OTセキュリティ対策の6つの原則とは？ 米当局や豪当局が共同作成：セキュリティニュースアラート

CISAは国際的なパートナーと共同で「OTサイバーセキュリティの原則」をリリースした。ガイダンスでは安全性とセキュリティが確保されたOT環境を構築し、維持するための6つの原則が紹介されている。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年10月1日（現地時間）、重要インフラ組織向けのガイダンス「Principles of Operational Technology Cybersecurity」（OTサイバーセキュリティの原則）を発表した。

　同ガイダンスは、CISAやオーストラリア通信電子局（ASD）のオーストラリアサイバーセキュリティセンター（ACSC）、連邦捜査局（FBI）、米国国家安全保障局（NSA）などの国際的なパートナーと協力して発表されたものだ。安全性とセキュリティが確保されたOT環境を構築し、維持するための原則が紹介されている。

CISAらがOTセキュリティ対策の6つの原則を公開

　OTはエネルギーや水道、交通など、国民の生活に不可欠なサービスを支える物理的な機器やプロセスを管理する技術であり、そのセキュリティは非常に重要とされている。OT環境は複雑であり、ビジネス上の決定がサイバーセキュリティにどのように影響するかを理解することが難しい場合がある。このガイダンスでリスクを特定し、セキュリティとビジネスの継続性を促進するための指針が示されている。

　ガイダンスで提示されている原則は以下の通りだ。

• 安全は最優先：　OT環境では物理的な危険が伴うため、安全が最も重要とされている。高電圧や化学物質などが関与するOTシステムにおいて人為的ミスやサイバー攻撃が深刻な影響を及ぼす可能性があるため、常に安全を最優先にする必要がある
• ビジネスに関する知識が重要：　OTシステムに関する深い理解があるほど、サイバーリスクへの対策を効果的に講じられる。組織は自社の重要なシステムやプロセスなどを明確に理解し、それらを保護するためのアーキテクチャを構築することが求められる
• OTデータを保護する：　OT環境におけるデータは攻撃者にとって非常に価値があり、特にエンジニアリング構成データなどの情報は長期的に変更されることがないため攻撃の標的となる。そのため組織はOTデータを保護する必要がある
• OTを他のネットワークからセグメント化して分離する：　他の組織のOTネットワークからの接続は重要な資産へのバックドアになる可能性があり、セキュリティ対策を回避する可能性がある。OTネットワークは企業のITネットワークやインターネットから分離させる必要がある
• サプライチェーンは安全でなければならない：　OTにアクセスできるサプライチェーンは、セキュリティの脅威となる可能性がある。OT環境にアクセスできるベンダーやサービスプロバイダーには厳格な評価が求められる。組織はこれまでの指針に従いつつ、OT環境特有のリスクに対しても注意を払う必要がある
• OTサイバーセキュリティには人材が不可欠：　サイバーセキュリティにおいて適切なトレーニングを受けた人材がインシデントの予防や対応に不可欠となっている。組織全体でサイバーセキュリティを職場の安全の一環として捉える文化を持つことが重要とされている

　このガイダンスはOT環境における意思決定を実施する全ての担当者を対象にしており、戦略的なリーダーから技術的な実務者まで、OTセキュリティの強化に貢献できる内容となっている。

　各組織に対しこれらの原則を意思決定プロセスに適用し、リスクを特定して管理することが推奨されている。ビジネス上の決定がOTセキュリティに悪影響を与える可能性がある場合、その決定を再評価して適切なセキュリティ対策を講じることが望まれている。