Principles of operational technology cyber security |
運用技術サイバーセキュリティの原則 |
Introduction |
序文 |
Critical infrastructure organisations provide vital services, including supplying clean water, energy, and transportation, to the public. These organisations rely on operational technology (OT) to control and manage the physical equipment and processes that provide these critical services. As such, the continuity of vital services relies on critical infrastructure organisations ensuring the cyber security and safety of their OT. |
重要インフラ組織は、清潔な水、エネルギー、輸送などの重要なサービスを一般市民に提供している。これらの組織は、これらの重要なサービスを提供する物理的な機器やプロセスを制御・管理するために、運用技術(OT)に依存している。そのため、重要なサービスの継続は、重要インフラ組織がOTのサイバーセキュリティと安全性を確保することに依存している。 |
Due to the extensive integration of OT in the technical environments of critical infrastructure organisations, and the complex structure of these environments, it can be difficult to identify how business decisions may affect the cyber security of OT, including the specific risks attributed to a decision. Decisions may include introducing new systems, processes, or services to the environment; choosing vendors or products to support the technical environment; and developing business continuity and security-related plans and playbooks. This document is designed to assist organisations make decisions for designing, implementing, and managing OT environments to ensure they are both safe and secure, as well as enable business continuity for critical services. |
重要インフラ組織の技術環境におけるOTの広範な統合と、これらの環境の複雑な構造により、ビジネス上の意思決定がOTのサイバーセキュリティにどのような影響を与えるかを、意思決定に起因する特定のリスクを含めて特定することが困難な場合がある。意思決定には、ビジネス環境に新しいシステム、プロセス、サービスを導入すること、技術環境をサポートするベンダーや製品を選択すること、事業継続やセキュリティ関連の計画やプレイブックを策定することなどが含まれる。この文書は、組織がOT環境を設計、実装、管理するための意思決定を支援し、安全性とセキュリティを確保するとともに、重要なサービスの事業継続を可能にすることを目的としている。 |
Principles of OT Cyber Security, authored by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), and co-sealed by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MSISAC), United Kingdom’s National Cyber Security Centre (NCSC-UK), Canadian Centre for Cyber Security (Cyber Centre), New Zealand’s National Cyber Security Centre (NCSC-NZ), Germany’s Federal Office for Information Security (BSI Germany), the Netherlands’ National Cyber Security Centre (NCSC-NL), Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and National Police Agency (NPA), the Republic of Korea’s National Intelligence Service (NIS) and NIS’ National Cyber Security Center (NCSC) describes six principles that guide the creation and maintenance of a safe, secure critical infrastructure OT environment: |
サイバーセキュリティ・インフラ・セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、複数国家情報共有分析センター(MSISAC)、英国国家サイバーセキュリティセンター(NCSC-UK)、カナダ・サイバーセキュリティセンター(Cyber Centre)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、ドイツ連邦情報セキュリティ局(BSI Germany)、 オランダの国家サイバーセキュリティセンター(NCSC-NL)、日本のサイバーセキュリティ・インシデント対応・戦略センター(NISC)と警察庁(NPA)、韓国の国家情報院(NIS)とNISの国家サイバーセキュリティセンター(NCSC)は、安全でセキュアな重要インフラOT環境の構築と保守の指針となる6つの原則を説明している: |
1. Safety is paramount |
1. 安全が最優先 |
2. Knowledge of the business is crucial |
2. 業務に関する知識が重要である |
3. OT data is extremely valuable and needs to be protected |
3. OTデータは極めて貴重であり、保護する必要がある |
4. Segment and segregate OT from all other networks |
4. OTを他のすべてのネットワークから防御・分離する |
5. The supply chain must be secure |
5. サプライチェーンは安全でなければならない |
6. People are essential for OT cyber security |
6. OT サイバーセキュリティには人材が不可欠である |
The principles have been co-designed with Australian critical infrastructure operators. We thank all who have contributed for their time and expertise in supporting the development of this document. |
本原則はオーストラリアの重要インフラ事業者と共同で策定した。この文書の作成を支援するために時間と専門知識を提供してくれたすべての人に感謝する。 |
How to use this document |
この文書の使用方法 |
The authoring agencies recommend an OT decision maker apply the six principles presented in this document to help determine if the decision being made is likely to adversely impact the cyber security of the OT environment. If a decision impacts or breaks one or more of the principles of OT cyber security outlined in this document, then it will likely introduce a vulnerability to the OT environment. Such a decision therefore needs to be examined more closely to make sure the right cyber security controls are put in place and that the residual risk after the controls are put in place is acceptable, or, alternatively, the proposal is reconsidered. Quickly filtering decisions to identify those that impact the security of OT will enhance the making of robust, informed, and comprehensive decisions that promote safety, security and business continuity when designing, implementing, and managing OT environments. |
OT の意思決定者は、なされようとしている意思決定が OT 環境のサイバーセキュリティに悪影響を与えそうであるかどうかを判断するために、この文書に示された 6 つの原則を適用することを認可機関は推奨する。もしある決定が、本文書で概説されている OT サイバーセキュリティの原則の 1 つ以上に影響を与えたり、破ったりするのであれば、それは OT 環境に脆弱性をもたらす可能性が高い。したがって、そのような意思決定は、適切なサイバーセキュリティ対策が実施され、対策実施後の残存リスクが許容可能であることを確認するために、より綿密に検討する必要がある。OT のセキュリティに影響する意思決定を迅速にフィルタリングして特定することは、OT 環境を設計、実装、管理する際に、安全、セキュリ ティ、ビジネス継続性を促進する強固で、情報に基づいた、包括的な意思決定を強化することになる。 |
The authoring agencies recommend OT decision makers read and understand each principle. This document is intended to be useful for all personnel who need to filter decisions affecting OT, from the leadership of an organisation (including the executives and board members making strategic decisions) down to the technical personnel making tactical and operational decisions. |
認可機関は、OT の意思決定者が各原則を読み、理解することを推奨する。この文書は、組織の指導者(戦略的決定を行う幹部や役員を含む)から戦術的・運用的決定を行う技術担当者に至るまで、OTに影響する決定をフィルタリングする必要があるすべての要員にとって有用であることを意図している。 |
Principles of operational technology cyber security |
運用技術のサイバーセキュリティの原則 |
Principle 1: Safety is paramount |
原則1:安全が最優先 |
Safety is critical in physical environments. In contrast to corporate IT systems, where leaders prioritise innovation and rapid development without concern of threat to life, operational cyber-physical systems’ leaders must account for threat to life in daily decision making. Firstorder hazards from critical infrastructure include high voltages, pressure releases or flammable explosions, kinetic impacts (e.g, speeding trains), and chemical or biological hazards such as in water treatment. Further, there are implications for citizens’ way of life if essential services such as energy and drinkable water supply are degraded or disrupted. The interconnected nature of critical infrastructure means that failures, whether by human error or malicious disruption through cyber means, may have wide ranging and unforeseen implications for the day-to-day function of society. |
