海外に学ぶSMBのクラウドセキュリティ基礎(AIセキュリティ編)(1)(2)に引き続き、今回は、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズに基づいて開発されたOTセキュリティ固有のガイドを紹介していく。
シンガポール政府がSMBユーザー向けOTセキュリティガイドラインを提供
過去にSMBユーザーを対象とする「サイバーエッセンシャルズマーク: クラウドセキュリティコンパニオンガイド」および「サイバートラストマーク: クラウドセキュリティコンパニオンガイド」(2023年10月13日公表)(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を紹介したが、これらと並行して、シンガポールサイバーセキュリティ庁は、2024年8月20日に「制御技術(OT)サイバーセキュリティマスタープラン2024」を公表している(https://www.csa.gov.sg/resources/publications/singapore-s-operational-technology-cybersecurity-masterplan-2024)。
このマスタープランは、国家の重要インフラを支えるOTシステムのサイバーセキュリティ強化を目的とした戦略的計画で、2019年に初版が策定された。これは、産業用制御システムを運用する組織や、物理的制御機能を支えるOT技術を活用する組織のセキュリティとレジリエンスを強化するための継続的な取り組みである。2024年版マスタープランは、OTエコシステムの成熟度の進展と、地政学的・技術的変化に伴いOTシステムを標的とするサイバー脅威の性質が急速に変化している現状を反映している。
2024年版では、「人材」「プロセス」「技術」の各領域における以下のような内容が示されており、OTシステムや技術を運用する各分野のサイバーセキュリティ強化に向けた継続的な取り組みの一環として位置づけられている:
- OTサイバーセキュリティ人材パイプラインの強化
- 情報共有と報告体制の強化
- 重要インフラ(CII)を超えたOTサイバーセキュリティレジリエンスの向上
- OTサイバーセキュリティのCentre of Excellenceの設立と、OTシステムのライフサイクル全体にわたるSecure-by-Deploymentの推進
シンガポールのサイバーセキュリティコンパニオンガイドをOTセキュリティに拡大
その後2025年4月15日、シンガポールサイバーセキュリティ庁は、サイバーエッセンシャルズマークおよびサイバートラストマークの認証プログラムについて、クラウドセキュリティ、AIセキュリティ、OTセキュリティの領域をカバーするように拡張することを発表した。このうちOTセキュリティにおける拡張の概要は以下の通りである。
[OTセキュリティへの拡張]
・拡張されたサイバーエッセンシャルズは、組織がOT環境を安全に確保し、OTとITの融合を安全に管理する方法について指針を提供する。たとえば、OTは通常、情報技術(IT)よりも投資サイクルが長いため、OT環境には強力なアクセス制御(例:安全なパスフレーズ)をサポートしていない古いデバイスやシステムが存在する可能性がある。したがって、組織は代替的な制御手段として、物理的アクセス制御やネットワークの分割などの対策を講じる必要がある。
・サイバートラストでは、リスクシナリオの一例として、OTベンダーが別の顧客のネットワークでマルウェアに感染したノートパソコンを組織のOTネットワークに接続し、そのネットワークを感染させるケースが挙げられている。
上記の拡張に合わせて、サイバーエッセンシャルズマーク認証関連文書(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-essentials/certification-for-the-cyber-essentials-mark/)およびサイバートラストマーク認証関連文書(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-trust/certification-for-the-cyber-trust-mark/)も改定されている。
OTセキュリティ固有の管理策を支える組織体制の整備が課題
ここからは、スタートアップ/SMBを対象としたサイバーエッセンシャルズマークの各管理策項目において、OTセキュリティ固有の管理策および具体的な対策例を紹介していく。参考までに、サイバーエッセンシャルズマークの管理策は、以下のような構成になっている。
A.1 資産: 人々 – 従業員に、防衛の最前線となるノウハウを装備させる
A.2 資産: ハードウェアとソフトウェア – 組織が何のハードウェアとソフトウェアを所有しているかを知り、それらを保護する
A.3 資産: データ – 組織が何のデータを持っているのか、どこにあるのか、データをセキュア化しているのかについて知る
A.4 セキュア化/保護: ウイルスおよびマルウェアの保護 – ウイルスやマルウェアのような悪意のあるソフトウェアから保護する
A.5 セキュア化/保護: アクセス制御 – 組織のデータやサービスへのアクセスを制御する
A.6 セキュア化/保護: セキュアな構成 – 組織のハードウェアやソフトウェアのために、セキュアな設定を使用する
A.7 アップデート : ソフトウェア・アップデート – デバイスやシステム上のソフトウェアをアップデートする
A.8 バックアップ: 不可欠なデータのバックアップ – 組織の不可欠なデータをバックアップして、オフラインに保存する
A.9 対応: インシデント対応 – サイバーセキュリティインシデントを検知し、対応して、復旧の準備をする
最初に、(A.1 人的資産)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. OT人材の育成と能力強化
・OT環境に特化したサイバーセキュリティ教育プログラムの導入
・現場技術者向けのハンズオン訓練(例:ICS/SCADAシステムの脆弱性対応)
・サイバー演習の定期的な実施(模擬攻撃シナリオを含む)
2. 意識向上と責任の明確化
・OT従業員に対するセキュリティ意識向上キャンペーン(ポスター、動画、クイズなど)
・OT資産に関わる役割ごとのセキュリティ責任の明確化(例:保守担当 vs 制御担当)
3. OT環境におけるアクセス管理の教育
・物理アクセスと論理アクセスの違いを理解させる教育
・特権アクセスのリスクと管理策(例:ジャンプサーバーの利用、ログ監査)
4. サードパーティ・ベンダーへの教育と契約管理
・外部保守業者やベンダーに対するOTセキュリティ研修の義務化
・契約書にセキュリティ要件(例:インシデント報告義務、アクセス制限)を明記
5. インシデント対応能力の強化
・OT環境に特化したインシデント対応手順の訓練
・OTとITの連携体制の構築(クロスファンクショナルなCSIRT)
人的資産面に関しては、クラウドセキュリティの場合、ユーザー組織が責任を負うが、OTセキュリティになると、OT組織とIT組織が責任を共有する形態が一般的である。特に、OT環境では、人的ミスが重大な物理的影響を及ぼすため、教育と責任の明確化が特に重要になる。
次に、(A.2 ハードウェアとソフトウェア)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. OT資産の可視化とインベントリ管理
・OT機器(PLC、RTU、HMIなど)の物理・論理構成を網羅した資産台帳の整備
・ネットワークセグメントごとの資産分類(例:制御層、監視層、運用層)
・自動検出ツールによる定期的な資産スキャン(パッシブ型推奨)
2. レガシー機器の保護とリスク評価
・サポート終了済みの機器に対する補完的な防御策(例:ネットワーク分離、仮想パッチ)
・レガシー資産の脆弱性評価とリスク優先度の定期見直し
3. ソフトウェア構成と更新管理
・制御系ソフトウェア(SCADA、DCS等)のバージョン管理と変更履歴の記録
・アップデート前の影響評価とテスト環境での検証(本番環境への即時適用は避ける)
・ベンダー提供のセキュリティパッチ情報の定期収集と適用計画
4. OTネットワークのセグメンテーションとアクセス制御
・IT/OT間の境界にファイアウォールやデマリケーションゾーンを設置
・OT資産へのアクセスはホワイトリスト方式で制限
・リモートアクセスはジャンプサーバー経由+多要素認証を必須化
5. OT資産のライフサイクル管理
・導入時のセキュリティ要件チェック(例:暗号化通信、ログ機能)
・廃棄時のデータ消去と物理破壊の実施
・保守契約にセキュリティ更新・監査対応を含める
