NISTが「OTセキュリティガイド」の改訂3版を公開 新たに追加された項目は？：セキュリティニュースアラート

NISTはICS／OT領域のセキュリティ対策をまとめた「OTセキュリティガイド」の改訂3版を公開した。新版ではどのような項目が加わったのか。

[後藤大地，有限会社オングス]

　米国国立標準技術研究所（以下、NIST）は2023年9月28日（現地時間）、「Special Publication（SP） 800-82r3（Revision 3）, Guide to Operational Technology（OT） Security」（OTセキュリティガイド改訂3版《SP 800-82r3》）を公開した。

　ICS／OTにおいてサイバー脅威のリスクに直面している組織やユーザーにとって、実用的なガイドとして活用されることが期待される。

NISTからOTセキュリティガイド改訂3版が公開された（出典：NISTのWebサイト）

OTセキュリティガイドの改訂版で新たに追加された項目は？

　NISTが公開したOTセキュリティガイドの第3版は、OTシステム固有のパフォーマンスに対処しながらOTシステムのセキュリティを向上させる方法に関するガイドラインとなっている。このガイドラインは第1版が2006年に公開されてから300万回以上ダウンロードされており、産業界において重要なドキュメントになっている。

　第3版における主な改訂内容は以下の通りだ。

• ICSからOTへと範囲を拡大
• OTの脅威と脆弱（ぜいじゃく）性に関する最新情報の反映
• OTリスク管理や推奨プラクティス、アーキテクチャのアップデート
• OTセキュリティにおける現在のアクティビティーのアップデート
• OT向けのセキュリティ機能とツールのアップデート
• サイバーセキュリティフレームワーク（CSF）を含む他のOTセキュリティ標準およびガイドラインとの追加の調整
• セキュリティ制御の新しいカスタマイズガイダンス。影響が低、中、大のOTシステムに合わせたセキュリティ制御ベースラインを提供するOTオーバレイの提供

　インフラストラクチャ制御システムのユーザーやオペレーターに対するサイバー攻撃の影響は、これまで以上に重要かつ顕著になってきている。しかしながら、限られたリソースしか与えられていない状態でこうしたインフラストラクチャの運用に悪影響を与えるサイバー攻撃の脅威や脆弱性、リスクに対応していくことは現実問題として困難な場合がある。

　ICS／OT領域ではセキュリティ対策が進んでいない企業も多くサイバー攻撃者によって格好の標的になっている。OTセキュリティガイド第3版には最新の情報が反映されており最新のセキュリティ対策のためのガイドラインとして参考になる。