この記事は2024年11月13日に更新されました。
米国とカナダの電力会社に対する内部ネットワーク・セキュリティ・モニタリング(INSM)基準の施行に向けた長く曲がりくねった道のりは続き、そして広がっている。2024年9月19日、米連邦エネルギー規制委員会(FERC)は、北米電気信頼性公社(NERC)の重要インフラ保護(CIP)信頼性基準015-1の承認を求める提案規則作成通知(NOPR)を発表した。これが承認されると(T0)、米国とカナダ全土の影響力の大きい一括受電システム(BES)は36カ月以内に、外部ルーティング可能接続(ERC)を持つ影響力の中程度のBESは60カ月以内に、INSMを導入することになる。
この進展は、ユーティリティ企業を保護するには境界防御だけでは不十分であり、内部監視も必要であるという、我々がすでに知っていることを確固たるものにするものである。そのためFERCは、同じNOPRの中で、電子セキュリティ境界の外側にある電子アクセス制御または監視システム(EACMS)と物理アクセス制御システム(PACS)を含めるよう、INSMを拡張するようNERCに指示している。NERCは最終規則の発効日から12ヶ月以内に、「対応可能な改訂版」信頼性基準を提出する。
CIP-015-1の承認がほぼ確実となった今、ユーティリティ事業者は、INSMの拡張要件の詳細についてはまだ分かっていないものの、そろそろ着手すべき時期に来ている。この記事では、INSM を定義し、CIP-015-1 要件を要約し、継続的な内部ネットワーク・セキュリティ・モニタリング・ソリューションとして、Nozomi Networks プラットフォームがどのように対応するかを説明します。
内部ネットワークセキュリティモニタリングとは?
INSMは、信頼されたゾーン内のネットワークデバイスがどのように通信しているかを継続的に可視化し、そのゾーン内の悪意のあるアクティビティや異常なアクティビティを早期に検出できるようにします。このようなゾーン内に入ると、攻撃者はコマンドの実行やマルウェアの拡散のために、そのプロトコルを使用して標的となる資産と通信する必要がある。INSMはこのトラフィックを異常なものとして識別し、調査のためにフラグを立てる。
CIP-015-1のNERCFAQは、INSMの全機能を以下のように説明している:
...例えば、侵入検知システムや侵入防御システムのセンサーなど、INSMの機能を適切に配置、設定、調整することで、悪意のある活動を早期に検知・ブロックし、エンティティに侵害を警告することができる。INSMはまた、分析用のネットワークトラフィックを記録し、悪意のある活動をより的確に検知するためのベースラインを提供するために使用することもできる。ネットワークトラフィックのベースラインを確立することで、エンティティは、期待される正常なネットワーク・アクティビティとそうでないものを定義し、観測された異常なアクティビティがさらなる調査を必要とするかどうかを判断することができる。また、記録されたネットワークトラフィックを保持することで、タイムリーな復旧を促進したり、悪意のある活動の徹底的な事後分析を行ったりすることができます。
INSMを考えるもう一つの方法は、トラフィックの方向性という観点である。従来のネットワーク・モニタリング・ソリューションは、パデュー・レベルやファイアウォール間の南北トラフィックを監視するが、ゾーン内のデバイス間の通信は長い間盲点となっていた。INSMはこれを解決します。定義上、INSMはネットワーク・モニタリングのみを指すが、OT デバイス用に作られた安全で無停止のエージェントは効率的な補完物である。例えば Nozomi Arcエンドポイントセンサーは、ネットワークセンサーが実用的でなかったり、東西トラフィック、USBポート、ログファイル、ローカルネットワークトラフィック、ユーザーアクティビティを検出するには不十分であったりする、かつては到達不可能で監視されていなかった環境の領域を照らし出します。
NERC CIP-015-1 INSM要件とは?
NERC CIP-015-1は、重要なサイバー資産が存在するトラステッド・ゾーン(電子セキュリティ境界、ESPと呼ばれる)内のネットワークセキュリティ監視を義務付けている。侵入や悪意のある活動を検知し、進行中の攻撃を迅速に緩和する技術の導入を義務付けている。当初のFERC指令(ここでの言い換え)に従い、責任主体は以下のことを行わなければならない:
- 通信やプロトコルを含む、環境内のトラフィックネットワークのベースラインを作成する。
- 不正なアクティビティ、接続、デバイス、ソフトウェアを監視し、検出する。
- ネットワークトラフィックを記録し、ログを管理し、攻撃者が活動の証拠を削除するのを防ぐことによって、異常な活動を特定する。
新基準には、データの収集、保持、保護に関する3つの要件がある。Nozomi Networks プラットフォームがどのように役立つかを簡単に説明します。
R1: 責任主体は、責任主体の ESP 内において、影響度の高い BES サイバーシステム(BCS)および外部ルータ ブル接続(ERC)を有する影響度の中程度の BCS の内部ネットワークセキュリティ監視(INSM)のための 1 つ以上の文書化されたプロセスを実施し、異常または不正なネットワーク活動を検出する確率を高めるものとする。
ディスカッション INSMソリューションを導入する場合、責任ある事業者は、ネットワークのベースラインを決定するためにどのようなデータソースを収集するかを特定し、異常な活動を評価する基準を作成する必要がある。変電所内のベースラインと制御センターのベースラインは全く異なる。自動化されない限り、これは膨大な作業となる。
Nozomi : Nozomi Networks プラットフォームと実装アプローチは、技術的能力を提供し、要求される文書化成果物のインプットとなる複数の文書化要素を提供する。