このようにOTセキュリティ固有の管理策としては、ITとは異なる制約やリスクを踏まえた対応が求められる。
次に、(A.3 データ)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. OTデータの分類と所在の明確化
・制御ログ、プロセスデータ、イベント履歴などのデータ種別を分類
・データの保存場所(オンプレミスのHMI、SCADAサーバー、エッジデバイスなど)を特定
・データフローの可視化(センサー → PLC → SCADA → Historian)
2. 機密性・完全性・可用性(CIA)の優先順位付け
・OT環境では「可用性」が最優先となるため、リアルタイム性を損なわない保護策を設計
・機密性が高いデータ(例:製造レシピ、工程パラメータ)には暗号化を適用
・完全性を担保するための改ざん検知(例:ハッシュ値、ログ監査)
3. データ保護とバックアップ
・OTシステムに特化したバックアップ手法(例:イメージベースの定期取得、オフライン保管)
・バックアップ対象の優先順位付け(制御設定、履歴データ、構成ファイル)
・リストア手順の定期的な検証(本番環境に影響を与えない方法で)
4. データアクセス制御と監査
・OTデータへのアクセスは職務ベースで制限(RBACの導入)
・外部ベンダーや保守業者によるアクセスは一時的かつ監査可能な方法で提供
・アクセスログの保存と定期レビュー(異常なアクセスの検知)
5. データのライフサイクル管理
・データ保持期間の定義(例:運用データは3年、監査ログは5年)
・廃棄時の安全な削除(例:物理破壊、データ消去ツール)
・データ移行時のセキュリティ(例:新SCADAシステムへの移行)
OTセキュリティ固有の管理策については、物理的な制御システムとデジタルデータが交差するOT環境ならではの特性を踏まえて設計する必要がある。また、これらの管理策は、OT環境の「止められない」「外部とつながりにくい」「レガシーが多い」といった特性を踏まえた、実践的かつ現場志向のものである必要がある。特に、リアルタイム制御とデータ保護のバランスが重要になってくる。
次に、(A.4 ウイルス・マルウェア対策)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. アンチマルウェア対策の適用判断
・OT機器へのウイルス対策ソフトの導入は、リアルタイム制御への影響を評価した上で慎重に実施
・SCADA/HMIサーバーなど、Windowsベースの機器には軽量型アンチウイルスを導入
・リアルタイム性が重要な制御機器(PLC等)には、代替策としてネットワーク監視や仮想パッチを適用
2. ネットワーク分離と境界防御
・IT/OT間の通信を制限するファイアウォールやDMZの設置
・外部接続(USB、リモートアクセス)に対する制限と監視
・OTネットワーク内でのマルウェア拡散を防ぐセグメンテーション
3. メディア制御と検疫
・USBメモリや外部媒体の使用を原則禁止、または専用検疫端末でスキャン
・メディア使用履歴の記録と定期監査
4. マルウェア検知とログ監視
・OT環境に特化したIDS/IPS(例:プロトコル認識型)による異常検知
・ログ収集・分析によるマルウェア兆候の早期発見(例:異常な通信、プロセス変更)
5. インシデント対応体制の整備
・OT環境におけるマルウェア感染時の封じ込め手順(例:ネットワーク遮断、手動制御への切替)
・IT/OT連携型CSIRTの構築と定期的な模擬演習
6. ベンダー管理と保守作業のセキュリティ
・外部ベンダーによる保守作業時のマルウェアリスクを最小化(例:事前スキャン、限定アクセス)
・ベンダー契約にセキュリティ要件(マルウェア対策、報告義務)を明記
OTセキュリティ固有の管理策については、IT環境とは異なる制約(例:リアルタイム性、レガシー機器、可用性重視)を踏まえた対応が必要である。また、OT環境では「止めない防御」が基本なので、予防と検知のバランスがカギになってくる。
次に、(A.5 アクセス制御)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. 物理アクセスの制御
・制御室や機器設置場所への入退室管理(例:ICカード、監視カメラ)
・OT資産への物理的アクセスは職務ベースで制限(保守担当者のみ許可)
