この記事は2019年8月5日に更新されました。
石油・ガスの中流市場で事業を展開する企業は、インフラの安全確保という大きな課題に直面している。
例えば、パイプラインは田園地帯の広大な距離をカバーし、それぞれのパイプラインを利用する生産者は1,000社にも及ぶ。加えて、カストディー・トランスファー・ポイントでは、異なる会社が所有し、異なるセキュリティ慣行がある機器が使用される。
最近まで、パイプライン・オペレーターは、顧客が自社のラインに接続する機器に対して強固なセキュリティ・ポリシーを持っていることを信頼するしかなかった。
産業用サイバーセキュリティ・リスクを管理するための第一歩は、パイプライン・システム上でどのような技術、機器、ネットワークが稼働しているかを知ることである。その情報が利用できるようになれば、オペレーターは、何が起きているのか、特にどのような変化が起きているのかをリアルタイムで見て理解できるようにする必要があります。
リアルタイムの可視化とサイバー・セキュリティソリューションが、パイプラインのインフラをどのように理解し、サイバー脅威がないか監視しているかを示す、実際のシナリオを見てみよう。
未発見のサイバー攻撃がフロー価値と株価に影響
石油・ガスの中流事業の安全確保という課題を理解するために、ちょうど10年前に起こったシナリオを考えてみよう。北米で石油とガスを輸送する多目的パイプラインが、製油所に到達する生産量に関連する配分の問題を抱えていた。
製油所のスタッフは生産者にこう言った。"あなたが報告しているものは、私たちが計量したものではありません。関係する企業は上場していたため、その食い違いは報告されなければならなかった。このニュースは株価に悪影響を与えた。
配分の問題をきっかけに深く調査したところ、それぞれの配分の問題は比較的小さなものであったが、時間の経過とともに積み重なり、生産量に大きな影響を及ぼしていた。さらに、ランダムではない興味深いパターンが明らかになった。
結局、問題の原因は、外国企業による実生産値の計画的操作であることが判明した。彼らがパイプライン・システムにアクセスできたのは、フロー・コンピューターを設置したベンダーがデフォルトのパスワードを変更せず、そのコンピューターがインターネット上でアクセス可能だったからである。
パイプライン組織は、インターネットに接続された機器があることも、フロー値が操作されていることも知らなかった。
運用の可視性が欠如していたため、重大なサイバー攻撃が長期間発見されず、複数の組織の株価が下落した。その一方で、脅威の主体は株式を空売りすることで大きな金銭的利益を得た。
リアルタイムの可視性を提供する新しいソリューションがサイバーセキュリティの鍵となる
今日、パイプラインの運用可視性、信頼性、サイバーセキュリティを劇的に改善する、導入が容易なOT セキュリティソリューションがある。
完全にパッシブな方法で機能し、ネットワークにパケットを注入することなく、ネットワークトラフィックをコピーして分析する。最も一般的にはネットワーク・アプライアンスとして導入され、パイプライン上のスイッチやルーターのSPANまたはミラー・ポートに接続される。
アプライアンス上のアプリケーションは、ネットワークトラフィックを観察し、パイプラインのネットワークと運用動作のモデルを構築し、機械学習と人工知能(AI)を採用して今日の複雑なシステムに対処する。
ネットワーク・モニタリング・アプリケーションの実装には、学習フェーズと運用保護モードの2つのフェーズがある。インストール後、アプリケーションは迅速にシステムを学習し、運用上またはサイバーセキュリティ上の問題を示す可能性のある変化を検出し始めます。
資産、トラフィックのスループット、TCP接続、ノード間やゾーン間で使用されているプロトコルなどを表示するネットワークのリアルタイム可視化により、オペレーターはすぐにメリットを実感できます。
実世界のシナリオ産業用ネットワークに存在するマルウェアの検出
産業組織が最も懸念している脅威の1つであるマルウェアについて考えてみましょう。このようなマルウェアが産業用ネットワークに存在するかどうか、あなたの組織は知っていますか?
多くの企業は知らないだろう。これは、Nozomi Networks ' ICS可視化ソリューションをテストするために概念実証(PoC)を実行したパイプライン事業者のケースであった。アプライアンスをネットワークに接続して数分も経たないうちに、マルウェアのアラートが発生した。
Nozomi Networks Guardian アプライアンスをインストールしてから数分以内に、Dragonfly 2.0 マルウェアのマルウェアアラートが生成されました。
オペレーターが最初に尋ねたのは、"これは偽陽性なのか?"ということだった。しかし、いくつかの要因がこの所見が真実であることを示していた:
- 問題のオートメーション・システムには脆弱性があった。
- マルウェアを持つことが確認されたコンピューターは、インターネットに公開されていた。
- 問題のコンピューターは、企業ネットワークと制御システムのネットワークに接続されていた。
あらゆることを考慮すると、マルウェアの発見は有効だと思われたが、オペレーターはどう確信したのだろうか?
当社のシステム・エンジニアの指導を受け、この組織はさらに深く掘り下げ始めました。幸いなことに、当社のモニタリング・ソリューションには、さらなる分析をサポートするデータとツールがありました。さらなる検証には以下が含まれる:
結果を生成したルールの品質チェック。 Dragonflyマルウェアを特定したルールは、US-CERTコード分析チームによって提供されたものであり、ルールとマルウェア検出に対する信頼につながりました。
ルールによってキャプチャされたURLを見てください。強力なクエリツールの助けを借りて、オペレーターはキャプチャされたURLが疑わしいものであることを確認し、マルウェア発見が有効であることを証明しました。
システム上でマルウェアが検出されたことを示すすべての兆候があったため、PoCテストの直接的な結果は、インシデントレスポンスの取り組みを開始することでした。ICS可視化とサイバー・セキュリティソリューションは、マルウェアの存在を特定しただけでなく、フォレンジック・ツールとデータを提供し、分析と対応を迅速化しました。
このシナリオの詳細については、以下のホワイトペーパーを参照されたい。
パイプラインの運用可視化でサイバーセキュリティも向上
それを守る前に、自分が何を持っているかを見て知る必要がある。
長距離パイプラインのようなSCADAシステムのネットワークとアセットインフラストラクチャを正確に文書化することは、以前は時間がかかり、特に最新の状態を維持することが困難でした。現在では、技術の進歩のおかげで、自動的にリアルタイムのネットワーク可視化と資産発見を提供するパッシブ産業用ネットワーク監視を簡単に実装できるようになりました。
また、同じソリューションを使って、運用上の問題だけでなく、サイバーセキュリティのインシデントも早期発見できるのも素晴らしい点だ。
ミッドストリーム・オペレーターであれば、ネットワークの可視化、モニタリング、サイバー・セキュリティソリューションを調査することで大きな利益を得ることができます。以下のホワイトペーパーをお読みいただき、これらのソリューションの導入がいかに簡単で、可視性、運用信頼性、石油・ガスのサイバーセキュリティをいかに迅速に向上させるかをご確認ください。
