本記事は、同名のウェビナーシリーズのハイライトをまとめたブログシリーズの一環です。このウェビナーシリーズでは、業界の専門家たちが、公益事業者が内部ネットワークセキュリティ監視(INSM)プログラムを構築する過程で得た知見や現場での教訓を共有しています。本シリーズの第3回では、INSM導入において最も実践的かつ議論の多いトピックの一つである、「センサーの配置とネットワークデータフィード」に焦点を当てました。今回は、この分野の専門家2名をゲストにお迎えしました: ウィル・エドワーズ氏(CISSP、PE、シュヴァイツァー・エンジニアリング・ラボラトリーズ サイバーサービス部門責任者)と ニコラス・ヤノウスコベック氏(エマーソン社 グローバルサイバーセキュリティ製品マーケティングマネージャー)です。
公益事業者がNERC CIP-015に基づきINSMの計画段階から実行段階へと移行する中で、常に浮上する疑問があります。それは、「どこを監視すべきか、そしてどのようなデータを収集すべきか」ということです。
要約すると、唯一の「正解」となる設計というものはありませんが、リスク、運用、規制の趣旨に基づいた、妥当な戦略は存在します。以下に、意思決定の指針となる重要な考慮事項を挙げます。
NERC CIP-015においてセンサーの設置場所が重要な理由
このトピックは、リスクに基づいたネットワークデータフィードの収集を求めるCIP-015-1の最初の要件に該当します。その期待される内容は明確ですが、意図的に具体的な指示は含まれていません:
要件 R1、第1.1項:ネットワークセキュリティ上のリスクに基づき、接続、デバイス、およびネットワーク通信を含むネットワーク活動を監視するための、データ収集の場所および方法を特定すること。
その柔軟性は、メリットであると同時に課題でもあります。電力会社に対して、センサーをどこに設置すべきか、あるいはどのデータソースを取り込むべきかといった具体的な指示は出されていません。その代わりに、電力会社には以下のことが求められています:
- 監視戦略を策定する
- その根拠を文書化する
- 継続して使用してください
- コンプライアンス遵守の証拠を収集する
- 監査の際にそれを説明できるようにしておく
NERC CIP-015 における一般的なデータ収集戦略の検討
当社が提携する公益事業会社全体を見渡すと、3つの主なアプローチが繰り返し見受けられます。
1. 「すべてを集めよう」(制限あり)
特にコントロールセンターにおいては、多くの組織が広範なデータ収集戦略から着手し、集約ポイントにセンサーを設置して、可能な限り多くのデータを収集しています。
実際には、「すべて収集する」という方針は、すぐに「すべて収集する……ただし、価値の低いデータは除く」という形に変わってしまいます。
よく除外される例としては、次のようなものがあります:
- セキュリティ上の価値が限定的な暗号化バックアップ
- 大量の動画データやカメラからのトラフィック
- 冗長なブロードキャストまたはマルチキャストデータ
このアプローチは初期段階の意思決定を簡素化できますが、それでもその根拠を文書化する必要があります。
2. 衝撃に基づくセンサー配置
影響度に基づく戦略では、運用上の影響が最も大きい箇所に監視の重点を置きます。多くの公益事業者はすでに、CIP-002の影響度評価を活用することで、この取り組みの基盤を築いています。
一般的な優先度の高い分野には、次のようなものがあります:
- 技術および管理用ワークステーション
- SCADA/EMSサーバーおよびオペレーター用ワークステーション
- Jumpホストおよびその他の電子アクセス制御・監視システム(EACMS)
- BESサイバーシステムを支える中核インフラ
影響度は単なるコンプライアンス上の分類に留まらないことを理解することが重要です。特に発電分野では、個々に見れば影響度の低い資産であっても、全体として捉えると、高い運用リスクや連鎖的なリスクを引き起こす可能性があることがわかります。
3. 脅威に基づくセンサーの配置
脅威ベースの戦略では、攻撃者が実際にどのように行動するかを踏まえ、現実的なOT 経路に沿ってセンサーを設置します。「何が最も重要か」と問うのではなく、このアプローチでは次のように問いかけます:
- 最初のアクセスはどこで行われるのでしょうか?
- 横方向の動きはどこで起こるのでしょうか?
- 攻撃者はどこで変更を実行したり、影響を与えたりできるだろうか?
代表的なボトルネックには、次のようなものがあります:
- OT 経路
- イースト・ウエスト・トラフィックを処理するコアスイッチ
- ロジックやファームウェアの変更が行われるエンジニアリング用ワークステーション
- BESに直接接続されたSCADAおよび制御サーバーへの影響
過去の攻撃事例のみに依存することには、明らかなリスクが伴います。なぜなら、過去が必ずしも未来を予測するとは限らないからです。攻撃者は常に手口を変え、目立つ脆弱性ではなく、正当なツールや認証情報を悪用することが多いため、脅威モデルも進化させなければなりません。
先月、医療技術大手のストライカー社に対する攻撃が好例だ。イランと関連があるとされるハクティビスト集団「ハンダラ」は、正規の管理コマンドを利用して、Microsoft Intuneに登録されていた20万台以上のデバイスからデータを消去し、ストライカー社の業務を世界規模で停止させた。それまで、Intuneのリモートワイプ機能を攻撃の一環として大規模に悪用することなど、誰も想定していなかった。
実際には、成熟したプログラムの多くは、影響ベースのアプローチと脅威ベースのアプローチを組み合わせています。
「内容」の定義:INSMデータフィード
監視対象とするデータフィードの選定にも、同様の微妙な違いがあります。CIP-015が指すのは、単なるパケットキャプチャ(PCAP)やトラフィックフィードではなく、高価値なデータフィードです。この区別は重要です。 その好例が、通常は暗号化されている人間と機械間の通信です。誰かがオートメーションコントローラにログインしてユーザーを追加した場合、そのトラフィックは監視ソリューション上ではあまり明確に表示されないかもしれません。しかし、そのデバイスからのログを組み合わせることで、特定の瞬間にユーザーが追加されたことがはっきりと分かります。こうしたログを収集することで、トラフィックデータだけでは得られない検知が可能になります。
一般的なデータフィードの種類には、次のようなものがあります:
- ネットワークトラフィックのキャプチャ(PCAP):調査および監査証拠として最高レベルの忠実度
- ネットワークフローのメタデータ:オーバーヘッドを抑えつつ、拡張性の高い可視性を実現
- ログデータ:ファイアウォール、スイッチ、認証システム、コントローラー、エンドポイントから得られる詳細なデータであり、情報の充実や相関分析に活用できる
ペイロードレベルに至るまでのトラフィックの完全な可視性は、依然としてゴールドスタンダードであり、調査において不可欠な要素です。ログには、パケット検査だけでは把握できないユーザーの操作、設定の変更、暗号化されたアクティビティなどが記録されていることがよくあります。メタデータは大規模な統計的概要を提供できますが、通常、それだけではプログラムの要件を満たすほどの詳細度を確保できません。優れたプログラムでは、信頼性の高い監視体制を構築するために、意図的に複数のデータソースを組み合わせています。要するに、データに記録されていないことは、起こらなかったのと同じなのです。
「方法」の定義:回収の仕組み
どのようなデータを収集するかと同じくらい、その収集方法も重要です。一般的な手法としては、次のようなものがあります:
- ネットワークTAPとSPAN/RSPAN/ERSPAN
- NetFlow、sFlow、IPFIXなどのフローエクスポート
- ソフトウェア定義ネットワーク(SDN)のテレメトリ
- 仮想化環境やコンテナ環境を含む、エンドポイントベースのデータ収集
- SIEM、資産管理システム、およびベンダープラットフォームとの連携
繰り返しになりますが、万能なセンサーやセンサーの導入手法など存在しません。重要なのは、収集方法を環境に合わせて調整することです。従来の変電所、最新の制御センター、分散型発電施設では、それぞれ全く異なるアプローチが必要となる場合が少なくありません。
データ収集におけるソフトウェア定義ネットワーク(SDN)のメリット
