IIoT、スキルギャップ、IT/OTの分断などによって環境がより複雑化するなか、ほとんどの産業組織は、サイバーセキュリティの面で立ち遅れています。しかし、すでに正しい方向に進んでおり、その先には何があるかを知りたいと考えている組織はどうすればよいでしょうか?現在のICSサイバーセキュリティプログラムを最適化するために、次はどのような実用的な手段を講じることができるでしょうか?将来に向けて、私たちがいま取り組むことのできる新たな脅威やトレンドへの対策はどのようなものでしょうか。
これらは、2019年11月12日にTripwireが開催したWebキャストで回答した質問です。このWebキャストは、TripwireのTim Erlinがモデレーターを務め、Beldenの産業サイバーセキュリティ担当副社長のKristen Poulos氏、CYBATIのエグゼクティブインベンターであり、SANS Instituteの認定インストラクターであるMatthew Luallen氏、およびForresterのセキュリティ・リスク担当副社長Joseph Blankenship氏が講演者として参加しました。
3人のパネリストは、可視性、ネットワークセグメンテーション、防御と対応、責任とアカウンタビリティの4つに注目していました。彼らのアドバイスは次のとおりです。
可視性
可視性を確保して、環境内に何が存在するかを理解する必要性は、産業用サイバーセキュリティのみならず、あらゆるITセキュリティにおいて重要なトピックです。なぜなら、それにより、組織は自社の環境と、そこに接続する資産を把握することができるからです。多くのICS資産から組織内の他の資産に対する脅威や脆弱性が生じる可能性があるため、ICS環境に焦点を当て、資産を可視化することが不可欠です。そのため、それらの資産に内在する脆弱性を理解して、それらを軽減するための適切なセキュリティ戦略とポリシーを実行することが大事です。
資産間のネットワークトラフィックを把握し、不適切なデータフローをシャットダウンできるようにするには、資産を検出するだけでなく、可視化する必要があります。ネットワークに出入りするデータをどのように確認できますか?従業員、請負業者、またはベンダーの便宜のために外部接続が行われていることをどのように確認できますか?このような「どのように確認できるか」という問いに答えるには、自社のネットワークを理解している必要があります。
私たちが産業プロセスによる生産物の品質特性(在庫、廃棄、再加工、物理的寸法、機器の有効性、事故など)を監視・測定するように、企業環境内で発生する異常なふるまい(構成の変更、通信パターンの変化、脆弱性の悪用、新規あるいは想定外のネットワーク接続など)も監視・測定する必要があります。そうすることで、オペレーションに影響を与える特殊要因を正常な状態に戻すことができるでしょう。
可視性の効果に影響を与える問題の1つは、「OTビジネスが円滑に運用および機能するためにはどのようなプロセスとプロトコルが必要か」をIT担当者が理解していないことです。ICSでは特別なデバイスが使用されるため、ICSの可視性とITの可視性は異なるものになります。そのため、資産を特定するだけでなく、OTが適切に機能するために必要なプロトコルを理解することが大切なのです。CS環境に内在する脆弱性を悪用しようとする敵から身を守るためには、ICS資産とそれらの通信方法の両方を理解するという見地からITとOTのギャップを埋めることが必要なのです。
ネットワークアーキテクチャーとセグメンテーション
ICSのサイバーセキュリティの管理は、一時的なプロジェクトではありません。それはむしろプログラムです。ICS環境内で資産を特定したら、次のステップはネットワークアーキテクチャーを展開し、セグメンテーションを行うことです。ICS環境は他のIT環境とは異なります。その理由は、ICS環境の機能は変更されることがなく、機器のターンオーバーもないからです。ICS環境はむしろ安定しています。変える必要があるのは、ネットワークの構造です。以前は、すべてのデバイスが「フラット」なネットワークに接続され、産業環境のすべての要素と直接通信していました。しかし、今やそうではありません。
ICS資産をセグメント化する必要が出てきました。資産の可視化に成功したら、次は機能やビジネス上の目的ごとに資産をまとめて、ICS資産をゾーン分けします。ゾーンに分けることで、保護がしやすくなります。ISA/IEC 62443規格では、制御されているシステムネットワークと制御されていないシステムネットワークをセグメント化することを提唱しています。ネットワークのセグメンテーションは、特効薬とは言えなくても、WannaCryやNotPetyaのような攻撃を防ぐことができたか、少なくともそれらの影響を最小限に抑えることができたでしょう。これらの攻撃は、企業の通信用ネットワークから始まったものの、セグメンテーションがなされていなかったために、OT側のネットワークが機能停止に追い込まれました。
重要なICS資産をゾーニングしたら、これらのゾーンと外部ネットワークの間にコンジットを確立し、それらを保護します。それにより、未認識のトラフィックがOT環境内に侵入できないようにします。ただし、プロセスに遅延をもたらすことのないように、また可用性を低下させないように、十分注意しなければなりません。ネットワークセグメンテーション成功の鍵は、IT側とOT側が協力して、OT環境の機能を中断させることなく、ICS資産を効果的にセグメント分けすることです。
