2025年1月13日
セキュア・バイ・デマンド・ドキュメントは、世界の11のトップセキュリティ機関から認定を受けています。
この文書の寄稿者として、OPC Foundation 、「Secure by Demand:デジタル製品を選択する際の運用技術所有者および運用者のための優先的考慮事項“が完成したことをお知らせいたします。
2022年11月:産業用イーサネットのセキュリティ概念に関するFAQ
産業用イーサネット・セキュリティ・ハーモナイゼーション・グループ(IESHG)は、定期的に会合を開き、産業用オートメーションにおけるセキュリティのトピックについて議論している。このグループの目標は、産業用イーサネット・セキュリティのコンセプトの調整を行い、プロトコルのエンドユーザーがオートメーション・システムでセキュリティを使用する際の複雑さを軽減することです。
このグループは、以下の4つの標準開発組織
(SDOs)の代表者で構成されています:OPC FoundationODVA, Inc.、Profibus & Profinet International、 FieldComm Group
ダウンロードはこちら
セキュリティ・ポッドキャスト
OPCサイバーセキュリティARCのLarry O’Brienが、OPCのRandy Armstrongと対談した。OPC Foundation
セキュリティ・ディープ・ダイブ・ウェビナー
Java log4j2の脆弱性
オープンソースの Java サービス log4j2 に新たな致命的な脆弱性が発表された。この脆弱性(CVE-2021-44228)の CVSS スコアは 10.0 です。
OPCユーザー向けの情報はこちらをご覧ください:
Kaspersky Labsによるセキュリティ分析
2017年5月10日、Kaspersky Labsは、OPC Foundation コードに17のゼロデイ脆弱性を特定するレポートを発表した。
- OPC Foundation正式な回答はこちらをご覧ください。
- 脆弱性の完全なリストと、適切なCVEへの参照はここにある。
- この種の懸念が提起された場合にOPC Foundation がとるプロセスは、こちらに掲載されている。
OPC UAアプリケーション構築のための実践的セキュリティ推奨事項
!!更新されたv3が利用可能!
OPC Foundation メンバーおよびパートナーは、ホワイトペーパー「実践的なセキュリティ勧告」を発表した。
ダウンロードはこちら
2022年2月:ドイツ情報セキュリティ局(BSI)による第2回セキュリティ分析
BSI: 分析対象 – 第 2 章
調査の更新に伴い、OPC UA プロトコルのオープン(オープンソース)実装について、静的および動的なコード分析手法を使用して調査する必要がある。フラウンホーファーによるオープンソース実装
OPCF による注釈:これは、OPC Foundation による解決策や提案ではありません。
BSIの報告書をダウンロードする
2017年1月ドイツ情報セキュリティ局(BSI)による初のセキュリティ分析
BSI は OPC UA のセキュリティメカニズムをレビューし、評価報告書を作成した。プロジェクトの最初の部分では、OPC UAの仕様がプロトコルバージョン1.02のシステマティックエラーについて分析されました。この分析は以下のステップに分けられました:
- 既に実施されたOPC UAによるITセキュリティ調査の分析
- 脅威分析(目的と脅威の分析、脅威と対策の分析)
- 2, 4, 6, 7, 12の部分に重点を置いたOPC UA仕様の詳細分析
OPC Foundation のセキュリティ・ワーキンググループは、BSIの報告書の指摘事項を評価し、必要な対策を開始した。大きな欠陥は検出されなかったが、これらの対策は文書と実装の改善に役立つだろう。
OPC Foundationの回答は、元のBSI報告書に挿入されている。各回答には[OPC-F] のラベルが付けられている。
さらなる作業が必要なすべての問題は、マンティス(OPC Foundation 問題報告ツール)に記録されています。Mantis の問題参照には (Mantis #XXXX) と記されており、XXX は Mantis 内の参照番号です。
すべての問題は、次のOPC UA仕様(おそらくバージョン1.04)で、それぞれOPC FoundationのOPC UA用ANSI-Cスタック(バージョン1.03.340)で解決される予定です。
OPC Foundation 、BSIの報告書をダウンロードする:
