ICS networks have a lot of considerations. Policies and processes can hamper success. But they are far more defensible than IT networks.
— Robert M. Lee (@RobertMLee) 2015, 9月 15
1件のつぶやきが、ときに興味深い方法で目に留まることがあります。
ロバートが産業制御システム(ICS)のネットワークの表現に使った「防御しやすい」という言葉で、私は環境防御の可能性を高める要因について考えをめぐらせるようになりました。その中には「防御しやすい」と「防御されている」の違いをめぐる思考も含まれています。この考えは役に立ちました。というのも、彼がこのつぶやきを投稿したとき、私たちはどちらもEnergySecの会議に出席していたのです。そのため、私の頭の中はすでにIT(information technology)とOT(operational technology)が入り混じった環境の保護をめぐる無数の課題で埋め尽くされていました。
なぜこの防御可能性をめぐる考えが重要なのでしょうか? わたしたちは大抵、情報セキュリティにおいて、ITであろうとOTであろうと、自分たちが直面した問題のうち、より差し迫った問題のほうに労力を注ぐことが多く、それは自分たちが取り組んでいるプロジェクトや、より大きな脅威となる「高度なアタッカー」のことだったりします。環境の基本構造でどれだけ防御しやすくなるかというところまで立ち戻って考えると、個別の問題からより広範な問題にまで視野を広げることができます。
これから2件の記事にわけてブログに投稿する私の仮説は、この考え方の切り替えで、今起こっている計り知れない攻撃も、将来的にはもっと簡単に防御可能な環境を構築できるというものです。
防御可能性の特性
防御可能性について、またこの可能性が未知の脅威に対する組織の防御機能にどう影響するのかについて、有益な議論を重ねるため、私たちはまず防御可能性が意味するところの理解から始めなければなりません。防御可能性の特性とは何でしょうか?
- 攻撃対象領域の限定
攻撃対象領域の概念は新しいものではありません。また、どのような環境であっても、攻撃対象領域を完全に取り除くことは不可能です。防御可能性を考えたとき、攻撃対象領域の大きさは2通りの方法で関わってきます。まず、何よりも明らかなのは大きな攻撃対象領域はアタッカーにより多くの隙を与えてしまうことです。扱う端末やアプリケーション、サービス、ユーザが増えれば増えるほど、利用される手段も増えていきます。
次に攻撃対象領域の大きさが絡んでくるのは、必ずしもつねに目に見えて関連しているというわけではありませんが、同じように関連性が見られるところです。大きな攻撃対象領域は監視が難しいものです。たとえば、端末の数が多いというだけでもアタッカーに多くの付け入る隙を与えてしまうのです。端末やアプリケーション、サービス、ユーザの数を抑えれば抑えるほど、不審な挙動を見つける上で監視しなければいけないイベントや変更も少なくて済みます。
- 目的に合致
あなたがこの投稿を読むために今使っている端末には、ほかにもできることがたくさんある可能性が非常に高いです。実際問題、Tripwireのブログサイト『The State of Security』を読むためだけに設計された端末がこの世に存在するとは考えにくいでしょう。目的に合致することとは、白黒どちらかという尺度ではなく、一定の範囲のどこに当てはまるかという問題です。その範囲のどこを落としどころにするかは、システムが利用されたり、悪用されたりする危険性と密接に関連しているのです。 汎用オペレーティングシステムは用途が広すぎて、想定外のことをさせていると言っても過言ではない状態になっています。もっと目的に合致した端末やシステムにできれば、それだけ安全になるでしょう。
- 制御点
防御とは、妥協を避けることばかりではありません。同時に動作状況にも対応しなければならないのです。アクセス制御が少ない簡単な構造の環境なら、 特定の動作に必要な仕組みも少ないのです。対照的に、非常に細分化が進んだ環境は、先に述べた目的に合致しているかを判断する範囲で言えば正反対に位置するものですが、こちらはあまりに複雑すぎるため、特定の動作に対する効果的な措置は理論上可能なだけで、現実では実行不可能です。
ということは、理想的な環境とは、つまりこの2つの間で均衡をとることに他ならないのです。そこにはネットワークトラフィックとアクセスの制御を有効にするために、関連する論理的な場所に十分な制御点を設けることも含まれています。注意点として、「制御点」という言葉を私は使いましたが、アクセス制御やファイアウォールという言葉を選ばなかったのは、そこにデータダイオードからアプリケーション層のフィルタリングに至るまで、より幅広い技術が含まれているからです。
- 最小権限のアクセス
もうずいぶんと昔から言われていることですが、今でも重要な概念に最小権限があります。環境にアクセスし、変更できる人間が少ないほど、変更の原因を容易に特定できるようになります。私は通常、これを制御点とは区別して見ています。最小権限のアクセスとは、制御点の一種を個別に実装することです。
- 運用上の予見可能性
これは防御可能性の中でも直感的に理解しにくい部分ではありますが、それでも極めて重要であることに変わりはありません。通常の運用で動作に整合性がとれている環境では、発生した例外の特定も非常に簡単になります。ネットワークトラフィックが大幅に変動する環境や、端末リソースの変動が激しい場合、 大きく、まとまりのない針山が生まれ、1本の針を見つけ出すことが困難になります。
- 復元力
原因に関係なく、障害の状況を考えてみましょう。実際に攻撃を受けた結果なのかもしれないし、人的エラーによって引き起こされたのかもしれません。 あるいは、単純にハードウェアの故障という可能性も考えられるでしょう。何であれ、こうした障害の要因からサービスを復旧するためにかかる時間と費用は、その環境の防御可能性に直結するのです。
