ICS/OT領域のOSSセキュリティ強化へ NSAがガイダンスを提供セキュリティニュースアラート

NSAはOSSのセキュリティ強化を目的としたガイダンスを公開した。ICS/OT領域のセキュリティ保護を目的とし、OSSの開発や保守、パッチ管理などのベストプラクティスと推奨事項を提供している。

» 2023年10月12日 09時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 国家安全保障局(NSA)は2023年10月10日(現地時間)、米国連邦パートナーと協力してオープンソースソフトウェア(OSS)実装に関するベストプラクティスを提供するサイバーセキュリティガイダンス「Improving Security of Open Source Software in Operational Technology and Industrial Control Systems」を公開した。

 OSS実装の理解を促進するとともに、ICS/OT領域のセキュリティ保護を目的としている。

NSAは米国連邦パートナーと協力してOSS実装に関するベストプラクティスを提供するサイバーセキュリティガイダンスを公開した(出典:NSAのWebサイト)

ICS/OT領域のOSSセキュリティ強化へ NSAがガイダンスを提供

 ガイダンスはOSSの開発と保守、パッチ管理、承認および認証ポリシーのサポート、共通フレームワークの確立など、ICS/OT環境におけるOSSセキュリティを向上させるためのベストプラクティスと推奨事項をまとめたものだ。

 OSSはさまざまな製品で使用されている。それはOT製品においても同様であり、多種多様な方法で製品に取り込まれている。このためOSSを使った特定のソフトウェアモジュールやそれに関連する脆弱(ぜいじゃく)性が対象となる製品に影響を与えるのかどうか、それを知ることが困難になっているケースが存在している。

 昨今、OT環境は脅威アクターにとって魅力的な攻撃対象となっている。こうしたサイバー攻撃の被害者とならないためOT環境におけるパッチの適用は重要だが、システムを中断する可能性があることから必ずしも更新が適用されるとは限らないという悩ましい状態を生んでいる。OTネットワークとITネットワークの統合が進むにつれてこれらのネットワークをサポートする重要なインフラストラクチャはサポート脅威キャンペーンにさらされる機会が増大している。

 ガイダンスにはこうした状況において各関係者が取るべき内容がまとめられている。その他、NSAはOT環境におけるサイバーセキュリティリスクを軽減するために「セキュア・バイ・デザイン」および「セキュア・バイ・デフォルト」の原則を採用することも推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.