オリジナルのスタートレックのエピソード「The Trouble with Tribbles」(「トリブルでトラブル」の意。邦題:新種クアドトリティケール)では、悪徳商人のシラノ・ジョーンズが通信士官ウフーラにトリブルというフサフサした毛に包まれた小動物をプレゼントします。ウフーラがUSSエンタープライズ号に持ち帰ったトリブルは、まもなく繁殖し、そのうち船内で大増殖して甚大な損害をもたらします。このエピソードは、サイバーセキュリティとサプライチェーンに対する教訓であり、自分が何をどこから会社に持ち込んでいるのかを評価しなかった場合に起きるリスクを的確に伝えています。
デロイト社による記事『Managing cyber risk in the electric power sector, Emerging threats to supply chain and industrial control systems』では、発電、配電、電力管理を行うシステムを標的とする攻撃の進化について詳しく解説しています。
エネルギーセクターは、当然のことながら、重要なインフラと見なされています。特に広範囲にわたって電力供給が途絶えると、安全性、経済、国家の安全に影響を与える可能性があります。そのようなインフラストラクチャーを保護することは、システムを運用する企業だけでなく、生活に電気を必要とするコミュニティを守ることにもつながります。しかし、攻撃手法が高度化し、国家主体の組織化された攻撃が台頭するなか、電力インフラを保護することはますます難しくなっています。
従来型の攻撃の多くはフィッシング攻撃から始まります。発電所に対する最初の攻撃は、スピアフィッシングの手法で開始され、それにより攻撃者はウクライナの電力会社に侵入するための認証情報を手に入れました。この認証情報を使用して、犯人はコンピューターやブレーカーをリモート制御すると、地域に大規模な停電をもたらしました。
攻撃はこれに留まらず、電話回線を滞らせサービス停止に追い込むことで、停電を通報し、情報や支援を求めようとする顧客を妨害しました。(この攻撃についてさらに詳しく知るには、ICS-CERTによる調査報告書『Cyber-Attack Against Ukrainian Critical Infrastructure』、またはWiredによる記事『Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid』を参照してください。)
メールサーバーを使用するすべての組織にとって、フィッシングは依然として最大の関心事です。しかも最近では、サプライチェーンを介してマルウェアを配布するというさらに厄介な手法が出現しています。デロイト社は、サウジアラビアの石油化学プラントの産業用制御システム(ICS)を標的とした2017年の攻撃などの例を挙げてこのリスクについて説明しています。この攻撃は物理的危害をもたらすことを意図したものでした。もし、このマルウェアに誤動作の原因となったバグが含まれていなければ、現場の従業員を簡単に死に至らしめる可能性がありました。
このマルウェアが仕込まれたコントローラーは、製造時から、あるいはファームウェアアップデートを経ることによって脆弱な状態にありました。適切な監視が行われない限り、攻撃者は従来型のセキュリティ対策を簡単に回避してしまいます。
産業サプライチェーンのセキュリティ
インフラに対するICSやサプライチェーンの重要性が高まる一方で、攻撃に対する脆弱性も高まっているのであれば、マルウェアから組織を保護するために何ができるでしょうか。トリブルの話に戻って、USSエンタープライズ号の乗組員たちが、宇宙船を守るためにどのような発見的および予防的コントロールを採用することができたかを考えてみましょう。
まず、調達について考えると、ウフーラはベンダーや製品そのものについて適切な評価を行うことなくプレゼント(トリブル)を受け取っています。もちろんトリブルはふわふわで可愛く、鳴き声も可愛らしいですが、宇宙艦隊のポリシーにおいては適切なペットと認識されるでしょうか?ウフーラが事前にしっかりと調査を行っていれば、シラノ・ジョーンズが危険な動物を自国の惑星から運び出した罪に問われる可能性があることがわかったでしょう。
このことを現実世界に当てはめると、組織がすべてのベンダーとそこから購入する製品に対して、リスクとセキュリティのレビューを行うことが不可欠です。製品については、オープンソースのコンポーネントやアウトソーシングされたコンポーネントが使用されているかを把握しておくことが特に重要です。そうすれば、それらに対する追加のレビューや監視を実施できるからです。
次に問題なのは、境界から入ってくる際の対策です。トリブルは、有害性がないか、潜在的なリスクになり得ないかといった調査を行うことなく、USSエンタープライズ号に持ち込まれました。まさしくこの危険な動物は、USSエンタープライズ号のデータベースに載っていました。
脆弱性評価と継続的な脆弱性スキャンは、リスクを監視していくうえで必要不可欠です。ICSとそのコンポーネントの脆弱性を評価する方法を採用することは、重要なインフラストラクチャーを保護するために不可欠です。ファームウェアのアップデートを評価し、サードパーティ製コンポーネント内で発見された新しい脆弱性を特定するためには、監視を継続的に行う必要があります。
最後に、発見的コントロールを取り入れていれば、USSエンタープライズ号に対する危険性をもっと早くに発見できていたでしょう。予想外の生命体の数は急速に増加していました。その数と割合を簡単に視覚化できていれば、危険の兆候に気づくことができたでしょう。セキュリティチームがいたならば、この事件の後、モニタリング用ダッシュボードを改善していたでしょう。産業環境やIT環境には、予期できる正常な変更やデータフローがあります。
異常事態の発生時や、通常の状態からの予期しない逸脱があった際には、調査と場合によっては是正措置を開始すべきです。変化を把握し、それを管理する方法を知ることは、接続性が高まる複雑な産業環境に追加すべき「もう1つのセキュリティ対策」です。
まとめと次のステップ
この記事は、産業界におけるサイバーリスク管理について表面的に紹介したものです。さらに詳細な分析結果と推奨事項については、デロイト社のレポートを一読されることをお勧めします。リスクに関して一貫して言えるのは、「セキュリティはチームで取り組むものである」ということです。セキュリティはプロだけに任せるべきものではありません。調達の担当者からオペレーターまでの一人一人に会社を守る責任があるのです。
IT、OT、あるいは産業系のいずれにおいても、サイバーセキュリティに関して一貫して言えるのは、CISクリティカルセキュリティコントロールフレームワークが適用可能であるということです。たとえば、企業環境内にどのような資産が存在しているかを把握し、それらの重要性と正当性を理解することは、データセンターでも発電所においても重視されるべきです。ICSをインストールするよりも、ネットワークにデバイスを追加する方が簡単かもしれませんが、いずれにせよ、インベントリを確保することが有用な対策となります。
最後に、Tripwireには、産業用システム向けに発見的および予防的コントロールを提供する数多くのソリューションがあります。TripwireのソリューションTripwire Industrial Visibility(TIV)は、脅威のモニタリングとリアルタイムの変更アセスメントの対象となるネットワーク上の資産に関する知見を提供します。また、当社のプロフェッショナルサービスチームが提供するIndustrial Security Assessmentサービスは、重要な意味を持つ作業を特定し、優先順位付けを行います。
PLC攻撃をリアルタイムで阻止しているデモを見て、Tripwire製品の動作を確認できます。
トリップワイヤ・ジャパンではサイバーインシデントから産業系オペレーションを保護するTripwire Industrial Visibility(TIV)を販売開始いたしました。詳細につきましてTIV製品ページをご覧ください。また、すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース