セキュア・バイ・デマンド・ドキュメントは、世界の11のトップセキュリティ機関から認定を受けています。

01/28/2025

この文書の寄稿者として、OPC Foundation 、「Secure by Demand:デジタル製品を選択する際の運用技術所有者および運用者のための優先的考慮事項 “が完成したことをお知らせいたします。

文書のダウンロードはこちらhttps://opcfoundation.org/wp-content/uploads/2025/01/joint-guide-secure-by-demand-priority-considerations-for-ot-owners-and-operators-508c_0.pdf


アリゾナ州スコッツデール – 2025 年 1 月23 日 – サイバー脅威の主体は、特定の組織よりもむしろ特定の OT 製品を標的にするのが一般的です。業界の警戒とベスト・プラクティスを支援するため、米国国土安全保障省の一部門であるサイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、世界的な貢献者と協力して、いくつかのOT製品がセキュア・バイ・デザインの原則に基づいて設計・開発されていないことを概説するこの文書を作成した。これは、これらのハードウェアおよびソフトウェア・コンポーネントが、認証、ソフトウェアの脆弱性、制限されたロギング、安全でないデフォルト設定やパスワードに関して、一般的に弱点を持っていることを意味する。

国際的に認知された11のセキュリティ機関が、この文書に公印を押すなどして認定していることから、この文書が運用技術(OT)コミュニティとこの業界にサービスを提供するサプライヤーにとって適切なアドバイスであることは当然である。これらの機関には以下が含まれる:

  • 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)
  • ドイツ連邦情報セキュリティ局(BSI)
  • オランダ国立サイバーセキュリティセンター(NCSC-NL)
  • ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
  • 英国国家サイバーセキュリティセンター(NCSC-UK)
  • オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ASD’s ACSC)
  • 米国連邦捜査局(FBI)
  • 米国家安全保障局(NSA)
  • 米国環境保護庁(EPA)
  • カナダ・サイバーセキュリティセンター(CCCS)
  • 欧州委員会通信ネットワーク・コンテンツ・技術総局(DG CONNECT)

 
 
 
 

寄稿者の一人であるマイケル・クラーク(Michael Clark)氏(OPC Foundation North America Director)は、「この文書は数カ月かけて作成されましたが、このたびタイムリーに発表されたことで、OTの所有者と運用者に向けた明確なガイダンスが示されたことになります」と述べている。クラーク氏は続けて、「そこに概説されている原則とベスト・プラクティスに従うことで、OTの所有者とオペレータは重要なインフラを効果的に保護することができ、その結果、脅威行為者が破壊的な行動を成功させることをより困難にすることができる」と述べている。サイバーセキュリティ・インフラストラクチャル・セキュリティ機関(CISA)のICS専門家であるマシュー・ロジャーズ博士は、この文書の背景となった動機について、次のように説明している。「相互接続性を求めるビジネス上の推進力と、セグメンテーションを可能にするエッジデバイスの危殆化により、脅威行為者がOTネットワークにアクセスするリスクは高まっています。OTのためのこのSecure by Demandガイダンスは、資産所有者、政府、産業オートメーションおよび制御システムベンダー、そしてOPC Foundation のような業界団体が、独自の視点と専門知識をもって、より柔軟で弾力性のある実装に向けて協力し、数年後に “レガシー “というレッテルから逃れられる可能性の高い実装を作り上げたものです」と述べている。ロジャーズ博士はさらに、「資産所有者は、新しいOT機器の調達を検討する際、このガイダンスをベンダーや調達担当者に伝えるべきだ」と強調する。”この文書は、OPC UA標準規格 のビジョンに沿った機能のチェックリストの概要を示している。これらの機能は、資産所有者がベンダーに伝えるべき具体的な要件を与えるものであり、その結果、所有者/運営者は、工場を現代のサイバーセキュリティの脅威から確実に守ることができる。”と、OPC Foundation のセキュリティ・ワーキンググループの議長であるランディ・アームストロング氏は主張する。 アームストロング氏は、”この文書は、さらに、セキュア・バイ・デザインの原則に関して、資産所有者がベンダーとどのようなニーズがあるかについて会話を変えることを可能にする貴重なツールである。”と強調する。

 

OPC Foundation
について1996年以来、OPC Foundation はOPC情報交換標準の開発と採用を促進してきました。 これらの仕様の提唱者であり管理者でもある当財団の使命は、業界のベンダー、エンドユーザー、ソフトウェア開発者が、製造およびオートメーション資産の相互運用性を維持できるよう支援することです。 OPC Foundationは、組込みの世界からエンタープライズのクラウドへデータや情報を移動するための、マルチベンダー、マルチプラットフォーム、安全で信頼性の高い相互運用性を実現するための、最高の仕様、技術、プロセス、認証を提供することに専念しています。当財団は、インダストリアル・オートメーション、IT、IoT、IIoT、M2M、Industrie 4.0、ビルディング・オートメーション、工作機械、製薬、石油化学、スマート・エネルギー分野の世界中の1010を超えるメンバーにサービスを提供しています。OPC Foundation の詳細については、www.opcfoundation.org をご覧ください。

詳細はこちらまで:

シュテファン・ホッペ
OPC Foundation
Stefan.Hoppe@opcfoundation.org

 

#