IT運用のガイドラインであるCIS Controlsの産業制御システム(ICS)版について説明しています。ICS版と通常版の違いや、ICS版特有のコントロール項目、ICS環境におけるセキュリティの課題と対策について詳述しています。
IT運用のガイドラインとしてよく使われるCIS Controlsですが、ICS(産業制御システム)版があることをご存じでしょうか。
現時点の最新版であるv8.1はこちらからダウンロードできます。
ICS版ではない一般的なIT用のCIS Controls(以下、通常版)のv8.1.2と比較してみました。
ICS版では、Control 13の「ネットワーク監視と防御」が追加され、IT版のControl 18の「セキュリティ管理コントロール」がありません。
通常版 CIS Controls v8.1.2 vs ICS版 CIS Controls v8.1 (日本語表記)
| コントロール番号 |
通常版(Enterprise IT向け) |
ICSガイド版(産業制御システム向け) |
| 1 |
エンタープライズ資産の管理(Inventory and Control of Enterprise Assets) |
エンタープライズ資産の管理(同左) |
| 2 |
ソフトウェア資産の管理(Inventory and Control of Software Assets) |
ソフトウェア資産の管理(同左) |
| 3 |
データ保護(Data Protection) |
データ保護(同左) |
| 4 |
資産とソフトウェアのセキュア設定(Secure Configuration of Enterprise Assets and Software) |
資産とソフトウェアのセキュア設定(同左) |
| 5 |
アカウント管理(Account Management) |
アカウント管理(同左) |
| 6 |
アクセス制御管理(Access Control Management) |
アクセス制御管理(同左) |
| 7 |
継続的な脆弱性管理(Continuous Vulnerability Management) |
継続的な脆弱性管理(同左) |
| 8 |
監査ログ管理(Audit Log Management) |
監査ログ管理(同左) |
| 9 |
メール・Webブラウザの保護(Email and Web Browser Protections) |
メール・Webブラウザの保護(同左) |
| 10 |
マルウェア防御(Malware Defenses) |
マルウェア防御(同左) |
| 11 |
データ復旧(Data Recovery) |
データ復旧(同左) |
| 12 |
ネットワークインフラ管理(Network Infrastructure Management) |
ネットワークインフラ管理(同左) |
| 13 |
セキュリティ意識とスキルのトレーニング(Security Awareness and Skills Training) |
ネットワーク監視と防御(Network Monitoring and Defense) |
| 14 |
サービス提供者管理(Service Provider Management) |
セキュリティ意識とスキルのトレーニング(Security Awareness and Skills Training) |
| 15 |
アプリケーションソフトウェアのセキュリティ(Application Software Security) |
サービス提供者管理(Service Provider Management) |
| 16 |
インシデント対応管理(Incident Response Management) |
アプリケーションソフトウェアのセキュリティ(Application Software Security) |
| 17 |
ペネトレーションテスト(侵入テスト)(Penetration Testing) |
インシデント対応管理(Incident Response Management) |
| 18 |
セキュリティ管理コントロール(Security Management Controls) |
ペネトレーションテスト(侵入テスト)(Penetration Testing) |
各Controlはほぼ同じですが、ICS版だけ以下の記載があり、ICSならではの事情が分かるようになっているようです。
- Applicability(適用性)
- Challenges(課題)
- Additional Discussion(補足解説)
ICS版にだけあるControl 13の「ネットワーク監視と防御」の小項目はこちら
Control 13: ネットワーク監視と防御(Safeguards 13.1~13.11)
| 番号 |
日本語訳 |
英語原文(ICSガイド) |
| 13.1 |
セキュリティイベントのアラートを集中管理する。 |
Centralize security event alerting. |
| 13.2 |
セキュリティ監視戦略を策定・維持する。 |
Establish and maintain a security monitoring strategy. |
| 13.3 |
セキュリティログの収集を集中管理する。 |
Centralize security log collection. |
| 13.4 |
ホストベースの侵入検知ソリューションを導入する。 |
Deploy a host-based intrusion detection solution. |
| 13.5 |
ネットワーク侵入検知ソリューションを導入する。 |
Deploy a network intrusion detection solution. |
| 13.6 |
ネットワークセグメント間でトラフィックフィルタリングを実施する。 |
Perform traffic filtering between network segments. |
| 13.7 |
監査ログを監視・管理する。 |
Monitor and manage audit logs. |
| 13.8 |
ネットワーク侵入防止ソリューションを導入する。 |
Deploy a network intrusion prevention solution. |
| 13.9 |
ホストベースの侵入防止ソリューションを導入する。 |
Deploy a host-based intrusion prevention solution. |
| 13.10 |
アプリケーション層でのフィルタリングを実施する。 |
Perform application layer filtering. |
| 13.11 |
セキュリティ監視システムを調整し、誤検知を最小限に抑える。 |
Tune security monitoring systems to minimize false positives. |
ICS版だけネットワーク監視が重要な背景として、以下のことが考えられます。
1. 脆弱性の修正が困難
ICS機器はリアルタイム制御を行っており、パッチ適用や再起動が業務停止につながるため、脆弱性が長期間放置されがち。
そのため、ネットワーク上での異常検知や防御が重要な代替手段となります。
2. レガシー機器の存在
古いOSやプロトコル(Modbus, DNP3など)を使用している機器が多く、エンドポイントでの防御が困難。
ネットワークレベルでの監視・制御が現実的な対策になります。
3. 可用性重視の運用
ICS環境では「止めないこと」が最優先されるため、侵入検知や防御はパッシブである必要がある。
アクティブなスキャンよりも、ネットワークトラフィックの監視が適している。
その他のControlについても、ICS版ならではのポイントをまとめました。
Control 1: エンタープライズ資産の管理(Inventory and Control of Enterprise Assets)
| 観点 |
ICS版ならではのポイント |
| 資産の多様性 |
ICS環境では、制御機器(PLC、RTU、HMIなど)やセンサーなど、IT資産とは異なる種類の資産が多数存在。 |
| 自動検出の制約 |
ICS機器はSNMPやエージェントが使えないことが多く、パッシブスキャンやネットワークトラフィック分析による検出が主流。 |
| 資産の可視化が困難 |
レガシー機器やベンダー独自仕様の機器が多く、統一的な資産管理が難しい。 |
| 物理資産との連携 |
ICSでは、物理的な配置や接続関係も管理対象となる。 |
Control 2: ソフトウェア資産の管理(Inventory and Control of Software Assets)
| 観点 |
ICS版ならではのポイント |
| OSやファームウェアの把握 |
ICS機器はWindows XP や独自OSを使用していることが多く、ソフトウェア資産の把握が困難。 |
| 更新頻度が低い |
ICS環境では、ソフトウェアの更新が業務停止につながるため、頻度が極めて低い。 |
| 非標準ソフトの存在 |
制御ソフトやSCADAアプリなど、一般的なIT資産管理ツールでは検出できないソフトウェアが多い。 |
| ホワイトリスト型管理が有効 |
ICSでは、許可されたソフトのみを実行するホワイトリスト型の制御が推奨される。 |
Control 3: データ保護(Data Protection)
| 観点 |
ICS版ならではのポイント |
| 機密性より可用性重視 |
ICSでは「止めないこと」が最優先されるため、データの可用性が機密性より重要視される。 |
| データ分類が困難 |
ICS環境では、機器設定ファイルやログなどのデータ分類が曖昧で、保護対象の特定が難しい。 |
| 暗号化の制約 |
一部のICS機器では、暗号化処理が性能に影響を与えるため、導入が制限される。 |
| 物理的保護が重要 |
制御室や現場にある機器の物理的なアクセス制御がデータ保護の一部となる。 |
Control 4: 資産とソフトウェアのセキュア設定(Secure Configuration)
| 観点 |
ICS版ならではのポイント |
| 初期設定の変更が困難 |
ICS機器はベンダー設定のまま運用されることが多く、設定変更が業務に影響する。 |
| 設定の標準化が未整備 |
ICS環境では、セキュア設定のベストプラクティスがベンダーごとに異なる。 |
| 設定変更の検証が困難 |
ICSでは、設定変更後の動作確認が難しく、リスクが高い。テスト環境の整備が重要。 |
Control 5: アカウント管理(Account Management)
| 観点 |
ICS版ならではのポイント |
| 共有アカウントの存在 |
多くのICS機器では、個別ユーザーアカウントが設定できないか、共有アカウントが前提となっている。これにより、監査や責任の明確化が困難。 |
| アカウントの削除が困難 |
ICS機器は再起動や設定変更が業務に影響するため、不要アカウントの削除が遅れる傾向がある。代替として、ネットワークレベルでの制御が推奨される。 |
| 外部ベンダーの一時アクセス |
メンテナンス時に外部業者がアクセスするケースが多く、一時的なアカウント管理やアクセス制限が重要。IDaaSやVPN連携が有効。 |
| IDaaSの導入制約 |
ICS機器はクラウド連携が難しいため、IDaaS(Okta, Azure ADなど)の直接統合が困難。代替として、ゲートウェイ型の認証制御が検討される。 |
Control 6: アクセス制御管理(Access Control Management)
| 観点 |
ICS版ならではのポイント |
| ロールベースアクセスが未整備 |
多くのICS機器では、RBAC(Role-Based Access Control)が未実装。そのため、物理的・ネットワーク的なアクセス制御が中心となる。 |
| セグメンテーションの重要性 |
ICS環境では、ネットワークゾーンごとにアクセス制御を設けることが推奨される。 |
| ゼロトラストの適用 |
ICS環境でも「信頼せず、常に検証する」ゼロトラストの考え方が求められており、アクセス要求の都度認証・検証する仕組みが重要。 |
| 物理アクセスとの連携 |
ICSでは、物理的なアクセス制御(鍵、カード、監視カメラなど)と論理アクセス制御の連携が必要。 |
Control 7: 継続的な脆弱性管理(Continuous Vulnerability Management)
| 観点 |
ICS版ならではのポイント |
| パッチ適用が困難 |
ICS機器は再起動や停止が許されないため、脆弱性があってもパッチ適用できないケースが多い。 |
| 代替策の必要性 |
パッチの代わりに、ネットワークセグメンテーションや仮想パッチ(IPS)などの代替策が重要。 |
| 脆弱性情報の収集が難しい |
ICS機器の脆弱性情報は、一般的な脆弱性データベース(NVD)に掲載されていないことがある。ベンダーとの連携が必要。 |
| スキャンの影響に注意 |
アクティブスキャンが機器に影響を与えるため、パッシブな脆弱性評価手法が推奨される。 |
Control 8: 監査ログ管理(Audit Log Management)
| 観点 |
ICS版ならではのポイント |
| ログ機能が限定的 |
多くのICS機器は、ログ出力機能が非常に限定的で、標準的なSIEM連携が困難。 |
| リアルタイム性より保全性重視 |
IT環境と異なり、ICSではリアルタイム分析よりも、事後調査のためのログ保全が重視される。 |
| ログ収集の影響に注意 |
ログ収集が機器の動作に影響を与える可能性があるため、パッシブな収集方法が推奨される。 |
Control 9: メール・Webブラウザの保護(Email and Web Browser Protections)
| 観点 |
ICS版ならではのポイント |
| ICS機器はメール・ブラウザを使用しない |
多くの制御機器はメールやWebブラウザを使用しないため、このコントロールは主に周辺IT機器に適用される。 |
| USB経由のマルウェア感染が代替リスク |
ICSでは、メールよりもUSBメモリ経由の感染が主なリスクとなるため、物理メディア制御が重要。 |
| インターネット接続の制限 |
ICS環境では、インターネット接続自体を制限することが基本であり、Webフィルタリングよりも接続遮断が優先される。 |
| ゼロトラストの観点での分離 |
ICSとIT環境をネットワーク的に分離し、信頼されない通信を遮断することが、メール・Web保護の代替策となる。 |
