オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
はじめに
2024年10月、オーストラリア通信情報局(ASD)オーストラリアサイバーセキュリティセンター(ACSC)は、「OTサイバーセキュリティの原則(Principles of operational technology cyber security)」という文書を発行しました。この文書は、日本の内閣サイバーセキュリティセンター(NISC)および警察庁を含む9カ国の組織によって共同署名された国際文書となっています(NISCによる報道発表資料および仮訳)。
文書作成の背景には、地政学的な緊張の高まりに伴う重要インフラへのサイバー攻撃の増加があると考えられますが、内容そのものは重要インフラに限らず、OT(Operational Technology:生産ラインやシステムの制御・運用技術)環境を所有する組織全般にとって有用です。
本稿では、文書の概要や記載されている原則、文書作成の背景にある国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。
文書の概要
本文書は、一般的な標準やガイドラインとは異なりセキュリティ要件を網羅的に記載したものではありません。OTのサイバーセキュリティに関する以下のハイレベルな原則と、その補足説明が記載されています。
- 安全が第一
- ビジネスの知識が重要
- OTデータは極めて貴重であり、保護する必要あり
- OTを他のネットワークから分離・隔離する
- サプライチェーンは安全でなければならない
- OTのサイバーセキュリティには人材が不可欠
読者としては「OTについての意思決定者」が想定されており、組織のリーダー層(幹部・役員含む)から現場の意思決定を行う担当者までが対象となっています。意思決定者がこれらの原則を理解し、自組織のOTセキュリティ対策が原則を守れているかチェックしたり、今後の意思決定の判断基準の1つにしたりすることが推奨される使用方法となります。
OTサイバーセキュリティの6つの原則
以下、OTサイバーセキュリティの6つの原則とその補足説明について解説します。
1. 安全が第一
重要インフラの障害は、人命に影響を及ぼす場合があります。ここでは、人命の安全以外にも、プラント・設備の安全、環境の安全、重要インフラのサービスの信頼性・稼働時間の維持が必要であることが述べられています。
そのために、発生する障害が予期・管理可能であること、重要なシステム・プロセス・サービスは「ブラックスタート」(完全に電力が失われた場合でも、他システムへの最小限の依存で遅滞なく運用および復旧できる)に対応すること、悪意のある攻撃者によるインシデントに対応できることなどが必要です。
2. ビジネスの知識が重要
ビジネスに関する知識が多いほど、そのビジネスにおけるインシデントからの保護、準備、対応が可能となります。守るべきものを知るため、①重要なサービスの提供にどのシステムやプロセスが不可欠なのかを理解する、②保護されているシステムおよびプロセスを理解する、の2点が挙げられています。
また、OTシステムに関する事業の状況を理解することは、停止や侵害のリスク評価、復旧の優先度などを決めるために必要です。さらに、OTサイバーセキュリティを担当する職員は、プラント運用の実務の知識を持つとともに、プラント担当の職員とのリレーションを維持する必要があります。
3. OTデータは極めて貴重であり、保護する必要あり
ここで言うOTデータとは、OT環境の構成が分かる(攻撃者にとって価値のある)情報のことであり、ネットワーク構成図などの文書や、組織の活動・OTシステムの機能を推定可能な電圧などの一時的なデータが保護すべき対象として挙げられています。
攻撃者がOTデータを得ようとした場合、必ずしもOTシステムにアクセスする必要はありません。ベンダーなどがコピーを持っている場合や、端末・メール・バックアップに保存されている場合、廃棄される機器に含まれる場合などが考えられます。OTデータを管理・保護するために、保存場所や保存方法を定義・設計することが必要です。
4. OTを他のネットワークから分離・隔離する
OTネットワークをインターネットおよびITネットワークから分離することは従来から推奨されてきました。ここでは①他の全てのネットワークからOTを分離・隔離する、②OTシステムの管理・運用をIT環境から分離する、という2点が追加的に述べられています。
- ネットワークの分離
ベンダーからの接続を制限することや、重要度が高いOTネットワークを重要度が低いOTネットワークから分離することに加えて、同業者・供給者・顧客のOTネットワークからの保護が挙げられています。 - 管理・運用の分離
ITが侵害された場合に、管理・運用が分離されていなければ、OT環境の保護レベルが低下するリスクがあることが指摘されています。認証、アクセス制御、仮想化、バックアップなどにおいて、管理・運用の分離が不十分である場合、リスクの評価が必要です。
5. サプライチェーンは安全でなければならない
サプライチェーンのセキュリティに関しても同様に、追加的な内容が述べられています。
- あらゆるデバイスのサプライチェーンが重要
OT環境では、通信が暗号化されていなかったり、マルチキャスト・ブロードキャストでの通信が行われたりすることから、ネットワーク上の全てのデバイスが重要な制御通信を見られる可能性があります。そのため、ベンダーの規模や技術的な重要性に関係なく、全てのデバイスのサプライチェーンが重要です。また、空調や入退室管理などもOTの正常動作のために考慮する必要があります。 - ファームウェア更新や設定変更の際にデバイスがどのような動作を行う可能性があるかを考慮する
ファームウェア更新の際にベンダーに接続する場合は完全性を確保すること、ライセンス更新や設定変更などのためにネットワーク分離の原則が破られる場合はベンダーへの評価を下げるべきことが挙げられています。
6. OTのサイバーセキュリティには人材が不可欠
OTにおけるサイバーインシデントの防止、特定、対応のためには、訓練を受けた要員が必要となります。また、OTセキュリティの効果的な実行のためには、異なるスキル・知識・経験・文化を持った人、具体的にはインフラやセキュリティのメンバー・制御システムのエンジニア・現場の担当職員などの組み合わせが必要です。
OTサイバーセキュリティの文化を発展させるためには、例えばOTの背景を持たないメンバーが「安全が第一」などの考え方を理解することや、現場の安全文化にサイバーセキュリティ意識を組み込むこと、現場の職員が不審な行動を報告することを奨励する環境・プロセスを構築することなどが必要になります。
