外部の世界との接続性が高まるにつれて、産業用コンピューターに対するサイバー攻撃は非常に危険な脅威となっています。なぜならば、このタイプのインシデントは、システム全体において、物的損失や生産のダウンタイムを引き起こす場合があるためです。さらに、サービスを提供できなくなった企業により、地域の社会福祉やエコロジー、マクロ経済に深刻な弱体化がもたらされる可能性もあります。そのため、全面的なサイバーセキュリティがますます重要になっています。
産業用制御システム(ICS)のサイバーセキュリティの重要性を考える場合、ICSの領域における主要な傾向を理解することが不可欠です。完全な理解を得るために、ビジネスと脅威の両方の観点からその傾向を見てみましょう。
ビジネスの観点から
2018年6月、Kaspersky Labは、2回目の年次報告書『The State of Industrial Cybersecurity 2018』を発表しました。この報告書は、ICSのサイバーセキュリティに関する意思決定力を持つ世界各国の専門家320名を対象とした調査に基づいたものです。この調査では、産業界のサイバーセキュリティの現状を詳しく分析しています。
このレポートを紐解くと、ICSのサイバーセキュリティについて、またICS業界はサイバーセキュリティをどのように認識しているかについての興味深い事実が明らかになります。
ICSのサイバーセキュリティは優先すべき重要課題である。しかし・・・
見出しが示すように、調査対象企業の4分の3以上がICSのサイバーセキュリティが最優先事項であると述べているにもかかわらず、それに関連するセキュリティ対策をあまり実行していないことがわかります。
たとえば、調査対象企業の4分の3以上が、ICS分野におけるサイバーセキュリティ攻撃の標的とされる可能性が非常に高いか、かなり高いと答えているにもかかわらず、業界または政府のガイダンスおよびICSのサイバーセキュリティ関連規制に最低限準拠している企業はわずか23%にすぎません。
過去12か月の間にインシデントや侵害の経験がないと答えた企業が半数以上(51%)であったものの、それらの企業は被害に遭遇した場合、本当に気づくことができるのでしょうか。攻撃の検知や追跡を行っていない企業は数多く存在します。今のような時代に、回答者の10%が、経験したインシデントや侵害の数を測定していないのは驚くべきことです。
さらに、調査対象の企業がデジタルトランスフォーメーションに着手したばかりであることを考えると、それらの企業のデジタル化が進むにつれ、攻撃対象領域も拡大していくと言えるでしょう。
懸念と課題
企業にとって潜在的なサイバー攻撃がもたらす最大の懸念は、製品やサービスに対するダメージと、従業員の負傷や死亡です。ほとんどの企業は、サイバー攻撃が与える影響と事業の成功には関係があることを理解しています。インシデントに起因する製品品質の低下(54%)は、顧客の信頼の喪失(40%)に直接影響します。重要なビジネス情報の流出は、契約やビジネス機会の喪失(22%)につながります。
企業はほぼすべての領域において、重大な課題に直面しています。企業の58%にとって、最大の課題は的確なスキルを持つICSのサイバーセキュリティ担当者を雇用することです。このことは、サイバーセキュリティの世界全体の問題となっています。この問題は、ICSをITシステムやIoTエコシステムに統合させるという第2の課題(54%)と組み合わせることでさらに重大になります。それは、ICSのシステムを外の世界に開放することを意味するからです。
認識と現実の乖離
また、認識と実際に起きていることや実際に恐れていることの間には重大な相違があります。ほとんどの企業はAPT(66%)と、データの流出やスパイ行為(59%)がもたらす潜在的な影響を恐れ、それらを最大の脅威と認識しています。
しかし、標的型攻撃やAPTは勢力を弱めており(サイバーセキュリティインシデントのわずか16%)、その一方で、従来型のマルウェアとウイルスの大流行がより重大な問題となってきています。2018年に発生したサイバーセキュリティインシデントの64%が、従来型のマルウェアとウイルスの大流行に起因しています。
同様の乖離は、最新のSANSのレポート『The 2018 SANS Industrial IoT Security Survey:Shaping IIoT Security Concerns』でも取り上げられました。その調査によると、約4分の3の企業が、自社の産業向けIoT(IIoT)のセキュリティを維持する能力に自信を持っているか、ある程度自信があると回答しました。また、企業のリーダーや部門マネージャーは、運用技術(OT)部門と比較して、自社のセキュリティに関して楽観的な見方をする傾向にありました。
脅威の環境
2018年9月に、Kaspersky Labは、『Threat Landscape for Industrial Automation Systems, H1 2018』というレポートを公開しました。このレポートは、Kaspersky Security Network(KSN)によって収集されたデータを基に作成されています。KSNは、監視制御・データ収集(SCADA)サーバー、データストレージサーバー、データゲートウェイ、エンジニアやオペレーターが使用する固定型のワークステーションなどの機能を持つICSコンピューターを保護する分散型のアンチウイルスネットワークです。このレポートは、ICSサイバーセキュリティにおける脅威の環境に関する興味深いトレンドに焦点を当てています。
サイバーセキュリティインシデントの増加
