報タイプ(OTデバイスから生成されるデータなど)については、手動での記録作成が必要となる場合がある。 |
| This guidance identifies five key groups of OT information: | 本ガイダンスでは、OT情報を以下の5つの主要グループに分類する: |
| Design information | 設計情報 |
| Focuses on providing a clear view of how a system is structured and arranged, and defines the architecture, specifications and/or configuration of an OT system. Examples include network diagrams, asset inventories, configuration files and technical system diagrams. Design information also includes details specific to individual sites such as locations of physical assets. | システムの構造・配置を明確に示すことに焦点を当て、OTシステムのアーキテクチャ、仕様、および/または構成を定義する。例としては、ネットワーク図、資産インベントリ、設定ファイル、技術システム図などが挙げられる。設計情報には、物理資産の設置場所など、個々のサイト固有の詳細も含まれる。 |
| Business information | 業務情報 |
| Focuses on how the OT system functions in the context of business objectives and relationships with stakeholders. This includes (but is not limited to) data on service areas, customer or user locations and supplier contracts. | 業務目標やステークホルダーとの関係性において、OTシステムがどのように機能するかに焦点を当てる。これにはサービスエリア、顧客またはユーザーの所在地、サプライヤー契約に関するデータなどが含まれる(ただしこれらに限定されない)。 |
| Identity and authorisation data | 識別・認証データ |
| Encompasses information that is essential for the authentication and authorisation of users and systems within the OT environment. Identity and authorisation data includes user credentials, details of personnel, encryption keys, access control lists and access logs. | OT環境内のユーザーおよびシステムの認証と認可に不可欠な情報を網羅する。認証・認可データには、ユーザー認証情報、担当者詳細、暗号化キー、アクセス制御リスト、アクセスログが含まれる。 |
| Operational data | 運用データ |
| Refers to the information involved in the real-time control of an OT system. This includes the unrefined data from OT devices/software. Examples include sensor readings, system logs and alerts. Operational data also captures analytical output generated from unrefined data such as predicted reporting of component and/or system performance. | OTシステムのリアルタイム制御に関わる情報を指す。OTデバイス/ソフトウェアからの未加工データを含む。例としては、センサー測定値、システムログ、アラートが挙げられる。運用データは、未加工データから生成された分析結果(コンポーネントやシステムの性能予測レポートなど)も捕捉する。 |
| Cyber and safety risk assessments | サイバー及び安全リスクアセスメント |
| Contains information on weaknesses in the system design, its components and the potential consequences of risks if they were to occur. Examples would include HAZOP assessments or results of penetration testing. | システム設計や構成要素の脆弱性、リスク発生時の潜在的影響に関する情報を含む。例としてはHAZOP評価やペネトレーションテストの結果が挙げられる。 |
| Tip: IEC 62443-2-1:2024 offers advice on the protection of data related to industrial automation and control systems, as well as examples of the types of information/data that are within scope. | ヒント:IEC 62443-2-1:2024は、産業用自動化制御システム関連データの保護に関する助言と、対象範囲内の情報/データ類型の例を示している。 |
| Summary | 要約 |
| You should have a comprehensive and structured record of all the information your organisation holds or shares relating to your OT systems. This record should clearly identify each information/data component’s purpose and relevant properties. This record will support informed decision-making as you build and deploy an effective OT information security management programme. | 組織が保有または共有するOTシステム関連情報の包括的かつ体系的な記録を保持すべきである。この記録では、各情報/データコンポーネントの目的と関連特性を明確に識別する必要がある。効果的なOT情報セキュリティ管理プログラムの構築・展開において、この記録は情報に基づいた意思決定を支援する。 |
| 2. What is the value of the OT information to an attacker? | 2. 攻撃者にとってOT情報の価値とは何か? |
| An attacker targeting an OT environment typically aims to disrupt, damage and/or destroy industrial systems and processes. They may also target OT systems to gain an economic advantage by stealing intellectual property or datasets that would enable competitors to improve their own processes. To achieve these aims, threat actors require information on how your system is architected, secured and operates. | OT環境を標的とする攻撃者は通常、産業システムやプロセスの妨害、損傷、破壊を目的とする。また、競合他社が自社のプロセス改善に活用できる知的財産やデータセットを窃取し、経済的優位性を得るためにOTシステムを標的とする場合もある。これらの目的を達成するため、脅威アクターはシステムのアーキテクチャ、セキュリティ対策、運用方法に関する情報を必要とする。 |
| There are three primary ways that threat actors can use OT information to finesse their cyber attacks: | 脅威アクターがOT情報を活用してサイバー攻撃を洗練させる主な方法は3つある: |
| Inform | 情報収集 |
| Data can help a threat actor understand the broader context of their target system. This could include network architecture, access opportunities, and process dynamics for the underlying operational system. Threat actors may seek information on dependent systems that rely on, or contribute to, the correct operation of the target system. | データは脅威アクターが標的システムの広範な文脈を理解するのに役立つ。これにはネットワーク構成、アクセス機会、基盤となる運用システムのプロセス動態などが含まれる。脅威アクターは、対象システムの正常な動作に依存する、あるいは寄与する依存システムに関する情報を求める場合がある。 |
| Target | 対象 |
| System information can be used to begin targeting components within your environment with the aim of achieving a specific outcome. This will likely focus on developing capabilities to enable an attacker to enter and move within a network. This may involve identifying systems running outdated or vulnerable software. It could also include identifying possibilities for physical sabotage. | システム情報は、特定の結果を達成する目的で、環境内のコンポーネントを標的にする起点として利用される。これは主に、攻撃者がネットワークに侵入し移動する能力を構築することに焦点を当てる。これには、古くなったソフトウェアや脆弱性を持つソフトウェアを実行しているシステムの識別が含まれる可能性がある。物理的な妨害行為の可能性を識別することも含まれるかもしれない。 |
| Exploit | エクスプロイト |
| Data can be used to cause an effect within the target system. Examples would include set-point limits and privileged access credentials. Deep knowledge of how the system works can also allow attacks that target ‘difficult to replace’ or long-lead items, with the intention of extending the duration of any disruption. | データは、標的システム内で効果を引き起こすために使用される。例としては、設定値の制限や特権アクセス権限の認証情報が挙げられる。システムの動作に関する深い知識は、「交換が困難」なアイテムや調達に時間がかかるアイテムを標的とした攻撃も可能にし、混乱の持続時間を延長することを意図している。 |
| A good approach is to consider the information an attacker would require within your threat modelling. After identifying the relevant information for each threat scenario, you can then analyse how an attacker might exploit that information and assess how critical its compromise is to their overall success. This helps you to determine the value of the information to an attacker, and to tailor your protections accordingly. | 効果的なアプローチは、脅威モデリングにおいて攻撃者が必要とする情報を検討することだ。各脅威シナリオに関連する情報を識別した後、攻撃者がその情報をどのように悪用し得るかを分析し、その情報が攻撃の全体的な成功にどれほど重要かを評価する。これにより、攻撃者にとっての情報価値を判断し、それに応じて防御策を調整できる。 |
| A data aggregation risk arises when threat actors have access to a collection of information that, when combined, can lead to development of capabilities that would not be possible using the individual pieces alone (this is described as latent intelligence). You should understand how information could be combined by a threat actor to chain together attack paths. Managing data aggregation risks requires an understanding of what information is already available, and what may become available as a consequence of future data sharing arrangements. | データ集約リスクは、脅威アクターが複数の情報にアクセスし、それらを組み合わせることで個々の情報だけでは不可能な能力開発が可能となる場合に生じる(これは潜在知能と呼ばれる)。脅威アクターが情報を組み合わせて攻撃経路を連鎖させる方法を理解すべきだ。データ集約リスクの管理には、既に利用可能な情報と、将来のデータ共有契約によって利用可能となる可能性のある情報の把握が求められる。 |
| Summary | 要約 |
