この記事は、産業環境におけるリモートアクセスのセキュリティ確保の複雑さを解説するシリーズの第1弾です。NIS2指令で定められた主要な要件に焦点を当て、組織がリモートアクセスに関するコンプライアンスを達成するための実践的な手順を紹介します。
第2回では、IEC 62443 (2) シリーズが、特にリモートアクセスの文脈でNIS2準拠をどのように支援できるかを解説します。
最後に、IEC 62443で示されている推奨事項に沿って、Ewonリモートアクセスサービス (3) をNIS2に準拠する形で設定するための詳細なガイドを提供します。
産業用システムへのリモートアクセスは、現代のオペレーションに不可欠です。リアルタイム監視の実現からシステム異常への遠隔対応まで、効率的なリモートアクセスは生産性を高め、ダウンタイムの短縮に貢献します。一方で、従来のIT環境とは異なる固有の脆弱性にシステムをさらす可能性もあります。
産業施設は、ランサムウェア、不正侵入、データ侵害などのサイバー攻撃の標的となっています。これらの攻撃はますます高度化しており、堅牢な防御策の導入が不可欠です。
多くの産業用システムは、サイバーセキュリティではなく、可用性と信頼性を重視して設計されています。既存のシステムに見られる脆弱な認証基盤や旧式のプロトコルは、この課題をさらに深刻にします。
ISA/IEC 62443、NIST 800-82、ISO 27001などのセキュリティ規格は、産業用サイバーセキュリティに関する厳格な要件を定めています。これらのコンプライアンス要件を満たすことは重要である一方、容易ではありません。
産業プロセスでは、一貫した中断のない運用が求められます。そのため、リモートアクセスソリューションには高い安全性だけでなく、遅延や中断を最小限に抑えることも求められます。
NIS2指令は、その前身であるNISを包括的に改定したものであり、欧州連合全体のサイバーセキュリティ強化を目的としています。NIS2は適用範囲をより多くのセクターに拡大し、不可欠または重要な事業体に対して、ネットワークおよび情報システムのセキュリティを確保するための積極的な対策を講じることを求めています。
NIS2指令の第21条(4)に基づき、組織はサイバーセキュリティに対してリスクベースのアプローチを採用し、サプライチェーンリスクを低減し、堅牢な防御策を実装し、インシデント報告の仕組みを確実に整備する必要があります。産業分野では、オペレーショナルテクノロジー(OT)へのリモートアクセスがどのように保護されているかも重要な検討対象となります。
組織は、外部のサービスプロバイダーが定義されたセキュリティ要件に準拠していることを確認する必要があります。
ソリューションは、組み込みのセキュリティ制御を前提として設計・実装されなければなりません。
産業資産に影響を及ぼすサイバーセキュリティインシデントは、所轄当局に速やかに報告する必要があります。
NIS2指令は、産業用システムへのリモートアクセスに対して、さまざまな具体的セキュリティ対策を求めています。これらの対策を実施することで、セキュリティの強化、コンプライアンスの確保、そしてサイバー攻撃に対するレジリエンスの向上が可能になります。以下に、リモートアクセスを保護するための17の重要な要件を示します。
NIS2への準拠は、単にチェックリストを埋めることではありません。重要なのは、産業システムのセキュリティ体制そのものを根本から強化することです。以下は、業界団体がセキュア・バイ・デザインのフレームワークを採用するために実行できる実践的なステップです。
サイバーセキュリティポリシーと技術的制御に関する実践的な指針を提供する、ISA/IEC 62443などの標準に準拠します。
潜在的なセキュリティ脆弱性を定期的に評価し、リスクベースの低減策を実装します。
従業員やエンジニアにサイバーセキュリティのベストプラクティスを教育し、リモートアクセス技術を適切に扱えるようにします。
機械メーカーやサービスプロバイダが、自社のソリューションにNIS2対応のセキュリティ対策を組み込んでいることを確認します。
リモートアクセスは現代の産業オペレーションを支える基盤ですが、その重要性が高まるにつれて、潜在的なリスクも増大しています。NIS2のセキュリティ対策を採用し、ISA/IEC 62443などの確立されたフレームワークを活用することで、産業組織は資産を保護し、コンプライアンスを維持し、ステークホルダーとの信頼関係を構築することができます。
| カテゴリ | 測定 | NIS2指令 第21条の該当箇所 | 要件 |
|---|---|---|---|
| アクセス制御 | 認証の強度が適切であることを確認する | (g) 基本的なサイバー衛生の実践とサイバーセキュリティのトレーニング。 | 強力かつ最新の認証方式を用いてリモートアクセスを保護する |
| アクセス制御 | 多要素認証を使用する | (j) 多要素認証または継続的認証ソリューション、安全な音声、ビデオ、テキスト通信、および適切な場合、エンティティ内の安全な緊急通信システムの使用。 | MFAによりリモートアクセス接続を保護し、防御レイヤーを追加する |
| アクセス制御 | 認証資格情報の初期変更 | (g) 基本的なサイバー衛生の実践とサイバーセキュリティのトレーニング。 | デフォルトのパスワードや資格情報は、リスク低減のためセットアップ後直ちに変更する必要があります |
| アクセス制御 | 最小特権の原則に基づく認証手順の実装 | (i) 人的資源のセキュリティ、アクセス制御ポリシー、および資産管理。 | ユーザーアクセスを、その役割に必要なシステムおよびリソースのみに制限する |
| アクセス制御 | 認証資格情報のリセットと、事前定義された回数のログイン試行の失敗後のユーザーのブロックを要求します | (g) 基本的なサイバー衛生の実践とサイバーセキュリティのトレーニング。 | ログイン失敗回数のしきい値を定義し、自動ブロックを適用してブルートフォース攻撃を防止する |
| インシデント処理 | ツールを使用してアクティビティを監視および記録する | (b) インシデント処理 | ツールを使用してすべてのリモートアクセス活動を監視・記録し、説明責任と脅威検出を実現する |
| アクセス制御 | すべてのリモートアクセス接続を使用する前に、アセット所有者から承認を得ていることを確認してください | (g) 基本的なサイバー衛生の実践 | サードパーティのサービスプロバイダーは、承認依頼を提出し承認を得た後にのみ接続を許可する |
| ネットワークセキュリティ | ネットワークセグメンテーション | (e) ネットワークおよび情報システムの取得におけるセキュリティ | 不要または不正なアクセスを厳格に防止するセグメンテーションと制御を実装する |
| ネットワークセキュリティ | セキュリティパッチ管理 | セキュリティパッチ管理 | 脆弱性に対処するため、すべてのソフトウェアとファームウェアを定期的に最新パッチへ更新する |
| ネットワークセキュリティ | 不要な接続とサービスを非アクティブ化する | (g) 基本的なサイバー衛生の実践 | 未使用のサービスやポートを無効化することでセキュリティリスクを低減する |
| ネットワークセキュリティ | 不正なソフトウェアからの保護 | (e) ネットワークおよび情報システムの取得におけるセキュリティ | デバイスへの不正なソフトウェアのインストールや実行を防止するポリシーを適用する |
| ネットワークセキュリティ | 許可されたデバイスにのみネットワークへのアクセスを許可する | (e) ネットワークおよび情報システムの取得におけるセキュリティ | 登録または認証されていないデバイスをブロックする制御を実装する |
| ポリシーと手順 | 暗号化に関連するポリシーと手順の確立、実装、および適用 | (h) 暗号技術及び適当な場合には暗号化の使用に関する方針及び手続 | 実績のある暗号化方式をリモートアクセスに使用する |
| ポリシーと手順 | オートメーションソリューションで使用されるアプリケーションは、セキュリティと産業オートメーションの両方のコミュニティで一般的に受け入れられています | (g) 基本的なサイバー衛生の実践 | オートメーションソリューション内のすべてのアプリケーションが、産業オートメーションとセキュリティの両コミュニティで認知・受容されていることを確認する |
| ポリシーと手順 | リモート アクセスのインストール、構成、操作、および終了に関する詳細な手順を提供する | (g) 基本的なサイバー衛生の実践 | IACS環境への接続に関する厳格な対策を定義し、実施する |
| ポリシーと手順 | ID を定期的に確認し、不要になった場合は非アクティブ化します | (g) 基本的なサイバー衛生の実践 | デジタルIDを定期的に監査し、不要になったユーザーのアクセスを取り消す |
| ポリシーと手順 | 特権アカウントとシステム管理アカウントの管理に関するポリシーを維持する | (i) 人的資源のセキュリティ、アクセス制御ポリシー、および資産管理。 | 不正使用や悪用を防ぐために、高権限アカウントの管理に厳格なポリシーを適用する |
[1] https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng (英語)
[2] https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards (英語)
[3] https://www.hms-networks.com/ewon (英語)
[4] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402690