2. 論理アクセスの制御
・OTシステムへのログインは個人ID+強固な認証(例:MFA、トークン)
・制御機器(PLC、RTU等)へのアクセスはホワイトリスト方式で制限
・アクセス権限は最小限に設定
3. ロールベースアクセス制御(RBAC)の導入
・操作員、保守員、監視員などの役割に応じたアクセス権限の定義
・権限変更は承認制+ログ記録を義務化
4. リモートアクセスの制限と監視
・リモート保守はジャンプサーバー経由+一時的な認証で実施
・VPN接続は時間制限+監査ログの取得を必須化
・外部接続は原則禁止、例外時は事前申請と検疫を実施
5. アクセスログの記録と監査
・OT資産へのアクセス履歴を自動記録(例:SCADAログ、HMI操作履歴)
・定期的なログレビューと異常検知(例:深夜のアクセス、権限外操作)
6. サードパーティ管理
・外部ベンダーのアクセスは契約で制限(例:アクセス時間、操作範囲)
・ベンダーごとのアクセス履歴を分離管理
OTセキュリティ固有の管理策については、制御系システムの可用性と安全性を守るために、ITとは異なるアプローチが必要である。OT環境では、「誰が、いつ、どこから、何をしたか」を明確にすることが、事故や攻撃の早期発見につながる。
次に、(A.6 セキュアな構成)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. 初期設定の見直しと不要機能の無効化
・OT機器(PLC、HMI、SCADA等)の初期設定(デフォルトパスワード、ポート開放)をすべて確認・変更
・使用しないサービスやプロトコル(例:Telnet、FTP)は無効化
・制御機器のファームウェア設定も含めてセキュアな構成を文書化
2. セキュリティベースラインの策定
・OT資産ごとにセキュリティ設定のベースラインを定義(例:SCADAサーバーのログ設定、HMIのユーザー権限)
・ベースラインからの逸脱を検知する仕組み(例:構成変更監視)
3. 設定変更の管理と承認プロセス
・構成変更は事前承認制+変更履歴の記録
・ベンダーによる設定変更も含めてログ取得とレビューを実施
・変更前のバックアップ取得とロールバック手順の整備
4. OT機器のセキュアな導入と廃棄
・新規導入時はセキュリティ要件(暗号化通信、認証機能)を満たす機器を選定
・廃棄時は設定情報の完全消去と物理破壊を実施
5. セキュリティ設定の定期レビュー
・半期または年次で構成設定の棚卸しとリスク評価を実施
・ベンダー提供のセキュリティガイドラインに基づく設定見直し
6. IT/OT融合環境での構成管理
・IT側のセキュリティポリシーがOTに影響しないよう、分離された構成管理体制を確立
・OT環境におけるセキュリティ設定は、可用性優先の原則に基づいて調整
OTセキュリティ固有の管理策については、制御系システムの安定性と可用性を維持しながら、設定ミスや脆弱性を防ぐための工夫が求められる。特に重要インフラや製造業では設定ミスが事故につながる可能性があるため、構成管理は極めて重要な領域となっている。
次に、(A.7 ソフトウェア・アップデート)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. アップデートのリスク評価と事前検証
・制御系ソフトウェア(SCADA、DCS、HMI等)の更新は、事前に影響評価を実施
・テスト環境での動作確認を必須化(本番環境への即時適用は避ける)
・アップデートによる停止リスクを最小化するため、更新は計画停止期間中に限定
2. アップデート対象の優先順位付け
・セキュリティパッチの緊急度に応じて分類(例:重大脆弱性は即時対応、機能改善は延期)
・レガシー機器には仮想パッチやネットワーク制御による代替策を検討
3. ベンダーとの連携による安全な更新
・ベンダー提供のアップデート情報を定期的に収集し、適用可否を判断
・アップデート手順はベンダー監修のもとで実施し、ログを取得
4. 更新プロセスの文書化と監査
・アップデート手順書、影響評価記録、テスト結果を文書化
・更新履歴を資産台帳と紐づけて管理し、定期監査を実施
5. 自動更新の無効化と手動管理
・OT機器では自動更新を無効化し、手動による制御を徹底
・IT環境との連携部分(例:データ収集サーバー)には更新通知の監視を導入
6. アップデート後の安定性確認
