OT ネットワークにおける暗号化の課題を考えるとき、私は昔のロック・アンド・キーのセキュリティの時代に思いを馳せずにはいられない。しかし、相互接続が進み、暗号化が進む今日の世界では、物事はそれほど単純ではありません。そこで今回、Nozomi Networks 電力系統のR-GOOSEトラフィックを復号化する革新的なアプローチで、この問題に真正面から取り組んでいることをご紹介したいと思います。なぜこれが変電所オートメーションとその先のセキュリティにとって画期的なのか、その理由を説明しよう。
この作業は、エネルギー管理および電力系統オートメーションで使用される電力系統通信プロトコルのサイバーセキュリティ標準に取り組むために結成された国際電気標準会議(IEC)内のワーキンググループ、IEC TC 57 WG 15への参加から発展した。
OTディープ・パケット・インスペクションにおけるプロトコル暗号化の影響
OT ネットワークはこれまで、通信やアクセス、静止状態のデータを保護するための暗号技術の採用に消極的だった。このためらいは、計算オーバーヘッドが増えることと、OT ネットワークの物理的分離に依存することにあった。しかし、この状況は現在変わりつつある。OT ネットワークは外部ネットワークとますます統合されつつあり、サイバー脅威にさらされやすくなっているため、暗号を含むより強力なセキュリティ・メカニズムの採用が必要となっている。
同時に、OT デバイスはより強力になり、暗号操作を処理するための装備も充実してきています。また、OPC-UA、Modbus Secure、BACnet Secure Connect、PROFINET Security Class、IEC 61850のセキュリティ拡張など、OT プロトコルの新しいセキュアバージョンも登場しています。これらの進歩により、OT 環境におけるセキュリティ強化への道が開かれつつある。
暗号化は攻撃者だけでなく、セキュリティ・チームにとっても可視性を低下させる。暗号化は攻撃者だけでなく、セキュリティ・チームにとっても可視性を低下させます。暗号化されたトラフィックに潜在する脅威や異常が見えにくくなり、監視や対応作業が複雑になります。この課題に対処するには、重要な可視性を犠牲にすることなく、暗号化によるセキュリティ強化を確実にする革新的なソリューションが必要です。
ディープパケットインスペクション(DPI)は、SNMPやSyslogのような古典的なツールによるネットワークやシステムの監視範囲を拡張する、強力なネットワーク監視技術であることが証明されています。OT ネットワークでは、DPI は接続された資産、通信、および脅威検出に使用できるプロセスのテレメトリに関する追加情報を収集します。
しかし、データパケットの内容をスクランブルすることで、暗号化は従来のDPI手法をほとんど無効にしてしまう。
規模に応じた復号化によるネットワーク監視
防御側がプロトコルの暗号化とDPIの両方を最大限に活用するためには、妥協点を見つける必要がある。従来のタスクを実行し、脅威を検出するためには、プレーンテキストのトラフィックにアクセスできなければならない。そして、継続的な人的介入なしに、大規模に動作する必要がある。もし、既存のモニタリング・ソリューション自体が、必要な暗号化キーにアクセスすることで、トラフィックを復号化できるとしたらどうだろう?
GDOI鍵交換によるR-GOOSEの復号化
変電所オートメーションでは、GOOSEメッセージはインテリジェント電子機器(IEDs)間で測定またはトリップ信号を伝送するために使用されます。ルーティングバージョンであるR-GOOSEは、公共ワイドエリアネットワークを介して変電所間でそのような信号を伝送するために開発され、したがって通信を暗号化する必要があります。GOOSEやR-GOOSEのアクターが使用するようなパブリッシュ・サブスクライブ・マルチキャスト環境では、鍵の作成と配布のための可能なソリューションは、各アクターが登録する鍵配布センター(KDC)を導入することである。KDC は、IEC 62351-9 で定義されている Group Domain of Interpretation (GDOI) と呼ばれる鍵交換メカニズムを実装している。
この文脈では、信頼できるネットワーク・モニタリング・ソリューションは、通信を復号化できるように、マルチキャストグループを別の加入者として登録することができる。
IEC 62351-9 GDOI KDCとの統合により、Nozomi 暗号化されたR-GOOSE通信を分析し、スケーラブルな方法で電力系統オートメーションネットワークを保護することができます。