# 補完的ユーザーエンティティコントロール {% hint style="info" %} この文書は、セキュリティに関する包括的なセキュリティ統制について説明します。特定の技術的な共有責任については、次を参照してください: {% endhint %} ## はじめに Dispelのセキュリティと透明性への取り組みの一環として、本補完的ユーザーエンティティ統制(CUEC)文書を公開し、顧客に帰属するセキュリティ責任を特定します。これらの統制は **補完的** に当社が実装するものと、DispelのZero Trust Engine(ZTE)、リモートアクセスワークフロー、マイクロセグメンテーション、および脅威検出機能にわたる環境の統合されたセキュリティプログラムが効果的に機能するために重要です。 Dispelは、産業機械、重要インフラ、公益事業、防衛請負業者、OT/ICS環境の運用者など規制の厳しい分野で活動する組織にサービスを提供しているため、当社のCUECは以下のフレームワークに整合させています **当社の顧客が最も一般的に使用する**: * **IEC 62443-3-3** (システムセキュリティ要件およびセキュリティレベル)、OTおよび産業制御システムで広く使用されている;および * **NIST SP 800-53 Rev. 5 High ベースライン**は、米国連邦および防衛プログラム全体で使用され、強力なサイバーセキュリティ統制を求める企業でも採用されることが多いです。 顧客には、Dispelの統制と自社の統制を共有責任モデルとして捉えることを推奨します。Dispelはクラウドインフラストラクチャ、プラットフォーム機能、および接続ワークフローを保護します。顧客は自らが管理する資産、アイデンティティ、ネットワーク、プロセスを保護します。 **責任の具体的な分担は、Dispelの導入方法に大きく依存します**当社の顧客はDispelを主に2つの異なる方法で利用します: 1. **Dispelホスト型SaaS導入** — Dispelがプラットフォームのインフラ全体を運用します。 2. **オンプレミス/顧客クラウド導入** — プラットフォームが顧客管理のインフラ内に完全に展開され、顧客が運用ホスティングの責任を負います。 この文書は、両モデルにおける顧客側の役割を理解するのに役立ちます。 ### なぜDispelがIEC 62443-3-3およびNIST SP 800-53 Highを使用するのか 当社の顧客は圧倒的に厳格な規制、運用、及び安全要件の対象となるセクターで事業を行っています。\ CUECをIECおよびNISTに基づかせることで: * 顧客はDispelの統制を既存のコンプライアンス義務に容易にマッピングできます。 * 監査サイクルが明確かつ迅速になり、顧客側の責任が馴染みのあるフレームワークで表現されます。 * 共有責任の構造は、重要インフラおよび高保証システムに関するグローバルな期待と整合します。 ### 補完的ユーザーエンティティ統制の理解 CUECは **顧客が運用すべきセキュリティ統制を特定します** これにより、Dispelのプラットフォームが—当社がホストする場合でもお客様がホストする場合でも—安全に機能します。 * において **SaaS導入**では、Dispelがプラットフォームのホスティング、インフラセキュリティ、およびシステムの可用性を担当します。 * において **オンプレミス/顧客クラウド導入**では、顧客がこれらの多くの機能を引き継ぎ、プラットフォームレベルの運用とサイトレベルのセキュリティを実行する必要があります。 以下の各セクションは、各導入モデルにおいて顧客が実行すべき事項を強調します。 ## セキュリティドメイン別の顧客責任 ### **アイデンティティとアクセス管理(IAM)** {% hint style="info" %} **マッピング:** IEC 62443 SR-1.1–1.5;NIST AC-2、AC-3、AC-5、AC-6、IA-2、IA-5 {% endhint %} #### **重要な理由** 攻撃者は一般的にアイデンティティを標的にします。DispelはあなたのIdPと統合しますが、認証は上流であなたが管理します。 #### **顧客の責任** **SaaS導入** * IdPのユーザーライフサイクルプロセス(プロビジョニング/デプロビジョニング)を維持してください。 * 企業のIdPでMFAを強制してください。 * 最小権限のロール割り当てを維持してください。 * 顧客が管理する資格情報、APIキー、および証明書を保護してください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * Dispelと統合するアイデンティティシステムを保護、維持、およびハードニングする責任はあなたにあります。 * Dispelインスタンスで使用される認証インフラストラクチャ(例:社内でホストされるSAML/SCIMエンドポイント)を設定、保護、および監視する必要があります。 * すべてのプラットフォームサーバー、VM、およびサポートシステムに対するアクセス制御はあなたの責任です。 ### 資産、構成および変更管理 {% hint style="info" %} **マッピング:** IEC 62443 SR-7.1–7.6;NIST CM-2、CM-3、CM-6、CM-8 {% endhint %} #### **重要な理由** Dispelは接続性を保護します;接続先の資産(PLC、ファイアウォール、HMI、サーバー)はあなたが制御します。 #### **顧客の責任** **SaaS導入** * Dispelのマイクロセグメントの背後にある資産のインベントリを維持してください。 * Dispelに接続されたOT/ICS/IT資産の安全な構成を維持してください。 * Dispelセグメント内に許可された資産のみが存在することを検証してください。 * Dispelと統合されたシステムに対する変更管理プロセスに従ってください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * Dispelプラットフォームをホストする仮想マシン、サーバー、ストレージ、ネットワーキング、およびOSレイヤーを運用およびパッチ適用するのはあなたです。 * Dispelプラットフォームノード、ロードバランサ、データベース、およびエンドポイントサービスの構成ベースラインと変更管理を維持するのはあなたです。 * すべてのプラットフォームコンポーネントの安全なインストール、構成、および依存関係管理を確実にする必要があります。 ### ログ、監視およびインシデント対応 {% hint style="info" %} **マッピング:** IEC 62443 SR-6.1–6.3;NIST AU-6、AU-11、IR-4、IR-6、IR-8 {% endhint %} #### **重要な理由** Dispelはプラットフォーム活動をログに記録します。顧客は自社の内部環境をログに記録します。 #### **顧客の責任** **SaaS導入** * Dispelがホストしていないシステム(ローカルのOT/ITネットワーク)のログを監視してください。 * 内部のIR計画を維持し実行してください。 * 必要に応じてSIEM/SOCを維持してください。 * Dispelとの調整のためのセキュリティ連絡先を指名してください。 * ローカルな封じ込め(例:プラントネットワークの隔離)を実行してください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * Dispelプラットフォームインフラ自体が生成するログを収集、保管、保護、および監視する必要があります。 * 監視システム(SIEM、ログコレクタ)の稼働時間を維持する責任はあなたにあります。 * プラットフォームログをあなたのIRワークフローに統合し、必要に応じてフォレンジック保存を行う必要があります。 * プラットフォームノード上の監視エージェントのパッチ適用およびセキュリティライフサイクルはあなたが所有します。 ### 物理および環境のセキュリティ {% hint style="info" %} **マッピング:** IEC 62443 SR-2.1–2.4;NIST PE-3、PE-4、PE-13、PE-18 {% endhint %} #### **重要な理由** 物理的なアクセスはデジタル制御を破ることがあります。 #### **顧客の責任** **SaaS導入** * すべてのローカルOT/ICS資産およびワークステーションを保護してください。 * Dispelにアクセスするために使用されるエンジニアリング用のノートパソコンを保護してください。 * ローカルシステムの環境保護を維持してください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * Dispelプラットフォームをホストする物理サーバー、ラック、データセンター、およびクラウドリソースを保護する必要があります。 * すべてのプラットフォームノードに対する環境管理(電力、冷却、湿度)を確保する必要があります。 * プラットフォームで使用される管理コンソールおよびハードウェアへの物理的アクセスを制限する必要があります。 ### ネットワークセキュリティおよび通信の完全性 {% hint style="info" %} **マッピング:** IEC 62443 SR-5.1、SR-5.2、SR-7.6;NIST SC-3、SC-5、SC-7、SC-13 {% endhint %} #### **重要な理由** Dispelは安全な転送およびマイクロセグメンテーションを提供します。顧客は周辺のネットワークを制御します。 #### **顧客の責任** **SaaS導入** * ネットワーク境界でのセグメンテーションおよびファイアウォールルールを維持してください。 * ローカルのネットワーク機器(ファイアウォール、ルーター、プロキシ)にパッチを適用し、保護してください。 * ネットワーク背後のICSプロトコルをハードニングしてください。 * 資格情報を発行する前に請負業者のアクセスを検証してください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * VLAN、サブネット、クラウドVPC、およびルーティング制御を含む、Dispelプラットフォームをホストするネットワークを保護および運用するのはあなたです。 * プラットフォームコンポーネントのために安全なインガレス/エグレスルールを設定する必要があります。 * プラットフォームで使用されるローカルロードバランサ、APIゲートウェイ、VPNブリッジ、および高可用性ペアを保護する責任はあなたにあります。 * プラットフォーム管理インターフェースを保護および分離する必要があります。 ### データガバナンスおよび復旧 {% hint style="info" %} **マッピング:** IEC 62443 SR-3.2、SR-4.1、SR-7.4;NIST CP-9、MP-2、SC-12、SC-13 {% endhint %} #### **重要な理由** 顧客は自らのデータの所有者であり、その保存、送信、およびバックアップの方法についてガバナンスを維持する必要があります。 #### **顧客の責任** **SaaS導入** * Dispelのクラウド外に保存されるデータのバックアップを維持してください。 * 社内ポリシーに従ってデータを分類し取り扱ってください。 * 統合に使用される顧客所有の資料を管理してください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * Dispelプラットフォームインフラストラクチャ(データベース、構成、プラットフォームノード等)のバックアップおよび復元を行う必要があります。 * プラットフォームで使用される暗号鍵の安全な保管、ローテーション、および保護を確実にする必要があります。 * 展開全体のバックアップ媒体の保護および災害復旧プロセスはあなたの責任です。 ### エンドポイントセキュリティ {% hint style="info" %} **マッピング:** IEC 62443 SR-3.4、SR-3.5、SR-4.1;NIST SI-2、SI-3、SI-7、SC-3 {% endhint %} #### **重要な理由** 端末が侵害されると、プラットフォームの保護に関わらずリモートアクセスのセキュリティが損なわれます。 #### **顧客の責任** **SaaS導入** * Dispelにアクセスするエンドポイントをハードニングおよび監視してください(アンチウイルス/EDR、安全な構成、パッチ適用)。 * Dispelを通じて接続されるターゲットのジャンプホストやHMIを保護してください。 **オンプレミス/顧客クラウド導入** SaaSのすべての責任 **に加えて**: * Dispelプラットフォームサービスをホストするエンドポイントを保護する必要があります: * 管理コンソール * デプロイメントサーバー * オーケストレーションサーバー * 基盤となるすべてのOS * すべてのプラットフォームノードに対するパッチ適用、脆弱性スキャン、およびマルウェア保護を維持する必要があります。