特に化石燃料発電の古い発電施設では、こうしたネットワークの多くが長年運用されてきました。ポートミラーリングのために新たな回線を構築したり追加したりするには、時間と費用がかかります。SDNのような代替アプローチは、非常に有益となる可能性があります。
SELは、公益事業向けSDNのリーダー企業であり、接続されたすべてのデバイスとトラフィックに対して「デフォルトで拒否」というアプローチを採用しています。この出発点に基づき、組織は、どのトラフィックをキャプチャするか、また特定のデバイス間通信や人とデバイスの間の通信をどのように管理するかを、ソフトウェアで定義することができます。 発電施設では、開閉装置、プロセス制御、およびネットワークのさまざまな分散要素が対象となります。センサーの配置という観点から見ると、データやトラフィックを取得したい場所が20~30カ所あるかもしれません。SDNを利用すれば、実質的に「接続ケーブル」を1つのスイッチまたはスイッチ群へと集約し、そのトラフィックを集中型センサーに集約することができます。このアプローチは、特に分散環境において、経済的かつ省スペースな解決策となります。
センサー配置の現実検証:実際に歩いて確認する
センサーの設置場所を検討する際、技術的な観点から言えば、最も重要なステップは現場視察です。
紙の上では、センサーの配置はすっきりとしていて理にかなっているように見えることが多い。しかし実際には:
- 電力が利用できない場合があります
- スイッチポートがすでに使用されている可能性があります
- ケーブルの配線は現実的ではないかもしれない
- 帯域幅の制約は、後になって明らかになることがある
- 古い設備は、現在の図面とは異なる場合があります
大規模なプロジェクトでは、監視システムを導入する前に、かなりの割合のサイトに対して是正措置が必要であることがよく判明します。実際に現場を回り、何が必要かを自分の目で確認し、その作業に十分な時間を確保しなければなりません。
これは失敗ではなく、ごく普通のことだ。しかし、これこそが、スケジュールを立てる際には現実的な制約を考慮に入れなければならない理由を改めて示している。
理念がプログラムの原動力となる
NERC CIP-015に基づき、規制対象事業者は、監視対象の内容(その方法と理由の両方)を説明する、文書化されたリスクベースの根拠を用いて、ネットワークデータフィードを実装しなければならない。
正当性のあるINSM戦略には、以下の6つの要素が必要である:
- データ収集の明確な根拠
- 明確に策定された収集方針
- 各環境に合わせたセンサーの配置
- 要件1.1に直接関連する書面による根拠
- 政策の整合性を裏付ける証拠
- 定期的な見直し(少なくとも年1回、および環境の変化があった場合は随時)
CIP-015 INSMは、一度きりの設計作業ではありません。これは、脅威やアーキテクチャ、規制当局の期待が変化するにつれて進化し続ける、生きたプログラムです。NERCはこうした理由から、INSMの実施方法について単一の方法を規定することを意図的に避けています。各電力事業者は、規模、アーキテクチャ、成熟度、リスクプロファイルにおいてあまりにも大きく異なるため、画一的な解決策は適用できないからです。
重要なのは、2つの公益事業者がまったく同じ監視アーキテクチャを設計するかどうかではなく、それぞれが自らの判断を明確に説明し、正当化できるかどうかである。
CIP-015の下で最も成功を収める組織とは、次のような組織です:
- 早めに始めましょう
- 意図的にデザインする
- 徹底的に記録する
- 前提条件を頻繁に見直しましょう
どこから手をつければよいか迷っているなら、現場からのメッセージは明確です。「なぜ」から始め、それを指針として「どこで」と「どのように」を決めるのです。
この記事では、SELやエマーソンの同僚たちと私がこのエピソードで共有した内容のほんの一部に触れたに過ぎません。まだご覧になっていない方は、ぜひ全編のアーカイブ動画をご覧になり、このシリーズの残りのエピソードにもご登録ください。これらの学びを皆様の具体的な環境にどう活かせるかについて話し合いたい場合は、お気軽にお問い合わせください。
.webp)