原則のレベルでは他の標準・ガイドラインなどとも共通的な内容となっていますが、補足説明には比較的高度なサイバー攻撃に対応しうる内容も含まれています。この背景には、近年の地政学的な緊張の高まりに伴う重要インフラへのサイバー攻撃の増加があると考えられます。
文書作成の背景
本文書は、以下の9カ国14組織による共同文書となっています。
- オーストラリア通信情報局オーストラリアサイバーセキュリティセンター(ASD's ACSC)
- 米国国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)
- 米国国家安全保障局(NSA)
- 米国連邦捜査局(FBI)
- 米国州横断情報共有分析センター(MS-ISAC)
- 英国国家サイバーセキュリティセンター(NCSC-UK)
- カナダサイバーセキュリティセンター(Cyber Centre)
- ニュージーランド国家サイバーセキュリティセンター(NCSC- NZ)
- ドイツ連邦情報セキュリティ庁(BSI Germany)
- オランダ国家サイバーセキュリティセンター(NCSC-NL)
- 内閣サイバーセキュリティセンター(NISC)
- 警察庁(NPA)
- 韓国国家情報院(NIS)
- 韓国NISのサイバーセキュリティセンター(NCSC)
米国・英国・カナダ・オーストラリア・ニュージーランドの5カ国は、従来からファイブ・アイズという機密情報共有の枠組みを持っていました。この5カ国は、重要インフラへの脅威に対抗するため、2012年にCritical 5という国際フォーラムを設立しており、「重要インフラに対する共通理解の構築」(2014年)、「進化する脅威への対応:重要インフラのセキュリティとレジリエンスに対する重要な5つのアプローチ」(2024年)といった文書を公表しています。
2024年以降、このCritical 5の5カ国を中心として、重要インフラのセキュリティに関する国際的な共同文書・アドバイザリーが発行されるようになりました。以下は米国CISAのリリースからの抜粋です。
| 発行日 | 件名 |
発行に関わる国 |
| 2024/2/7 | PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | 米国、オーストラリア、カナダ、英国、ニュージーランド |
| 2024/9/5 | Russian Military Cyber Actors Target US and Global Critical Infrastructure | 米国、オランダ、チェコ、ドイツ、エストニア、ラトビア、ウクライナ、カナダ、オーストラリア、英国 |
| FBI, CISA, NSA, and US and International Partners Release Advisory on Russian Military Cyber Actors Targeting US and Global Critical Infrastructure | ||
| 2024/10/1 | ASD’s ACSC, CISA, FBI, NSA, and International Partners Release Guidance on Principles of OT Cybersecurity for Critical Infrastructure Organizations | オーストラリア、米国、英国、カナダ、ニュージーランド、ドイツ、オランダ、日本、韓国 |
| 2024/10/16 | Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations | 米国、カナダ、オーストラリア |
| CISA, FBI, NSA, and International Partners Release Advisory on Iranian Cyber Actors Targeting Critical Infrastructure Organizations Using Brute Force |
このうち、2024年2月のアドバイザリーは、中国のサイバー攻撃者「Volt Typhoon」に関するものです。米国との紛争が発生した場合に重要インフラに破壊的な被害を与えるため、重要インフラ組織のシステムに潜伏し、OT資産へのアクセスを獲得していると警告しています。
これらの動向から、重要インフラへの国家レベルのサイバー攻撃に国際的な連携をもって対応するという潮流ができつつあり、本文書「OTサイバーセキュリティの原則」の発行もその一環であることがうかがえます。
日本においても、重要インフラのサイバーセキュリティ政策や基幹インフラ制度(経済安全保障推進法)などが従来から推進されています。地政学的な緊張の高まりによって、国民生活に直結する重要インフラへのサイバー攻撃が増加・巧妙化している現在、改めて全面的かつ高度なセキュリティ対策が必要であると言えます。
まとめ
「OTサイバーセキュリティの原則」は、OT環境を保有する全ての組織にとって有用な文書です。経営レベルから現場までの意思決定における参考として、一読することを推奨します。特に、重要インフラにかかわる組織は、国際的なサイバー攻撃リスクの高まりを改めて理解した上で、これらの原則を踏まえたOTセキュリティ対策の実施・点検を行うことが望ましいと考えられます。
【参考資料】
本文書の内容を抜粋し、チェックリストを作成しました。自組織のOTセキュリティ対策が6つの原則に沿っているかを点検する際などに、参考としてご活用ください。
「OTサイバーセキュリティの原則」に基づくチェックリスト
デジタル化する工場のサイバーセキュリティ
18 results
Loading...
能動的サイバー防御有識者会議の提言解説
「能動的サイバー防御」を議論していた政府の有識者会議は、2024年11月29日に法制化に向けた提言をまとめました。提言の背景や概要について解説します。
国際文書「OTサイバーセキュリティの原則」と重要インフラへのサイバー攻撃に関する国際動向
2024年10月、オーストラリアのサイバーセキュリティセンターは、OTサイバーセキュリティに関する国際文書を発行しました。日本を含む9カ国の組織が共同署名したこの文書の概要や、国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。
Loading...
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
48 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