・更新後は一定期間の監視を強化し、異常動作の有無を確認
・不具合発生時のロールバック手順を事前に準備
OTセキュリティ固有の管理策については、可用性重視の制御環境において“更新=リスク”となる可能性を踏まえた慎重な運用が求められる。OTでは、更新しないという判断も時には必要となるので、最新の注意が必要である。
次に、(A.8 バックアップ)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. バックアップ対象の明確化
・制御設定、構成ファイル、履歴データ、イベントログなど、復旧に不可欠なデータを特定
・PLCやSCADAのプロジェクトファイル、HMI画面構成なども対象に含める
2. オフライン・バックアップの実施
・ランサムウェア対策として、ネットワークから隔離されたオフライン媒体(例:外付けHDD、テープ)に定期保存
・オフライン媒体は物理的に施錠された場所で保管
3. バックアップの頻度とスケジュール管理
・制御系データは変更頻度に応じて日次・週次で取得
・重要イベント(例:設備更新、設定変更)後は即時バックアップを実施
4. バックアップの整合性確認とリストア検証
・定期的にバックアップファイルの整合性チェック(ハッシュ値照合など)
・テスト環境での復元検証を実施し、復旧手順を文書化
5. バックアップの分散保管
・災害対策として、異なる物理拠点にコピーを保管(例:工場外部の保管庫)
・クラウド利用時は、OT環境に適したセキュリティ要件(暗号化、アクセス制限)を満たすこと
6. バックアップ操作の権限管理と監査
・バックアップ作業は特定の担当者に限定し、操作ログを取得
・外部ベンダーによるバックアップは事前承認制+監査対象とする
OTセキュリティ固有の管理策については、制御系システムの可用性とレジリエンスを重視した設計が求められる。特に重要インフラでは、復旧の速さが安全確保の鍵となるので、注意が必要である。
最後に、(A.9 インシデント対応)におけるOTセキュリティ固有の管理策および具体的対策例を整理すると以下のようになる。
1. OT環境に特化したインシデント対応計画の策定
・制御系システムの停止リスクを最小化するため、ITとは分離した対応フローを設計
・「切り離す」「手動制御に切り替える」など、物理的対応を含む手順を明記
・重要設備のフェイルセーフ動作を確認し、対応計画に反映
2. OT/IT連携型CSIRTの構築
・OT技術者とITセキュリティ担当が連携するクロスファンクショナルな対応チームを編成
・OT特有のプロトコルや機器構成に精通したメンバーを含める
3. インシデント検知の強化
・OT環境に特化したIDS/IPS(例:Modbus、DNP3対応)を導入
・制御ログやイベント履歴をリアルタイムで監視し、異常動作を早期検知
4. 初動対応と封じ込め手順の整備
・感染・侵害が疑われる機器のネットワーク遮断手順を明文化
・制御系の手動操作への切替手順を現場レベルで訓練
・外部ベンダーとの連携体制(緊急連絡先、対応契約)を整備
5. 復旧手順とバックアップ活用
・事前に取得したオフライン・バックアップからの復元手順を文書化
・復旧後の構成確認と再感染防止策(例:再設定、ログ監査)を実施
6. インシデント後のレビューと改善
・インシデント対応後は、OT環境に特化した事後レビューを実施
・対応手順の改善、教育内容の見直し、構成変更の検討を含める
OTセキュリティ固有の管理策としては、制御系システムの可用性を守りながら、迅速かつ安全に対応・復旧するための体制づくりが重要でなる。特に重要インフラや製造業では、止めない対応が必要となるケースが多いので、インシデント対応については、「技術」だけでなく「現場力」を強化しておく必要がある。
このように、サイバーエッセンシャルズのOT拡張版では、組織がOT環境をどのように保護し、OTとITの融合を安全に管理するかについての指針を提供している。OTは一般的にITよりも投資サイクルが長いため、OT環境にはレガシーな機器・システムが存在し、セキュアなパスフレーズなどの強力なアクセス制御に対応していない場合がある。従って組織は、物理的なアクセス制御やネットワークのセグメンテーションなど、代替的な制御策を用意しておく必要がある。
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司