攻撃に対する防御と対応の方法
ICS環境へのサイバー攻撃は物理的なリスクを伴うために、その対応は非常に難しくなります。産業環境、特に重要インフラに対する攻撃は、被害組織だけでなく、社会にも大きな影響を与える可能性があります。産業環境への攻撃は、たとえば、危険物質の放出(大気汚染や原油の流出)、爆発、電気や蒸気への暴露など、周辺社会にさまざまな悪影響をもたらす危険性をはらんでいます。物理的なインシデントは、ICSおよびそれをサポートするインフラストラクチャー、ICSが実行するさまざまなプロセス、あるいは、さらに広い物理環境に悪影響を及ぼす可能性があります。
そのため、防御策を講じる際には、特にクラウドベースで提供されるサービスに依存している場合では、緊急時のための代替案も検討する必要があります。その場合、攻撃者による活動だけでなく、あらゆる種類の侵害を考慮しなければなりません。平均故障間隔(MTBF)の問題や、ハリケーンカトリーナなどの自然災害などの不測の事態もあるでしょう。
ICS環境に関しては、他のITセクターとは異なり、信頼性が重要な要素であるため、不測の事態に対する考慮が不可欠です。ICS環境においてネットワークを管理する際の重要なタスクは、安全で効率的な運用をサポートするための信頼性と可用性を確保することです。機密性、整合性、可用性の「三大要素」は、ICSのセキュリティにおける推進要因ですが、重要なインフラストラクチャーにインシデントが発生した場合、最も重要なのは可用性です。医療、公益事業、電気通信、物流、輸送などの業界では、データの流出は重大な問題となりますが、生産性と可用性が失われた場合、事態はさらに深刻化します。電力会社が攻撃を受けて、顧客データが流出すれば、それはもちろん問題になります。しかし、数百万人の顧客が数時間(重大なインシデントであれば数日間)も停電すればさらに深刻な問題に発展するでしょう。
前のパラグラフでは、サイバーインシデントへの対応について説明しましたが、自分自身を守ることができることも同様に重要です。パネリストたちは2つの解決策を示しました。1つはデータフローの関連付けを可能にすることです。資産とネットワークの可視性が確立されると、デバイスがどのようなデータを、誰とやり取りしているのかが分かるようになります。そして最も重要なことに、これらのデバイス間の通常の通信がどのようなものであるかの認識につながります。データフローを相関させることにより、異常なトラフィックアクティビティや、侵害された認証情報を悪用しての水平移動など、侵害の兆候を発見できるようになります。
ネットワークアクセス制御(NAC)は、防衛のための優れた武器になります。NACは、組織がデバイス制御のためのポリシーを作成して特権と制限を設定し、接続されたデバイスのプロファイルを作成するうえで役立ちます。NACソリューションは、IoTまたはIIoTデバイスと統合すると特に有用です。なぜならば、アクセスポリシーで未確認のデバイスをブロックできるからです。
最後に、パネリストは、サプライチェーンにまつわる問題について強調しました。Martin Smith氏がJenny Radcliffe氏と配信している最近のポッドキャストで「サプライヤーは私たちの敵ではありません」と発言していましたが、サプライヤーは私たちの単一障害点になり得ます。私たちは皆、多くのサプライチェーン攻撃を経験しています。それらに対抗する唯一の方法は、サプライヤーとベンダーが産業組織のセキュリティポリシーと対策に従うことです。
そうすることは、大型産業機械のメーカーが資産の遠隔監視を行ったり、集中管理室からの遠隔制御を実行する場合には特に重要です。そのような接続においては、制御ネットワークやオペレーションを実行するシステムへのバックドアが作られます。
責任とアカウンタビリティ
サイバーセキュリティの責任はすべての人にありますが、産業組織は部門を超えてセキュリティレベルの維持を担当する「タスクフォース」を設置しています。ICSのセキュリティの担当者には、さまざまな肩書がつけられますが、結局のところ、個々の人間です。セキュリティの主導者は、セキュリティの問題をサイロ化してはなりません。どのような問題があり、これらの問題がテクノロジーのビジネスニーズにどのように対応するかについて合意することが大事です。そのような合意が行われない場合、信頼が損なわれ、反発が生まれ、サイロが発生します。それは、テクノロジーの全体的なサイバーセキュリティにとって非常に有害なことです。
権限は、ICSのサイバーセキュリティにおけるもう1つの重要な側面です。組織のサイバーセキュリティポリシーの開発と実装を担当する人物には、セキュリティポリシーと対策を推進する権限を持たせなければなりません。大事なのはその人物が誰であるかということではなく、組織階層のどこにいる人物かということです。それはともかくとして、最終的な権限はCEOにある必要があることを広く理解されなければなりません。結局のところ、それはビジネス上のリスクであるからです。
テクノロジーだけでは解決策にはなりません。人々が一丸となって取り組むことにより、リスクが管理され、サイバー攻撃への露出も縮小していくでしょう。
このウェビナーはこちらからご覧いただけます。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
