デジタルでつながった今日の世界では、産業用制御システム(ICS)が、さまざまな業界の業務を管理する上で重要な役割を果たしている。
これらのシステムは産業部門の基幹システムであり、製造プロセスからエネルギー配給まで、あらゆるものを動かしている。これらのシステムとその周辺のエッジ・デバイスの接続が進むにつれ、サイバー攻撃や運用上の設定ミスによる計画外のダウンタイムの影響を受けやすくなっている。
この包括的なガイドでは、ICSサイバーセキュリティの世界を掘り下げ、課題、ベストプラクティス、産業運営の回復力を維持するための戦略などを紹介する。
ICS(およびOT )を理解する
産業用制御システムは、産業プロセスの制御と監視に使用される特殊なコンピューター・システムである。監視制御・データ収集(SCADA)システム、分散型制御システム(DCS)、プログラマブル・ロジック・コントローラ(PLC)などが含まれる。これらのシステムは、発電所、水処理施設、製造施設、輸送ネットワークなど、私たちの日常生活に燃料を供給する事業の円滑な運営を保証します。
多くの人が運用技術(OT )とICSという用語を互換的に使用しているが、産業用制御システムは、実際にはOT のサブセットであり、ヒューマンマシンインターフェース(HMI)やプログラマブル・ロジック・コントローラ(PLC)を備えたSCADAシステムを介して物理的プロセスそのものを制御する。機器に組み込まれたソフトウェアや、制御・管理・監視のために追加されたソフトウェアなど、プロセスに関連するものは、「OT」とみなされるが、「ICS」とはみなされない。以下の図は、これらの違いを概念化したものである。
進化するICSリスクの状況
制御システムは従来、外部ネットワークから隔離されていたが、接続性の向上とモノのインターネット(IoT)の台頭により、サイバー脅威と運用上の誤設定の両方にさらされている。ICSの混乱がもたらす影響は、その原因が何であれ、物理的な被害、環境破壊、収益の損失をもたらす可能性がある。
マルウェアとゼロデイ脆弱性
TRITON、Industroyer、NotPetya、Stuxnetなど、ICSネットワークに侵入するように設計された悪意のあるソフトウェアは、重要インフラに壊滅的な影響を与える可能性があることを示している。
攻撃者は、ICS ソフトウェアやハードウェアの未知の脆弱性を積極的に探し、パッチが適用される前に悪用します。ゼロデイ脆弱性が公開される前に検出できるよう、最良の ICSthreat intelligence にアクセスできるようにしてください。
ネットワークの誤設定とプロセスの異常
最新のICS環境では、さまざまなサブシステムやコンポーネントが、運用を最適化するために接続されている。これは、システムの一部で発生した問題が、他のエリアに連鎖する可能性があることを意味します。ネットワークの一部でネットワークの誤設定やプロセスの異常が発生すると、すぐに広がって重要なプロセスに影響を与える可能性があります。
不適切なファイアウォールルールや安全でないデバイス設定などのネットワークの誤設定は、ICSの重要なコンポーネントを不注意に不正アクセスや不正操作にさらす可能性がある。同様に、通常のシステム動作からの予期せぬ逸脱を含むプロセスの異常は、産業プロセスを混乱させ、ダウンタイムを引き起こす可能性がある。
人々フィッシング、ソーシャルエンジニアリング、不満を持つ従業員
サイバー犯罪者は、基本的なフィッシングメールから複雑なソーシャルエンジニアリングのスキームまで、さまざまな手口を使って従業員を騙し、ログイン認証情報を明らかにさせ、ICSシステムに不正アクセスすることができる。
ICSシステムにアクセスできる不満を持った従業員や請負業者は、重大なセキュリティ・リスクをもたらす可能性がある。古いユーザー・アカウントを継続的にクリーンアップし、最小特権の原則を適用し、第三者ベンダーのアクセス後にシステムを抜き打ちチェックすることで、このリスクを低減することができます。
ICSサイバーセキュリティのベストプラクティス
1.ICS資産目録の作成
まず、継続的な監視ツールを使用して、ICS環境内のすべての資産の包括的なインベントリを作成することから始めます。資産を理解することが、資産を保護する第一歩です。適切な資産目録には、以下が含まれます:
ハードウェア
コントローラー、センサー、通信機器など、ICSネットワークに接続されているすべての機器を特定し、リストアップする。
ソフトウェアとファームウェア
産業用システムで実行されているすべてのソフトウェアとファームウェアのバージョンを文書化します。アップデートとパッチの追跡
コミュニケーションの流れ
デバイスとシステム間のデータの流れをマップする。サイバー脅威の潜在的な侵入口を特定する。
整備された資産目録が、効果的なリスク管理とサイバーセキュリティ対策の基礎を築く方法については、以下のガイドをご覧ください。
2.産業用継続的モニタリングの導入Networks
産業用ネットワークに継続的なモニタリングを導入することは、重要なインフラのセキュリティと完全性を維持するために非常に重要です。独自の ICS 環境に適した堅牢な監視ソリューションを選択します。ネットワーク・センサーとエンドポイント・モニタリング・ツールをネットワーク全体に戦略的に導入し、トラフィック・パターンと異常に関するリアルタイム・データを取得します。
