韓国インターネット振興院(KISA)は「運用技術(OT)環境のゼロトラスト適用案内書」を発表し、産業現場の特性を反映した新たなセキュリティ適用の方向性を示したと22日に明らかにした。電力・交通・エネルギーなど国家の中核インフラを制御するOT環境にゼロトラストの概念を体系的に適用したガイドは今回が初めてである。
ゼロトラストはネットワークがすでに侵害されたという前提の下で、すべての接続を継続的に検証するセキュリティモデルである。ただし、リアルタイム性と可用性が要となるOT環境では、既存の情報技術(IT)中心のゼロトラストモデルをそのまま適用しにくいという限界があった。
今回の案内書はこのような特性を踏まえ、OT機器の安定的な運用を前提としたゼロトラストの適用策を提示した。IT環境で重視される頻繁な認証・検証方式とは異なり、産業現場のリアルタイム制御の特性を損なわずに、侵害を前提としたセキュリティ体制を構築することに焦点を当てた。
KISAは案内書で、IT・OTネットワークを階層的に区分するパーデュー(Purdue)モデルを包含し、「ゼロトラスト・ガイドライン2.0」の6大核心要素を国内の産業環境に合わせて再構成した。これを基にOT環境に必要なゼロトラストの要件を提示し、今後は段階別成熟度モデルへと発展させる計画である。
OT特化のゼロトラストの核心原則としては、▲リアルタイム性と可用性の維持 ▲OT機器の独立性の確保 ▲IT・OT全領域での侵害前提 ▲継続的モニタリング、などが示された。産業設備の安定的運用を前提としつつ、サイバー攻撃の可能性を常時考慮する構造である。
KISAは米国など主要国がOTセキュリティを国家レベルの課題として扱っていることから、国内でも制度補完と実証研究を通じ、先制的な対応体制を構築していく方針である。該当の案内書はKISAのウェブサイトの知識プラットフォーム内「法令・ガイドライン」メニューで確認できる。
イ・サンジュンKISA院長は「今回の案内書が国内の産業現場におけるOTセキュリティの認識を高め、セキュリティ水準を一段引き上げる契機となることを望む」と述べ、「OT環境に特化したゼロトラストの適用の必要性と方法論を整備しただけに、グローバル先導国の指針を参考にしながら詳細内容を継続的に高度化していく」と語った。