Home > 制御システムセキュリティ > 制御システムセキュリティガイドライン(全般)
サイト内検索
制御システムセキュリティガイドライン(全般)
最終更新: 2010-03-31制御システムのサイバーセキュリティ:多層防御戦略
製造業、輸送業、エネルギーなど主要な産業や社会を支える重要インフラでは、制御システムが多用されています。これらのシステムは、旧来システムから、新しいIT技術を取り入れたオープン・システムに移行しつつあり、制御システムの多種多様で独自の構造が、共通の通信プロトコルやオープンアーキテクチャ標準に置き換えられています。これには、プラスとマイナスの両側面の影響があります。
こういった事実を背景として、この文書では制御システムネットワークを使用している組織向けに、多層情報アーキテクチャを維持しつつ、「多層防御戦略」を策定するための指針と方向性を示しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-03-31 | 制御システムのサイバーセキュリティ:多層防御戦略 | 1.61MB デジタル 署名付 |
PGP 署名 |
人的セキュリティガイドライン
2003年8月14日に米国で発生した最大規模の停電の原因は、人員の能力不足と教育・訓練不足、コミュニケーション不足、設備の不備であったことが判明し、停電の調査委員会は、政府機関による法規制、監視、違反への罰則を勧告しました。この後さまざまな産業や政府機関が人的セキュリティガイダンスを提供していますが、この文書では、米国で全国的に認知されている7つの産業団体と政府機関の推奨事項に基づいて作成された人的セキュリティプログラムガイダンスを紹介しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-03-31 | 人的セキュリティガイドライン | 433KB デジタル 署名付 |
PGP 署名 |
推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発
工業用制御システムは、従来のビジネス情報システムと同様、悪意のあるさまざまな攻撃を受ける可能性が増しています。攻撃目的もさまざまですし、攻撃元もまた、不満を持つ従業員、競合相手、そして不注意でサイトをマルウエアに感染させてしまう友好的な相手の場合とさまざまです。この文書は、制御システムを利用する施設が、攻撃元を問わずサイバーインシデントに備え、対応するのに役立つ推奨事項を、①サイバーインシデントに関する計画の作成、 ②インシデントの防止、 ③インシデント管理、 ④インシデント後分析、の4つのセクションに分けて解説しています。そして、インシデントから得た教訓を活かし、潜在的攻撃に備えてシステムを強化する方法も提案しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-03-31 | 推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発 | 920KB デジタル 署名付 |
PGP 署名 |
重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド
この文書は、プロセス制御システム (PCS: Process Control System) のセキュリティに関する意識向上を意図して、SEMA (スウェーデン緊急管理庁) によりスウェーデン語で作成された文書の英訳版を JPCERT/CC が邦訳したものです。
ヨーロッパの産官学の各界が、さまざまな共通課題に共同で取り組めるよう、また、必要に応じて集中的な取り組みとリソースの共有を行えるよう、制御系に特化したセキュリティに対する推奨事項が実例とともに分かりやすく述べられています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2009-11-24 | 重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド | 680KB デジタル 署名付 |
PGP 署名 |
IEC 62351 "Power system control and associated communications - Data and communication security"
電力システム制御及び関連通信(電力線搬送用システム)データ通信セキュリティ
| プレビュー | ||
|---|---|---|
| Part 1 | Introduction to security issues (セキュリティ問題概論) | |
| Part 2 | Glossary of Terms (用語集) | HTML |
| Part 3 | Profiles including TCP/IP | PDF:148KB |
| Part 4 | Profiles including MMS | PDF:156KB |
NIST SP 800-82 産業制御システム(ICS)セキュリティ (ドラフト)
SCADA システム、分散制御システム (DCS)、プログラマブル論理制御装置 (PLC) などを含む、産業制御システムのセキュリティを確保するための、ガイダンスがまとまっている。 このガイドラインには、産業制御システムの典型的なシステムトポロジー、脅威と脆弱性、その回避策がまとめられている。2006年のパブリックドラフトの更新版。
NIST SP 800-53 連邦政府情報システムにおける推奨セキュリティ管理策
Recommended Security Controls for Federal Information Systems
ISA 99
国際計測制御学会(ISA)の、産業オートメーション制御システムセキュリティ委員会。 ISA99 では、マルチパートコントロールシステム標準の策定を行っており、テクニカルレポートを発行している。
NANSI/ISA-99.00.01-2007 - Security for Industrial Automation and Control Systems (産業オートメーション、制御システムセキュリティ)
ISA99 は、パート 1 から 4 までの 4 部構成になっており、産業オートメーション、制御システム(IACS) の、管理面と技術面のセキュリティをカバーしている。 ISA は、この標準を、製造業分野だけでなく、さらに広い分野に適用される標準として想定している。
| Part 1 | Terminology, Concepts, and Models (用語、コンセプト、モデル) |
|---|---|
| パート 1 は、ISA99 のパート 2 から 4 において定義される要求仕様に用いられる用語、コンセプト、モデルの定義をまとめたもの | |
| Part 2 | Establishing an Industrial Automation and Control System Security Program (産業オートメーション制御システムセキュリティプログラムの構築) |
| パート 2 は、パート 1 で定義を基に、IACS のセキュリティプログラムを構築する際に必要とされる要素 (例えば、事業継続計画、人的セキュリティ、情報管理など) を特定している。 | |
| Part 3 | Operating an Industrial Automation and Control System
Security Program (産業オートメーション制御システムセキュリティプログラムの運用) |
| パート 3 は、パート 2 において構築されたセキュリティプログラムの適用、運用に関する要件が定義される。パート 3 の策定作業はまだ開始されていない。 | |
| Part 4 | Technical Requirements for Industrial Automation and
Control Systems (産業オートメーション制御システムの技術要件) |
| パート 4 は、技術的なセキュリティコントロールについての要件をまとめたもの。パート 4 のひとつの目的は、デバイスとシステムの準拠テスト標準をまとめること。 |
ANSI/ISA-TR99.00.01-2007 - Security Technologies for Industrial Automation and Control Systems
(産業オートメーション、制御システムのセキュリティ技術)
セキュリティ技術の一覧と、それぞれのセキュリティ技術が、制御システムにおいてどのように適用されるかについて説明しているドキュメント(テクニカルレポート)。
CPNI Good Practice Guidelines
この文書は、制御系システムの開発・設計ならびにユーザーが遠隔制御・監視システムを使用するにあたってセキュリティ要件と仕様のガイドとなるものです。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きにもなります。 JPCERT/CC が翻訳した日本語版は、2007年に公開。更新された最新版が、CPNI から 2008年6月に公開されています。
グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ
この文書は、制御系システムの開発・設計ならびにユーザーが SCADA を使用するにあたってセキュリティ要件と仕様のガイドとなるものです。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きにもなります。
* SCADA: Supervisory Control and Data Acquisition、遠隔制御・監視システム
| 概 要 |
|---|
重要インフラで使用されるシステムには、事業とその用途に応じてさまざまな形態があるがそのなかでもいくつかの共通機能のコンポーネント化が進んでいる分野がある。 昨今の情報通信技術とオープン化の波は、開発コストの低コスト化、汎用化、ネットワーク化をもたらし、分散制御システム、監視制御、プロセス制御の分野においてもオープン系の技術を取り入れた製品、システムの利用が進んでおりそれらは重要インフラで使用もされている。 SCADA(Supervisory Control And Data Acquisition) は監視・制御データの収集を目的としたシステム全般を指し、小規模システムから大規模プラントまで産業分野に広く用いられている。 本文書は、制御系システムの開発・設計ならびにユーザーがSCADAを使用するにあたってセキュリティ要件と仕様のガイドとなるものである。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きともなる。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 1 - 事業リスクの理解 | 984KB | PGP 署名 |
| 概要: プロセス制御システムのセキュリティを改善するための第一歩は、電子セキュリティの観点から見た事業リスクを完全に理解することである。 事業リスクは、脅威、影響、脆弱性のそれぞれと相関関係にある。企業では、事業リスクを十分に理解して初めて、適切なレベルのセキュリティ保護を実現するために必要なことが判別できるようになる。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 2 - セキュア・アーキテクチャの実装 | 904KB | PGP 署名 |
| 概要: 制御系システムは多様な上に、多くのソリューションがあるため、セキュアなシステムアーキテクチャをデザインすることは容易ではない。プロセス制御セキュリティ手段の選択は決して精密科学ではなく、すべてに対応できる「万能」なものでもない。事業リスクを十分に理解することで、制御システムのための総合的なセキュア・アーキテクチャを構築することができるようになる。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 3 - 対応能力の確立 | 984KB | PGP 署名 |
| 概要: アラート/インシデントへの対応機能を確立することは、制御系システムにおけるセキュリティフレームワークの中でも特に重要な部分である。経営層のサポート、責任の明確化、連絡経路の確立、方針および手順の策定、トレーニングおよび演習の実施は、迅速かつ的確な対応に繋がり、ビジネスインパクトを最低限に抑え、インシデントの影響を低減させる可能性がある。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 4 - 意識とスキルの改善 | 1,004KB | PGP 署名 |
| 概要: セキュリティフレームワークの成功は、最終的には人的要素にかかっている。人は、最も重要なリソースであると同時に、セキュリティにとって最大の脅威となる恐れも秘めている。プロセス制御システムのセキュリティは、意識の向上、スキルの向上、IT セキュリティ担当者との緊密な関係の構築により、向上させることができる。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 5 - サード・パーティ・リスクの管理 | 1MB | PGP 署名 |
| 概要: プロセス制御システムは、ベンダー、サポート組織、サプライ・チェーン内の他の関係者等のサード・パーティにより重大なセキュリティ・リスクがもたらされることがあるので、十分な注意を払う必要がある。サード・パーティ・リスクの認識し可視化することが、そのリスクを管理し始めることを可能にする鍵である。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 6 - プロジェクトへの参画 | 844KB | PGP 署名 |
| 概要: プロセス制御システムは普通、耐用年数が長く、その耐用年限中のシステム変更は、ごく少ないことを期待して設置される。多くの組織では、大抵いつの時点でも、幾つかのプロセス制御システム関連のプロジェクトが実施されていて、それぞれにセキュリティに影響を及ぼす可能性があるため、積極的なプロジェクトへの参加と、リスク評価が必要である。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | GPG No. 7 - 継続した統制の確立 | 1.1MB | PGP 署名 |
| 概要: プロセス制御システムのセキュリティ管理を、組織全体として首尾一貫した手法で実施するためには、適切なガバナンスが必要である。そのような統制なしでは、プロセス制御システムの防護はその場限りかまたは不十分であり、組織をリスクに曝すことになる。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ | 920KB | PGP 署名 |
| 概要: プロセス制御と SCADA システム セキュリティの必要性を概説し、プロセス制御や、SCADA システム セキュリティとITセキュリティの間の違いを明らかにした上で、プロセス制御システム・セキュリティに対応するための7つのステージを示し、各ステージにおけるグッド・プラクティスの原則を示したドキュメント。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | SCADA およびプロセス制御ネットワークにおけるファイアウォールの利用につい ての NISCC グッド・プラクティス・ガイド | 1.3MB | PGP 署名 |
| 概要: 近年、監視制御系システムの通信に、EthernetR、TCP/IP、Windows(R) 等の商用情報技術を使うことが多くなってきている。これらの共通プロトコルやOSを使用する利点は多いが、一方極めて重要なSCADAやプロセス制御ネットワーク(PCS)を外界から隔離できる度合いがかなり低くなるという問題を生じる。よく推奨される対策は、ファイアウォールを使って SCADA や PCN システムをインターネットや企業ネットワーク (EN) から隔離することである。その際のファイアウォールのアーキテクチャ、設定、管理について、まとめたガイドライン。 |
情報セキュリティ政策会議決定 重要インフラの情報セキュリティ対策に関わる行動計画
内閣官房の情報セキュリティ政策会議において取りまとめられた本基準は、重要インフラのサービス供給の根幹をなす制御系システムにおける対策のみならず、 新たな脅威の原因や情報漏えいの対策も念頭に置いて、政府および各重要インフラ分野において実施することが望ましいセキュリティ対策について、既存の法令、制度と整合性をとりつつまとめられたもの。
- 2010/04/08
- JPCERT/CC インシデントハンドリング業務報告 [ 2010年1月1日~2010年3月31日 ]
- 2010/04/08
- JPCERT/CC 活動概要 [ 2010年1月1日~2010年3月31日 ]
- 2010/04/07
- OWASP「ソフトウエアセキュリティ保証成熟度モデル」を公開
- 2010/04/07
- Kaspersky Labs Japan、フィッシング対策協議会およびJPCERT/CCと連携し、フィッシング警告機能をさらに強化