| You will be able to identify the OT information that supports different threat scenarios, understand the ways threat actors seek to exploit this information and recognise how aggregating OT information increases this risk. This knowledge allows you to focus security measures where they are most needed. | 様々な脅威シナリオを支えるOT情報を識別し、脅威アクターがこの情報を悪用する手法を理解し、OT情報の集約がリスクを増加させる仕組みを認識できるようになる。この知識により、最も必要な箇所にセキュリティ対策を集中させられる。 |
| 3. What security considerations should you use for OT information? | 3. OT情報にはどのようなセキュリティ上の考慮事項が必要か? |
| All information your organisation holds or shares relating to OT systems should be secured using appropriate and proportional controls. Your organisation should have clearly documented policies and procedures on how each type of information should be secured. | 組織が保有または共有するOTシステム関連情報は全て、適切かつ均衡の取れた管理策を用いて保護すべきである。組織は、各情報タイプの防御方法について明確に文書化された方針と手順を整備すべきである。 |
| When protecting information it is important to consider all the components of the CIA triad: | 情報を防御する際には、CIAトライアドの全要素を考慮することが重要である: |
| Confidentiality | 機密性 |
| Confidentiality controls focus on ensuring that information is only accessible to systems and users that are authorised to have access. Core elements of confidentiality management comprise: | 機密性管理は、情報へのアクセス権限を持つシステムとユーザーのみが情報にアクセスできるようにすることに焦点を当てる。機密性管理の中核要素は以下の通りである: |
| Storage Where to store information should balance ease-of-access against the ability to apply effective security measures to minimise exposure. If your OT environments lack the ability to implement adequate controls, it may be appropriate to store information in IT systems where they support modern security controls. Where this is implemented in the IT environment, additional management and oversight of export risks should be put in place. | 保存場所情報の保存場所は、アクセス容易性と、効果的なセキュリティ対策を実施して情報エクスポージャーを最小限に抑える能力とのバランスを取るべきである。OT環境で適切な管理を実施できない場合、現代的なセキュリティ管理をサポートするITシステムに情報を保管することが適切である。IT環境でこれを実施する場合、輸出リスクに対する追加的な管理と監視を整備すべきである。 |
| Access should follow the principle of least privilege, meaning only users who need the information to perform their role are granted access. For high-value information, stronger authentication methods such as multi-factor authentication should be employed. | アクセスは最小権限の原則に従うべきであり、役割遂行に必要な情報のみを扱うユーザーにアクセス権を付与する。高価値情報については、多要素認証などの強固な認証手法を採用すべきである。 |
| Sharing It’s important to assess risks before sharing information about an OT system. One example of a set of handling rules is the Traffic Light Protocol (TLP) designation, which provides a standardised framework to ease the secure sharing of information. When third parties are involved, confidentiality must be protected through carefully defined and contractually enforced agreements. | 共有OTシステムに関する情報を共有する前にリスクを評価することが重要である。取り扱い規則の一例として、トラフィックライトプロトコル(TLP)指定がある。これは情報の安全な共有を容易にする標準化された枠組みを提供する。第三者が関与する場合、厳密に定義され契約で強制される合意を通じて機密性を保護しなければならない。 |
| Integrity | 完全性 |
| Integrity means proving that information is complete, intact, and trusted and has not been modified or destroyed in an unauthorised or accidental manner. Validating integrity is essential for all types of information in the OT environment. For example, if designs stored at rest lose integrity, a maintenance engineer might misconfigure equipment. Similarly, unauthorised modification of operational data in transit could cause a programmable logic controller to operate incorrectly. | 完全性とは、情報が完全かつ無傷で信頼性があり、不正または偶発的な方法で改変・破壊されていないことを証明することを意味する。OT環境におけるあらゆる情報タイプにおいて、完全性の妥当性確認は不可欠である。例えば、保存状態の設計データが完全性を失えば、保守技術者が機器を誤設定する可能性がある。同様に、転送中の運用データが不正に改変されれば、プログラマブルロジックコントローラが誤動作する恐れがある。 |
| Integrity controls can be broadly divided into two categories, those that focus on maintaining integrity and those aimed at validating it: | 完全性制御は大きく二つのカテゴリーに分けられる。完全性の維持に焦点を当てるものと、その妥当性確認を目的とするものだ: |
| Maintain The usability of OT information depends on maintaining its integrity which involves regulating how information is created, updated, deleted, or changed, alongside monitoring these processes to detect anomalies. This includes restricting write permissions to authorised users, and enforcing version control to provide a complete audit trail and enable rollback of changes if needed. | OT情報の有用性は、その完全性の維持に依存する。これには情報の作成・更新・削除・変更方法を規制するとともに、異常を検知するためのプロセス監視が含まれる。具体的には、書き込み権限を許可されたユーザーに制限すること、完全な監査証跡を提供し必要に応じて変更をロールバックできるようにバージョン管理を徹底することが挙げられる。 |
| Validate Validation controls aim to verify that information has not been tampered with or corrupted. Cryptographic methods, such as digital signatures, serve as validation tools to ensure authenticity and integrity. | 妥当性確認制御は、情報が改ざんや破損を受けていないことを確認することを目的とする。デジタル署名などの暗号技術は、真正性と完全性を保証する妥当性確認ツールとして機能する。 |
| Availability | 可用性 |
| Availability controls focus on ensuring that organisations appropriately protect information and systems from outages, delays, and service degradation, ensuring they remain accessible to authorised users whenever needed. This includes building resilience through redundancy, backup and disaster recovery capabilities, as well as monitoring system health to detect and respond quickly to issues. The availability of information in OT is critical when looking to recover systems in the event of an incident. When deciding where this data is stored, you should consider how it would be accessed in different incidents. It is critical that backups are implemented to be ransomware resistant to protect their availability. | 可用性制御は、組織が情報とシステムを停止、遅延、サービス低下から適切に防御し、認可されたユーザーが必要とする時に常にアクセス可能であることを保証することに焦点を当てる。これには冗長性、バックアップ、災害復旧能力によるレジリエンスの構築、およびシステム健全性の監視による問題の迅速な検知・対応が含まれる。OTにおける情報の可用性は、インシデント発生時のシステム復旧において極めて重要である。このデータの保存場所を決定する際には、様々なインシデント発生時にどのようにアクセスされるかを考慮すべきだ。可用性を防御するため、バックアップはランサムウェア対策を施すことが不可欠である。 |
| Summary | 要約 |
| You should have a clear and documented understanding of the security controls applied to all information your organisation holds or shares relating to OT systems. These controls should be aligned with the value of OT information and target appropriate security attributes. | 組織が保有または共有するOTシステム関連情報全てに適用されるセキュリティ対策について、明確かつ文書化された理解を持つべきである。これらの対策はOT情報の価値に見合ったものであり、適切なセキュリティ属性を対象とすべきだ。 |
| Principle 3: Identify and categorise assets to support informed risk-based decisions | 原則3:情報に基づいたリスクベースの意思決定を支援するため、資産を識別・分類する |
| Your organisation should understand the role of each of the components within your OT system. This is critical to enable you to create appropriate and proportionate security controls within your environment. | 組織はOTシステム内の各構成要素の役割を理解すべきである。これは環境内で適切かつ均衡の取れたセキュリティ対策を作成するために不可欠だ。 |
| Tip: While this guidance focuses on the broader process required to define your system architecture, there is additional international guidance on delivering an asset discovery programme which can be referred to including: | ヒント:本ガイダンスはシステムアーキテクチャ定義に必要な広範なプロセスに焦点を当てているが、資産発見プログラムの実施に関する追加の国際的ガイダンスも参照可能である。例: |
| ・Security for industrial automation and control systems (IEC 62443-2-1) | ・産業用オートメーションおよび制御システムのセキュリティ(IEC 62443-2-1) |
| ・The Industrial Control System Community of Interest Asset Management guidance | ・産業制御システム関心共同体(ICS-CII)資産管理ガイダンス |
| ・Joint Guide Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators. | ・共同ガイド「OTサイバーセキュリティの基盤:所有者および運営者向け資産インベントリガイダンス」 |
| For each asset you should be able to define three factors; criticality, exposure and availability. | 各資産について、以下の3要素を定義できる必要がある:重要度、エクスポージャー、可用性。 |