Control 10: マルウェア防御(Malware Defenses)
| 観点 |
ICS版ならではのポイント |
| エンドポイント防御の制約 |
ICS機器はEDRやアンチウイルスがインストールできないことが多く、ネットワークレベルでの防御が中心。 |
| USB経由の感染リスク |
ICS環境では、USBメモリによるマルウェア感染が依然として大きなリスク。物理的制御が重要。 |
| 署名ベースの限界 |
ICS向けマルウェアはカスタム型や標的型が多く、従来の署名ベースの検知では不十分。 |
| ホワイトリスト型実行制御 |
ICSでは、許可されたアプリケーションのみを実行する制御が有効。 |
Control 11: データ復旧(Data Recovery)
| 観点 |
ICS版ならではのポイント |
| バックアップ頻度が低い |
ICS機器は常時稼働しており、バックアップのタイミングが限られる。 |
| 復旧時間の制約 |
ICSでは、復旧にかかる時間が業務停止に直結するため、迅速な復旧手段が必要。 |
| 設定ファイルの保護が重要 |
ICSでは、機器の設定ファイルや構成情報のバックアップが特に重要。 |
Control 12: ネットワークインフラ管理(Network Infrastructure Management)
| 観点 |
ICS版ならではのポイント |
| フラットネットワークが多い |
ICS環境では、セグメンテーションが未実施のフラットな構成が多く、攻撃拡散リスクが高い。 |
| レガシー機器の混在 |
古いネットワーク機器が多く、最新のセキュリティ機能が使えないことがある。 |
| セグメンテーションの導入が重要 |
ISA/IEC 62443に基づくゾーン&コンジット設計が推奨される。 |
Control 14: サービス提供者管理(Service Provider Management)
| 観点 |
ICS版ならではのポイント |
| 外部ベンダーの常時関与 |
ICSでは、保守・運用に外部ベンダーが深く関与しており、アクセス管理が重要。 |
| 契約にセキュリティ要件が含まれていない |
多くのICS関連契約では、セキュリティ条項が不十分。見直しが必要。 |
| リモートアクセスの制御が重要 |
ベンダーによるVPNやリモート接続の監視・制限が不可欠。 |
Control 15: アプリケーションソフトウェアのセキュリティ(Application Software Security)
| 観点 |
ICS版ならではのポイント |
| SCADAやHMIの脆弱性 |
ICS向けアプリケーションは独自開発が多く、脆弱性が見逃されがち。 |
| 更新が困難 |
ICSアプリは更新による動作不安定が懸念されるため、頻繁なアップデートが難しい。 |
| コードレビューが未実施 |
ICS向けソフトはセキュリティレビューが行われていないケースが多い。 |
Control 16: インシデント対応管理(Incident Response Management)
| 観点 |
ICS版ならではのポイント |
| 対応手順が未整備 |
ICS環境では、インシデント対応の手順が整備されていないことが多い。 |
| 現場との連携が不可欠 |
ICSでは、現場オペレーターとの連携がインシデント対応の鍵となる。 |
| 可用性優先の判断が必要 |
ICSでは、封じ込めよりも稼働継続が優先される場合がある。判断基準の明確化が必要。 |
Control 17: ペネトレーションテスト(Penetration Testing)
| 観点 |
ICS版ならではのポイント |
| 実施が困難 |
ICS機器はテストによる影響が大きいため、ペネトレーションテストが実施できないことが多い。 |
| 代替手段の検討が必要 |
ペンテストの代わりに、構成レビューやパッシブ診断が推奨される。 |
| テスト対象の選定が重要 |
ICS環境では、テスト対象を限定し、事前に影響評価を行うことが必須。 |
ITに関わる方は、通常版との違いを整理することで、簡単にOT環境の課題を読み取ることができるのではないでしょうか。
OT環境ならではの課題に対し、OT用のサイバーセキュリティツールがございます。
OT環境のサイバーセキュリティを検討されている方は、Sky株式会社にご相談ください。
参考資料:
CIS_Controls_Guide_v8.1.2_0325_v2.pdf
CIS_Controls_v8.1_ICS_Guide__2024_07.pdf
キャリア採用募集中!入社後にスキルアップを目指す若手の方も、ご自身の経験を幅広いフィールドで生かしたいベテランの方も、お一人おひとりの経験に応じたキャリア採用を行っています。
Sky株式会社のソフトウェア開発や製品、採用に関するお問い合わせについては、下記のリンクをご確認ください。