安全は物理的環境において極めて重要である。企業のITシステムでは、リーダーが生命への脅威を気にすることなく、イノベーションと迅速な開発を優先するのとは対照的に、運用サイバー物理システムのリーダーは、日々の意思決定において生命への脅威を考慮しなければならない。重要なインフラから生じる一次災害には、高電圧、圧力の放出や可燃性爆発、運動衝撃(例:スピード違反の列車)、水処理などの化学的・生物学的災害が含まれる。さらに、エネルギーや飲料水の供給など、必要不可欠なサービスが低下したり中断したりすれば、市民の生活にも影響が及ぶ。重要インフラは相互につながっているという性質があるため、人為的なミスであれ、サイバー手段による悪意ある破壊であれ、障害が発生すれば、社会の日常機能に広範かつ予期せぬ影響を及ぼす可能性がある。 |
Examples and implications |
例と影響 |
When discussing safety, it may be useful to consider safety of human life; safety of plant, equipment and the environment; and the reliability and uptime of the critical infrastructure’s services. Depending on the environment and the system being considered, this may imply a requirement that any cyber security systems, processes and services introduced into the environment are deterministic and predictable, including that engineers have a deep understanding of the weaknesses of the system and ensuring that failures occur in an expected and manageable way. Similarly, safety needs to be informed by cyber security and an understanding of the threat environment. Depending on the criticality of the service, there may be a need to ensure that any cyber security systems, processes or services introduced into the environment are black-start compliant, meaning they will not hinder a restart after a complete loss of electricity, and are able to operate and recover with minimal dependence on other systems. |
安全性を議論する際には、人命の安全性、プラント、機器、環境の安全性、重要インフラのサービスの信頼性と稼働時間を考慮することが有用であろう。環境と考慮されるシステムによっては、これは、環境に導入されるサイバーセキュリティシステム、プロセス、サービスが決定論的で予測可能であるという要件を意味し、エンジニアがシステムの弱点を深く理解し、故障が予期され管理可能な方法で発生することを保証することも含まれる。同様に、安全性はサイバーセキュリティと脅威環境の理解によってもたらされる必要がある。サービスの重要性によっては、環境に導入されるサイバーセキュリティ・システム、プロセス、サービスがブラックスタートに適合していること、つまり、電気が完全に失われた後の再起動を妨げないこと、他のシステムへの依存を最小限に抑えて動作・回復できることを保証する必要があるかもしれない。 |
The principle of “safety is paramount” implies the following incident response questions are significant: |
安全が最優先」という原則は、次のようなインシデント対応の疑問が重要であることを意味している: |
• If there is a cyber incident in an area that requires software running correctly for the work environment to be considered safe (safety and protection systems), is an organisation prepared to send staff to that site knowing that a bad actor has been, or is currently, on the network? [1] |
- 作業環境が安全とみなされるためにソフトウェアが正しく動作する必要がある領域(安全および保護システム)でサイバーインシデントが発生した場合、組織は、悪質な行為者がネットワークに侵入している、または現在侵入していることを知りながら、その現場にスタッフを派遣する用意があるか?[1] |
• If there is a cyber incident in an area that requires software running correctly for the work environment to be considered safe (safety and protection systems), in many instances this means that paying a ransom cannot be an option, as there is no timely large-scale method to verify that the system has been returned to a safe state. Can an organisation be confident that the encryption process was the only modification to the files, given that a malicious actor is known to have been on the OT network?1 |
- 作業環境が安全とみなされるためにソフトウェアが正しく動作する必要がある領域(安全および保護システム)でサイバーインシデントが発生した場合、多くの場合、システムが安全な状態に戻ったことを確認するためのタイムリーで大規模な方法がないため、身代金を支払うという選択肢はありえないことを意味する。悪意のある行為者が OT ネットワークにいたことが知られている場合、組織は暗号化処理だけがファイルへの変更であったと確信できるだろうか?1 |
• Is restoring from backup an acceptable approach to mitigate cyber incidents? That is, if a malicious actor has been on the network for a period of time, can the backups be trusted? Is there a way to validate that the critical OT system is safe, after recovery? |
- バックアップからの復元は、サイバーインシデントを軽減するために受け入れられるアプローチだろうか?つまり、悪意のある行為者が一定期間ネットワーク上にいた場合、バックアップは信頼できるのか?復旧後、重要なOTシステムが安全であることを検証する方法はあるか? |
Safety of human life, safety of the plant equipment, safety of the environment, and the need to maintain reliability and uptime, are necessary systemic ways of thinking that need to permeate all tasks, even essential and common cyber hygiene tasks potentially considered unrelated, such as: |
人命の安全、プラント機器の安全、環境の安全、そして信頼性と稼働時間を維持する必要性は、すべてのタスクに浸透させる必要のあるシステム的な思考方法である: |
• How to take a backup? Are there risks to executing backups over the same (potentially close-to-saturated) network as time-critical safety control messages? |
- バックアップの取り方は?バックアップをどのように取るか?バックアップを、タイムクリティカルな安全制御メッセージと同じ(飽和状態に近い可能性のある)ネットワーク上で実行するリスクはあるか? |
• How to do asset discovery? Are active processes acceptable, or is passive the only way? |
- アセットディスカバリーの方法は?能動的なプロセスは受け入れられるのか、それとも受動的な方法しかないのか? |
• How to patch, and how to do change management in general? What are the system requirements for frequency, testing rigour, scope, roll-out strategies and roll-back strategies. |
- パッチの当て方、一般的な変更管理の方法は?頻度、テストの厳密さ、範囲、ロールアウト戦略、ロールバック戦略に関するシステム要件は何か。 |
Principle 2: Knowledge of the business is crucial |
原則2:ビジネスに関する知識が重要である |
The more knowledge a business has about itself, the better that business can protect against, prepare for and respond to a cyber incident. The higher in the organisation there is understanding, visibility and reporting of cyber risks, especially to OT systems, the better the outcome. |
ビジネスに関する知識が豊富であればあるほど、そのビジネスはサイバーインシデントから保護し、準備し、対応することができる。特にOTシステムに対するサイバーリスクの理解、可視化、報告が組織の上層部にあればあるほど、より良い結果が得られる。 |
All critical infrastructure organisations should ensure they meet the following baselines: |
すべての重要インフラ組織は、以下のベースラインを満たしていることを確認する必要がある: |
• Identify the vital systems the organisation needs to continue to provide their crucial services |
- 組織が重要なサービスを提供し続けるために必要な重要システムを特定する |
• Understand the OT system’s process, and the significance of each part of the process |
- OT システムのプロセス、およびプロセスの各部分の重要性を理解する |
• Create an architecture that allows those vital systems and processes to be defended from other internal and external networks |
- それらの重要なシステムおよびプロセスを他の内部および外部ネットワークから防御できるアーキテクチャを作成する |