| Criticality | 重要度 |
| Criticality describes how important the functioning of the asset is to the wider OT system, in terms of its impact on: | 重要度とは、資産の機能が広範なOTシステムにとってどれほど重要かを、以下の観点から説明するものである: |
| ・Business Would a failure cause the process to stop or result in a lower yield ? | ・業務 障害が発生した場合、プロセスが停止するか、または収率が低下するか? |
| ・Safety Would a failure cause harm or damage to people, equipment, and/or the environment ? | ・安全性 障害が発生した場合、人、設備、および/または環境に危害や損害をもたらすか? |
| ・Security Would a failure result in the system being exposed to an unacceptable level of risk ? | ・セキュリティ 障害が発生した場合、システムが許容できないレベルのリスクに晒されるか? |
| To gain a complete understanding of an asset's criticality, it should be examined in the context of the wider system. This will require combining the criticality of the asset with information about your wider system connectivity. | 資産の重要性を完全に理解するには、広範なシステム全体の文脈で検討すべきだ。これには、資産の重要性と広範なシステム接続性に関する情報を組み合わせる必要がある。 |
| Exposure | エクスポージャー |
| Exposure refers to the discoverability and accessibility of networked devices within an organisation, which could make them vulnerable to potential threats. This should account for what defence in depth controls might add to its security. Exposure should consider several factors including: | エクスポージャーとは、組織内のネットワーク接続デバイスが発見・アクセスされやすい状態を指す。これにより潜在的な脅威に対する脆弱性が生じる。これには、多重防御対策がセキュリティに追加する要素も考慮すべきである。エクスポージャー評価では以下の要素を検討する: |
| ・the time of exposure (for example is it accessible 24/7 or only accessible when required?) | ・エクスポージャーの時間(例:24時間365日アクセス可能か、必要時のみか?) |
| ・the type of connectivity being used (for example direct connections to the public internet are inherently more exposed than private fibre links) | ・使用接続タイプ(例:公衆インターネットへの直接接続は、専用光ファイバー回線より本質的に露出度が高い) |
| ・communications flow (for example does the system accept inbound connections?) | ・コミュニケーションフロー(例:システムは着信接続を受け入れるか?) |
| ・proximity to external networks such as the internet or remote access points | ・インターネットやリモートアクセスポイントなど外部ネットワークへの近接性 |
| ・physical accessibility (are there opportunities for unauthorised physical interaction, such as plugging in devices or physical presence near the system) | ・物理的アクセス可能性(デバイス接続やシステム近傍への物理的接近など、不正な物理的操作の機会があるか) |
| Availability | 可用性 |
| Availability refers to the timely, reliable access to data and information services for authorised users. OT availability should include what business or operational functions would be lost in the event of that single asset being unavailable. | 可用性とは、権限を持つユーザーがデータや情報サービスにタイムリーかつ確実にアクセスできる状態を指す。OTの可用性評価では、単一資産が利用不能になった場合に失われる業務機能や運用機能を包含すべきである。 |
| Where systems are highly critical, they are likely to be deployed for high-availability with redundancy built in and automated failover systems. This wider system availability may lower the availability requirements of some individual assets, making them easier to update and maintain. | システムが極めて重要である場合、冗長性を組み込み自動フェイルオーバーシステムを備えた高可用性環境で展開される可能性が高い。この広範なシステム可用性により、個々の資産の可用性要件が緩和され、更新や保守が容易になる場合がある。 |
| Information to record on availability could include but is not limited to: | 可用性に関して記録すべき情報には以下が含まれるが、これらに限定されない: |
| ・timescales for known downtime, such as repeat scheduled maintenance windows | ・既知のダウンタイム(例:定期メンテナンスの繰り返し実施期間)のタイムスケール |
| ・high-availability deployments, including its architecture and the identification of the paired high-availability device or service and/or automated failover systems | ・高可用性アーキテクチャ、ペアとなる高可用性デバイス/サービスの特定、自動フェイルオーバーシステム |
| ・ability for the system asset to support rolling deployments, where updates can be provisioned with zero downtime | ・システム資産がローリング展開をサポートする能力(更新をダウンタイムゼロでプロビジョニング可能) |
| Tip: Vendors should provide categorisations of their updates so users can understand how the update will impact the asset's functionality. This should also include clear guidance on how quickly the update should be applied, in line with NCSCs Vulnerability management guidance best practice timelines. | ヒント:ベンダーは更新の分類を提供すべきである。これによりユーザーは更新が資産の機能性に与える影響を理解できる。また、NCSCの脆弱性管理ガイダンスにおけるベストプラクティスのタイムラインに沿い、更新を適用すべき迅速さに関する明確な指針も含めるべきである。 |
| Key categorisations may include ‘update’ (where a bug or unintended behaviour is being removed), ‘security’ (where a vulnerability is being remediated) or ‘feature updates’ (where new functionality is being added). The vendor should also highlight if the vulnerability is being actively exploited, and ensure it is added to the CISA Known Exploited Vulnerability List. | 主な分類には、「更新」(バグや意図しない動作の除去)、「セキュリティ」(脆弱性の修正)、「機能更新」(新機能の追加)などが含まれる。ベンダーは、脆弱性が実際に悪用されている場合も明示し、CISA既知悪用脆弱性リストへの登録を確実に行うべきである。 |
| For ‘security’ updates, vendors should publish a security advisory that is automatically retrievable according to the Common Security Advisory Framework (CSAF) and includes links to one or more complete and accurate CVE records. The NCSCs Vulnerability management guidance shouldbe referred to for further advice. | 「セキュリティ」更新については、ベンダーは共通セキュリティアドバイザリ枠組み(CSAF)に基づき自動取得可能なセキュリティアドバイザリを公開し、完全かつ正確なCVEレコードへのリンクを1つ以上含めるべきである。詳細な助言についてはNCSC脆弱性管理ガイダンスを参照すること。 |
| Criticality, exposure and availability factors should be recorded as part of the definitive record to enable your organisation to take effective risk based decisions when considering new or revised security controls. For example, consider three common assets in an OT environment: a safety controller, a firewall and a regional supervisory control and data acquisition (SCADA) platform. | 重要度、エクスポージャー、可用性要因は、確定記録の一部として記録すべきである。これにより、組織は新規または改訂されたセキュリティ制御を検討する際、効果的なリスクベースの意思決定が可能となる。例えば、OT環境における3つの一般的な資産、すなわち安全コントローラ、ファイアウォール、地域監視制御データ収集(SCADA)プラットフォームを考察する。 |
| 1. The safety controller is crucial for system safety, so it is typically designed to have minimal network connectivity with other assets. It also needs to be highly-available to ensure the process is protected during operations. | 1. 安全制御装置はシステム安全に不可欠であるため、通常は他の資産とのネットワーク接続を最小限に設計される。また、稼働中のプロセス防御を確保するため、高可用性が求められる。 |
| 2. In contrast, a firewall for external connectivity is located at the edge of the network and provides important functions like secure remote access. While this is useful, it is less critical to day-to-day operations; however, it also more exposed to potential threats. Where this external data flow is essential to the process, this will likely be deployed as a high-availability pair. | 2. 一方、外部接続用ファイアウォールはネットワーク境界に配置され、セキュアなリモートアクセスなどの重要機能を提供する。これは有用だが、日常業務への重要度は低く、潜在的な脅威への曝露度が高い。この外部データフローがプロセスに不可欠な場合、高可用性ペアとして展開される可能性が高い。 |
| 3. A regional SCADA platform deployed on a virtualisation platform needs connectivity to all your OT systems and is likely critical to the business. It is also likely more exposed to external services than most of your OT assets, potentially exporting data to business systems. Where this is critical, it is also likely to be deployed as a high-availability pair. | 3. 仮想化プラットフォーム上に展開された地域SCADAプラットフォームは、全てのOTシステムとの接続性を必要とし、ビジネスにとって重要である可能性が高い。また、ほとんどのOT資産よりも外部サービスに晒される可能性が高く、ビジネスシステムへデータをエクスポートする可能性がある。これが重要な場合、高可用性ペアとして展開される可能性も高い。 |
