以前のブログでも述べたように、産業系のサイバーセキュリティは旅に似ています。制御システム技術の向上のために、これまで以上の速度で情報技術(IT)とクラウドベースのソリューションが採用されているため、セキュリティは終わりのない旅なのです。また、危険な活動がもたらす脅威の環境も常に変化しています。最近では、産業プロトコルを使用して通信を行えるIndustroyerのようなマルウェアや、安全計装システム(SIS)を標的とするTritonのような脅威も出現しています。
このような脅威には、どのように対応すればよいのでしょうか?言い換えれば...
御社の戦略とは?
御社には産業向けのサイバーセキュリティ戦略がありますか?それとも、ただ時の運に任せているのでしょうか?
組織の産業サイバーセキュリティ戦略の策定には、包括的な目標を定義することが重要です。戦略では、産業サイバーセキュリティインシデントとその悪影響を低減するのに役立つ人材、プロセス、ソリューションの概要を示す必要があります。また産業プロセスの表示、監視、制御機能を損なう可能性のあるイベントについてもまとめなければなりません。
以前のブログでサイバーイベントとは何かを定義したように、これらのイベントは人的エラー、機器の不具合、あるいは悪意のある行動によって発生します。
この旅をどのように始めますか?
Beldenの次のブログでは、「どのように始めるか?」という質問に簡潔に答えています。こちらをご覧ください。ICS Security: 3 Ways to Get StartedおよびGetting Started on ICS and SCADA Security。
上記の2つのブログでは、サイバーセキュリティのリスク評価をその第一歩としています。それはとても良い提案です。ただし、それと並行してプロアクティブに行えることがいくつかあります。
コントロール可能なことをコントロールする
産業制御システムを安全に保つことは手ごわい課題のように思えるかもしれません。しかし、すぐにでも始められる基本的な対策がいくつかあります。それらの基本的な対策は、IEC 62443、NIST SP – 800-82、NERCCIPといった規制ガイドラインや業界のベストプラクティスの中核をなすものです。
組織が採用する基準をまだ選択していない場合でも、「可視性の確保」、「保護的措置の実施」、「継続的な監視の実行」という基本的な対策から始めることができます。
可視性の確保
難しい問題を憶測で解こうとするのはやめましょう。制御ネットワーク上に何が存在するかを把握していれば、通信パターン、ネットワークトポロジーの変化、構成の変更、脆弱性のコンテキストおよびその他の環境要素を事実に基づいて管理できます。この段階では、次を実行します。
- 産業制御ネットワークと企業のITネットワーク間の通信を理解し、ドキュメント化する。
- 産業制御ネットワークへのすべてのリモートアクセスを理解し、ドキュメント化する(ダイヤルアップモデムやVPN、セルラー経由のベンダーアクセスなど)。
- 資産(ハードウェアおよびソフトウェア)のインベントリ情報を作成・更新する。
- ネットワークトポロジーの図を作成・維持する。
- どのような産業用プロトコルが、どの資産の通信に使われているか(HMIやPLCなど)を理解する。
- 資産とデバイスがどのように構成されているかを理解し、それらの構成の変更を把握する。
- 環境内に存在する脆弱性を特定する。
保護的措置の実施
保護的措置とは、サイバーイベントの予防や影響の軽減に役立つコントロールです。このようなコントロールは、可視性の確保の段階と同時に、あるいはその後に実施することができます。たとえば、企業のITネットワークと産業制御ネットワーク間のセグメンテーション(分離)は、第一のステップとして適切です。ネットワークセグメンテーションとは、ファイアウォールやネットワークデバイス上のアクセス制御リストを使用して明示的に許可された通信以外の「すべてのネットワーク通信を拒否する」という方法です。
もう1つの保護的措置は、システムまたはデバイスのハードニングです。これには次が含まれます。1)産業用プロセスの実行に必要とされないすべてのサービスを無効にする(たとえば、トラフィックの暗号化を行わないtelnetのような安全性の低いプロトコルを無効にするなど)。2)サイバーセキュリティ機能(ロギング、SSH、SNMPv3など)を有効にする。3)デバイス/システムが適切に構成されているかチェックする(デフォルトパスワードから変更されているかなど)
他の基本的な保護的措置には次のものがあります。
- ネットワークセグメンテーション
a)生産セル間
b)任務や業務の遂行に必要不可欠な重要なシステム/デバイス間(PLC、RTUなど) - システムおよびデバイスのハードニング
a)業界基準やベストプラクティスに準じる(IEC62443、NIST SP 800-82など)
b)HMI、PLC、エンジニアリング用ワークステーション、ヒストリアン、産業ネットワーキングデバイスなどが対象 - すべてのリモートアクセスを厳正な認証で集中管理
a)それらの接続すべてに対してDMZを作成
b)ユーザーの多要素認証を実施。多要素認証とは、2段階の認証プロセスです。パスワード+トークンのように、自分が知っている要素と、知らない要素の2種類を使います。
持続的な監視
次の段階では、持続的な監視を行います。
産業プロセスの最適化と制御を支援する「SCADA」のようなサイバーセキュリティソリューションを導入して、産業サイバーセキュリティイベントの可視性を最適化して制御したり、保護的措置が適切に作用しているかを監視したりする必要があります。これは一度だけで済む作業ではなく、継続的に実行する必要があります。
産業サイバーセキュリティ用の「SCADA」によるモニタリングは、「どのようにして分かるか」という問いに答えてくれます。たとえば、次のような問いかけです。
- デバイスや資産の設定が変更されているか、またその変更によってデバイスが安全でない状態に陥らないかを、どのように知ることができるか?
- オペレーショナルベースライン(環境に固有のデバイスまたはシステムの設定)が変更されたら、どのように知ることができるか?
- デバイスが故障しそうになったら、どのように知ることができるか?
- 制御ネットワーク上に無許可の資産あるいはプロトコルが存在していたら、どのように知ることができるか?
- 脆弱性プロファイルが変更されたら、どのように知ることができるか?
これらの「どのように知ることができるか?」の問いに答えることができれば、産業プロセスを稼働し続けることができます。結局のところ、それが最も重要なことです。
自分のネットワークを知ること。それを怠ると、あなたとは違う動機を持った何者かがネットワークを知ることになります。外部または内部からのどちらの攻撃の対象となるかを選ぶことはできません。運に任せてはいけません。経営管理に基づいた戦略を打ち出しましょう。
トップの姿勢が非常に重要なのです。制御ネットワークは防御することができます。今こそ可視化、保護的措置、継続的な監視を始めるときです。サイバーセキュリティは、安全性、生産性、品質といった産業プロセスにおける重要なパフォーマンス指標の成功要因となるものです。
『Industrial Cybersecurity is Essential』をダウンロードして、産業制御システムの専門知識をレベルアップしましょう。このホワイトペーパーを読むと、
- 産業制御システムを脅かすのはハッカーだけではないことを知ることができます。
- 米国の上下水道関連施設で最近発生したインシデントをどのように発見・解決したかをケーススタディから学ぶことができます。
Tripwire製品で、ログの監視、イベントの関連付け、ID管理システムとの統合などをどのように行うかを理解できます。