• Ensure that personnel responsible for designing, operating and maintaining OT systems understand the business context that the OT system operates within, including the physical plant and process connected to the OT system and how it delivers services to stakeholders. |
- OT システムの設計、運用、および保守に責任を負う要員が、OT システムに接続された物理プラントおよびプロセス、および利害関係者にサービスを提供する方法など、OT システムがその中で動作するビジネスコンテキストを理解していることを確認する。 |
• Understand the dependencies vital systems have to be able to operate and where they connect to systems external to the OT system. |
- システムが動作するために不可欠な依存関係を理解し、OT システムの外部のシステムと接続する場所を理解する。 |
Examples and implications |
例と影響 |
A commonly agreed upon imperative of cyber security is to know what needs to be protected. The first part of this is to understand which elements of the business are essential for the organisation to be able to provide its critical services. The second part is to understand the systems and processes being protected. This may include (but is not limited to): systems engineering drawings, asset lists, network diagrams, knowing who can connect to what and from where, recovery procedures, software vendors, services and equipment, and, to the extent possible, software bills of material and the desired configuration state. |
サイバーセキュリティの必須事項として一般的に合意されているのは、保護すべきものを知ることである。その第一は、組織が重要なサービスを提供するために不可欠なビジネスの要素を理解することである。第二の部分は、保護対象のシステムとプロセスを理解することである。これには、システムエンジニアリングの図面、資産リスト、ネットワーク図、誰がどこから何に接続できるかを知ること、復旧手順、ソフトウェアベンダー、サービス、機器、可能な限りソフトウェアの部品表と望ましい構成状態などが含まれる(ただし、これらに限定されない)。 |
Knowing what parts of the business are essential to be able to provide a critical service requires both top-down and bottom-up thinking. Top-down thinking has historically led many organisations to seek to separate OT from IT. Bottom-up thinking provides an opportunity for an organisation to go further and discover the minimal set of OT equipment required for a critical function. For example, to be able to generate electricity, depending on the generator, it may be that the minimum requirement is the generator, a controller in a control panel, and a suitable fuel supply. For critical infrastructure entities, understanding what is needed to protect the absolute core functions – keeping the water flowing and the lights on – should then guide the effective layering of cyber security controls. This has implications for architecture, protection, detection, and backup of devices and files. |
クリティカルなサービスを提供するために、ビジネスのどの部分が不可欠かを知るには、トップダウン思考とボトムアップ思考の両方が必要である。トップダウン思考は、歴史的に多くの組織がOTをITから切り離そうとしてきた。ボトムアップの思考は、組織がさらに進んで、重要な機能に必要な最小限のOT機器のセットを発見する機会を提供する。例えば、発電ができるようにするためには、生成的な発電機によっては、発電機、制御盤のコントローラ、適切な燃料供給が最低限必要な場合がある。重要インフラ事業体にとっては、水を流し、明かりを点け続けるという絶対的な中核機能を守るために何が必要かを理解することが、サイバーセキュリティ対策を効果的に階層化するための指針となる。これは、アーキテクチャ、防御、検知、デバイスやファイルのバックアップに影響を与える。 |
It is essential that OT-specific incident response plans and playbooks are integrated into the organisation’s other emergency and crisis management plans, business continuity plans, playbooks and mandatory cyber incident reporting requirements. The involvement of a process engineer is important, both when creating plans and playbooks and during any investigation, containment or recovery processes. There is also a need to provide an information pack to third parties before or when they are engaged, to quickly bring them up to speed. This third-party pack should include the likes of points of contact, naming conventions for servers, data sources, deployed tools, and what tools are acceptable to be deployed. All plans, playbooks, and thirdparty packs must be regularly exercised, updated by all relevant parties including legal, and protected due to their value to the adversaries. |
OT特有のインシデント対応計画とプレイブックを、組織のその他の緊急・危機管理計画、事業継続計画、プレイブック、サイバーインシデント報告義務要件に統合することが不可欠である。プランとプレイブックを作成する際にも、調査、封じ込め、復旧プロセスにおいても、プロセスエンジニアの関与が重要である。また、サードパーティと契約する前、あるいは契約する際に、サードパーティが迅速にスピードアップできるような情報パックをプロバイダに提供する必要もある。このサードパーティ・パックには、連絡先、サーバーの命名規則、データソース、配備されたツール、配備が許容されるツールなどを含めるべきである。すべての計画、プレイブック、サードパーティパックは、定期的に実行され、法務を含むすべての関係者によって更新され、敵対者にとって価値があるため保護されなければならない。 |
Physical aspects that aid staff to have knowledge of the OT system should also be considered. This may include colour coding cables, putting coloured banding on existing cables, or marking devices allowed in the OT environment in a highly visible way. Only authorised devices should be connected to the OT environment, to help ensure that only authorised code can be introduced to OT environments. Overt visual cues allow an organisation to better protect their environment by identifying unauthorised devices, and allow an organisation to quickly make correct decisions in response to cyber or intelligence-based events. Such markings would need to be periodically assessed and verified to ensure accuracy and currency. |
スタッフがOTシステムの知識を持つのを助ける物理的な側面も考慮されなければならない。これには、ケーブルを色分けしたり、既存のケーブルにカラーバンドを付けたり、OT 環境で許可されたデバイスを非常に見やすい方法でマーキングしたりすることが含まれる。許可されたコードのみが OT 環境に導入されることを確実にするために、許可された機器のみが OT 環境に接続されるべきである。あからさまな視覚的手がかりは、未認可のデバイスを識別することで組織の環境をよりよく保護し、サイバーまたは識別に基づく事象に対応して組織が迅速に正しい判断を下すことを可能にする。このようなマーキングは、正確性と最新性を確保するために定期的にアセスメントされ、検証される必要がある。 |
Understanding the business context of the OT system is essential for assessing the impact and criticality of OT outages and cyber security compromises. It is also vital to determining recovery priorities during a critical incident. For organisations reliant on OT to be able to provide a critical service, an integrated OT cyber security function is a necessary part of the business. OT cyber security personnel are not expected to have the deep understanding of a physical system that an electrical, chemical, or process engineer may have, but they should have a working knowledge of plant operation and most importantly, maintain working relationships with those in the organisation responsible for the physical plant. Such relationships are critical both to the success of any cyber enhancement project as well as when there is a need to respond to a cyber event. |
OTシステムのビジネスコンテキストを理解することは、OT停止やサイバーセキュリティ侵害の影響と重要性を評価するために不可欠である。また、クリティカル・インシデント発生時の復旧の優先順位を決定するためにも不可欠である。重要なサービスを提供できるように OT に依存している組織にとって、統合された OT サイバーセキュリティ機能はビジネスの必要な部分である。OT サイバーセキュリティの職員は、電気、化学、またはプロセスのエンジニアが持つような物理システムに対する深い理解は期待されていないが、プラントの運用に関する実務的な知識を持っている必要があり、最も重要なことは、物理プラントの輸入事業者と協力関係を維持することである。このような関係は、サイバーエンハンスメントプロジェクトを成功させるためにも、サイバーイベントに対応する必要がある場合にも重要である。 |
Principle 3: OT data is extremely valuable and needs to be protected |
原則 3: OT データは非常に貴重であり、保護される必要がある |
From an adversary’s point of view, knowing how a system is configured, including devices and protocols used, is valuable since an OT environment rarely changes. This level of information allows a bad actor to create and test targeted malware, facilitating a greater range of possible malicious outcomes. |
OT 環境はめったに変化しないため、敵の視点から見れば、使用されるデバイスやプロトコルを含め、シス テムがどのように構成されているかを知ることは貴重である。このレベルの情報により、悪意ある行為者は標的型マルウェアを作成しテストすることができ、悪意のある結果をより広範囲に広げることができる。 |
Of particular importance is engineering configuration data, such as network diagrams, any documentation on the sequence of operations, logic diagrams and schematics (e.g., the knowledge that address 1250 is a circuit breaker, or understanding the organisation’s DNP3 address convention for devices of a specific type). This information is unlikely to change in five years, and may last for 20 or more years. As such, engineering configuration data has enduring value and is highly valuable to an adversary. An adversary gaining in-depth knowledge of how an OT system works may be likened to the concept of prepositioning in a corporate IT environment, particularly in the sense of significance and the need to respond. |
特に重要なのは、ネットワーク図、動作シーケンスに関するあらゆる文書、ロジック図、回路図などのエンジニアリング・コンフィギュレーション・データである(例えば、アドレス1250がサーキット・ブレーカーであるという知識や、特定のタイプのデバイスに対する組織のDNP3アドレス規約を理解すること)。このような情報は、5年で変わる可能性は低く、20年以上続くかもしれない。このように、エンジニアリング・コンフィギュレーション・データには永続的な価値があり、敵対者にとって非常に貴重である。敵対者が OT システムの仕組みについて深い知識を得ることは、特に重要性と対応の必要性という意味で、企業の IT 環境における事前配置の概念に例えられるかもしれない。 |
Also important is more ephemeral OT data, such as voltage or pressure levels, as it can provide insight into what the organisation or its customers are doing or how the control system works. Securing OT data is also important for the protection of intellectual property (IP) and personally identifiable information (PII), such as for metering in electricity, gas or water, or for patient records in health. These other types of OT data, such as ephemeral OT values, IP and PII, also need to be protected. However, OT personal should also protect the engineering configuration data, which is critical to operations and valuable to malicious actors, but often overlooked. |
また、電圧や圧力レベルなど、より刹那的なOTデータも重要である。これは、組織やその顧客が何をしているのか、あるいは制御システムがどのように動作しているのかを洞察できるためである。OTデータのセキュリティは、知的財産(IP)や個人を特定できる情報(PII)の保護にも重要である。例えば、電気、ガス、水道のメータリングや、医療における患者記録などである。このような刹那的なOT値、IP、PIIといった他のタイプのOTデータも保護される必要がある。しかし、OT 個人はエンジニアリング・コンフィギュレーション・データも保護する必要がある。これは運用にとっ て重要であり、悪意ある行為者にとって貴重であるが、見過ごされがちである。 |
Examples and implications |
例と影響 |
Organisations should define and design where and how OT data can be stored, so as to control and secure it. While OT systems are often segmented and segregated from corporate IT systems, frequently adversaries do not need to access the more highly protected OT systems to gain access to all necessary OT data. Organisations may need to change their business processes to minimise the distribution and storage locations of OT data, including internally to the corporate system, such as processes that require that staff store OT configuration files in the corporate document management system. Ideally, critical OT data is always protected to the level of the OT system and as such should be stored in a protected repository that is segmented and segregated from the corporate environment and the internet. |
組織は、OTデータを管理し保護するために、OTデータを保存する場所と方法を定義し設計する必要がある。OTシステムはしばしば企業のITシステムからセグメント化され分離されているが、多くの場合、敵対者は必要なすべてのOTデータにアクセスするために、より高度に防御されたOTシステムにアクセスする必要はない。組織は、職員がOT設定ファイルを企業の文書管理システムに保存することを要求するプロセスなど、企業システム内部を含め、OTデータの配布と保存場所を最小限にするために、ビジネスプロセスを変更する必要があるかもしれない。理想的には、重要な OT データは常に OT システムのレベルまで防御され、企業環境やインターネットから分 離・隔離された保護されたレポジトリに保管されるべきである。 |
OT networks should push data out of the network, rather than external networks pulling data in from OT. |
OTネットワークは、外部ネットワークがOTからデータを取り込むのではなく、ネットワークからデータを押し出すべきである。 |
When seeking to identify where critical OT data is, indicative questions include: |
重要なOTデータがどこにあるかを特定しようとする場合、識別のための質問には次のようなものがある: |
• Do vendors and service technicians have a copy? |
- ベンダーやサービス技術者はコピーを持っているか? |
• Do consultants have a copy? |
- コンサルタントはコピーを持っているか? |
• Do engineers work in corporate IT systems, which allows them to correspond with other experts via email, before transferring the work to the OT environment? |
- エンジニアは、OT環境に作業を移す前に、電子メールで他の専門家とやり取りできるような企業のITシステムで作業しているか? |
• Is the data stored in emails, laptops, corporate backup devices, or in the cloud? |
- データは電子メール、ノートパソコン、企業のバックアップ機器、またはクラウドに保存されているか? |
• What is the process for information destruction and disposal (e.g., when a programmable logic controller (PLC) is decommissioned, is the logic code wiped)? |
- 情報の破壊と廃棄のプロセスはどうなっているか(例えば、プログラマブルロジックコントローラ(PLC)を廃棄する際、ロジックコードは消去されるか)。 |
• Is there anything to prevent technologies such as endpoint detection and response (EDR) or anti-virus causing an inadvertent data spill by sending copies of OT files out of the organisation’s network? Is there anything to prevent staff from uploading files to online antivirus or storage services? |
- エンドポイント検知・対応(EDR)やアンチウィルスなどの技術が、OTファイルのコピーを組織のネットワーク外に送信することによって、不注意によるデータ流出を引き起こすことを防ぐものはあるか?職員がオンライン・アンチウイルスやストレージ・サービスにファイルをアップロードするのを防ぐ方法はあるか? |
• How much information is shared with the insurer, HR, procurement, social media, etc.? |
- 保険会社、人事部、調達部、ソーシャルメディアなどとどの程度情報を共有しているか? |
• Where are OT log files stored and analysed? |
- OTログファイルはどこに保存され、分析されているか? |
• Are usable solutions in place, so that all parties working in OT do not have to create workarounds, potentially saving information in inappropriate places just to complete their work? |
- OTに携わるすべての関係者が、作業を完了するためだけに不適切な場所に情報を保存する可能性のある回避策を作る必要がないように、使いやすいソリューションが用意されているか? |
Organisations should seek to do more than protect the confidentiality, integrity and availability of OT data. Ideally they are alerted when OT data is viewed or exfiltrated – potentially via implementing canary tokens, which may include responses on certain files if they are touched. Further, they should consider what data adversaries already have access to, and if that data can be changed. This includes default passwords. If default passwords are changed, ideally ensure there is a way to capture failed login attempts, and investigate them. |
組織は、OTデータの機密性、完全性、可用性を保護する以上のことを追求すべきである。理想的なのは、OTデータが閲覧されたり、流出したりしたときにアラートが発せられることである。カナリートークンを実装することで、特定のファイルに触れた場合に、そのファイルに対するレスポンスを含めることもできる。さらに、敵対者がすでにどのようなデータにアクセスしているか、そのデータを変更できるかどうかを検討すべきである。これにはデフォルトのパスワードも含まれる。デフォルトパスワードが変更された場合、ログインの失敗を記録し、調査する方法があることが理想的である。 |
Principle 4: Segment and segregate OT from all other networks |
原則4:OTを他のすべてのネットワークから分離・隔離する |
Segmenting and segregating more critical functions and networks has been common advice for decades. That advice is covered in many prior publications[2]. Entities should segment and segregate OT networks from the internet and from IT networks, because the corporate IT network is usually assessed as having a higher risk of compromise due to its internet connectivity, and services like email and web browsing. We add to, rather than change, prior advice in two main areas. |
より重要な機能やネットワークを分離・隔離することは、数十年前から一般的なアドバイスとなっている。そのアドバイスは、多くの先行出版物[2]で取り上げられている。事業体は、OTネットワークをインターネットやITネットワークからセグメント化し、分離すべきである。なぜなら、企業のITネットワークは通常、インターネットに接続し、電子メールやウェブブラウジングなどのサービスを利用するため、侵害リスクが高いとアセスメントされるからである。我々は、主に2つの領域において、事前のアドバイスを変更するのではなく、追加する。 |
“From all other networks” |
「他のすべてのネットワークから」 |
The first additional area relates to the need to secure connections between the critical infrastructure organisation’s OT network and other organisations’ OT networks. These connections from other organisations’ OT networks can be a backdoor into a critical asset, potentially bypassing levels of security protecting the OT network from corporate IT, and the internet. |
1つ目の追加領域は、重要インフラ組織のOTネットワークと他の組織のOTネットワークとの間の接続をセキュアにする必要性に関するものである。他の組織の OT ネットワークからのこれらの接続は、重要資産へのバックドアとなる可能性があり、企業の IT やインター ネットから OT ネットワークを保護するセキュリティレベルをバイパスする可能性がある。 |
Critical Infrastructure organisations should segment and segregate their OT from all other networks. Fairly well understood in recent times is the need to protect and restrict OT networks from vendors. Also well understood since 2017’s Hatman malware, is the need to separate more critical OT networks such as those essential to safety, from less critical OT networks. Less well understood is the need to protect and restrict OT networks from peers and services upstream and downstream, as defined in the example below. |
重要インフラ組織は、OTを他のすべてのネットワークからセグメント化し、分離すべきである。OTネットワークをベンダーから保護・制限する必要性は、最近よく理解されている。また、2017年のHatmanマルウェア以来、安全に不可欠なOTネットワークなど、よりクリティカルなOTネットワークを、よりクリティカルでないOTネットワークから分離する必要性もよく理解されている。あまり理解されていないが、以下の例で定義されているように、OTネットワークを上流や下流のピアやサービスから防御・制限する必要性がある。 |
Examples and implications |
例とその意味 |
For example, an electricity transmission company may have connections between its own OT networks and the OT networks of other electricity transmission companies (peers). The electricity transmission company may also have a connection between its OT network and the OT networks of electricity generators (upstream). The electricity transmission company may have a connection between its OT network and the OT network of electricity distribution companies and large customers (downstream). |
例えば、送電会社は自社のOTネットワークと他の送電会社のOTネットワーク(ピア)との接続を持つことがある。送電会社はまた、自社のOTネットワークと発電事業者(上流)のOTネットワークとの間の接続を有する場合がある。送電会社は、自社の送電網と配電会社や大口需要家の送電網(下流)との間に接続を持つこともある。 |
Compounding the long-standing issue of OT interconnectivity between different organisations is the disruption taking place in many critical infrastructure subsectors. As an example, in the electricity generation subsector, large monolithic generators are being replaced with many smaller generators and storage devices. The organisations running these smaller generators and storage devices may have overseas control rooms, and permanent connections from their OT networks to overseas vendors. |
異なる組織間のOT相互接続性という長年の問題をさらに複雑にしているのが、多くの重要インフラサブ部門で起きている混乱である。一例として、発電サブセクターでは、大型のモノリシック発電機が多くの小型発電機や蓄電装置に置き換えられている。これらの小型発電機や蓄電装置を稼動させている組織は、海外に制御室を持ち、OTネットワークから海外のベンダーに常時接続している可能性がある。 |
An important shift in thinking from engineering reliability to cyber security is the concept that if a connection exists, it needs to be secure, regardless of the size of the organisation it is connected to. That is, from an engineering reliability point of view, a connection to a 2GW power station is more critical than a connection to a 5MW solar farm. However, from the cyber security point of view of an attack vector into an electricity transmission organisation’s OT network, a network connection to the control system of a 5MW solar farm has the same criticality as a network connection to the control system of the 2GW power station. |
工学的信頼性からサイバーセキュリティへの重要な考え方の転換は、接続先の組織の規模に関係なく、接続が存在するのであれば、それは安全でなければならないという考え方である。つまり、エンジニアリングの信頼性の観点からは、2GWの発電所への接続は、5MWの太陽光発電所への接続よりも重要である。しかし、送電組織のOTネットワークへの攻撃ベクトルというサイバーセキュリティの観点からは、5MWの太陽光発電所の制御システムへのネットワーク接続は、2GWの発電所の制御システムへのネットワーク接続と同じ重要性を持つ。 |
Organisations cannot presume that other organisations have the same cyber risk appetite, cyber hygiene and cyber security standards as their own. If an organisation’s OT network is not sufficiently protected from another organisation’s OT network, including usual considerations such as logging and alerts, then the security boundary for the OT network includes the other organisation. Understanding third-party risks is critical. |
組織は、他の組織が自組織と同じサイバーリスク選好度、サイバー衛生、サイバーセキュリティ標準を持っていると推定することはできない。組織のOTネットワークが、ロギングやアラートなどの通常の考慮事項を含め、他の組織のOTネットワークから十分に防御されていない場合、OTネットワークのセキュリティ境界は他の組織を含むことになる。サードパーティ・リスクを理解することが重要である。 |
Segmentation within an OT network must be used where assets and processes have different levels of criticality or the environment has a different level of trust. For example, pole-top infrastructure in an electricity distribution network may only be secured with a padlock and may use untrusted cellular networks. This infrastructure should have a lower level of trust and be segregated from infrastructure in a zone substation that is protected with robust security measures and fully encrypted communications paths. |
