—·
全てのコンテンツはAIによって生成されており、誤りが含まれる可能性があります。ご自身でご確認ください。
CISAのOT向けガイダンスは、ゼロトラストを運用の枠組みとして再定義します。制御ループを停止させない「デバイスの姿勢」「IDコンテキスト」「継続的な認可」の重要性が高まっています。
2026年4月29日から30日にかけて、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラを所有・運用する企業が運用技術(OT)環境におけるリスクを低減するための、OT特化型のガイダンスを発行しました。このガイダンスは、従来の静的な「チェックリスト」形式のセキュリティから脱却することを強調しています。現場が直面する即時の課題は明白です。「一度内部に入れば安全である」というOTスタックの前提は、ネットワーク内に攻撃者が存在することを想定する現代の脅威モデルの前では崩壊しているという点です。(CISA重要インフラリソースおよびガイダンス)
OTネットワークはITネットワークとは挙動が異なります。産業制御システムは多くの場合、レガシープロトコル、フラットまたはセミフラットなトポロジー、そして厳格なリアルタイム制約に依存しています。そのため、VPNの置き換えやMFA(多要素認証)のみといったIT向けの制御をそのまま適用することはできません。OTにおけるゼロトラストは、誰が、どのデバイスとネットワーク構成で、どのような権限を持ち、いつアクセスしているかを継続的に検証する「制御プレーン」および「認可戦略」として実装される必要があります。(CISA重要インフラリソース・フレームワークおよびガイダンス)
また、CISAはインフラセキュリティを「レジリエンス(回復力)」の観点から捉えています。インシデントは発生するという前提に立ち、それを見越した設計を行うことで、システムが壊滅的な崩壊ではなく、緩やかに機能低下するように計画すべきだとしています。この文脈において、OTゼロトラストは、アカウントの侵害やベンダー製ラップトップの誤設定、あるいはデバイスのアイデンティティ属性が不一致な場合の「被害範囲(ブラスト半径)」を限定するためのレジリエンス・ツールとなります。(DHSレジリエンス・フレームワーク)
OTゼロトラストを一過性の強化プロジェクトとしてではなく、運用のための「認可システム」として扱ってください。次回のアーキテクチャおよびコミッショニングのレビューでは、「このシステムは制御ループのパフォーマンスを維持しつつ、IDとデバイスの姿勢を継続的に検証できるか?」と問いかける必要があります。
多くの組織がすでに「侵害を想定する(Assume Breach)」と宣言していますが、OTゼロトラストはこれをエンジニアリングの要件へと昇華させます。「ネットワーク内に攻撃者が存在する」ことを前提に設計することで、攻撃者がすでにネットワークセグメント内に侵入していたとしても、エンジニアリングワークステーションやプロセスヒストリアン、コントローラー、遠隔メンテナンスセッションへの経路を制限することが可能になります。
実務上、セグメンテーションは単なるファイアウォールの配置であってはなりません。それは、IDコンテキストとデバイスの姿勢に基づく「認可境界」として機能する必要があります。(CISA重要インフラおよびセクターガイダンス)
IDコンテキストのリスクは、運用現場で見落とされがちな要素です。同じログイン認証情報やIPアドレスであっても、デバイスの健全性、場所、ネットワーク経路、時刻、過去の挙動によって、その信頼性は異なります。OT環境では、エンジニアリング用のノートPCやサービスアカウント、メンテナンスツールが使い回されたり、パッチが不適切だったり、障害時に一時的に接続されたりするため、この問題がより深刻化します。IDコンテキストのリスクを考慮した制御がなければ、「有効なユーザー」が「無制限のセッション」へと変貌する恐れがあります。(CISA IRPF出版物)
OTスタックとITの一般的な前提との間には乖離があります。多くの工場では、最新のID基盤を想定していないコントローラーやエンジニアリング環境が稼働しています。レガシープロトコルや決定論的ネットワークは、詳細な監視をさらに困難にします。OTゼロトラストの解は、レガシー資産を一度にすべて排除することではありません。レガシー資産をID管理とセグメンテーション制御で「ラップ」し、デバイスの姿勢やセッション属性、アクセス結果を測定できる継続的な検証ポイントを作成することです。(CISA緊急サービスセクターのサイバーリスク評価)
OTゼロトラストモデルを構築する際は、「攻撃者がすでにネットワーク内にいるとしたら?」という問いから始めてください。そして、各アクセス経路において、認可を継続するために必要な姿勢やセッション属性を定義し、IDコンテキストのリスクを可視化・測定可能なものにしてください。
「継続的な検証」はスローガンではありません。OTにおいて、これは認可の判断がログイン時だけでなく、セッション中を通じて繰り返し行われることを意味します。運用の課題はタイミングです。制御システムは大きなレイテンシのスパイクを許容できず、エンジニアリング業務では変更作業中にセッションが途切れることは避けなければなりません。もし継続的な検証が過度な通信ハンドシェイクを引き起こしたり、通信を停滞させたりすれば、現場はセキュリティを骨抜きにする回避策をとるようになります。(DHS戦略的ガイダンス)
実務者は、産業制御システムのIAM(IDアクセス管理)を単なる「ディレクトリサービス」以上のものとして扱うべきです。OTにおけるIAMは、IDを認可判断、セッション管理、そして物理プロセスに影響を与える操作の監査可能性と結びつける必要があります。産業制御システムのIAMが実装されると、エンジニアリングワークステーション、設定ツール、リモートアクセス用ジャンプホスト、ベンダーのメンテナンスツールなど、強力なIDバインディングを必要とする資産が明確になります。(CISA重要インフラガイダンス)
継続的な認可パターンは、検証を適用する範囲を絞ることで、パフォーマンスを損なうことなく実装できます。現実的なアプローチの一つは、リアルタイムのコントローラープロトコルを決定論的な経路に維持しつつ、制御プレーンのエッジ(エンジニアリングワークステーションへの接続、リモートベンダーセッション、コントローラー設定の変更など、影響度の高い箇所)でより強力な認可を適用することです。これは、境界、権限、リモートアクセス制御に焦点を当てるというガイダンスの方向性と一致します。(DHSレジリエンス・フレームワーク)
測定は、過剰な対策を防ぐために重要です。運用上のリスク低減は、「ラテラルムーブメント(横展開)の機会削減」「侵害されたアカウントやデバイスの迅速な隔離」「オペレーター操作の監査完了度の向上」「共有された信頼への依存低減」といった検証可能な成果に結びつけるべきです。これらの測定値は、インシデントの検証や演習の結果から導き出すことができます。(DHSレジリエンス・フレームワーク)
継続的な検証設計は、安全性と完全性に最も影響を与えるエッジから始め、どれだけ多くのチェックを追加したかではなく、どれだけ素早く隔離でき、横展開を抑制できたかを成功の指標としてください。
OTゼロトラストは、IDとデバイスの姿勢(Posture)に依存します。認証情報だけでは、そのエンドポイントがある時点で信頼できるかどうかを判断できないからです。デバイスの姿勢とは、ベースライン構成に準拠しているか、必要なセキュリティツールが稼働しているか、期待されるネットワーク経路で通信しているかなど、評価可能な観測的特性の集合です。OT環境では、姿勢の検証はエンジニアリングワークステーション、サービス用PC、メンテナンス時に持ち込まれる一時的なデバイス、代替資産などを包含する必要があります。
CISAのリスクベースのアプローチは、画一的な強制ではなく、リスクに応じた制御の選択を支援します。例えば、プロセスデータを保存するヒストリアンサーバーと、コントローラーの設定エンドポイントでは、必要な認可と監視のレベルが異なる可能性があります。IRPF(重要インフラリスク管理フレームワーク)の資料は、静的なポリシーではなく、構造化されたリスクの視点を用いる価値を強調しています。(CISA IRPF出版物)
