英国 NCSC 運用技術(OT)のためのセキュアな接続の原則 (2026.01.14)
こんにちは、丸山満彦です。
英国国家サイバーセキュリティセンター(NCSC)が、オーストラリア信号局傘下のオーストラリアサイバーセキュリティセンター(ASD's ACSC)、カナダサイバーセキュリティセンター(Cyber Centre)、 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国連邦捜査局(FBI)、ドイツ連邦情報セキュリティ庁(BSI)、オランダ国立サイバーセキュリティセンター(NCSC-NL)、ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)と連携して、OTのためのセキュアな接続の原則を作成したようですね...Fice eyes + ドイツ + オランダ...
今回発表され、独立したPDFとしても利用できるようになっていますが、NCSCのOTセキュリティシリーズの1つという位置付けですかね...
NCSCのOTセキュリティの目次的なもの...薄紫の部分が今回の部分...
● NCSC
・Operational Technology - Secure connectivity principles for operational technology (OT)
・[PDF]
ポイント絞って...
| Introduction | 序論 |
| Operational technology (OT) environments - which have long been centred on safety, uptime, and operational continuity - are now more interconnected than ever. | 従来、安全性、稼働時間、業務継続性を中心に据えてきた運用技術(OT)環境は、今やかつてないほど相互接続が進んでいる。 |
| Driven by the need for increased efficiency, agility, and integration, these advancements offer significant operational benefits (such as real-time analytics remote monitoring and administration, and predictive maintenance), but they also introduce risks. | 効率性、俊敏性、統合性の向上が求められる中、こうした進歩はリアルタイム分析、遠隔監視・管理、予知保守といった大きな運用上の利点をもたらす一方で、新たなリスクも生み出している。 |
| Organisations deploying or operating OT systems often face challenges in prioritising cyber security due to operational constraints, such as dependence on legacy technologies that were never designed for modern connectivity or security requirements. These challenges are compounded by the increasing use of third party vendors, remote access solutions, and supply chain integrations, which expand the potential attack surface. In an OT environment, risks are elevated since a cyber intrusion can lead to physical harm, environmental impact, or potentially the disruption of an operator of essential service (OES). | OTシステムを展開・運用する組織は、運用上の制約からサイバーセキュリティの優先順位付けに課題を抱えることが多い。例えば、現代の接続性やセキュリティ要件を考慮せずに設計されたレガシー技術への依存などが挙げられる。こうした課題は、サードパーティベンダー、リモートアクセスソリューション、サプライチェーン統合の増加によってさらに複雑化し、潜在的な攻撃対象領域を拡大している。OT環境では、サイバー侵入が物理的損害、環境への影響、あるいは重要サービス事業者(OES)の機能停止につながる可能性があるため、リスクは高まる。 |
| Exposed and insecure OT connectivity is known to be targeted by both opportunistic and highly capable actors. This activity includes state-sponsored actors actively targeting critical national infrastructure (CNI) networks. The threat is not just limited to state-sponsored actors with recent incidents demonstrating exposed OT infrastructure is opportunistically targeted by hacktivists. | 露出した不安全なOT接続は、機会主義的な攻撃者と高度な能力を持つ攻撃者の双方から標的とされることが知られている。この活動には、国家支援アクターが重要国家インフラ(CNI)ネットワークを積極的に標的とするケースも含まれる。脅威は国家支援アクターに限定されず、最近のインシデントでは露出したOTインフラがハクティビストによる機会主義的な標的となっていることが示されている。 |
| Strengthening the cyber security of CNI, including securing OT connections, can challenge attackers' efforts and raise the threshold necessary to cause physical harm, environmental impact, and disruption. | CNIのサイバーセキュリティ強化(OT接続の保護を含む)は、攻撃者の活動を阻害し、物理的危害・環境影響・機能停止を引き起こすためのハードルを高くする。 |
| Prioritising systems | システムの優先順位付け |
| Due to potentially limited resources, organisations may not be able to complete all mitigating steps at once. When prioritising systems within your organisation, some topics that should be considered are: | リソースが限られている場合、組織は全ての緩和対策を一括で完了できない可能性がある。組織内でシステムを優先順位付けする際、考慮すべき事項は以下の通りだ: |
| ・The role and impact of the device or process to your operations, including the ability to control and/or monitor key functions. | ・運用におけるデバイスやプロセスの役割と影響度(主要機能の制御・監視能力を含む) |