OTネットワーク内のセグメンテーションは、資産やプロセスの重要度が異なる場合や、環境の信頼度が異なる場合に使用しなければならない。例えば、配電網の柱上インフラは、南京錠でしか保護されておらず、信頼されていない携帯電話ネットワークを使用している可能性がある。このようなインフラは信頼レベルが低く、堅牢なセキュリティ対策と完全に暗号化されたコミュニケーション経路で保護されているゾーン変電所内のインフラとは分離されるべきである。 |
Administration and management |
管理およびマネジメント |
This principle also builds on advice surrounding the administration and management of OT systems and services. Typical advice involves segmenting and segregating OT networks from IT networks, logically and physically. In addition to this, organisations should explicitly consider where system administration and management services are placed, and ensure adequate separation of the administration and management interfaces from their IT environment counterparts. Compromise of the management and administration accounts or systems compromises the systems that they manage. Critical OT systems should not be reliant on IT systems to operate. |
この原則は、OT システムおよびサービスの管理およびマネジメントをめぐる助言にも基づいている。典型的なアドバイスとしては、OT ネットワークを論理的・物理的に IT ネットワークからセグメンテーションし、分離することが挙げられる。これに加えて、組織は、システム管理および管理サービスがどこに配置されるかを明確に考慮し、管理および管理インターフェイスとIT環境との適切な分離を確保すべきである。管理アカウントや管理システムが侵害されると、それらが管理するシステムも侵害される。クリティカルな OT システムの運用を IT システムに依存すべきではない。 |
Examples and implications |
例と影響 |
A firewall is often placed between a corporate IT network and an OT network, because the corporate IT network is usually seen as having a higher risk of compromise. However, a common goal of malicious cyber actors, once on a network, is to seek privilege escalation. If a malicious cyber actor compromises the corporate IT network and achieves privilege escalation, and the firewall is managed from the IT side via a privileged IT account, then the firewall between IT and OT may no longer provide the desired level of protection for the OT environment. This architecture is always required when there are two environments of different trust and security levels: a more critical environment should never be administered from a less critical environment, and should always be managed from a network with the same or higher security posture. |
企業の IT ネットワークと OT ネットワークの間にはファイアウォールが設置されることが多いが、これは通常、企業の IT ネットワークの方が侵害のリスクが高いと考えられているためである。しかし、一旦ネットワークに侵入した悪意のあるサイバー行為者の共通の目標は、特権の昇格を求めることである。悪意のあるサイバー・アクターが企業のITネットワークに侵入し、特権の昇格を達成し、ファイアウォールがIT特権アカウントを介してIT側から管理される場合、ITとOTの間のファイアウォールはもはやOT環境に望ましいレベルの防御を提供しない可能性がある。よりクリティカルな環境は、よりクリティカルでない環境から管理されるべきではなく、常に同じかそれ以上のセキュリティ・ポスチャーを持つネットワークから管理されるべきである。 |
There are many other instances where administration and management systems are critical, and hence require appropriate segmentation. For example, as noted by Microsoft, Active Directory (AD) Domains do not function as security zone boundaries inside an AD Forest. If the OT environment is inside the same AD Forest as the IT environment, or if a trust relationship exists, then the desired level of protection and operational separation for the OT environment may not be provided. |
管理・運営システムが重要であり、それゆえに適切なセグメンテーションが必要なケースは、他にもたくさんある。例えば、マイクロソフトが指摘しているように、Active Directory(AD)ドメインは、ADフォレスト内のセキュリ ティゾーンの境界としては機能しない。もしOT環境がIT環境と同じADフォレスト内にある場合、あるいは信頼関係が存在する場合、OT環境に望ましいレベルの防御と運用分離が提供されない可能性がある。 |
Similarly, virtualisation is becoming common in many OT environments. Consider the case where virtualisation of the OT infrastructure or components is managed by privileged accounts from a corporate domain. If the corporate environment becomes compromised, through ransomware or other mechanisms, even if the virtualised OT environment has not been directly affected, the privileged IT accounts required to manage the OT environment would be no longer accessible. |
同様に、仮想化は多くの OT 環境で一般的になりつつある。OT インフラやコンポーネントの仮想化が、企業ドメインの特権アカウントによって管理されている場合を考えてみる。企業環境がランサムウェアやその他のメカニズムによって侵害された場合、仮想化されたOT環境が直接影響を受けていなくても、OT環境を管理するために必要な特権ITアカウントにアクセスできなくなる。 |
Another example of significance is backups. If the backups or backup infrastructure for the OT environment is managed by privileged corporate IT accounts, then again the desired level of risk mitigation against a cyber-incident may not be provided. |
もう一つの重要な例はバックアップである。OT環境のバックアップやバックアップ・インフラが特権的な企業ITアカウントによって管理されている場合、サイバーインシデントに対して望ましいレベルのリスク低減が提供されない可能性がある。 |
Segmenting and segregating networks has long been recommended as one of the primary ways of reducing cyber risk in OT environments. In addition to more traditional physical and logical separation concerns, administration and management systems are highlighted. As demonstrated by the above non-exhaustive list of vital administrative and management areas including network security, authentication and access control, virtualisation and backups, there is a need for organisations to regularly assess the risk of insufficiently separating administrative and management systems and services in OT environments. |
ネットワークのセグメント化と分離は、OT環境におけるサイバー・リスクを軽減する主要な方法の一つとして、長い間推奨されてきた。より伝統的な物理的・論理的分離の懸念に加え、管理・運営システムが強調されている。ネットワーク・セキュリティ、認証とアクセス管理、仮想化、バックアップなど、重要な管理・マネジメント分野の上記の非網羅的なリストが示すように、組織は、OT環境における管理・マネジメントシステムとサービスの分離が不十分であるリスクを定期的に評価する必要がある。 |
Principle 5: The supply chain must be secure |
原則5:サプライチェーンは安全でなければならない |
Making supply chains more secure has been a focus of advice for some time. That advice is covered in many prior and current publications, including the need to have a supply chain assurance program for suppliers of equipment and software, vendors and managed service providers (MSPs), particularly when they have access to OT to provide support. The requirement to make supply chains more secure has often resulted in a level of rigour assessing major vendors in an organisation’s OT environment. While organisations should still follow existing advice, we call out some additional areas of particular concern for OT environments. |
サプライチェーンをより安全なものにすることは、しばらくの間、助言の焦点となってきた。その助言は、多くの過去および現在の出版物で取り上げられており、特に、機器やソフトウエアのサプライヤー、ベンダー、マネージドサービス・プロバイダー(MSP)が、OTにアクセスしてサポートを提供する場合には、サプライチェーン保証プログラムを用意する必要性などが挙げられている。サプライチェーンをよりセキュアにする必要性から、組織のOT環境における主要ベンダーのアセスメントが厳格化されることが多い。組織は既存のアドバイスに従うべきであるが、OT環境について特に懸念される追加的な領域をいくつか指摘する。 |
Examples and implications |
例と影響 |
A shift in thinking is required regarding criticality and risk exposure presented by vendors. Organisations should re-evaluate the scope of systems that require oversight, as historically often only large vendors or vendors that are the most significant from an engineering point of view were scrutinised. For cyber security, size and engineering significance often does not matter. |
ベンダーが提示するクリティカリティとリスク・エクスポージャーに関する考え方の転換が必要である。組織は、監視が必要なシステムの範囲を再評価すべきである。従来は、大規模ベンダーやエンジニアリングの観点から最も重要なベンダーのみが精査されることが多かったからである。サイバーセキュリティにとって、規模やエンジニアリング上の重要性は重要ではないことが多い。 |
In OT environments, the network is typically fairly open. Critical control messages are commonly sent with little or no security, such as without encryption. Some control systems protocols communicate via multicast or broadcast messages, which are sent to all devices on the network. As such, almost any device on the network may be able to view critical control messages, and could create and inject messages to cause an undesirable action, making the supply chain of all devices critical. |
OT環境では、ネットワークは通常かなりオープンである。重要な制御メッセージは、暗号化されていないなど、ほとんど、あるいはまったくセキュリティがない状態で送信されるのが一般的である。制御システム・プロトコルの中には、マルチキャストやブロードキャスト・メッセージでコミュニケーションするものがあり、ネットワーク上のすべてのデバイスに送信される。そのため、ネットワーク上のほとんどすべてのデバイスが、重要な制御メッセージを見ることができ、望ましくない動作を引き起こすメッセージを作成し、注入することができる。 |
“Any device” includes peripherals such as printers, networking and telecommunications equipment, as well as the more commonly considered remote terminal units (RTUs), human machine interfaces (HMIs), engineering workstations, historians, relays, intelligent electronic devices (IEDs) and controllers. Other systems may also need to be considered, depending on interconnections or the necessity for the other system to be functioning correctly for the OT to function correctly. These may include building management systems, air conditioning (HVAC), fire suppression systems, elevators, cameras and physical access control systems. |
「あらゆるデバイス」には、プリンター、ネットワーキング機器、電気通信機器などの周辺機器や、より一般的に考えられているリモート・ターミナル・ユニット(RTU)、ヒューマン・マシン・インターフェース(HMI)、エンジニアリング・ワークステーション、ヒストリアン、リレー、インテリジェント電子デバイス(IED)、コントローラーなどが含まれる。相互接続や、OTが正しく機能するために他のシステムが正しく機能する必要性によっては、他のシステムも考慮する必要がある。これには、ビル管理システム、空調(HVAC)、消火システム、エレベーター、カメラ、物理的アクセス管理システムなどが含まれる。 |
The source and provenance of all devices in the OT environment should be known. This includes any vendor or consultant laptop connecting to the OT network, which may be used to access otherwise explicitly prevented content such as email or web browsing. Consideration should be given regarding what other networks, such as a vendor’s alternative customer, the devices have been connected to, and if those networks are at the same trust level as the OT network. This includes the case where networking or other devices from lower trust corporate IT networks are repurposed for use in higher trust OT networks. |
OT 環境にあるすべてのデバイスの出所と出所を知るべきである。これには、OTネットワークに接続するベンダーやコンサルタントのノートパソコンが含まれ、電子メールやウェブ閲覧のような明示的に防止されたコンテンツにアクセスするために使用される可能性がある。ベンダーの代替顧客のような他のどのようなネットワークにデバイスが接続されているか、またそれらの ネットワークが OT ネットワークと同じ信頼レベルにあるかどうかを考慮すべきである。これには、信頼度の低い企業ITネットワークのネットワークやその他のデバイスが、信頼度の高いOTネットワークで使用するために再利用される場合も含まれる。 |
A small technical check that most organisations can do while evaluating a device, is to plug the device in with a packet analyser capturing traffic, and check if the device unexpectedly attempts to communicate with a remote address. |
デバイスの評価中にほとんどの組織ができる小さな技術的チェックは、トラフィックをキャプチャしているパケットアナライザーにデバイスを接続し、デバイスが予期せずリモートアドレスとの通信を試みるかどうかをチェックすることである。 |
Another shift in thinking required is to not only consider what a device is currently configured to do, which can be tested, but also consider what a device could do if its firmware or configuration was changed. This is particularly important if the device is constantly or occasionally connected to a vendor, who can update the firmware. To aid protecting against third-party interference, entities should ensure that firmware is received from a trusted location, is cryptographically signed, and that the signature is checked. |
もう一つ必要な発想の転換は、デバイスが現在どのように設定されているかをテストするだけでなく、デバイスのファームウェアや設定が変更された場合に何ができるかを検討することである。これは、ファームウェアを更新できるベンダーに、デバイスが常時または時折接続されている場合、特に重要である。サードパーティによる干渉から保護するために、事業体は、ファームウェアが信頼できる場所か ら受信され、暗号的に署名され、その署名がチェックされることを保証すべきである。 |
Vendors can increase risk to OT systems. A vendor request, habit or architecture that requires an organisation to break one or more of the principles of OT cyber security can increase the OT system’s susceptibility to cyberattack. Such activity should count negatively for a vendor’s cyber security maturity when assessing the suitability of their products or services. A common example is a license renewal process, that requires connections from critical parts of the OT network out to the internet. Other examples include direct connections between OT and the internet, bypassing remote access security architecture, as a means to allow the vendor to collect data, perform firmware updates, make configuration changes, or to perform any other form of remote servicing or support. |
ベンダーは、OT システムのリスクを増大させる可能性がある。組織が OT サイバーセキュリティの原則の 1 つ以上を破ることを要求するようなベンダーの要求、 習慣、またはアーキテクチャは、OT システムのサイバー攻撃に対する感受性を高める可能性がある。そのような活動は、ベンダの製品やサービスの適合性をアセスメントする際に、ベンダのサイバーセキュリティ成熟度にとってマイナスにカウントされるべきである。よくある例は、OTネットワークの重要な部分からインターネットへの接続を必要とするライセンス更新プロセスである。その他の例としては、ベンダがデータ収集、ファームウェア更新、設定変更、その他のリモートサービスやサポートを行うための手段として、リモートアクセスセキュリティアーキテクチャをバイパスして、OTとインターネットを直接接続することが挙げられる。 |
Principle 6: People are essential for OT cyber security |
原則6:OTサイバーセキュリティには人が不可欠 |
A cyber-related incident cannot be prevented or identified in OT without people that possess the necessary tools and training creating defences and looking for incidents. Once a cyber-related incident has been identified in OT, trained and competent people are required to respond. |
必要なツールやトレーニングを有する人が防御を構築し、インシデントを探すことなしに、OTにおけるサイバー関連インシデントを防止したり識別したりすることはできない。一旦OTでサイバー関連インシデントが特定されると、訓練を受けた有能な人材が対応する必要がある。 |
