忙しい人のための、NIST SP800-82(産業用制御システム(ICS)セキュリティガイド)要約
※どのインデントまで読むかはお任せします。忙しさに応じてどうぞ。
1. はじめに
- 超重要だから、ICSに関わる奴は全員読むと良いよ
2. 産業用制御システムの概要
- 産業用制御システムは超大変だけど、超重要。
3. ICSのリスク管理とリスク評価
- リスク管理プロセスには、構想、評価、対応、監視の 4 つの要素がある
- リスク管理の構想は、いろんな観点を入れよう
- ICSにおいては安全性が重要だから、リスク評価も安全性がどれぐらい脅かされるのかの観点を入れよう
- 人命含めて、物理的影響の観点
- 影響には接続された別のICSも含むよ
- 安全計装だって評価対象だよ
- ICSにおいては安全性が重要だから、リスク評価も安全性がどれぐらい脅かされるのかの観点を入れよう
4. ICSセキュリティプログラムの開発および展開
- ICSセキュリティプログラム(ICSセキュリティ強化施策)を計画する上では、いろんな観点が必要だよ
- セキュリティ強化する場合の経費
- セキュリティ強化しなかった場合の損失
- 物理的な観点
- 経済的な観点
- 社会的な観点
- 得られるメリット
- 安全性
- 可用性
- 企業イメージ
- 従業員の士気
- 計画推進は実現性を維持しよう
- 使えるリソースは全部使おう
- 社内エンジニア
- コンサルタント
- リーダーに承認を得よう
- 明確化しよう
- 適用範囲
- 担当者
- 教育
- 手順
- リスク評価しよう
- 使えるリソースは全部使おう
5. ICSセキュリティアーキテクチャ
- NWを分離しよう。境界保護もよろしく。
- いろんな方法があるから、自分にあった良い感じのトポロジを選択してね
- いろんな攻撃に備えるために、多層防御が基本だよ
- コンポーネント毎に推奨設定があるからよろしく
6. ICS へのセキュリティ対策の適用
- 以下のサイクルを回す
- 情報システムの分類
- インシデント発生時の損失に応じて分類する
- セキュリティ対策の選定
- ガイドラインを使って、最低限のベースラインを決める
- ベースラインはあくまでベースラインなので、ちゃんと調整することが必要だよ
- セキュリティ対策の実施
- セキュリティ対策の評価
- 情報システムの許可
- 情報システムの利用は、セキュリティ対策による効果を見て、経営層がOKを出すこと
- セキュリティ対策の分類
- 情報システムの分類
- セキュリティ対策については、18の観点があるので、それぞれちゃんとすること