| ・The presence of fail‑safe systems or redundant systems that maintain availability and reduce the risk of unsafe operating conditions or service outages. | ・可用性を維持し、危険な稼働状態やサービス停止リスクを低減するフェイルセーフシステムや冗長システムの有無 |
| ・The time it would take to implement the change, including currently available funds and complexity. Keep in mind that the cheapest option may not be the most impactful option to securing connectivity. | ・変更実施に要する時間(現有資金と複雑性を含む)。接続性確保において、最も安価な選択肢が必ずしも最も効果的とは限らない点に留意せよ。 |
| ・Active threat activity from attackers ranging in sophistication, including the consideration for current geo-political events and the potential national security significance of your organisation and/or your customers' organisations. | ・攻撃者の高度化が進む脅威活動の実態。これには、現在の地政学的状況や、自社および顧客組織の国家安全保障上の重要性への配慮も含まれる。 |
| Principles-based guidance | 原則に基づく指針 |
| This guidance outlines the desirable end-states that organisations should look to achieve when designing connectivity into OT environments. They are intended as goals rather than minimum requirements. | 本指針は、OT環境への接続性を設計する際に組織が達成すべき望ましい最終状態を概説する。これらは最低限の要件ではなく、目標として位置付けられる。 |
| System owners should use these principles as a framework to design, implement, and manage secure OT connectivity, for both new and existing OT systems. These principles are particularly critical for operators of essential services. | システム所有者は、新規・既存のOTシステム双方において、安全なOT接続性を設計・実装・管理するための枠組みとしてこれらの原則を活用すべきである。特に重要サービス事業者はこれらの原則を厳守する必要がある。 |
| Integrators and device manufacturers are encouraged to make these principles easier for organisations to achieve, through providing products that are secure by design, easy to implement and maintain. Integrators and manufacturers should ensure they are providing documentation to allow organisations to assess connectivity risks. It is especially important that this documentation is available for 'turnkey' solutions, allowing operators to understand the design and implement appropriate security controls throughout the system's lifecycle. | インテグレーターおよびデバイスメーカーは、設計段階で安全性を確保し、実装・保守が容易な製品を提供することで、組織がこれらの原則を達成しやすくすることが推奨される。インテグレーターと製造事業者は、組織が接続リスクを評価できる文書を提供することを保証すべきである。特に「ターンキー」ソリューションでは、運用者が設計を理解し、システムのライフサイクル全体を通じて適切なセキュリティ制御を実施できるよう、この文書が提供されていることが重要である。 |
| Principle 1: Balance the risk and opportunities | 原則1:リスクと機会のバランスを取る |
| Before you undertake any design work for new or existing connections to your OT environment, you must ensure you are equipped to make risk-informed decisions about when, how, and where connectivity is permitted within OT systems and to external/third party systems. Ensure these decisions are thoroughly documented to allow the reasoning to be auditable. | OT環境への新規または既存の接続設計に着手する前に、OTシステム内およびサードパーティシステムへの接続をいつ、どのように、どこで許可するかについて、リスクに基づいた判断を下す準備が整っていることを確認しなければならない。これらの決定は、その根拠が監査可能となるよう徹底的に文書化すること。 |
| The first step for all OT connectivity should be the documentation of a formal business case to support decision-making. This should be stored centrally and referred to regularly during the design process. At a minimum the business case should document the following: | 全てのOT接続における最初のステップは、意思決定を支える正式なビジネスケースの文書化である。これは一元的に保管され、設計プロセス中に定期的に参照されるべきだ。ビジネスケースには最低限、以下の事項を記載すること: |
| Requirement: | 要件: |
| is the connection required and what does it aim to achieve? | 接続は必要か、その目的は何か? |
| Business Benefit: | ビジネス上の利点: |
| what benefits arise from the added connectivity? | 追加接続によって生じる利点は何か? |
| Risk Tolerance: | リスク許容度: |
| what cyber and operational risks are acceptable? | 許容可能なサイバーリスクと運用リスクは何か? |
| Potential Impacts: | 潜在的影響: |
| what are the potential impacts of a compromise to this connectivity? | この接続が侵害された場合の潜在的影響は何か? |