A strong safety-based cyber security culture is critical to the on-going cyber resiliency of OT systems. There is a need for each organisation to reframe the requirements from these principles as workplace safety requirements, as opposed to cyber security requirements. |
強固な安全ベースのサイバーセキュリティ文化は、OTシステムの継続的なサイバーレジリエンスに不可欠である。各組織は、これらの原則からの要件を、サイバーセキュリティ要件とは対照的に、職場の安全要件として捉え直す必要がある。 |
Staff, particularly field technicians and all other members of operating staff, are often the front line of defence and detection for an organisation. |
スタッフ、特に現場技術者やその他すべての作業スタッフは、しばしば組織の防御と検知の最前線に立つ。 |
Examples and implications |
例と影響 |
A mix of people with different backgrounds, with various skills, knowledge, experience and security cultures, is necessary to support effective OT cyber security practices. This includes members from infrastructure and cyber security teams (commonly found in IT), as well as control system engineers, field operations staff, and asset managers (commonly found in OT). |
効果的な OT サイバーセキュリティの実践を支援するためには、さまざまなスキル、知識、経験、セ キュリティ文化を持つ、さまざまな背景を持つ人々の混合が必要である。これには、制御システム・エンジニア、現場運用スタッフ、資産管理者(OTに多い)だけでなく、インフラストラクチャー・チームやサイバー・セキュリティ・チーム(ITに多い)のメンバーも含まれる。 |
Developing a cohesive OT cyber security culture requires general alignment on the principles of OT throughout the organisation. Consider that there will be a different set of inherent values and priorities carried by members of different backgrounds. For example, the first principle of OT cyber security, “Safety is paramount”, often requires a fundamental shift in thinking for people that have non-engineering or noncritical infrastructure backgrounds. Team members with non-engineering backgrounds gaining an understanding of OT challenges is important for the team to work cohesively in OT. |
結束力のある OT サイバーセキュリティ文化を発展させるには、組織全体で OT の原則を全般的に一致させる必要がある。異なる背景を持つメンバーによって、固有の価値観や優先順位が異なることを考慮する。例えば、OTサイバーセキュリティの第一原則である「安全が最優先」は、非エンジニアリングまたは非重要インフラストラクチャのバックグラウンドを持つ人々にとって、しばしば考え方の根本的な転換を必要とする。非エンジニアリングの背景を持つチームメンバーがOTの課題を理解することは、チームがOTで結束して作業するために重要である。 |
In most critical infrastructure OT sites, from electricity generation to water treatment facilities, staff are the front line of defence. They almost certainly will not be OT cyber security experts, nor people who work in corporate IT. Field operations staff rarely receive formal information technology or cyber security training and certification. Often, experience with the IT components of an Industrial Control System (ICS) will have been developed on-the-job, out of necessity due to the growing dependency of site operations on ICT infrastructure and IP-based communication. |
発電から水処理施設まで、ほとんどの重要インフラの OT サイトでは、スタッフが防衛の最前線である。彼らはほぼ間違いなく、OTサイバーセキュリティの専門家でもなければ、企業のIT部門で働く人でもない。現場のオペレーション・スタッフが正式な情報技術やサイバー・セキュリティのトレーニングや認定を受けることはほとんどない。多くの場合、産業制御システム(ICS)のITコンポーネントに関する経験は、現場のオペレーションがICTインフラとIPベースのコミュニケーションへの依存度を高めているため、必要に迫られて現場で培われたものである。 |
As such, significant focus is required to develop cyber security awareness as a core component of field safety culture, so that operators feel confident and empowered to raise potential cyber concerns, without fear of ridicule or judgement. Further, there needs to be a process put in place where cyber-safety related observations can be raised quickly, with a culture of knowing that observations will be appreciated. |
そのため、現場の安全文化の中核的な要素としてサイバーセキュリティに対する認識を高めることに大きな焦点を当てる必要がある。そうすることで、オペレーターは、嘲笑や判断を恐れることなく、サイバーに関する潜在的な懸念を提起する自信と権限を得ることができる。さらに、サイバーセーフティに関連する観察が迅速に提起され、その観察が評価されることを知る文化が醸成されるようなプロセスを整備する必要がある。 |
Potential strategies to develop security awareness and a cyber-safe culture amongst staff include: |
職員のセキュリティ意識とサイバーセーフティ文化を発展させるために、以下のような戦略が考えられる: |
• Incorporating cyber security into safety assessments, factory acceptance testing (FAT), site acceptance testing (SAT), and the engineering change management process. Established methods include Cyber-Informed Engineering, Cyber PHA or HAZCADS. |
- 安全アセスメント、工場受入試験(FAT)、現場受入試験(SAT)、及びエンジニアリング変更管理プロセスにサイバーセキュリティを組み込む。確立された手法には、サイバーインフォームドエンジニアリング、サイバーPHA、HAZCADSなどがある。 |
• Creating environments and processes that encourage local staff to identify and report suspicious behaviour. A common antipattern is for engineers to perform remote maintenance without informing on-site staff. The field operator will observe the engineer’s activities as a mouse moving on a local machine or visible interaction with the HMI. Local staff will grow to ignore such behaviour as being normal and legitimate. |
- 現地スタッフが不審な行動を識別し、報告することを奨励する環境とプロセスを構築する。よくある悪いパターンは、エンジニアが現場のスタッフに知らせずに遠隔保守を行うことである。現場のオペレーターは、エンジニアの行動を、現地の機械上でマウスが動いている、あるいはHMIとの目に見えるインタラクションとして観察する。現地スタッフは、そのような行動を正常かつ合法的なものとして無視するようになる。 |
• Conditioning field operators to consider the possibility of cyber compromise when operational faults are identified. Historically, faults that engineers address have been due to engineering issues such as misconfiguration, device failure, corruption of data or the device working outside of tolerances. Typical responses include restarting the program, rebooting or resetting the device, re-flashing or loading a known good configuration, or replacing the device. Historically, malicious cyber actions have not been considered, meaning that cyber incidents may have been misidentified and dismissed as operational faults or missed entirely. The possibility that a fault has a cyber-related cause should also be considered. Most, if not all, of the traditional remediation steps listed will reset communication links and wipe volatile memory, which may have helped a cyber security investigation. Specific additional processes, and changes to long existing processes, are required for cyber identification, classification and investigations in OT. |
- 運用上の欠陥が識別されたときに、サイバー侵害の可能性を考慮するよう、現場オペレータに条件付ける。歴史的に、エンジニアが対処するフォールトは、設定ミス、デバイスの故障、データの破損、デバイスの許容範囲外での動作など、エンジニアリング上の問題によるものであった。典型的な対応としては、プログラムの再起動、デバイスのリブートまたはリセット、再フラッシュまたは既知の良好なコンフィギュレーションのロード、デバイスの交換などがある。歴史的に、悪意のあるサイバー行為は考慮されてこなかった。つまり、サイバーインシデントが誤認され、運用上の障害として処理されるか、完全に見逃されてきた可能性がある。障害にサイバー関連の原因がある可能性も考慮すべきである。すべてではないにせよ、従来の是正措置のほとんどは、通信リンクをリセットし、揮発性メモリを消去するものであり、サイバーセキュリティの調査に役立ったかもしれない。OTにおけるサイバー識別、分類、調査には、具体的な追加プロセスや、長い既存のプロセスの変更が必要である。 |
Recent Comments