| When looking at updating in this scenario, you might choose to prioritise updates or maintenance of the firewall due to its exposure to threats, despite the fact it is less critical to the OT system. The fact that it is in a high-availability pair may allow you to update one asset at a time to prevent any impacts on operations. For similar reasons you may be able to routinely maintain your SCADA platform where you can fail over to the warm standby system during the maintenance process. | このシナリオで更新を検討する際、OTシステムへの重要度は低いものの脅威へのエクスポージャーが高いことから、ファイアウォールの更新や保守を優先する選択が可能だ。高可用性ペア構成であれば、運用への影響を防止しつつ資産を1つずつ更新できる。同様の理由で、保守プロセス中にウォームスタンバイシステムへフェイルオーバー可能なSCADAプラットフォームの定期保守も実施できる可能性がある。 |
| Your organisation should use a comprehensive risk management framework to inform these decisions, such as the NCSC's risk management framework (which aligns with international standards such as ISO 27001 and includes vital techniques such as threat modelling and attack trees ). Note that IEC 62443-3-2 provides some additional advice specific to industrial automation and control systems. | 組織は、NCSCのリスクマネジメント枠組み(ISO 27001などの国際標準に準拠し、脅威モデリングや攻撃ツリーなどの重要技法を含む)のような包括的なリスクマネジメント枠組みを用いて、これらの判断を行うべきだ。なお、IEC 62443-3-2は産業用自動化制御システムに特化した追加的な助言を提供している。 |
| Summary | 要約 |
| You should have each asset systematically assessed and categorised by its criticality (business, safety, security), exposure within the OT system architecture and any availability constraints. The documented factors, recorded in a definitive record should be used to support risk-based decision-making. Enabling informed decisions regarding security controls, maintenance and updating. | 各資産は、重要度(業務、安全、セキュリティ)、OTシステムアーキテクチャ内でのエクスポージャー、可用性制約に基づき体系的にアセスメント・分類すべきである。決定的な記録に文書化されたこれらの要素は、リスクベースの意思決定を支援するために使用される。これにより、セキュリティ制御、保守、更新に関する情報に基づいた決定が可能となる。 |
| Principle 4: Identify and document connectivity within your OT system | 原則4:OTシステム内の接続性を識別し文書化する |
| Most modern OT systems no longer operate in air-gapped environments by default. Instead, they require external connectivity to support business functions, streamline maintenance activities, and enable enhanced security controls. It’s the connectivity and interactions between assets within a system that allow it to work to perform the intended function. Understanding how these assets work together within the wider system is essential for building effective and proportionate security controls. | 現代のOTシステムの大半は、デフォルトでエアギャップ環境で動作しなくなった。代わりに、業務機能の支援、保守活動の効率化、強化されたセキュリティ制御の実現のために外部接続を必要とする。システム内の資産間の接続性と相互作用こそが、意図された機能を果たすための動作を可能にする。広範なシステム内でこれらの資産がどのように連携するかを理解することは、効果的かつ適切なセキュリティ制御を構築するために不可欠である。 |
| When designing connectivity, reducing your organisation's vulnerability to potential attacks is paramount. For instance, the use of wireless communication technologies can elevate risks, as threat actors may not need to be physically present to exploit the system. | 接続性を設計する際、組織が潜在的な攻撃に晒される脆弱性を低減することが最優先事項である。例えば無線通信技術の使用はリスクを高める可能性がある。脅威アクターがシステムを悪用するために物理的に存在する必要がなくなるためだ。 |
| An effective understanding of the communications each of your assets require is critical to being able to design and articulate your networks zones and conduits as described in IEC 62443-3-2. Having this documented will enable your organisation to implement effective network controls such as network segmentation. | 各資産が要求するコミュニケーションを効果的に理解することは、IEC 62443-3-2で規定されるネットワークゾーンと伝送経路を設計・明確化するために極めて重要である。これを文書化することで、ネットワークセグメンテーションなどの効果的なネットワーク制御を組織が実装できるようになる。 |
| At a minimum, you should be able to answer the following 5 questions for each asset in your architecture: | 最低限、アーキテクチャ内の各資産について以下の5つの質問に答えられる必要がある: |
| 1. What does the asset need to communicate with to perform its function? | 1. その資産は機能を実行するために何と通信する必要があるのか? |
| 2. What communication protocols are required, and how are they secured? | 2. どのようなコミュニケーションプロトコルが必要で、それらはどのように保護されているのか? |
| 3. What architectural security controls are currently implemented in the OT system? | 3. OTシステムには現在どのようなアーキテクチャセキュリティ制御が実装されているのか? |
| 4. What are the network constraints in your OT environment? | 4. OT環境におけるネットワーク制約は何か? |
| 5. Would a compromise allow an attacker to bypass existing controls? | 5. 侵害が発生した場合、攻撃者は既存の制御を迂回できるか? |
| 1. What does the asset need to communicate with to perform its function? | 1. 資産が機能を実行するために通信する必要がある対象は何か? |
| You should maintain a clear record of the connections each asset has with other systems, devices, or services. This should clearly demonstrate which assets it depends on to function, and those assets that depend on it. This could include connections such as centralised control systems or remote database access. | 各資産が他のシステム、デバイス、サービスと持つ接続関係を明確に記録すべきである。これにより、機能が依存する資産と、当該資産に依存する資産が明確に示される。これには集中制御システムやリモートデータベースアクセスなどの接続が含まれる可能性がある。 |
| As well as technical details, documentation on connectivity for all new and existing asset connectivity should include: | 技術的詳細に加え、新規・既存資産の接続性に関する文書化には以下を含めるべきである: |
| ・a business case, detailing the connectivity requirement, which is centrally recorded and approved | ・接続要件を詳細に記したビジネスケース(中央で記録・承認済み) |
| ・a reference to the how the record is maintained in line with existing change management policies | ・既存の変更管理ポリシーに沿った記録の維持方法に関する参照 |
| ・a process for periodic reviews to confirm the necessity of each connection against associated risks to the OT network and evolving threats | ・OTネットワークへの関連リスクや進化する脅威に対して各接続の必要性を確認する定期的な見直しプロセス |
| Additional risk assessments should be performed for external connections to assess if connectivity is required, as well as the security controls implemented. | 外部接続については、接続の必要性および実施されるセキュリティ制御を評価するため、追加のリスクアセスメントを実施すべきである。 |
| When evaluating the requirement for a new external connection, you should consider the following: | 新規外部接続の必要性を評価する際には、以下の点を考慮すべきである: |
| ・Avoid duplication: Instead of designing unique routes for each data flow, consider implementing a unified and secure data export pattern. Minimising duplicate data routes reduces management overhead and lowers the risk of misconfigurations in security controls. | ・重複回避:各データフローに固有の経路を設計する代わりに、統一された安全なデータエクスポートパターンの実装を検討する。重複データ経路を最小化することで、管理オーバーヘッドを削減し、セキュリティ制御における設定ミスのリスクを低減する。 |
| ・Establish control: Ensure that any data exiting the OT network is sanitised (removing sensitive material) and authorised (deemed suitable to be stored outside the environment). There should be safeguards in place to stop connectivity if required. | ・制御の確立:OTネットワークから流出するデータは、必ず「サニタイズ」(機密情報の除去)および「認可」(環境外保存の適格性判断)を実施すること。必要に応じて接続を停止する安全策を整備すべきである。 |
| ・Data security: Implemented connectivity should ensure that data leaving the OT network is encrypted both in transit and at rest. Particular attention should be applied to who requires access to the data, and the ongoing management of encryption keys. These controls should be designed in line with your information security management programme. | ・データセキュリティ:実装された接続では、OTネットワークから流出するデータが転送中および保存時に暗号化されることを保証すること。データへのアクセス権限の付与対象者、および暗号化キーの継続的管理には特に注意を払うべきである。これらの制御は、情報セキュリティ管理プログラムに沿って設計されるべきである。 |
| Data flow diagrams (DFDs) should be used to effectively record information about connectivity. Establishing a ‘single source of truth’ will reduce ongoing overheads and enable effective risk management. | 接続性に関する情報を効果的に記録するには、データフロー図(DFD)を使用すべきである。「単一の真実の源」を確立することで、継続的なオーバーヘッドを削減し、効果的なリスクマネジメントが可能となる。 |