繰り返し発生する運用上の失敗は「利便性のためのフラットな信頼」です。レガシー環境ではトラフィックが広範囲にルーティングされ、リモートサービスが広範な権限を共有してしまうことがあります。その解決策は、IDコンテキストのリスク管理です。「誰が」「どのようなデバイスの姿勢で」アクセスしているかが、「どのような操作」が可能かを制限するようにします。目的は、正規のオペレーターPCと同じネットワーク権限を攻撃者が悪用することを防ぐことです。(CISA重要インフラリソース)
姿勢シグナルが不完全な場合、認可は完全に停止するのではなく、段階的に変化させるべきです。デバイスが検証できない場合でも、アウトレージ対応を妨げるような完全なロックアウトではなく、最小権限と制御された経路への誘導を行うべきです。これには、運用リーダーシップおよび停止計画との調整が不可欠です。(DHSレジリエンス・フレームワーク)
OT資産の姿勢を平易な運用用語で定義し、各姿勢レベルを特定の認可範囲にマッピングしてください。メンテナンス期間中に姿勢検証を「全か無か」で扱うことは避けてください。
ほとんどのOT環境は、一晩で完全に近代化することはできません。レガシープロトコルやフラットなネットワークは、工学的な制約や産業資産の長いライフサイクルのため、依然として存在し続けます。OTゼロトラストは、こうした現実と向き合いながら、「ネットワーク内に攻撃者がいる」という前提でリスクを低減しなければなりません。
一つのアプローチは、パフォーマンスや互換性が必要なレガシー通信は維持しつつ、IDに敏感な機能の周辺で信頼境界を強化することです。具体的には、エンジニアリングワークフローにアクセスできるユーザーを制限し、リモートアクセスを開始できるデバイスを制限し、設定変更には追加の検証を求めることです。(CISA緊急サービスセクターのサイバーリスク評価)
フラットなネットワークは、ラテラルムーブメントのための暗黙の経路を作るため、特に対処が困難です。物理的にすべてを再設計しなくても、マイクロセグメンテーションのパターンを実装したり、ネットワーク上の場所を唯一の信頼シグナルとしないIDベースのアクセス制御を強制したりすることで、その経路を削減できます。ネットワークセグメントに到達可能であっても、IDやデバイスの姿勢が不十分であれば、攻撃者が高インパクトなアクションを実行できないように認可を制御できます。(CISA重要インフラフレームワーク)
レガシープロトコルについては、詳細なプロトコル変換よりも、セッションレベルのコンテキストでの継続的な検証に焦点を当ててください。どのワークステーション、どのメンテナンスツール、どのリモートトンネルかといったセッション特性を検証し、それを機密操作の認可判断と結びつけます。また、特にリモートベンダーアクセスやエンジニアリング制御など、認可に敏感なインターフェースを優先的に置き換える段階的な近代化を計画してください。(DHS戦略的優先事項)
レガシーサポートを敵視しないでください。運用上の勝利とは、レガシーのデータや制御チャネルを維持しつつ、攻撃者が損害を与えるために通過しなければならない判断ポイントで、ID、姿勢、最小権限を強制することにあります。
オペレーターは「セキュリティを強化して遅延を生むか」それとも「パフォーマンスを優先して信頼を広げたままにするか」というジレンマに直面しがちです。その解決策は、攻撃者の経路を反映しつつ、プラント運用と両立する指標で運用リスクの低減を測定することです。
OTゼロトラストのリスク低減は、IDと姿勢の強制が行われる「制御に影響を与えるエッジ」でのアクセス結果の変化として表現されるべきです。以下の3点を計測してください。(1) セッションが許可されたか、(2) 高インパクトなアクションが許可されたか、(3) 姿勢がセッション途中で変化した際に、どれだけ素早く無効化や隔離ができたか。最も信頼できる指標は「週あたりのセキュリティイベント数」ではなく、現実的なテストにおける「攻撃的な挙動に対する認可成功率の変化」です。
4つの指標ファミリーを活用してください:
隔離の適時性(無効化の有効性)
高権限アクションのゲート制御(最小権限の強制)
監査の完全性と網羅性(フォレンジック準備)
運用の摩擦限界(パフォーマンスと継続性)
CISAのレジリエンス・フレームワークは、理論上の網羅性を想定するのではなく、運用上現実的な演習で制御を検証することを推奨しています。段階的な展開の前に、リモートアクセストンネル、ジャンプホスト、エンジニアリングワークステーションなど、計装対象のエッジを刺激するシミュレーションを実行してください。
現実的な道筋はゼロからの出発ではありません。以下の2つのパターンは、OTゼロトラストの意図と合致しつつ、運用中断を最小限に抑えます。
第一に、リモートアクセスとエンジニアリングセッションのための「検証済みエントリー」パターンです。このパターンでは、IDとデバイスの姿勢が検証された場合にのみアクセスを許可し、セッション中も認可が継続されます。これにより、決定論的なコントローラートラフィックを常に監視することなく、横展開を制限できます。
第二に、「権限スコープ付きの変更経路」です。設定編集やコントローラーロジックの変更など、高権限の操作は、明示的な認可チェックと監査ログが備わった制御された経路のみを通るようにします。攻撃者がネットワーク内にいても、高インパクトな操作への経路がゲートされているため、侵入者は障壁に直面します。
これらのパターンは、リモートメンテナンスやエンジニアリング変更といった、プラントの実際の働き方を反映しているため、インフラ事業者に適しています。すべてを書き換えるアプローチよりも、はるかに実装可能です。
公開されているOTのインシデント事例は、攻撃経路やアクセスの制限、変更の検証がいかに重要かを教えてくれます。
ランサムウェアによる大規模な運用中断が発生しました。この事例は、レジリエンスと封じ込めの重要性、そして制御されないアクセスを制限することの必要性を浮き彫りにしました。
接続されたシステムやリモートアクセス経路が攻撃の起点となり、可用性と完全性に影響を与えました。これらは、接続されたアクセス経路がいかにリスクの高いポイントであるかを証明しています。
これらから学ぶべきは、「アクセス経路を絞り込み、認可を継続的に検証し、攻撃者がネットワーク内を移動する能力を削ぐ」という運用方針です。
OTゼロトラストプログラムは、インフラデリバリーという現実の中にあります。予算やリソースの制約を「障害」と捉えるのではなく、シーケンス(順序)の選択肢として翻訳してください。
全近代化のための資金が足りない場合でも、(a) 隔離状態で運用テストが可能、(b) 決定論的コントローラートラフィックと疎結合、(c) 変更ウィンドウ内で測定可能、という3点を満たす決定ポイントを優先することで、リスク低減を加速できます。まずはリモートアクセスエッジでのIDと姿勢の検証、および高権限な変更経路の認可と監査ログの整備に資金を集中させるべきです。
信頼できるロードマップは、停止期間(アウトレージ)、計画メンテナンス、ベンダーアクセス手順といった運用リズムと一致させる必要があります。
ガバナンスも重要です。6〜12ヶ月のサイクル終了時には、運用部門、サイバーセキュリティエンジニアリング部門、ベンダー管理部門の間で「継続的な検証」の責任を共有してください。責任の所在が曖昧なままでは、誰も信用しないツールになってしまいます。
ポリシー勧告はエンジニアリング要件へと変える必要があります。事業者に対しては、「リモートアクセスソリューション、ジャンプホスト、ベンダーメンテナンスツール、エンジニアリングワークフローの調達およびコミッショニングの基準として、IDコンテキストのリスクとデバイス姿勢の検証を必須とすること」を強く推奨します。
インテグレーターに対しては、「姿勢検証のフックと監査可能なセッションログを提供すること」を求めます。もし検証が不可能な場合は、代替の補完的制御を文書化させ、リスク低減が測定可能な状態にしてください。
OTゼロトラストの強制要件を契約と試験計画に盛り込むこと。これが、継続的な検証と「ネットワーク内の攻撃者」に対する防御を、現実のデリバリー制約の中で生き残らせる唯一の道です。