JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 制御システムセキュリティ > 制御システムセキュリティガイドライン(全般)

最終更新: 2016-03-14

制御システムセキュリティガイドライン(全般)


グッド・プラクティス・ガイド パッチ管理

パッチ管理は、運用環境への暫定的なソフトウエアリリースの展開と保守を管理するための手順です。事業のためにシステムの実効性と効率を維持しつつ、セキュリティの脆弱性を最小限まで緩和し、実運用環境の安定性を維持するのに役立ちます。本書は、重要国家インフラに関わる組織向けにパッチ管理に関するガイドを示したもので、すべてのシステムにパッチを正しく適用するための 4 段階の手順と、パッチ適用計画の有効性を測定するための指標について説明しています。

公開日 タイトル PDF PGP 署名
2010-05-31 グッド・プラクティス・ガイド パッチ管理 640KB
デジタル
署名付
PGP 署名

Topへ

制御システム環境におけるサイバーセキュリティ文化の支援を目的とした運用セキュリティ(OPSEC)の使用

大部分の組織は、制御システム領域においても堅牢なアーキテクチャを採用し、外部ネットワーク、業務ネットワーク、制御システムネットワークの統合を推し進めることで業務の強化とコスト削減を図っています。セキュリティは、関係者が形成するサイバーセキュリティ「文化」によって支えられ、運用セキュリティ(OPSEC)の手法を使用することでセキュリティ「文化」の維持・強化への取組みを促進できます。しかし、事務処理領域でのセキュリティを主眼に形成された文化は、制御システムの領域に簡単には持ち込めません。本書は、制御システム領域におけるサイバーセキュリティの開発、配備、改善を担当する管理者およびセキュリティ専門家を対象に、制御システムおよび産業ネットワークのサイバーセキュリティにとって非常に重要な運用セキュリティ(OPSEC)のいくつかの要素を示し、それらがセキュリティ文化の形成をどのように促進しうるかについて述べています。

公開日 タイトル PDF PGP 署名
2010-05-31 制御システム環境におけるサイバーセキュリティ文化の支援を目的とした運用セキュリティ(OPSEC)の使用 621KB
デジタル
署名付
PGP 署名

Topへ

制御システムのサイバーセキュリティ:多層防御戦略

製造業、輸送業、エネルギーなど主要な産業や社会を支える重要インフラでは、制御システムが多用されています。これらのシステムは、旧来システムから、新しいIT技術を取り入れたオープン・システムに移行しつつあり、制御システムの多種多様で独自の構造が、共通の通信プロトコルやオープンアーキテクチャ標準に置き換えられています。これには、プラスとマイナスの両側面の影響があります。

こういった事実を背景として、この文書では制御システムネットワークを使用している組織向けに、多層情報アーキテクチャを維持しつつ、「多層防御戦略」を策定するための指針と方向性を示しています。

公開日 タイトル PDF PGP 署名
2010-03-31 制御システムのサイバーセキュリティ:多層防御戦略 1.62MB
デジタル
署名付
PGP 署名

Topへ

人的セキュリティガイドライン

2003年8月14日に米国で発生した最大規模の停電の原因は、人員の能力不足と教育・訓練不足、コミュニケーション不足、設備の不備であったことが判明し、停電の調査委員会は、政府機関による法規制、監視、違反への罰則を勧告しました。この後さまざまな産業や政府機関が人的セキュリティガイダンスを提供していますが、この文書では、米国で全国的に認知されている7つの産業団体と政府機関の推奨事項に基づいて作成された人的セキュリティプログラムガイダンスを紹介しています。

公開日 タイトル PDF PGP 署名
2010-03-31 人的セキュリティガイドライン 433KB
デジタル
署名付
PGP 署名

Topへ

推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発

工業用制御システムは、従来のビジネス情報システムと同様、悪意のあるさまざまな攻撃を受ける可能性が増しています。攻撃目的もさまざまですし、攻撃元もまた、不満を持つ従業員、競合相手、そして不注意でサイトをマルウエアに感染させてしまう友好的な相手の場合とさまざまです。この文書は、制御システムを利用する施設が、攻撃元を問わずサイバーインシデントに備え、対応するのに役立つ推奨事項を、①サイバーインシデントに関する計画の作成、 ②インシデントの防止、 ③インシデント管理、 ④インシデント後分析、の4つのセクションに分けて解説しています。そして、インシデントから得た教訓を活かし、潜在的攻撃に備えてシステムを強化する方法も提案しています。

公開日 タイトル PDF PGP 署名
2010-03-31 推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発 1.31MB
デジタル
署名付
PGP 署名

Topへ

重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド

この文書は、プロセス制御システム (PCS: Process Control System) のセキュリティに関する意識向上を意図して、SEMA (スウェーデン緊急管理庁) によりスウェーデン語で作成された文書の英訳版を JPCERT/CC が邦訳したものです。

ヨーロッパの産官学の各界が、さまざまな共通課題に共同で取り組めるよう、また、必要に応じて集中的な取り組みとリソースの共有を行えるよう、制御系に特化したセキュリティに対する推奨事項が実例とともに分かりやすく述べられています。

公開日 タイトル PDF PGP 署名
2009-11-24 重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド 970KB
デジタル
署名付
PGP 署名

Topへ

NIST SP 800-82 産業制御システム(ICS)セキュリティ

SCADA システム、分散制御システム (DCS)、プログラマブル論理制御装置 (PLC) などを含む、産業制御システムのセキュリティを確保するための、ガイダンスがまとまっている。 このガイドラインには、産業制御システムの典型的なシステムトポロジー、脅威と脆弱性、その回避策がまとめられている。2006年のパブリックドラフトの更新版。

公開日 タイトル PDF PGP 署名
2016/3/14 NIST SP800-82 Rev.2
産業用制御システム(ICS)セキュリティガイドSCADA、DCS、PLC、その他の制御システムの設定 日英対訳版
6.12MB
デジタル
署名付
PGP 署名
2015/5 NIST SP800-82 Rev.2 英語版 - -
2013/4 NIST SP800-82 Rev.1 英語版 - -
2011/6 NIST SP800-82 英語版 - -

Topへ

NIST SP 800-53 連邦政府情報システムにおける推奨セキュリティ管理策

Recommended Security Controls for Federal Information Systems

Topへ

NIST SP800シリーズに見る情報セキュリティと事業継続計画

Topへ

IEC (ISA) 62443 シリーズ

IEC (ISA) 62443 シリーズは、制御システムのセキュリティに関する国際規格の集まりである。本規格は、4つに区分されていて、管理面から技術面までをカバー。制御システム運用者、制御システムのシステム・インテグレータ、制御システムの製品ベンダが実現すべきセキュリティ要件を規定。

要件を実現すべき対象 区分 規格番号 標題 プレビュー(注1)
全体 用語定義と原則 62443-1-1 Terminology, concepts and models PDF
62443-1-2 Master glossary of terms and abbreviations
62443-1-3 System security compliance metrics
62443-1-4 IACS security lifecycle and use-case
制御システム運用者 セキュリティ管理のポリシーと手順 62443-2-1 Requirements for IACS security management system PDF
62443-2-2 Implementation guidance for an IACS security management system
62443-2-3 Patch management in the IACS environment
62443-2-4 Requirements for IACS solution suppliers
システム・インテグレータ システム構成 62443-3-1 Security technologies for IACS PDF
62443-3-2 Security levels for zones and conduits
62443-3-3 System security requirements and security levels PDF
製品ベンダ コンポーネント 62443-4-1 Product development requirements
62443-4-2 Technical security requirements for IACS components

注1) 2015年6月末時点で発行済みの規格のみ、プレビュー用ファイルへのリンクを掲載しています。なお、正規版の閲覧には、購入が必要です。

・ IEC (International Electrotechnical Commission)
電気工学および電子工学の技術分野の国際規格を作成する国際標準化機関。

・ ISA (International Society of Automation)
約3.6万人の会員を擁し、計測・計装・制御分野の技術の普及と標準化を行う非営利組織。

  • ISA 99
  • ISA配下の産業オートメーション制御システムセキュリティ委員会。 ISA 62443シリーズ標準の策定を行っている。

Topへ

CPNI Good Practice Guidelines

この文書は、制御系システムの開発・設計ならびにユーザーが遠隔制御・監視システムを使用するにあたってセキュリティ要件と仕様のガイドとなるものです。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きにもなります。 JPCERT/CC が翻訳した日本語版は、2007年に公開。更新された最新版が、CPNI から 2008年6月に公開されています。

グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ

この文書は、制御系システムの開発・設計ならびにユーザーが SCADA を使用するにあたってセキュリティ要件と仕様のガイドとなるものです。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きにもなります。
* SCADA: Supervisory Control and Data Acquisition、遠隔制御・監視システム

概 要

 重要インフラで使用されるシステムには、事業とその用途に応じてさまざまな形態があるがそのなかでもいくつかの共通機能のコンポーネント化が進んでいる分野がある。 昨今の情報通信技術とオープン化の波は、開発コストの低コスト化、汎用化、ネットワーク化をもたらし、分散制御システム、監視制御、プロセス制御の分野においてもオープン系の技術を取り入れた製品、システムの利用が進んでおりそれらは重要インフラで使用もされている。 SCADA(Supervisory Control And Data Acquisition) は監視・制御データの収集を目的としたシステム全般を指し、小規模システムから大規模プラントまで産業分野に広く用いられている。

 本文書は、制御系システムの開発・設計ならびにユーザーがSCADAを使用するにあたってセキュリティ要件と仕様のガイドとなるものである。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きともなる。

公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 1 - 事業リスクの理解 984KB PGP 署名
概要: プロセス制御システムのセキュリティを改善するための第一歩は、電子セキュリティの観点から見た事業リスクを完全に理解することである。 事業リスクは、脅威、影響、脆弱性のそれぞれと相関関係にある。企業では、事業リスクを十分に理解して初めて、適切なレベルのセキュリティ保護を実現するために必要なことが判別できるようになる。
公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 2 - セキュア・アーキテクチャの実装 904KB PGP 署名
概要: 制御系システムは多様な上に、多くのソリューションがあるため、セキュアなシステムアーキテクチャをデザインすることは容易ではない。プロセス制御セキュリティ手段の選択は決して精密科学ではなく、すべてに対応できる「万能」なものでもない。事業リスクを十分に理解することで、制御システムのための総合的なセキュア・アーキテクチャを構築することができるようになる。
公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 3 - 対応能力の確立 984KB PGP 署名
概要: アラート/インシデントへの対応機能を確立することは、制御系システムにおけるセキュリティフレームワークの中でも特に重要な部分である。経営層のサポート、責任の明確化、連絡経路の確立、方針および手順の策定、トレーニングおよび演習の実施は、迅速かつ的確な対応に繋がり、ビジネスインパクトを最低限に抑え、インシデントの影響を低減させる可能性がある。
公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 4 - 意識とスキルの改善 1,004KB PGP 署名
概要: セキュリティフレームワークの成功は、最終的には人的要素にかかっている。人は、最も重要なリソースであると同時に、セキュリティにとって最大の脅威となる恐れも秘めている。プロセス制御システムのセキュリティは、意識の向上、スキルの向上、IT セキュリティ担当者との緊密な関係の構築により、向上させることができる。
公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 5 - サード・パーティ・リスクの管理 1MB PGP 署名
概要: プロセス制御システムは、ベンダー、サポート組織、サプライ・チェーン内の他の関係者等のサード・パーティにより重大なセキュリティ・リスクがもたらされることがあるので、十分な注意を払う必要がある。サード・パーティ・リスクの認識し可視化することが、そのリスクを管理し始めることを可能にする鍵である。
公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 6 - プロジェクトへの参画 844KB PGP 署名
概要: プロセス制御システムは普通、耐用年数が長く、その耐用年限中のシステム変更は、ごく少ないことを期待して設置される。多くの組織では、大抵いつの時点でも、幾つかのプロセス制御システム関連のプロジェクトが実施されていて、それぞれにセキュリティに影響を及ぼす可能性があるため、積極的なプロジェクトへの参加と、リスク評価が必要である。
公開日 タイトル PDF PGP 署名
2010-07-06 GPG No. 7 - 継続した統制の確立 1.1MB PGP 署名
概要: プロセス制御システムのセキュリティ管理を、組織全体として首尾一貫した手法で実施するためには、適切なガバナンスが必要である。そのような統制なしでは、プロセス制御システムの防護はその場限りかまたは不十分であり、組織をリスクに曝すことになる。
公開日 タイトル PDF PGP 署名
2010-07-06 グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ 920KB PGP 署名
概要: プロセス制御と SCADA システム セキュリティの必要性を概説し、プロセス制御や、SCADA システム セキュリティとITセキュリティの間の違いを明らかにした上で、プロセス制御システム・セキュリティに対応するための7つのステージを示し、各ステージにおけるグッド・プラクティスの原則を示したドキュメント。
公開日 タイトル PDF PGP 署名
2007-06-14 SCADA およびプロセス制御ネットワークにおけるファイアウォールの利用につい ての NISCC グッド・プラクティス・ガイド 1.3MB PGP 署名
概要: 近年、監視制御系システムの通信に、EthernetR、TCP/IP、Windows(R) 等の商用情報技術を使うことが多くなってきている。これらの共通プロトコルやOSを使用する利点は多いが、一方極めて重要なSCADAやプロセス制御ネットワーク(PCS)を外界から隔離できる度合いがかなり低くなるという問題を生じる。よく推奨される対策は、ファイアウォールを使って SCADA や PCN システムをインターネットや企業ネットワーク (EN) から隔離することである。その際のファイアウォールのアーキテクチャ、設定、管理について、まとめたガイドライン。

Topへ

情報セキュリティ政策会議 重要インフラの情報セキュリティ対策に係る第3次行動計画

内閣官房の情報セキュリティ政策会議において取りまとめられた本基準は、重要インフラのサービス供給の根幹をなす制御系システムにおける対策のみならず、 新たな脅威の原因や情報漏えいの対策も念頭に置いて、政府および各重要インフラ分野において実施することが望ましいセキュリティ対策について、既存の法令、制度と整合性をとりつつまとめられたもの。

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english