| Summary | 要約 |
| You should have a maintained record of all necessary connections each asset has with other systems, devices, or services. This record should justify the need for each connection and document wider system or third party dependencies. Techniques such as DFDs are used to capture this information. | 各資産が他のシステム、デバイス、サービスと持つ必要な接続のすべてについて、維持された記録を持つべきである。この記録は、各接続の必要性を正当化し、より広範なシステムや第三者の依存関係を文書化すべきである。この情報を把握するためにDFDなどの手法が用いられる。 |
| 2. What communication protocols are required, and how are they secured? | 2. 必要な通信プロトコルと、その保護方法は何か? |
| A centralised record should be maintained which details the specific communication protocols (for example Modbus, DNP3, OPC UA) and the corresponding TCP/UDP ports required by each asset. This documentation is critical for configuring network equipment, such as firewalls, to enforce strict ingress and egress filtering. | 各資産が要求する具体的な通信プロトコル(例:Modbus、DNP3、OPC UA)と対応するTCP/UDPポートを詳細に記した一元的な記録を維持すべきである。この文書は、厳格な入出力フィルタリングを実施するためのファイアウォールなどのネットワーク機器設定に不可欠である。 |
| Regular audits of these protocols should be conducted to ensure they adhere to current security standards. Where legacy or insecure protocols are in use (especially on external connections) organisations should seek to replace them with secure alternatives. If this is not feasible, compensating controls such as encapsulating traffic in additional protections (such as a VPN) should be implemented. | これらのプロトコルは、現行のセキュリティ標準に準拠していることを確認するため、定期的な監査を実施すべきである。レガシーまたは安全でないプロトコルが使用されている場合(特に外部接続において)、組織はそれらを安全な代替手段に置き換えるよう努めるべきである。それが不可能な場合は、VPNなどの追加保護でトラフィックをカプセル化するといった補償的制御を実施すべきである。 |
| Protocol audits should also focus on ensuring the OT protocol incorporates the 3 pillars of the CIA triad. While availability is often prioritised in OT environments to maintain continuous system operation, a secure and resilient OT system requires a balanced approach that also safeguards data integrity and confidentiality. | プロトコル監査では、OTプロトコルがCIAトライアドの3要素を確実に組み込んでいるかにも焦点を当てる必要がある。OT環境ではシステム稼働の継続性を維持するため可用性が優先されがちだが、安全でレジリエンスのあるOTシステムには、データ完全性と機密性も保護するバランスの取れたアプローチが求められる。 |
| ・Confidentiality ensures that sensitive data within the OT system is protected from unauthorised access. This is especially critical for systems connected to external networks, where exposure to threats is higher. Protocol audits should evaluate how well the communication protocols safeguard data from eavesdropping or unauthorised disclosure. | ・機密性は、OTシステム内の機微なデータが不正アクセスから保護されることを保証する。これは脅威へのエクスポージャーリスクが高い外部ネットワークに接続されたシステムにおいて特に重要である。プロトコル監査では、通信プロトコルがデータの盗聴や不正開示からどれだけ効果的に保護しているかを評価すべきだ。 |
| ・Integrity encompasses both the authenticity and accuracy of data. It ensures that the information such as sensor readings, control commands, or system configurations remains consistent and unaltered during transmission. Integrity also verifies that the data originates from a legitimate source, preventing unauthorised entities from issuing commands or manipulating system behaviour. | ・完全性はデータの真正性と正確性の両方を包含する。センサーの読み取り値、制御コマンド、システム構成などの情報が、伝送中に一貫性を保ち改変されないことを保証する。完全性はまた、データが正当なソースから発信されたことを検証し、不正な事業体がコマンドを発行したりシステム動作を操作したりするのを防ぐ。 |
| Implementing a balanced approach to the CIA triad in OT protocols helps block common attack vectors such as machine in the middle (MitM) attacks, packet replay, and the malicious use of legitimate commands | OTプロトコルにおいてCIAトリアドへのバランスの取れたアプローチを実施することは、中間者攻撃(MitM)、パケットリプレイ、正当なコマンドの悪用といった一般的な攻撃ベクトルを遮断するのに役立つ。 |
| Key areas to document and audit are as follows: | 文書化および監査すべき主要領域は以下の通りである: |
| ・the use of cryptographic protections, such as digital signatures or secure authenticated protocols, including any key management or supporting infrastructure | ・暗号保護技術の使用状況(デジタル署名や安全な認証プロトコルを含む)、鍵管理や支援インフラを含む |
| ・the use of compensating controls on communications, including how these are managed and maintained | ・通信における補償的制御の使用状況、その管理・維持方法を含む |
| ・legacy protocol use, including reasons why they cannot be migrated to more modern protocols (and any plans to upgrade the asset out of service) | ・レガシープロトコルの使用状況、より現代的なプロトコルへの移行が不可能な理由(および運用終了後の資産アップグレード計画)を含む |
| ・how segmentation, additional monitoring or other complementing controls can manage this risk when protocol-layer security may not be feasible (such as in low-latency safety systems) | ・プロトコル層のセキュリティが実現不可能な場合(低遅延安全システムなど)、セグメンテーションや追加監視、その他の補完的制御によるリスクマネジメント手法 |
| ・the logging and monitoring of OT protocols within the system, including the protocols communications structure and flows | ・システム内のOTプロトコルのログ記録と監視(プロトコルコミュニケーション構造とフローを含む) |
| ・normal traffic patterns (such as consistent packet sizes or used commands) as this understanding aids in identifying potential malicious activity on the network; variations in expected traffic could indicate issues or threats | ・通常のトラフィックパターン(一貫したパケットサイズや使用コマンドなど)。この理解はネットワーク上の潜在的な悪意ある活動を識別するのに役立つ。予想されるトラフィックからの変動は問題や脅威を示す可能性がある |
| Summary | 要約 |
| For each asset you should have documented in use protocols, along with their corresponding TCP/UDP ports. This documentation should be used for configuring ingress and egress filters on firewalls. Additionally, a thorough audit of these protocols should have been conducted to ensure compliance with security standards, incorporating necessary encryption and integrity mechanisms. | 各資産について、使用中のプロトコルと対応するTCP/UDPポートを文書化しておくべきだ。この文書はファイアウォールの入出力フィルタ設定に活用される。加えて、これらのプロトコルに対する徹底的な監査を実施し、必要な暗号化や完全性確保メカニズムを組み込み、セキュリティ標準への準拠を保証しておくべきだ。 |
| 3. What architectural security controls are currently implemented in the OT system? | 3. OTシステムに現在実装されているアーキテクチャセキュリティ制御は何か? |
| Architectural security controls refer to any control that is implemented at a network layer level. As part of your definitive OT architecture record, you should document existing controls, which could include: | アーキテクチャセキュリティ制御とは、ネットワーク層レベルで実装されるあらゆる制御を指す。確定的なOTアーキテクチャ記録の一部として、既存の制御を文書化すべきであり、これには以下が含まれる可能性がある: |
| Network flow controls | ネットワークフロー制御 |
| This ensures that data only flows one way through the channel. Flow control does not stop a vulnerability being exploited within the destination system, but it can make it difficult for an attacker to perform command and control, export data, or simply learn more from the sensitive services being protected. A more capable attacker may look to use alternative export paths to exfiltrate data. Consider how resilient the control is. For example, it might rely on protocols like UDP, which need network enforcement. Alternatively, it could use fixed hardware such as a data diode, which is more resistant to change. | これは、データがチャネルを一方通行でしか流れないことを保証する。フロー制御は、宛先システム内の脆弱性が悪用されるのを阻止しないが、攻撃者がコマンド&コントロールを実行したり、データをエクスポートしたり、保護対象の機密サービスからより多くの情報を得たりすることを困難にすることができる。より高度な攻撃者は、代替的なデータ流出経路を利用しようとする可能性がある。制御のレジリエンスを考慮すべきだ。例えば、UDPのようなプロトコルに依存する場合、ネットワークレベルでの強制が必要となる。あるいは、データダイオードのような固定ハードウェアを使用すれば、変更に対する耐性が高まる。 |
| Continuous network monitoring and alerting | 継続的なネットワーク監視とアラート |
| Maintaining persistent visibility enables you to detect anomalies, identify potential threats, and respond to incidents before they escalate. This should include monitoring the performance of critical systems and the application of security policies to ensure compliance with your organisation's standards. Monitoring should include rules based on an analysis of how your specific system could be attacked, and what would enable you to detect the attack. | 持続的な可視性を維持することで、異常を検知し、潜在的な脅威を識別し、インシデントが拡大する前に対応できる。これには、重要システムのパフォーマンス監視やセキュリティポリシーの適用状況監視を含め、組織の標準への準拠を確保すべきだ。監視には、自組織のシステムがどのように攻撃される可能性があるか、また攻撃を検知するために何が必要かを分析したルールに基づく監視を含める必要がある。 |
| Access control and centralised identity | アクセス制御と集中型ID管理 |
| Implementing centralised identity management enables you to enforce use of authenticated protocols so only permitted personnel have access to sensitive systems. This includes using multi-factor authentication, role-based access control (RBAC), and regular access reviews to reduce the risk of unauthorised access or insider threats. Proper access control measures not only protect critical assets but also aid in tracking user activities for compliance and auditing purposes. | 集中型ID管理を導入することで、認証済みプロトコルの使用を強制し、許可された要員のみが機密システムにアクセスできるようにできる。これには、多要素認証、役割ベースのアクセス制御(RBAC)、定期的なアクセスレビューの使用が含まれ、不正アクセスや内部者脅威のリスクを低減する。適切なアクセス制御措置は、重要な資産を保護するだけでなく、コンプライアンスや監査目的でのユーザー活動追跡にも役立つ。 |
| Network segmentation | ネットワークセグメンテーション |
| Network segmentation involves dividing the OT network into distinct zones to enhance security and reduce the attack surface. This control limits lateral movement and confines any potential breaches to a smaller segment of the network. By implementing techniques such as VLANs, DMZs, and dedicated subnets, organisations can enforce stricter policies and controls on which devices can communicate with each other. Segmentation also allows you to tailor security measures for specific components in your system, such as legacy systems that present additional risks. Granular segmentation enhances your overall resilience against attacks. | ネットワークセグメンテーションは、OTネットワークを明確なゾーンに分割し、セキュリティを強化し攻撃対象領域を縮小する。この制御により横方向の移動が制限され、潜在的な侵害がネットワークのより小さなセグメントに封じ込められる。VLAN、DMZ、専用サブネットなどの技術を導入することで、組織はどのデバイスが相互に通信できるかについて、より厳格なポリシーと制御を適用できる。セグメンテーションにより、追加リスクをもたらすレガシーシステムなど、システム内の特定のコンポーネントに合わせてセキュリティ対策を調整することも可能だ。細分化されたセグメンテーションは、攻撃に対する全体的なレジリエンスを高める。 |
| Protocol breaks | プロトコル分離 |
| A protocol break will terminate the network connection, and the application protocol. The payload will then be passed via a simplified protocol to a receiving process, which re-builds the connection and passes the data on. A well-engineered protocol break will make a protocol-based attack against the destination system much more difficult | プロトコル分離はネットワーク接続とアプリケーションプロトコルを終了させる。その後、ペイロードは簡略化されたプロトコルを介して受信プロセスに渡され、そこで接続が再構築されてデータが転送される。適切に設計されたプロトコル分離は、宛先システムに対するプロトコルベースの攻撃を大幅に困難にする。 |
| Content validation and inspection | コンテンツ検証と検査 |
| Content validation enables you to gain assurance that data flows do not contain malicious data which could undermine the integrity of your OT environment. The NCSC has existing guidance on safely importing data and implementing secure application programming interfaces (API). | コンテンツ検証により、データフローにOT環境の完全性を損なう悪意のあるデータが含まれていないことを保証できる。NCSCは、データの安全な輸入事業者およびセキュアなアプリケーションプログラミングインターフェース(API)の実装に関する既存のガイダンスを提供している。 |
| Isolation plans | 分離計画 |
| Isolation can be a critical control of OT systems in an incident, removing connectivity to less-trusted systems. However, to ensure your organisation can isolate connectivity routes during an incident, it's important to clearly document potential impacts. This means that, if an incident occurs, you should know exactly how it will affect various systems, networks, and processes. These plans should also include how you will recover these systems and restore connectivity post incident. | 分離は、インシデント発生時に信頼性の低いシステムへの接続を切断するOTシステムの重要な制御手段となり得る。しかし、組織がインシデント発生時に接続経路を確実に分離できるようにするには、潜在的な影響を明確に文書化することが重要だ。つまり、インシデント発生時に、様々なシステム、ネットワーク、プロセスにどのような影響が及ぶかを正確に把握しておく必要がある。これらの計画には、インシデント後のシステム復旧と接続性回復の方法も含まれるべきだ。 |
| You should use this information to evaluate gaps in your existing controls and determine areas needing further improvements. Frameworks such as the MITRE ATT&CK framework for ICS can be beneficial to map controls against potential attacks. | この情報を用いて、既存の制御のギャップを評価し、さらなる改善が必要な領域を特定すべきだ。MITRE ATT&CK for ICSフレームワークなどの枠組みは、潜在的な攻撃に対する制御をマッピングするのに有益である。 |
| Summary | 要約 |
| You should understand your existing architectural security controls and what protections they provide to the asset and the wider system. Network security controls should be designed to limit the ability for a compromised system impacting your wider OT network. The potential resulting impact from a compromise within the context of applied controls should be well understood and documented for effective risk management. | 既存のアーキテクチャ上のセキュリティ制御と、それらが資産および広範なシステムに提供する保護内容を理解すべきだ。ネットワークセキュリティ制御は、侵害されたシステムが広範なOTネットワークに影響を与える能力を制限するよう設計されるべきである。適用された制御の文脈における侵害から生じる潜在的な影響は、効果的なリスクマネジメントのために十分に理解され、文書化される必要がある。 |
| 4. What are the network constraints in your OT environment? | 4. OT環境におけるネットワーク制約とは何か? |
| When documenting OT networks, it is important to record any factors that could limit the ability to implement effective cyber security controls. This will help you to make informed decisions when planning future security programmes. These factors could include: | OTネットワークを文書化する際、効果的なサイバーセキュリティ制御の実施を制限する可能性のある要因を記録することが重要である。これは将来のセキュリティプログラムを計画する際、情報に基づいた意思決定を行うのに役立つ。これらの要因には以下が含まれる: |
| Bandwidth | 帯域幅 |
| What limitations are there on the data related to the asset, and how much of the available bandwidth is already being used by the OT process? If there is no spare capacity within the network, this may inform a need for future uplifts to support security functionality. | 資産に関連するデータにどのような制限があり、利用可能な帯域幅のどれほどが既にOTプロセスで使用されているか?ネットワーク内に余剰容量がない場合、セキュリティ機能をサポートするための将来的な増強の必要性を示す可能性がある。 |
| Exposure | エクスポージャー |
| Understanding the exposure of your data bearer is critical to inform the risk to data being carried. Over-the-air wireless bearers (including technologies such as wifi, Bluetooth and LTE) may pose additional risks due to them being openly accessible, this can drive the requirement for strong controls to handle jamming attacks and prevent replay or MiTM attacks. | データ伝送路のエクスポージャーを把握することは、伝送データへのリスクを評価する上で極めて重要である。無線伝送路(Wi-Fi、Bluetooth、LTEなどの技術を含む)は公開アクセス可能なため追加リスクを生じ、妨害攻撃への対応やリプレイ攻撃・中間者攻撃(MiTM)の防止を目的とした強力な制御策の必要性を高める。 |
| Latency | 遅延 |
| Understanding acceptable latency levels is critical in shaping effective cyber security controls in time-sensitive environments like process control or emergency shutdown systems. High latency requirements may necessitate the use of lightweight encryption and/or streamlined authentication methods to avoid delays while maintaining essential security measures. There may be times where cyber security controls are avoided due to unacceptable added latency. Where this is the case, other mitigations through defence in depth should be in place. | プロセス制御や緊急停止システムのような時間依存環境において、許容可能な遅延レベルを理解することは、効果的なサイバーセキュリティ対策の構築に不可欠である。高い遅延要件は、本質的なセキュリティ対策を維持しつつ遅延を回避するため、軽量な暗号化や簡素化された認証手法の使用を必要とする場合がある。許容できない追加遅延を理由にサイバーセキュリティ対策が回避されるケースもあり得る。そのような場合、多重防御による他の緩和策が講じられているべきである。 |
| Redundancy | 冗長性 |
| What redundancy is in place in the system that would enable updating? Where are single points of failures where downtime is not feasible? Within redundancy, you should also seek to understand what backup communication routes would be used in the event the primary bearer fails. This backup bearer needs to be equally secure and not expose the OT system to additional risk. | 更新を可能にするシステム内の冗長性は何が存在するのか?ダウンタイムが許容されない単一障害点はどこにあるのか?冗長性においては、プライマリ伝送路が故障した場合に利用されるバックアップ通信経路も理解すべきである。このバックアップ伝送路は同等のセキュリティを有し、OTシステムを追加リスクに晒してはならない。 |
| Availability | 可用性 |
| Connectivity may need to be continuously available because it is critical to the function or resilience of the OT system. External functions with high availability requirements should be considered critical system dependencies. | 接続性は、OTシステムの機能やレジリエンスにとって重要であるため、継続的に利用可能である必要がある。高可用性が要求される外部機能は、重要なシステム依存関係として考慮すべきである。 |
| Summary | 要約 |
| The technical factors that may limit the implementation of cyber security controls in OT networks should be thoroughly documented. By identifying these constraints, organisations can make informed, risk-based decisions regarding future security enhancements. Effectively managing these limitations is essential to mitigate additional risks being exposed. | OTネットワークにおけるサイバーセキュリティ対策の導入を制限する可能性のある技術的要因は、徹底的に文書化すべきである。これらの制約を特定することで、組織は将来のセキュリティ強化に関する情報に基づいたリスクベースの決定を下せる。これらの制限を効果的に管理することは、追加リスクの暴露を軽減するために不可欠である。 |
| 5. Would a compromise allow an attacker to bypass existing controls? | 5. 侵害により攻撃者が既存の制御を迂回できるか? |
| When assessing external connectivity into your OT network, it’s important to understand how compromised routes or assets could impact connected systems. This could include - but is not limited - to considerations such as: | OTネットワークへの外部接続性を評価する際、侵害された経路や資産が接続システムに与える影響を理解することが重要である。これには以下のような考慮事項が含まれる(ただしこれらに限定されない): |
| Security of edge routers in your WAN | WANにおけるエッジルーターのセキュリティ |
| What systems would an attacker be able to directly access if they compromised the edge router in your OT WAN? Your organisation should have confidence that defence-in-depth controls would prevent an attacker being able to reach directly into the critical OT components from this style of compromise. | OT WANのエッジルーターが侵害された場合、攻撃者が直接アクセス可能なシステムは何か?組織は、この種の侵害から重要なOTコンポーネントへ直接到達する攻撃を、多重防御対策が阻止できると確信すべきである。 |
| Unsecured connectivity into your OT network | OTネットワークへの非安全接続 |
| This could be the use of unsecure OT protocols between organisations that might not support security controls. You should consider how you prevent this data being manipulated to cause an impact in your OT system without requiring an attacker to directly compromise the system. | これは、セキュリティ制御をサポートしない組織間で非安全なOTプロトコルを使用する場合である。攻撃者がシステムを直接侵害することなく、このデータが操作されてOTシステムに影響を与えるのを防ぐ方法を検討すべきである。 |
| Legacy connectivity into the core OT network | コアOTネットワークへのレガシー接続 |
| This could include exposed wireless communication channels that do not support adequate encryption or authenticity controls. You should understand the scale of impact if one of these accesses is compromised. | これには、十分な暗号化や真正性制御をサポートしない、露出された無線通信チャネルが含まれる可能性がある。これらのアクセスのいずれかが侵害された場合の影響規模を理解すべきである。 |
| If security compromises have been necessary in the external connectivity, you should have mitigating controls in place to limit the potential impact of a threat actor if a compromise occurs. | 外部接続においてセキュリティ上の妥協が必要だった場合、侵害発生時の脅威アクターの潜在的影響を制限する緩和策を講じるべきだ。 |
| Summary | 要約 |
| Your organisation should have a comprehensive understanding of the potential impacts of compromised external connectivity into the OT network. Where security compromises have been made, mitigating controls should be in place to limit the potential impact. | 組織は、OTネットワークへの外部接続侵害が及ぼす潜在的影響を包括的に理解すべきだ。セキュリティ上の妥協がなされた箇所では、潜在的影響を制限する緩和策を講じる必要がある。 |
| Principle 5: Understand and document third-party risks to your OT system | 原則5:OTシステムに対する第三者のリスクを理解し文書化する |
| Many OT systems are managed or maintained by third parties, such as manufacturers, integrators, or managed service providers (MSPs). When these groups have access to your environment, they add risks that require additional consideration, as you don’t have direct control over the security of the delivered system. | 多くのOTシステムは、製造事業者、インテグレーター、マネージドサービス・プロバイダー(MSP)などの第三者によって管理または保守されている。これらのグループが環境にアクセスする場合、提供されたシステムのセキュリティを直接制御できないため、追加の考慮を必要とするリスクが生じる。 |
| The NCSC has produced supply chain security guidance on how to effectively manage these risks. IEC 62443-4-1 (secure product development lifecycle requirements) and IEC 62443-2-4 (security program requirements for IACS service providers) provides some additional advice specific to industrial automation and control systems. | NCSCは、これらのリスクを効果的に管理する方法に関するサプライチェーンセキュリティガイダンスを作成している。IEC 62443-4-1(セキュア製品開発ライフサイクル要求事項)およびIEC 62443-2-4(IACSサービスプロバイダ向けセキュリティプログラム要求事項)は、産業用自動化制御システムに特化した追加的な助言を提供している。 |
| At a minimum, you should be able to answer the following 3 questions for third parties connecting to the network: | ネットワークに接続する第三者について、少なくとも以下の3つの質問に答えられるようにすべきだ: |
| 1. What entities are involved in the external connection? | 1. 外部接続にはどの事業体が関与しているか? |
| For each external connection, your organisation should have a detailed understanding of the entities the route is designed for. These are likely to fall into 3 trust levels: | 各外部接続について、組織は経路が設計された対象事業体を詳細に把握すべきである。これらは主に3つの信頼レベルに分類される: |
| Equal trust | 同等の信頼 |
| Information sharing routes with other critical national infrastructure (CNI) organisations that operate within the same threat model, and where you have assurance over the technical controls they have implemented. | 同一の脅威モデル下で運用され、技術的制御の実施状況が保証されている他の重要国家インフラ(CNI)組織との情報共有経路。 |
| Partial trust | 部分的な信頼 |
| Connectivity to enterprise networks, where communications are within your organisation are able to assure the technical controls in place. | エンタープライズネットワークへの接続。組織内コミュニケーションにおいて技術的制御が保証されている場合。 |
| Low trust | 低信頼 |
| Connectivity to external networks from third-party organisations such as vendors, integrators or managed service providers. This is where you have limited controls over the technical controls implemented. | ベンダー、インテグレーター、マネージドサービス・プロバイダーなどの第三者組織からの外部ネットワーク接続。技術的制御の実施に対する管理が限定的な領域である。 |
| The trust level of the network will dictate the kind of controls required to both protect your OT data and systems. | ネットワークの信頼レベルは、OTデータとシステムを防御するために必要な制御の種類を決定する。 |
| When evaluating the entities involved you should ensure they are following the 'browse-down' model, where high-trust systems administer systems of lower trust. No low-trust system should be able to administer systems of a higher trust. Where this appears to be required (such as a third-party providing administration) you need to have documented processes for establishing trust in their systems through validating their security controls are in line with your organisations standards. | 関与する事業体を評価する際には、「ブラウズダウン」モデルに従っていることを確認すべきである。これは高信頼システムが低信頼システムを管理するモデルである。低信頼システムがより高信頼のシステムを管理することは許されない。やむを得ず管理を委託する場合(第三者による管理など)、そのシステムの信頼性を確立するための文書化されたプロセスが必要だ。具体的には、委託先のセキュリティ管理が自組織の標準に沿っていることを妥当性確認する。 |
| Summary | 要約 |
| Your organisation should have a detailed understanding of each external connection and its corresponding trust level, ensuring that these levels dictate the necessary security controls for protecting OT data and systems. You must verify compliance with the "Browse-Down" model, where high trust systems manage lower trust systems, and have processes in place to validate the security controls of third-party administration systems against your organisational standards. | 組織は各外部接続とその信頼レベルを詳細に把握し、これらのレベルに基づいてOTデータとシステムを防御するための必要なセキュリティ管理を決定しなければならない。「ブラウズダウン」モデル(高信頼性システムが低信頼性システムを管理する)への準拠を検証し、第三者の管理システムのセキュリティ制御が自組織の標準に適合していることを確認するプロセスを整備しなければならない。 |
| 2. What are the contractual requirements imposed by the third party? | 2. 第三者が課す契約上の要件は何か? |
| It is common for third parties to add connectivity requirements to their contracts. This can allow a third party to set the expectations for how they expect to be able to access your environment. This can limit your ability to implement technical controls. | 第三者が契約に接続要件を追加することは一般的である。これにより、第三者は自らが環境へアクセスする方法に関する期待値を設定できる。これにより技術的制御の展開が制限される可能性がある。 |
| For example, a third party may require 24/7 remote access that would prevent your deployment of a ‘just-in-time’ administration model. Where possible, requirements that limit your ability to deploy technical controls should be removed. You should work with the third party to understand why they require levels of access, and where existing remote access process may be suitable. This will aid in preventing duplicate remote access methods being developed. | 例えば、第三者が24時間365日のリモートアクセスを要求した場合、「ジャストインタイム」管理モデルの展開が妨げられる。可能な限り、技術的制御の展開を制限する要件は削除すべきだ。第三者と協議し、アクセスレベルを要求する理由や、既存のリモートアクセスプロセスが適用可能な箇所を把握する必要がある。これにより、重複したリモートアクセス手法の開発を防ぐことができる。 |
| Where requirements cannot be removed, compensating controls should be in place to audit and monitor third party actions. You should ensure all other assets in your system are protected from this third-party access, through network segmentation and access controls. A third-party should only be able to access specified assets, and not any other elements of your system. | 要件を撤廃できない場合、第三者の行動を監査・監視する補償的制御を整備すべきだ。ネットワークセグメンテーションとアクセス管理を通じて、システム内の他の全資産が当該第三者のアクセスから防御されることを保証する必要がある。第三者は指定された資産のみにアクセス可能とし、システムの他の要素にはアクセスできないようにすべきだ。 |
| Regulated CNI sectors may have additional requirements where you may be mandated to supply data to specified third parties. This requirement imposed on the availability of this external connectivity will need to be factored into your isolation plans. Where the connectivity is always persistent the use of technologies that provide a continuous level of separation should be considered. This could include physical data diodes or the use of cross domain solutions (CDS). | 規制対象のCNIセクターでは、特定の第三者へのデータ提供が義務付けられる追加要件が存在する可能性がある。この外部接続の可用性に対する要件は、隔離計画に組み込む必要がある。接続が常時持続する場合、継続的な分離レベルを提供する技術の使用を検討すべきである。これには物理データダイオードやクロスドメインソリューション(CDS)の使用が含まれる。 |
| Summary | 要約 |
| Your organisation should have a documented and detailed understanding of how contractual or regulatory requirements from third parties impact your ability to apply security controls. This documentation should include any compensating controls in place that enable you to manage this risk. | 組織は、第三者からの契約上または規制上の要件がセキュリティ制御の適用能力に与える影響について、文書化された詳細な理解を持つべきである。この文書には、当該リスクを管理可能とするための補償的制御も記載されるべきである。 |
| 3. Are the third party installing any out of band access? | 3. 第三者はアウトオブバンドアクセスを設置しているか? |
| If a third party is installing equipment within your environment you should ensure you understand the functionality and features of the assets being deployed. This should focus on out of band communication channels, both for asset-to-asset communications, as well as external communications. If deployed systems have connectivity into your wider network and your are unaware of installed out of band channels, you could be carrying substantial unmanaged risk. | 第三者が自社環境に機器を展開する場合、導入資産の機能と特徴を確実に把握すべきである。特に、資産間通信および外部通信におけるアウトオブバンド通信チャネルに焦点を当てる必要がある。展開システムが広域ネットワークに接続されており、設置されたアウトオブバンドチャネルを認識していない場合、管理不能な重大なリスクを抱える可能性がある。 |
| Out of band communication channels include but are not limited to: | アウトオブバンド通信チャネルには以下が含まれるが、これらに限定されない: |
| ・4G modems within devices, facilitating the third party unconstrained remote access to the system and potentially your wider environment. The third party should be encouraged to use an existing remote access mechanism to remove the risk of shadow IT in your environment. | ・デバイス内蔵の4Gモデム。これにより第三者がシステムおよび広域環境へ無制限にリモートアクセス可能となる。環境内のシャドーITリスクを排除するため、既存のリモートアクセス機構の利用を第三者に推奨すべきだ。 |
| ・Other wireless technologies such as Bluetooth or wifi for configuration. In this case, you should understand if this functionality will remain enabled once the asset is deployed and how the connectivity will be hardened. | ・設定用BluetoothやWi-Fiなどの無線技術。この場合、資産展開後も機能が有効化されるか、接続の強化方法を把握する必要がある。 |
| ・Use of removable media to deploy configurations to devices. The product may support zero touch provisioning via removable media. In this case, you should understand what sensitive data is included within this configuration, how the organisation is protecting this data and how removable media risks are being managed on site. | ・デバイスへの設定展開にリムーバブルメディアを使用する場合。製品がリムーバブルメディア経由のゼロタッチプロビジョニングをサポートしている可能性がある。この場合、設定に含まれる機密データの範囲、組織によるデータ保護方法、現場でのリムーバブルメディアリスク管理方法を把握すべきである。 |
| Note: The use of removable media should be restricted to approved items, as removable media introduces an additional attack vector through which a threat actor can enter the environment. | 注記:リムーバブルメディアは承認済みアイテムに限定して使用すべきである。リムーバブルメディアは脅威アクターが環境へ侵入する追加の攻撃経路となるためである。 |
| For example, a threat actor could use malicious USB device to emulates a trusted Human Interface Device (HID), such as a keyboard, to perform keystroke injection attacks. Once connected, the device can rapidly deliver pre-programmed keystrokes to execute commands, install malware, or alter system configurations. | 例えば、脅威アクターは悪意のあるUSBデバイスを用いて、キーボードなどの信頼されたHID(Human Interface Device)をエミュレートし、キーストローク注入攻撃を実行できる。接続後、このデバイスは事前にプログラムされたキーストロークを高速で送信し、コマンド実行、マルウェアのインストール、システム設定の変更を行う。 |
| The UK's Industrial Control Systems Community of Interest has published guidance on the management of removable media within OT environments. | 英国の産業制御システム関心共同体(ICS Community of Interest)は、OT環境におけるリムーバブルメディアの管理に関するガイダンスを公開している。 |
| Summary | 要約 |
| Your organisation should have an established process to assess any new assets being installed by third-parties and to document any risks these assets may present to the wider system. Out of band management should be removed where feasible to remove these risks. Where this is not possible, you should have a clear documented understanding of the technical controls put in place by the third party to harden the access. | 組織は、第三者が導入する新規資産を評価し、それらが広範なシステムに及ぼすリスクを文書化する確立されたプロセスを持つべきだ。これらのリスクを除去するため、可能な限りアウトオブバンド管理を廃止すべきである。それが不可能な場合、アクセスを強化するために第三者が実施した技術的制御について、明確に文書化された理解を持つ必要がある。 |
« 米国 シークレットサービス 政府高官を狙った攻撃者の300台以上のSIMサーバとSIMカード10万枚を押収 (2025.09.23) | Main | 米国 カリフォルニア州 フロンティア人工知能透明性法が成立 (2025.09.29) »
Comments