OT環境がいかに防御可能性を築いてきたか
防御可能性の特性をしっかり定めた上で、やっと私たちは実際に異なる環境の評価に移ることができます。OT環境とIT環境の特性を比較した表から始めてみましょう。定義上、ここで私が述べているのは一般論です。片方を、あるいはもうひとつの環境も、多少防御しやすいように設定することは確かに可能です (詳しくは後述)。
| 特性 | OT | IT |
|---|---|---|
| 攻撃対象領域 | 限定的 | 広範囲 |
| 目的に合致したシステムである | 多 | 少 |
| 制御点 | 少 | 多岐 |
| 最小権限 | 混合 | 混合 |
| 予見可能性 | 高 | 不可能 |
| 復元力 | 高 | 混合 |
決定的な違いは攻撃対象領域です。その理由は、各環境の防御可能性がどのように異なるのかという核心をついているからになります。ITはその性質上、幅広く、雑多に拡張できるように設計されています。システムの更新や差し替えがおこなわれる度合いが大きいほど、IT環境では変化の速度も増すのです。
こうした特性は大きな攻撃対象領域を作り出します。結果、アタッカーの侵入を許してしまう隙がたくさん生まれ、環境の保護に多くの防御戦略が必要となります。対照的に、OT環境には正反対の傾向があります。限定的で、一様で、静的なのです。こうした特性からアタッカーの侵入を許す経路とその種類を減らすことができるのです。
目的に合致というのは、多くの産業用制御システムを表す適切な説明です。OT環境の汎用システムでの利用機会がいかに増えたかを考察する理由はありますが、IT環境がOT環境と比べてほとんど目的に合致した端末を持っていないという事実は変わりありません。
どちらの環境でも、制御点については、さまざまな要素を含むレポートが出ています。OT環境の制御点のほうが数が少なく、管理しやすい傾向にありますが、よく知られているとおり、SCADAやこのほかの制御システムを直接インターネットに上げることで生じる問題も確かに抱えているのです。IT環境の方が、ネットワークからアプリケーションまで、アクセス制御の設定という点では優れています。その性能の欠点は、複雑化が進むことと、標的となる領域が増すことです。アクセス制御が不正利用の手段となってしまうのです。
同様に、どちらの環境も最小権限のアクセスに関してさまざまなバグを抱えています。OT環境は共有とデフォルト証明書で苦しみ、IT環境は複雑化を極め、誤って付与したアカウント権限と、管理者とグループがあまりに複雑すぎるシステムとなり、持て余しています。
もうひとつ重要なカギとなるのが、OT環境とIT環境の比較で見られる運用上の予見可能性の違いです。OT環境は、その目的に合致する傾向と限定的な範囲から、操作プロファイルも予見可能性がはるかに高くなる傾向があります。IT環境は単純により多くの、そしてより柔軟性が高いアプリケーションをサポートしています。その実例がDNSです。
OT環境でおこなうDNSの監視は比較的静かです。送信される外部要求もほとんどありません。IT環境でおこなうDNSの監視は騒がしくなるでしょう。Webページやページに埋め込まれた広告、アップデートの有無を確認するシステムにアプリケーション、Facebook、インスタントメッセンジャーなどが多数の要求を発します。2つの異なる環境では変則的なDNSのトラフィックを識別することはまったく異なる動作になるに違いありません。この例えは @chrissistrunkから拝借しました。このスライドの38枚目です。
復元力は、信頼性を築くために必要な要件と密接に関連しています。ほとんどのOT環境が高い信頼性を必須条件として構築されています。こうした環境で障害が起こることは、誰かが照明をつけられなかったり、工場のラインから組み立てた車を出せなかったり、一部の必要不可欠な結果が起こらなかったりすることを意味します。信頼性と復元力は同一ではありませんが、設計においては信頼性に必要とされる要件によって復元力もまた引き出すことができるのです。
IT環境の場合、この特性にはさまざまな要素が加わります。仮想化とクラウドコンピューティングによって、IT環境の復元力は計り知れないほどの可能性を新たに秘めることになりました。こうした例では、IT環境はOT環境よりもはるかに復元力が強いのです。しかしながら、ほとんどのIT環境が今でも物理サーバやデスクトップ、アプリケーションで構成されています。こうした要素の復元力は極めて低いのです。それは、ひとつには高い信頼性を必要としていないから、あるいは単純に困難であったり、要件を満たすには費用がかかりすぎたりするからに他なりません。
それで私たちはどうなるのか?
ここまでやってきたあなたなら、防御しやすいことが防御されていることと同義ではないことを憶えておく価値がわかるでしょう。あの比較表から浮かぶ疑問は、まさに防御しやすいOT環境がいかにIT環境と比較できるかというところになります。そういう意味では、OT環境には一般論で言うと、防御戦略を練りやすい特性が一通りそろっています。
この結論の大部分は、問題となる領域を単純化することよって導き出されています。つまり、攻撃対象領域、制御点と最小権限のアクセス設定が複雑でない点、効率的な監視による運用上の予見可能性の高さです。
実際には、ICSとOT環境は防御しやすい反面、比較的防御されていないのです。OT環境とIT環境を比較すると、基礎的な情報セキュリティに対する投資量や優れた事例数に顕著な偏りが見られます。単純な話、IT環境はより多くの時間と費用を情報セキュリティ支援ツールと処理方法の開発に費やしているのです。
さらにこの話題を掘り下げるため、防御しやすい状態から防御されている状態にまで持って行けるのか、次で詳しく説明します。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