2018年上半期に1回以上の攻撃を受けたICSコンピューターの割合は、2017年上半期の36.6%から41.2%にまで増加しました。攻撃対象となったICSコンピューターの割合の増加は、主に攻撃活動の全体的な増加の影響を受けています。
地理的分布、金銭、インシデント
攻撃されたICSコンピューターの割合は、欧州、北アメリカ、オーストラリア諸国よりも、アフリカ、アジア、ラテンアメリカ諸国で著しく高いことがわかっています。また、欧州圏内においても、西欧よりも東欧が高く、北欧と西欧よりも南欧が高い分布となっています。
このような実質的な違いは、各国の全体的な発展レベル、サイバーセキュリティレベルおよび攻撃活動レベルの差異によって生じていると説明できるでしょう。
IDC社の調査によると、2017年における情報セキュリティ製品の最大の市場は米国と西欧でした。攻撃されたICSコンピューターの割合が最も低かったのは、国際通貨基金(IMF)が経済先進国として分類している国々でした。
さらに、同割合が最も低い10か国のうち6か国(米国、英国、オランダ、スウェーデン、スイス、イスラエル)は、国際電気通信連合(ITU)が公表する、『世界サイバーセキュリティ指標2017』の上位20か国に含まれています。
攻撃されたICSコンピューターの割合が発展途上国で高い理由として、これらの国における産業セクターの歴史が比較的浅いことが挙げられます。
産業施設の設計と試運転を行う際、運用の経済的側面と産業プロセスの物理的な安全性が主に重要視され、情報セキュリティの優先順位は低くなる傾向にあります。このことは、『The State of Industrial Cybersecurity 2018』の調査結果とも一致しています。
脅威の主な感染源
産業用ネットワークインフラストラクチャー内のコンピューターの主な感染源は、インターネット、リムーバブルメディアおよび電子メールです。
2017年上半期のICSコンピューターの感染源はインターネットが20.6%でしたが、2018年上半期には、27.3%に上昇しました。現代の産業用ネットワークが外部システムから分離されることは、もはや考えにくいため、この結果は論理的であると言えるでしょう。
今日、産業ネットワークと企業ネットワークの間のインターフェイスは、産業プロセスを制御し、産業ネットワークとシステムの管理を行うために必要とされています。
産業ネットワークの感染源として2番目に多かったのはリムーバブルメディアでした。ICSに対するUSBの脅威については、最近Honeywell社が発表した『Industrial USB Threat Report』でも取り上げられています。リムーバブルメディアを介して攻撃されたICSコンピューターの割合が高い国は、GDPレベルの低い国であることが報告されています。反対に、全体的なセキュリティ対策のレベルが高く、リムーバブルメディアの使用頻度が低い西欧や北米では、この割合は低く抑えられています。
一方、電子メールを介した脅威に関する分析結果では、ネットワーク境界における保護対策を通過してICSコンピューターに到達するフィッシングメールや悪質なメールの添付ファイルの数に対しては、情報セキュリティのレベルはほとんど関係しないことがわかっています。
この理由としては、電子メールを介した攻撃から保護するように設計された効果的なツールが、ネットワーク境界で使用されていないか、正しく構成されていないことが考えられます。
高度とはいえない攻撃
レポート全体を見ると、PDFファイルを添付したスピアフィッシング、トロイの木馬をインストールするソフトウェアインストーラー、侵入前のWebサイトを使用した水飲み場型攻撃など、攻撃のレベルはそれほど高いものではなかったことがわかります。マシンが悪用されると、攻撃フレームワークが攻撃の足場を広げるために追加のモジュールをインストールすることが可能になります。
今後の進め方と提言
ICSのサイバーセキュリティの課題を克服するには、企業は適切な対策を組み入れた戦略を立てる必要があります。もちろん、組織とその対策が円滑に機能するためには、十分な資金が必要となります。
「ICSコンピューターに対するサイバー攻撃の割合が懸念されています。我々は、システムの組込時、つまりシステムの要素がインターネットに最初に接続するタイミングから、システムのセキュリティに注意を払うようにアドバイスしています。この段階でのセキュリティを無視すれば、恐ろしい結果につながる可能性があるのです」と、Kaspersky LabのセキュリティリサーチャーであるKirill Kruglov氏はコメントしています。
さらに、「製造系企業は従業員のサイバー脅威に対する意識のレベルにもっと注意を払うとともに、最新のサイバーセキュリティ対策に対応していく必要があります」とKruglov氏は付け加えました。
サイバーセキュリティ対策は、新しいテクノロジーの採用に対応していかなければなりません。
製造系企業はICSインシデント対応プログラムにさらに真剣に取り組み、業務上、財務上および評判に対する深刻なリスクを最小限に抑える必要があります。
効果的なインシデント対応プログラムを開発して、接続・分散型の複雑な産業用エコシステムのセキュリティを管理するための専用のサイバーセキュリティソリューションを企業が導入することによってのみ、サービスや製品、顧客および環境の保護が実現されるでしょう。
トリップワイヤ・ジャパンではサイバーインシデントから産業系オペレーションを保護するTripwire Industrial Visibility(TIV)を販売開始いたしました。詳細につきましてTIV製品ページをご覧ください。また、すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース