私の以前のブログ投稿『ICS:Next Frontier For Cyber Attacks?』(サイバー攻撃の次の標的は ICS?)では、産業制御システム(ICS)におけるサイバーセキュリティの状況と、今後 ICS への攻撃が発生する可能性が大きいことについて説明しました。産業組織にとって、ICS への攻撃とは、ダウンタイムおよびビジネスの損失を意味します。また、個人にとっては、安全上の問題とサービスの損失となり、社会にとっては、安全上の甚大な問題と生産性の損失を意味します。
ICS-CERT、SANS、FireEye などによる調査では、ICS 環境に対するサイバーセキュリティ態勢の不備が指摘されています。たとえば、コンピューター資産(エンドポイント)は、ICS ベースの組織では最もリスクが高いとされていますが、そのような組織でエンドポイントの脆弱性スキャンを行っているのはわずか 50%です(SANS 2016)。
このブログは、series on industrial cybersecurity approachesのもうひとつのパートにあたるものです。産業組織のすべてのエンドポイントのセキュリティを確保することの重要性を呼びかけ、悪影響を低減することを目的に執筆しています。Tripwire の親会社の Belden は、産業界におけるサイバーセキュリティへのアプローチ「Belden 1-2-3 アプローチ」を公開しています。それと同時に、Tripwire は、御社の産業用ネットワーク、PC、重要なエンドポイント、および産業制御装置を保護しつつ、高可用性、製品およびサービスの提供における信頼性、運用における回復力を維持しています。
エンドポイント:OT & IT
製造業のインフラストラクチャにおける 2つの主要な部分である情報技術(IT)および ICS の運用技術(OT)の理念と、産業界がエンドポイントをどのように見ているかについて考えてみましょう。
企業側は IT に注目しています(一般的には Purdue 参照モデルのレベル 4 と 5)。これらはビジネス情報とトランザクションシステムであり、一般的には最高情報セキュリティ責任者(CISO)によって管理されます。IT エンドポイントには、IP ベースのデスクトップ PC、ノート PC、モバイルデバイス、データベース、アプリケーションサーバ、Web サーバが含まれます。また、契約、発注、経理のサプライチェーンも含まれます。IT エンドポイントはインターネットやイントラネットに接続し、頻繁な更新やエンドポイントの追加が行われるなど、大きな変化を伴います。
このような動的な環境において、ITのプロの多くは、さまざまな手法による攻撃の対象となり得る自社のエンドポイントや、それらへのアクセス経路などの IT資産のセキュリティを懸念しています。
ICS の運用(OT)システムにも同様のカテゴリのエンドポイントが含まれます。これらには、アプリケーション、データベースサーバ、製造システム、資産管理、ヒューマンマシン・インターフェースシステム(HMIs)、エンジニアリングワークステーションに加え、レベル 2 のコントロールシステムもあります。これらのシステムのそれぞれには、OS、構成/セットアップファイルがあり、一般的にはこれらへのアクセスはパスワードやその他の方法で保護されています。OT システムには専用の環境、プロトコル、通信チャネル、および専用のハードウェアが使用されているため、大半 OT のプロ達は、セキュリティに関する特別な懸念を抱えてはいないようです。
ひらめきの瞬間
最近のカンファレンスでのことです。OTと生産システムの話題が中心でした。偶然会った数人の IT セキュリティ管理者との会話で驚くことがありました。彼らにカンファレンスに参加した理由を質問したところ、「生産システムについてもっと知る必要がある。最終的には、それらのセキュリティに責任を持つことになるからだ」と答えました。これは、OT組織の優先順位と一致しています。
OTが注視しているのは、プラント環境における制御、監視プロセスおよび機器です。一般的には、エンジニアリングおよび運用管理部門がそれらを管理します。産業制御環境の優先順位は、安全が第1であり、すぐ次に可用性が続きます。IT企業環境における ITセキュリティでは、機密性が最優先です。
OT には次のようなさまざまな制御システムが含まれます。
- プログラマブル・ロジック・コントローラー(PLC)
- リモート・ターミナル・ユニット(RTU)
- インテリジェント・エレクトロニック・デバイス(IED)
- 分散制御システム(DCS)
- 監視制御・データ収集システム(SCADA)
- ヒューマン・マシン・インターフェイス(HMI)
- デジタル・アナログ・コンバータ(DAC)
一般的に、OTシステムは、IT 環境のような高度に動的な環境内には設置されません。基本的には、OTエンドポイントは手が加えられていないレガシーシステムであり、専用の通信プロトコルが使用されています。また、場合によっては、外の世界から物理的に隔離されます。しかし、実際には OT環境内のエンドポイントは、次第に外の世界に接続されるようになってきています。
実のところ、多くのHMIエンドポイントはPCベースで、インターネット接続が可能であるため、攻撃の格好の標的となり得ます。また、ICS SANS 2016 の調査で再三指摘されたように、最大の懸念事項は IT から OT への接続です。IT エンドポイントに感染したマルウェアが OT 環境にまで侵入したらどうなるでしょうか。
世界はより高い効率性の恩恵を求めて接続性の実現に向かっています。それは残念なことに、OT環境へのリスクも増大することを意味します。
結論:OTシステムへの攻撃を低減するには、OT環境内の PCベースのエンドポイントを保護する必要があります。また、OT環境へ攻撃が飛び火しないよう、IT エンドポイントを確実に保護しなければなりません。OT および IT の両方の環境で、包括的なエンドポイントセキュリティ戦略を推進することが重要です。
OT および IT:エンドポイントセキュリティに関する誤解についての考察
我々に多大な痛手をもたらしかねない「エンドポイントセキュリティに関するさまざまな誤解」について考えてみましょう。
「アンチウイルス製品で十分である」
アンチウイルス製品は、あるレベルのエンドポイント保護を提供しますが、定期的なシグネチャアップデートや定時スキャンが必要になります。シグネチャベースの保護では、すべての攻撃を阻止できません。また、すべてのエンドポイントに適しているとは言えません。
「すべてのエンドポイントを保護する必要はない」
これは、保護に関する誤った考えです。ネットワークに接続されるものや、(USB ドライブのように)挿入型のエンドポイントも増えており、新たな攻撃手口が生まれています。
「エンドポイント保護さえあれば保護できる」
高度な攻撃に対応するには、エンドポイントとネットワークの両方からのセキュリティ情報が必要となります。問題はネットワークなのか、Eメールに含まれるリンクなのか、ダウンストリームへの攻撃ソースを理解することが修復には必要不可欠です。
「ほとんどのエンドポイントは安全に運用されている」
ヒトを狙う攻撃手法は最も多く使われる方法の 1 つですが、OT 環境では、ユーザのエラー、ソーシャルネットワーキング、ポリシーの不備など、ユーザが関与する影響についてはあまり考慮されていません。エンドポイント保護には、サイバーセキュリティに関するユーザのトレーニングを取り入れる必要があります。不注意によるもの、悪意によるものに関係なく、人的エラーは攻撃の大きな糸口となります。
「自分のエンドポイントからインターネットへの接続は安全である」
本来接続を安全に保護するための古いプロトコルの多くには、脆弱性が内在しています。
「エンドポイントセキュリティ製品はユーザエクスペリエンスを悪化させる」
ほとんどのエンドポイントセキュリティ製品は、パフォーマンスの問題を最小化すべく改良されてきました。一方で、あなたのエンドポイントが感染したらどうなるでしょうか?おそらく、感染によるパフォーマンスの問題が発生するでしょう。
「エンドポイント保護は万能の解決策である」
ほとんどの攻撃には、「ネットワークとエンドポイントを考慮した包括的かつ統合化されたアプローチ」が効果的である
これがエンドポイントのセキュリティ対策に関する Tripwire の考えです。
産業組織にとって、エンドポイントセキュリティの健全性維持がサイバーセキュリティの基盤です。これには次のことが含まれます。
- 御社のエンドポイントを把握すること。ハードウェア、ソフトウェア、仮想・物理資産などのインベントリを作成すること。また、それらの構成、OS、プロトコル、通信方式、さらにはそれらに誰が、いつ、何の目的でアクセスしたかを視覚化しておくようにします。これにより、侵害に最も影響を受ける領域がほぼ定義されます。
- 御社のすべての資産に内在する既存の脆弱性、および文書化して脆弱性を把握すること。また御社の特定の環境におけるリスクを理解すること(残念なことに攻撃の多くは、既知の脆弱性から発生しています)。
- 各エンドポイントにおいて、認証ベースのセキュアな構成を維持すること。エンドポイント上で、正当な理由や権限なく構成が調整されている場合、それが不正な行動によるものではないか調査しましょう。
- 不正な変更は可能な限りリアルタイムで検出できるようにすること。その結果は、どのようなプロセスやポリシーのエラー、あるいは潜在的に悪質なアクションが発生しているかの判別に役立てることができます。
このブログシリーズのパート 3 では、ICS 環境を中断させることなくセキュリティを確保する Belden と Tripwire の取り組みについて取り上げます。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