| Introduced Dependencies: | 導入される依存関係: |
| will the connection make the system reliant on external services, making isolation harder in an incident? | 接続によりシステムが外部サービスに依存するようになり、インシデント発生時の隔離が困難になるか? |
| Senior Accountability: | 上級責任者: |
| who is the senior risk owner for the new connectivity? | 新規接続の上級リスクオーナーは誰か? |
| For OT environments it is critical to give additional consideration within the business case for both risks to obsolete products and operational risks that could arise from increased connectivity | OT環境においては、陳腐化した製品へのリスクと、接続性増加から生じうる運用リスクの両方について、ビジネスケース内で追加的な検討を行うことが極めて重要である。 |
| At each stage of the design process you should assess if the connectivity is able to meet the risk-thresholds defined in your business case and that it aligns with your organisational threat context. In order to do this effectively you will need to verify your organisation has existing knowledge and processes to support this. | 設計プロセスの各段階において、接続性がビジネスケースで定義されたリスク閾値を満たし、組織の脅威状況と整合しているかを評価すべきである。これを効果的に行うには、組織がこれを支援する既存の知識とプロセスを有していることを確認する必要がある。 |
| A comprehensive risk management frame |
包括的なリスクマネジメントフレームワーク |
| Effective control and oversight of your supply chain |
サプライチェーンの効果的な管理と監視 |
| Ability to influence: |
影響力: |
| Do you have the ability to influence the security controls architected into the suppliers solution? |
サプライヤーのソリューションに組み込まれたセキュリティ制御に影響を与える能力はあるか? |
| Contractual controls: |
契約上の統制: |
| Does your contract allow you to define and enforce minimum product security requirements, including capabilities for updating, access control, digital forensics and protective monitoring? |
契約において、更新機能、アクセス管理、デジタルフォレンジック、保護監視を含む最低限の製品セキュリティ要件を定義し、強制する権限は認められているか? |
| Component visibility: |
コンポーネントの可視性: |
| Do you know all technologies in the supplied product? Hidden or undocumented devices may alter your connectivity model. This sometimes is referred to as a bill of materials. |
提供された製品内の全技術を知っているか?隠れたデバイスや未記載のデバイスは接続モデルを変更する可能性がある。これは部品表(BOM)と呼ばれることもある。 |
| Supplier trustworthiness: |
サプライヤーの信頼性: |
| Consider the supplier's policies, how they protect development and maintenance environments, and how they handle your designs/configurations. |
サプライヤーの方針、開発・保守環境の防御方法、設計/構成の取り扱い方法を検討する。 |
| Supplier track-record: |
サプライヤーの実績: |
| Has the supplier previously demonstrated that they respond to security issues and incidents in a mature manner, and do they positively engage with vulnerability researchers. |
サプライヤーは過去にセキュリティ問題やインシデントに成熟した対応を示したか。脆弱性研究者と積極的に連携しているか。 |
| Principle 2: Limit the exposure of your connectivity | 原則2:接続性のエクスポージャーを制限する |
| Exposure refers to where an asset sits within the wider system architecture, and how accessible it is to external or adjacent networks, taking into account defence in depth controls. Ultimately, the more assets exposed at the network edge, the broader your attack surface becomes. | エクスポージャーとは、資産が広範なシステムアーキテクチャ内でどこに位置し、多重防御の制御を考慮した上で外部または隣接ネットワークからどの程度アクセス可能かを指す。結局のところ、ネットワークエッジで露出する資産が増えれば増えるほど、攻撃対象領域は広くなる。 |
| To manage this risk, organisations should adopt an exposure management approach. This involves proactively identifying, assessing, and mitigating risks associated with digital assets and their connectivity. This includes evaluating the asset’s placement in the network, the type of connectivity implemented, and the strength of cyber security controls. The NCSC Netherlands exposure management guidance defines categories such as ‘internet or external facing’ and ‘adjacent network-facing’ assets, helping organisations assess exposure levels systematically. | このリスクを管理するため、組織は露出管理アプローチを採用すべきである。これはデジタル資産とその接続性に関連するリスクを、積極的に特定・アセスメント・緩和することを含む。具体的には、ネットワーク内での資産の配置、実装されている接続性の種類、サイバーセキュリティ対策の強度の評価が含まれる。オランダNCSCの露出管理ガイダンスは、「インターネットまたは外部向け」や「隣接ネットワーク向け」といった資産のカテゴリーを定義し、組織が露出レベルを体系的に評価するのを支援している。 |
| It is especially critical to ensure that you are managing the exposure of your admin interfaces. Where possible limit administration of devices or systems to only be achievable through privileged access workstations (PAW), which provide secure and trusted endpoints for system management. When administering critical security controls or obsolete systems via a PAW it may be appropriate to limit administration to only be achievable via local physical access to further reduce the exposure of these interfaces. | 管理インターフェースのエクスポージャー管理は特に重要である。可能な限り、デバイスやシステムの管理は特権アクセスワークステーション(PAW)経由でのみ実行可能とし、システム管理用の安全で信頼できるエンドポイントを提供すべきだ。PAW経由で重要なセキュリティ制御や廃止システムを管理する場合、これらのインターフェースのエクスポージャーをさらに低減するため、ローカル物理アクセスによる管理のみを許可することが適切である。 |
| ・Reduce time of exposure | ・エクスポージャーの短縮 |
| ・Remove inbound port exposure | ・インバウンドポート露出の排除 |
| ・Manage obsolescence risks | ・陳腐化リスクの管理 |
| ・Manage unique connectivity bearer risks | ・固有の接続ベアラリスクの管理 |
| Principle 3: Centralise and standardise network connections | 原則3:ネットワーク接続の集中化と標準化 |
| The connectivity models of OT systems can be complicated, involving various stakeholders such as business systems, billing platforms, and external vendors responsible for ongoing maintenance. As organisations evolve, these connectivity models often become more complex, adapting to new business requirements or integrating modernised processes. This increasing complexity can significantly expand the organisation’s attack surface, making it harder to monitor, control, and secure communications across the OT environment. Each additional connection, especially if implemented in an ad hoc or bespoke manner, introduces potential vulnerabilities that attackers can exploit. | OTシステムの接続モデルは複雑になりがちで、業務システム、課金プラットフォーム、継続的な保守を担当する外部ベンダーなど、様々な関係者が関与する。組織が進化するにつれ、新たな業務要件への適応や近代化されたプロセスの統合に伴い、これらの接続モデルはさらに複雑化する。この複雑化の進展は組織の攻撃対象領域を大幅に拡大し、OT環境全体でのコミュニケーションの監視・制御・保護を困難にする。特にアドホックまたは特注方式で実装される追加接続は、攻撃者が悪用可能な潜在的な脆弱性を導入する。 |
| Centralising and standardising connectivity helps address this challenge by consolidating access points and enforcing uniform security controls across the OT estate. A centralised architecture enables consistent monitoring, logging, and enforcement of security policies, making the management overhead of cyber security easier. Standardisation ensures that all connections follow a repeatable and well-understood pattern, reducing the risk of misconfigurations and simplifying the deployment of protective measures such as encryption, authentication, and segmentation. | 接続の集中化と標準化は、アクセスポイントを統合しOT資産全体で統一されたセキュリティ制御を適用することで、この課題に対処する。集中型アーキテクチャは、セキュリティポリシーの一貫した監視、記録、適用を可能にし、サイバーセキュリティの管理負担を軽減する。標準化により、すべての接続が再現可能で理解しやすいパターンに従うため、設定ミスのリスクが減少し、暗号化、認証、セグメンテーションなどの保護対策の展開が簡素化される。 |
| To effectively manage your attack surface, it is essential to ensure that your OT remote connectivity should be flexible, repeatable and categorised. | 攻撃対象領域を効果的に管理するには、OTリモート接続が柔軟性、再現性、分類性を備えていることが不可欠である。 |
| ・Flexible | ・柔軟性 |
| ・Repeatable | ・再現性 |
| ・Categorised | ・分類 |
| Principle 4: Use standardised and secure protocols | 原則4:標準化され安全なプロトコルの使用 |
| In addition to securing the networks and devices used to establish communications, your organisation must also consider the security of the protocols employed. | コミュニケーション確立に使用されるネットワークやデバイスのセキュリティ確保に加え、組織は採用するプロトコルの安全性も考慮しなければならない。 |