継続的モニタリングの効果を確実にするためには、進化する脅威や脆弱性に対応しながら、モニタリングシステムを定期的に維持・更新することが不可欠です。継続的な監視をサイバーセキュリティ戦略の中核要素として確立することで、産業用ネットワークをプロアクティブに保護し、重要な資産をサイバー脅威から守ることができます。
3.定期的なICS脆弱性評価の実施
進化する脅威の状況やシステム変更の頻度などの要因を考慮し、組織のニーズに合わせた脆弱性評価スケジュールを確立する。ハードウェア、ソフトウェア、構成の脆弱性を特定するために、ICS 環境向けに設計された専用の脆弱性評価ツールや手法を活用する。Important vulnerabilities to focus on might include:
- パッチが適用されていないソフトウェア:アップデートやパッチが必要なソフトウェアやファームウェアを特定し、潜在的な影響に基づいて、パッチを適用するか緩和するかを決定する。
- 安全でない設定:デバイスやシステム構成にセキュリティ上の弱点がないか確認する。デフォルトのパスワードが変更され、不要なサービスが無効化され、アクセス制御が行われていることを確認する。
- 暗号化されていない通信:機器やシステム間で送信されるデータに対する暗号化の使用を評価する。
暗号化されていない通信:機器やシステム間で送信されるデータに対する暗号化の使用を評価する。
脆弱性が特定されたら、その潜在的な影響と可能性に基づいて、緩和策に優先順位をつける。これが実際にどのように行われるかについては、当社のビデオ「資産データを統合してセキュリティ・チームと運用チームを統合する」をご覧ください。
4.ICSのセグメント化Networks
産業用ネットワークのセグメンテーションは、サイバーセキュリティを強化するために不可欠な手法である。まず、最も重要な資産、すなわち「王冠の宝石」と潜在的な攻撃ベクトルを特定する。特定したら、これらの重要度レベルに基づいてネットワーク・セグメントを作成し、重要度の高い資産を重要度の低いシステムから分離します。ファイアウォール、アクセス制御、侵入検知システムを使用して、これらのセグメントを厳格に分離する。
また、セグメント間の通信を必要なデータフローのみに制限し、運用上のニーズの変化に適応できるよう、セグメンテーション設定を定期的に監視・更新する必要がある。また、ICSネットワーク・ゾーンがその通りに機能しているかどうかを検証できるテクノロジーを使用していることも確認してください。
ICSネットワークにセグメンテーションを導入する方法については、当社のブログ記事をお読みください。
5.定期的なサイバーセキュリティ研修の実施
ICS環境特有の課題やリスクに対応した包括的なトレーニングプログラムを策定する。定期的にワークショップやシミュレーションを実施し、フィッシング攻撃やソーシャルエンジニアリングの手口など、従業員が遭遇する可能性のある具体的な脅威に慣れさせる。
強固なパスワード管理、不審な行動の認識、セキュリティインシデントの報告の重要性を強調する。最終的には、従業員に警戒する文化を醸成することで、ICS における「人」の部分からの脅威を最小限に抑えることができる。
6.インシデントレスポンス計画の作成とテスト
まず、役割と責任を明確にした専任のインシデントレスポンスチームを編成し、コミュニケーション計画、封じ込め・根絶プロトコル、復旧手順など、セキュリティイベントが発生した場合に従うべき手順の概要を示す包括的なインシデントレスポンス計画を策定することから始める。
卓上演習やシミュレーションは、さまざまなシナリオで対応計画の有効性をテストし、チームがそれぞれの役割を練習し、インシデントレスポンススキルを向上させるのに最適な方法です。各演習の後には、徹底的なデブリーフィングを実施し、改善点を特定し、それに応じて計画を改善する。
ICSサイバーセキュリティの今後の動向
ICSセキュリティの未来は、それを永久に作り変えることになるいくつかの重要なトレンドによって特徴付けられる。以下はその動向である:
AIと機械学習
人工知能(AI)の統合は、脅威の検知と対応に革命をもたらし、ICS環境の予測分析とプロアクティブな保護を可能にする。
ブロックチェーン
ブロックチェーン技術は、ICSネットワーク内のデータの完全性、認証、安全な通信を強化する可能性を秘めている。
クラウド統合
ICSの機能の一部をクラウドに移行することは、拡張性と柔軟性をもたらすが、同時にセキュリティとプライバシーに関する新たな課題ももたらすことになる。
規制遵守
重要インフラ組織を対象としたサイバーセキュリティ規制は世界的に加速しており、より厳しく強制力のある基準が毎年発表されている。
私たちが暮らすデジタル社会は、重要な業務にあらゆる妨害の扉を開いている。重要インフラを保護することは、単なるコンプライアンスの問題ではなく、国家安全保障と公共の安全の問題です。強固なICSサイバーセキュリティ対策を実施し、新たな脅威やテクノロジーに関する情報を常に入手することで、組織は産業システムを保護し、私たちの生活様式を何世代にもわたって維持することができます。
