OPC サーバーが電気リレーを制御する Modbus サーバーと通信できるようにするには、セキュリティ エンジニアは、OPC サーバーのみがポート 502 で Modbus サーバーにアクセスできるように、受信トラフィックを制限することを推奨する必要があります。この構成では、次のようになります。
OPC サーバーがポート 502 経由で Modbus TCP/IP プロトコルを使用して Modbus サーバーにコマンドとデータを送信できるようにします。
他のソースからの Modbus サーバーへの不正アクセスや悪意のあるアクセスを防止することで、運用の中断を制限します。
Modbus プロトコルには暗号化や認証が欠けているなどの制限があるため、受信トラフィックを制限することは、ICS の整合性と可用性を保護するために必要なセキュリティ対策です。

説明
公開鍵インフラストラクチャ (PKI) は、API (アプリケーション プログラミング インターフェイス) の暗号化と認証を提供できる証明書と鍵のシステムです。PKI は、API にアクセスするための顧客鍵を保存し、顧客データ セットを分離するために使用できます。トラステッド プラットフォーム モジュール (TPM) は、暗号化機能と鍵の保存機能を提供するハードウェア デバイスですが、API の顧客鍵を保存するのには適していません。
ハードウェア セキュリティ モジュール (HSM) は TPM に似ていますが、API ではなくアプリケーションのキーを保存するために使用されます。ローカライズされたキー ストアは、キーをローカルに保存するソフトウェア コンポーネントですが、PKI ほど安全でもスケーラブルでもありません。検証済みの参照: https://www.comptia.org/blog/what-is-pki
https://partners.comptia.org/docs/default-source/resources/casp-content-guide

説明
OVAL (Open Vulnerability and Assessment Language) は、組織の内部開発ソフトウェアのゼロデイ脆弱性のチェックを作成するのに最適な標準です。OVAL は、システム構成情報と脆弱性を XML 形式で表現するための標準であり、さまざまなセキュリティ ツールやプラットフォーム間の相互運用性と自動化を実現します。エンジニアは OVAL を使用して、ソフトウェア内の特定の脆弱性または状態の定義またはテストを作成し、OVAL 互換ツールを使用して、それらの定義またはテストに対してソフトウェアをスキャンまたは評価できます。ARF (Asset Reporting Format) は、脆弱性のチェックを作成するための標準ではなく、資産とその特性に関する情報を XML 形式で表現するための標準であり、さまざまなセキュリティ ツールやプラットフォーム間の相互運用性と自動化を実現します。ISAC (Information Sharing and Analysis Centers) は、脆弱性のチェックを作成するための標準ではなく、さまざまなセクターやコミュニティ間の脅威、脆弱性、インシデント、またはベスト プラクティスに関する情報を収集、分析、配布する組織です。 Node.js は脆弱性のチェックを作成するための標準ではありませんが、Web ブラウザーの外部で JavaScript コードを実行できるランタイム環境であり、スケーラブルな Web アプリケーションやサービスの開発を可能にします。検証済みの参照: https://www.comptia.org/blog/what-is-oval
https://partners.comptia.org/docs/default-source/resources/casp-content-guide

脆弱性を軽減するには、定期的なオペレーティング システムのパッチ適用が不可欠です。CVE を識別するために Snort IDS ルールが提供されている場合、通常は悪用される可能性のある既知の脆弱性があることを意味します。システムを最新のパッチで更新しておくと、これらの脆弱性を封じ込め、悪用から保護するのに役立ちます。