| As outlined in Creating and maintaining a definitive view of OT architecture, it is common for industrial environments to prioritise availability over the confidentiality and integrity of communications. It is essential that all components of the confidentiality, integrity & availability (CIA) triad are considered. However, you may prioritise different aspects of CIA depending on the connection. For instance, in field networks, authentication and integrity are essential to limit an attackers' ability to send malicious traffic. Conversely, in north-south traffic at network boundary points, encryption becomes critical to prevent attackers from discerning information on how to impact the system. | 「OTアーキテクチャの決定的なビューの作成と維持」で概説されているように、産業環境ではコミュニケーションの機密性や完全性よりも可用性を優先することが一般的である。機密性・完全性・可用性(CIA)の三要素を全て考慮することが不可欠である。ただし、接続形態に応じてCIAの優先順位は異なる。例えばフィールドネットワークでは、攻撃者が悪意のあるトラフィックを送信する能力を制限するため、認証と完全性が重要となる。一方、ネットワーク境界点における南北方向のトラフィックでは、攻撃者がシステムへの影響方法を特定する情報を入手するのを防ぐため、暗号化が極めて重要となる。 |
| ・Protocol validation | ・プロトコル妥当性確認 |
| ・Industrial protocols | ・産業用プロトコル |
| Principle 5: Harden your OT boundary | 原則5:OT境界の強化 |
| The prevalence of obsolete assets and weak security controls within the OT environment makes hardening the OT boundary critical. Network segmentation and segregation remain key controls to reduce exposure, where built‑in protections at the device or protocol level may be limited. Although these measures provide a robust first layer of defence, they are even more effective when combined with native security capabilities within OT systems. This could include secure by design devices and authenticated communication protocols. | OT環境における陳腐化した資産と脆弱なセキュリティ対策の蔓延は、OT境界の強化を極めて重要とする。デバイスやプロトコルレベルでの組み込み保護が限定的な場合、ネットワークのセグメンテーションと分離は依然としてエクスポージャーを低減する主要な制御手段である。これらの対策は堅牢な第一防衛層を提供するものの、OTシステム固有のセキュリティ機能と組み合わせることでさらに効果的となる。これには設計段階から安全性を考慮したデバイスや認証付き通信プロトコルが含まれる。 |
| Because many OT systems are difficult to update or replace, the boundary becomes the primary defence against external threats. Organisations should therefore invest in modern, modular, and easily replaceable boundary assets. This could include deploying a firewall with application-layer (Layer 7) inspection capabilities, often referred to as a next-generation firewall. These assets offer greater flexibility for patching, upgrading, and reconfiguring security controls. Importantly, they can be maintained without disrupting core OT operations. This makes them essential for adapting to evolving threats and maintaining long-term resilience. | 多くのOTシステムは更新や交換が困難なため、境界が外部脅威に対する主要な防御線となる。組織は現代的でモジュール化され、容易に交換可能な境界資産への投資が必要だ。具体的にはアプリケーション層(レイヤー7)検査機能を備えたファイアウォール、いわゆる次世代ファイアウォールの展開が挙げられる。これらの資産はセキュリティ制御のパッチ適用、アップグレード、再構成において高い柔軟性を提供する。重要なのは、中核的なOT運用を妨げずに維持できる点だ。これにより、進化する脅威への適応と長期的なレジリエンス維持が不可欠となる。 |
| Your OT boundary security controls need to be flexible to enable your boundary to evolve to meet changing threats; if a device or system is directly exposed to an external network it has no additional lines of defence. This means that the failure or compromise of a single control or measure would result in an attacker gaining immediate and complete access to the system. | OT境界のセキュリティ制御は柔軟性を備え、変化する脅威に対応できるよう境界を進化させる必要がある。デバイスやシステムが外部ネットワークに直接露出している場合、追加の防御ラインは存在しない。つまり、単一の制御や対策が失敗または侵害されると、攻撃者は即座にシステムへの完全なアクセス権を獲得することになる。 |
| When designing security across all connections, a layered approach, commonly referred to as defence in depth, should be prioritised. | 全接続におけるセキュリティ設計では、多層防御(ディフェンス・イン・デプス)と呼ばれる階層的アプローチを優先すべきだ。 |
| ・ OT boundary | ・OT境界 |
| ・Hardware-based controls | ・ハードウェアベースの制御 |
| Principle 6: Limit the impact of compromise | 原則6:侵害の影響を限定する |
| Modern OT networks should be designed with controls that extend beyond the OT boundary. These should implement layered controls that reduce the impact from insider threats, third parties and external compromise. For OT connectivity these layered defences should focus on two main risks: | 現代のOTネットワークは、OT境界を越えた制御を設計に組み込むべきだ。これらは内部脅威、サードパーティ、外部侵害の影響を軽減する多層的制御を実施する。OT接続性においては、これらの多層防御は主に二つのリスクに焦点を当てるべきである: |
| Contamination | 汚染 |
| Lateral movement | 横方向移動 |
| ・Segmentation | ・セグメンテーション |
| ・Browse down | ・ブラウズダウン |
| ・Boundary controls | ・境界制御 |
| Principle 7: Ensure all connectivity is logged and monitored | 原則7:全ての接続性を記録・監視する |
| Even with all possible precautions in place, there remains a risk that your system could be compromised. Monitoring is your last line of defence when designing secure connectivity. | あらゆる予防策を講じた場合でも、システムが侵害されるリスクは残る。安全な接続性を設計する際、監視は最終防衛ラインである。 |
| It is critical that your organisation makes compromise detection easier by implementing comprehensive logging and monitoring throughout your OT environment. These logs will help your organisation establish a baseline of ‘normal’ activity, allowing operators or detection systems to identify abnormalities faster. | 組織は、OT環境全体に包括的なログ記録と監視を導入することで、侵害の検知を容易にすることが極めて重要である。これらのログは、組織が「正常」な活動の基準を確立するのに役立ち、オペレーターや検知システムが異常をより迅速に識別することを可能にする。 |
| The end-goal of logging should not just be to collect logs. Instead, you should understand how attackers may seek to exploit your systems though identifying weak points . Then design monitoring and alerting to help identify potential attacks. This can help guide what logging or packet captures you need to support these monitoring and alerting rules. Within OT environments, specific considerations should be made regarding how logging addresses: | ログ記録の最終目標は、単にログを収集することではない。代わりに、攻撃者が弱点を特定してシステムを悪用しようとする方法を理解すべきである。そして、潜在的な攻撃を識別するのに役立つ監視とアラートを設計する。これにより、監視・警報ルールを支えるために必要なログやパケットキャプチャの要件が明確になる。OT環境では、ログ記録が以下の点をどう扱うかについて特に考慮すべきだ: |
| Principle 8: Establish an isolation plan | 原則8:隔離計画の確立 |
| In certain circumstances, it may be necessary to isolate OT environments from external influences. This need can arise from various factors, including increased threats or confirmed compromises within connected systems. | 状況によっては、OT環境を外部影響から隔離する必要が生じる。この必要性は、脅威の増大や接続システム内の侵害確認など、様々な要因から生じうる。 |
| The isolation process for the system should be considering any potentials impacts to wider business or any national interdependencies. This plan should be linked to and part of your wider business continuity plans. It should be regularly tested to ensure that the system works as intended, and does not impact your organisation's services. | システムの隔離プロセスでは、事業全体への潜在的影響や国家レベルの相互依存関係を考慮すべきだ。この計画は事業継続計画と連動し、その一部とすべきである。システムが意図した通りに機能し、組織のサービスに影響を与えないことを確認するため、定期的にテストを実施する必要がある。 |
| There are three primary isolation strategies: | 主な隔離戦略は三つある: |
| ・Site isolation | ・サイト隔離 |
| ・Application/service-specific isolation | ・アプリケーション/サービス固有の隔離 |
| ・Site isolation with hardware-enforced trusted communications | ・ハードウェアで強制された信頼通信を伴うサイト隔離 |
米国CISAからの発表
● CISA
・2026.01.14 Secure Connectivity Principles for Operational Technology (OT)
カナダ CCCS
● CCCS
・2026.01.14 Joint guidance on secure connectivity principles for operational technology
« 内閣府 パブコメ 重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案 (2026.01.09) | Main | ドイツ BSI 初のEUCC認証が発行されまたした... (2026.01.13) »
Comments