米政府機関と同盟国、OT資産の棚卸しに関する指針を発表：Cybersecurity Dive

米政府機関と同盟国はOT資産の棚卸しに関する指針を発表した。指針には、CISAが開催したワークショップに参加した3つの重要インフラ業界に関する具体例が含まれている。組織におけるOT資産管理のポイントを確認しよう。

[Eric Geller，Cybersecurity Dive]

　米国およびオーストラリア、カナダ、ドイツ、オランダ、ニュージーランドの政府機関は2025年8月13日（現地時間、以下同）に、（電力やガス、鉄道、空港などの）重要インフラを運営する事業者が最新のOT資産状況を常に把握できるよう支援する指針を発表した。

指針の概要と資産管理のポイント

　「Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators（OTに関するサイバーセキュリティの基礎：所有者と運用者に向けた資産の棚卸しのためのガイダンス）」と題された指針では（注1）、資産リストを作成するために必要な手順が示されている。そこには、各項目に記載すべき内容や資産を効果的にグループ化する方法、ライフサイクルデータを追跡する重要性などが含まれている。

　米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、米国環境保護庁（EPA）および米国国家安全保障局（NSA）、米国連邦捜査局（FBI）に加え、オーストラリア信号局のオーストラリア・サイバーセキュリティセンター、カナダ・サイバーセキュリティセンター、ドイツ連邦情報セキュリティ庁、オランダ国立サイバーセキュリティセンター、ニュージーランド国立サイバーセキュリティセンターと連携した。

　各機関は文書の中で次のように述べた。

　「これらのツールの使用により、所有者や運用者は自社の環境にある資産の中でどれを守るべきかを特定でき、それに応じて防御の体制を構築し、サイバーセキュリティインシデントが組織の使命やサービスの継続性に及ぼすリスクを軽減できる」

　重要インフラの運営を担う、水道事業者のAmerican Water、エネルギー企業のBritish Petroleum、電力企業のDuke EnergyおよびSouthern California Edisonなども本指針の策定に協力した。

　資産管理は最も重要なセキュリティ対策の一つだ（注2）。それは資産管理により、組織の内部で使用されているツールの数や種類、安全性、サポート終了のタイミングを把握できるためだ。大規模で複雑なコンピュータネットワークの中において、システム管理者は資産台帳を頼りに、ソフトウェアへのパッチ適用をはじめとするセキュリティのための作業を計画している。

　専門家たちによると（注3）、物理的に分散していたり、特注機器が多く使われていたりする重要インフラのネットワークの場合、資産の把握が不十分だと、サイバー攻撃の被害をさらに深刻化させる可能性があるという。

　同指針は企業に対して資産リストを作成した後に、それを有効活用するために幾つかの追加の手順を採用するように推奨している。追加の手順には、最も重要なリスクに基づいてセキュリティ対策の優先順位を付けること、資産の保守計画を見直すこと、運用の信頼性を確保するために予備部品の在庫を評価することなどが含まれている。

　この指針によると、組織は古いシステムを入れ替えるコストと、障害が起きた場合の損失を比較検討し、設計段階からセキュリティが組み込まれたシステムを導入し、変更管理のプロセスを活用して資産リストを常に最新に保つべきだという。

　全31ページの文書の大部分は4つの項目から構成されている。1つは資産台帳に含めるべき項目の一覧であり、残り3つの項目では、石油およびガス、電力、水道といった特定のインフラ業界に属する企業が、資産をどのように整理および管理すべきかの具体例が示されている。CISAによると、これらの具体例は2025年の初めに3つの業界における14の組織と実施した8回のオンライン作業のセッションをもとに作成されているという。

（注1）Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators（CISA）
（注2）Why Most Companies Still Don’t Know What’s on Their Network（DARK READING）
（注3）OT Asset Discovery: 5 Steps to Gain Visibility for Your Network Assets（CLAROTY）