皆さんこんにちは。技術統括部のTTです。今回は私がOTセキュリティに携わる中でしばしば耳にするフレームワークやガイドラインについて説明していきます。いくつかあるのですが、今までそれらの違いをあまり意識していなかったので改めてまとめてみました。似た概念としてまとめられることもありますが、定義や目的などに明確な差異があります。
今回概要を説明するのは
となります。
NIST CSFとはNIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)により作成されたサイバーセキュリティフレームワークを指します。NISTは化学技術分野における計測と標準に関する研究を実施しており、複数のセキュリティに関する規格だけでなくNVDの運営なども担っています。
サイバーセキュリティフレームワークとは組織がサイバーセキュリティを実施するにあたって既存の基準やガイドラインを基に一般的な分類法や手法を示したものになります。
すなわちNIST CSFは利用することによってサイバーセキュリティ対策状況の「現状」と「目標」のギャップ分析がしやすくなります。
NIST SP800-171とは、NISTが発表したガイドラインの一つとなります。SPというのはSpecial Publications(特別刊行物)の略となり、情報セキュリティに関するレポート群を示します。SP-800はその中の800シリーズを指し、ガイドラインなどをまとめたSPの主要シリーズとなります。
具体的にNIST SP800-171がどのようなガイドラインかというと、CUI(Controlled Unclassified Information:管理されるべき非機密情報)の保護を求めるガイドラインであり、具体的にはCI(Classified Information:機密情報)に分類されないものの、連邦政府に関連するシステム設計書などの情報の保護を政府機関以外の民間企業やサプライチェーンに対して求めるものとなっています。
IEC62443とはISA(Industrial Society of Automaton:国際自動制御学会)、およびIEC(International Electrotechnical Commission:国際電気標準会議)にて開発された、産業用オートメーション及び制御システム(Industrial Automation and Control System:IACS)のセキュリティ確保のための国際標準規格です。
ITではISO/IEC27001の取得が多くの企業で実施されていますが、IEC62443は制御システムの設計領域やシステムデザインやコンポーネントにまで言及されており、よりOTセキュリティに適した規格になっています。
ここまで各用語についての概要を解説しましたが、それぞれを比較した場合の差異について図としてもまとめました。
こちらがその図になります。
各用語の相違点については以下があげられます。
今回はOTセキュリティに携わる上でよく耳にする3つの用語について概要を説明していきました。あまり細かい内容については触れていないので、今後個別の記事として各用語の詳細な解説をする予定です。
各産業においては政府や業界団体が中心となって今回説明したようなガイドラインやフレームワークへの準拠をもとめるケースが増加しています。各用語の概要を理解し、自社のセキュリティ対策に盛り込むことで他者との差別化を図ることができるのではないでしょうか。