継続的な内部監視ソリューションとして、当社のセンサーは、接続されたすべての資産を即座に検出し、お客様の環境で訓練された人工知能を使用して、ベースラインの動作を決定し、その後の異常を認識します。導入時には、数百の類似環境におけるベストプラクティスに基づいてシステムを構成し、誤検知を最小限に抑えることも可能です。
R1.1 接続、デバイス、ネットワーク通信を含むネットワーク活動を監視するために、ネットワークセキュリ ティリスクに基づいてネットワークデータ収集場所と方法を特定する。
Nozomi : 私たちの配備アプローチには、ネットワーク活動を監視する適切な場所を特定し、文書化する取り組みが含まれています。
R1.2 パート 1.1 で特定された場所で収集されたデータを使用して、異常なネットワーク活動を検出するための 1 つ以上の方法を実装する。
Nozomi : 当社のプラットフォームは継続的にネットワークを監視し、収集したデータを使用して悪意のある異常なネットワークアクティビティを検出します。
R1.3 第 1.2 部で検出された活動を評価し、適切な処置を決定するために、1 つ以上の方法を実施する。
Nozomi はどのように役立つのか: 当社のプラットフォームは、ネットワークグラフ、アセットとネットワーク情報、アラート(タイムラインと詳細)、ベースラインのフォレンジック比較、関連するメソッドを含むプレイブック、レスポンス、エスカレーションプロセスなど、検出されたアクティビティを評価して適切なアクションを決定するための複数の機能を提供します。
R2 責任主体は、要件R1をサポートするために収集されたINSMデータを保護するために、CIPの例外的状況下を除き、不正な削除または変更のリスクを軽減する、1つ以上の文書化されたプロセスを実施するものとする。
議論INSMデータの完全性を保護するために、責任者は他のシステムからデータを保護する既存のセキュリ ティ管理、すなわちシステムアクセスの制限、適切なセグメンテーション、多要素認証の導入な どを活用することができる。
Nozomi どのように役立つのか: 当社のプラットフォームは、調整可能な保存設定を提供し、すべてのデータを含むセンサーの画像を希望の場所にバックアップすることができます。
R3 責任主体は、CIPの例外的状況時を除き、要件R1のパート1.3の分析をサポートするために十分な詳細さおよび期間で収集されたネットワーク通信データおよびその他のメタデータを保持するために、1つ以上の文書化されたプロセスを実施するものとする。
議論CIP-015-1は客観的なものであり、規定的なものではないため、責任あるエンティティは、異常なトラフィックを評価するために必要な場合に利用可能であることを保証するために、どれだけのデータをどれだけの期間保持するかを自ら決定することができる。この場合も、インシデント調査のための既存のデータ保持ポリシーが適用され、価値の高いデータほど保持期間が長くなる。
Nozomi :当社のプラットフォームは、関連するシステム構成の詳細とレポートを提供し、必要なドキュメントをお知らせします。
INSMは電気事業者のセキュリティ・ギャップをどう埋めるか?
現行の NERC CIP 標準では、ESP に出入りするトラフィックの監視のみが要求されている。CIP-005-7 は、従来の侵入検知システムを使用して、電子アクセスポイントで電気通信システムを監視することを要求しており、CIP-007-6 は、特にアンチウイルスソフトウェアに関連している。どちらのソリューションも、重複トラフィックを悪質コードの既知のシグネチャと比較するシグネチャに依存している。しかし、少なくとも2018年以降、悪意のある行為者はシグネチャベースの防御による検出を回避するためにますます洗練された方法を使用するようになっています。いったんESPファイアウォールを迂回すれば、重要なサイバー資産にアクセスできるようになります。
シグネチャベースの方法とは異なり、INSMは実際の受信トラフィックを、予想されるアクティビティの確立されたベースラインと比較する。
ステークホルダーの課題とその対策
ビヘイビアベースの異常検知を導入することは、ユーティリティ企業がトラステッド・ゾーン内の重要なサイバー資産をよりよく保護するのに役立つ。また、様々な利害関係者に影響を与え、今から準備しておいた方がよい新たな課題を提示することになる。ここでは、それらの課題と推奨される戦略のスナップショットを紹介する。
NERC CIP規格を総合的に満たすNozomi Networks
CIP-015-1 は客観的な基準であり、規定的な基準ではないため、事業体は望ましい結果を得るために、選択した INSM の方法を実施することができる。Nozomi Networks プラットフォームは、INSM を含む技術を必要とする NERC CIP サイバーセキュリティ規格をサポートしています。
Nozomi Networks :
- 資産の可視性と脆弱性評価:自動化された資産識別により、時間を節約し、ICSとその関連資産を一元的に把握することができます。包括的な脆弱性分析は、修復ステップ、パッチ、アップグレードに関する実用的な洞察により、優先順位付けされた効率的なリスク低減の取り組みをサポートします。
- ネットワーク監視と脅威検知:AI主導のネットワーク監視と脅威検知により、重要な資産が存在する信頼されたゾーン内を含め、CIPネットワーク環境における異常なアクティビティを迅速に特定します。
- ダッシュボードとレポート: ダッシュボード、クエリ機能、フォレンジックツールは、根本原因を特定し、インシデント対応活動を強化し、NERC CIP報告要件を促進します。
Nozomi Networks ' ソリューションがNERC CIPコンプライアンス要件をどのようにサポートするかについては、以下のマッピングガイドをダウンロードしてください。
