【和訳】PIC/Sのデータインテグリティガイダンス【第18回】

2. Expectation／期待されること
Computerized systems should be protected from accidental changes or deliberate manipulation. Companies should assess systems and their design to prevent unauthorized changes to validated settings that may ultimately affect data integrity. Consideration should be given to:
コンピュータ化されたシステムは、偶発的な変更や意図的な操作から保護されなければならない。企業は、最終的にデータの完全性に影響を与える可能性のある、有効な設定に対する不正な変更を防止するため、システムとその設計を評価しなければならない。以下の点を考慮すべきである。

- The physical security of computerized system hardware:

•  Location of and access to servers;
•  Restricting access to PLC modules, e.g. by locking access panels.
• Physical access to computers, servers and media should be restricted to authorized individuals. Users on a system should not normally have access to servers and media.

- コンピュータ化システムのハードウェアの物理的セキュリティ

•  サーバーの設置場所およびサーバーへのアクセス。
• アクセスパネルをロックするなどして、PLC（製造設備などを自動的に制御する装置。Programmable Logic Controller)モジュールへのアクセスを制限する。
• コンピュータやサーバー、メディアへの物理的なアクセスは、許可された個人に制限されるべきである。システム上のユーザーは、通常、サーバーおよびメディアへのアクセス権を持つべきではない。

- Vulnerability of networked systems from local and external attack;
- ネットワークシステムのローカルおよび外部からの攻撃に対する脆弱性。

- Remote network updates, e.g. automated updating of networked systems by the vendor.
- ベンダーによるネットワークシステムの自動更新など、リモートでのネットワークの更新。

- Security of system settings, configurations and key data. Access to critical data/operating parameters of systems should be appropriately restricted and any changes to settings/configuration controlled through change management processes by authorized personnel.
- システム設定、構成および主要データのセキュリティ。システムの重要なデータや動作パラメータへのアクセスを適切に制限し、権限のある担当者による変更管理プロセスを通じて設定/構成の変更を制御すること。

- The operating system clock should be synchronized with the clock of connected systems and access to all clocks restricted to authorized personnel.
- オペレーティングシステムのクロックは、接続されているシステムのクロックと同期させ、すべてのクロックへのアクセスは、権限のある担当者に制限すること。

- Appropriate network security measures should be applied, including intrusion prevention and detection systems.
- 侵入防止および検知システムを含む、適切なネットワークセキュリティ対策を適用すること。

- Firewalls should be setup to protect critical data and operations. Port openings (firewall rules) should be based on the least privilege policy, making the firewall rules as tight as possible and thereby allowing only permitting traffic.
- 重要なデータやオペレーションを保護するために、ファイアウォールを設定すること。
ポートオープン（ファイアウォールのルール）は、最小権限ポリシーに基づき、ファイアウォールのルールを可能な限り厳しくすることで、許可されたトラフィックのみを許可するようにすべきである（特定のポート番号のみアクセス可能とする。）

Regulated users should conduct periodic reviews of the continued appropriateness and effectiveness of network security measures, (e.g. by the use of network vulnerability scans of the IT infrastructure to identify potential security weaknesses) and ensure operating systems are maintained with current security measures.
規制対象となるユーザーは、ネットワークセキュリティ対策の継続的な適切性と有効性について定期的なレビューを行い（例えば、潜在的なセキュリティ上の弱点を特定するためにITインフラストラクチャのネットワーク脆弱性スキャンを使用するなど）、オペレーティングシステムが最新のセキュリティ対策で維持されていることを確認する必要がある。

Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的リスク／チェックすべき項目
・Check that access to hardware and software is appropriately secured, and restricted to authorized personnel.
ハードウェアおよびソフトウェアへのアクセスが適切に保護され、権限を持つ者に制限されていることを確認する。
・Verify that suitable authentication methods are implemented. These methods should include user IDs and passwords but other methods are possible and may be required. However, it is essential that users are positively identifiable. 
適切な認証方法が実施されていることを確認する。これらの方法にはユーザーIDとパスワードが含まれるべきであるが、他の方法も可能であり、場合によっては必要となる。ただし、ユーザーを確実に識別できることが不可欠である。
・For remote authentication to systems containing critical data available via the internet; verify that additional authentication techniques are employed such as the use of pass code tokens or biometrics.
インターネット経由で利用可能な重要データを含むシステムへのリモート認証については、パスコードトークンや生体認証の使用など、追加の認証技術が採用されていることを確認すること。
・Verify that access to key operational parameters for systems is appropriately controlled and that, where appropriate, systems enforce the correct order of events and parameters in critical 
sequences of GMP/GDP steps.
システムの主要な動作パラメータへのアクセスが適切に制御されていること、および必要に応じて、GMP/GDP上重要な一連の工程におけるイベントおよびパラメータについて、正しい順序がシステムによって強制されていることを確認すること。