この記事は2024年11月13日に更新されました。
米国およびカナダの電力会社を対象とした内部ネットワークセキュリティ監視(INSM)基準の施行に向けた長い曲がりくねった道のりは、今も続いており、さらに広がりを見せています。2024年9月19日、FERC (連邦エネルギー規制委員会) は、NERC (北米電力信頼性評議会) の CIP (重要インフラ保護) 信頼性基準015-1の承認を求める提案規則作成通知 (NOPR) を発表しました。承認されれば (T0)、米国およびカナダのすべての BES (高影響バルク電力システム) は36ヶ月以内に INSM を導入することになり、ERC (外部ルーティング接続性) を持つ中程度の影響の BES は 60ヶ月以内に導入することになります。
この動きは、すでに私たちが知っていることを確固たるものにします。すなわち、公益事業を保護するには、外部の防衛だけでは不十分であり、内部の監視も必要であるということです。そのため、FERCは、同じNOPRの中で、NERCに対し、電子アクセス制御または監視システム (EACMS) と物理アクセス制御システム (PACS) を含めるよう、INSM を拡張するよう指示しています。NERC は最終規則の発効日から 12ヶ月以内に、「対応可能な改訂版」信頼性基準を提出します。
INSM の拡張要件の詳細はまだ明らかになっていませんが、CIP-015-1 の承認により、ほぼ確実であるため、ユーティリティ事業者は対応を開始すべき時期に来ています。本記事では、INSM を定義し、CIP-015-1 の要件をまとめ、継続的な内部ネットワークセキュリティ監視ソリューションとして、Nozomi Networks プラットフォームがそれらに対応する方法を説明します。
INSM (内部ネットワークセキュリティモニタリング) とは?
INSM は、信頼されたゾーン内のネットワーク化されたデバイスが互いにどのように通信しているかを継続的に可視化し、そのゾーン内の悪意のある、あるいは異常な活動を早期に検出できるようにします。そのようなゾーン内に侵入した攻撃者は、コマンドを実行したりマルウェアを拡散したりするために、標的の資産と攻撃者のプロトコルを使用して通信する必要があります。INSM は、このトラフィックを異常なものと識別し、調査のためにフラグを立てます。
CIP-015-1のNERCFAQは、INSMの全機能を以下のように説明しています。
...たとえば、侵入検知システムや侵入防止システムセンサーなどの INSM 機能を適切に配置、設定、調整すれば、悪意のある活動を早期に検知および/またはブロックし、侵害されたエンティティに警告することができます。また、INSM はネットワークトラフィックを記録して分析を行うこともでき、これにより、企業は悪意のある活動をより正確に検出するための基準値を得ることができます。基準となるネットワークトラフィックを確立することで、企業は通常のネットワーク活動とそうでないものを定義し、観測された異常な活動がさらなる調査を必要とするかどうかを判断することができます。記録されたネットワークトラフィックは、迅速な復旧を促進したり、悪意のある活動に関する事後分析を徹底的に行うために保持しておくこともできます。
INSM を別の観点から捉えると、交通整理の観点から考えることができます。従来のネットワーク監視ソリューションは、パデューレベル間やファイアウォール間のノースサウス方向のトラフィックを監視しますが、ゾーン内のデバイス間の通信は長らく盲点となっていました。INSMは、この問題を解決します。INSM は定義上、ネットワーク監視のみを指しますが、OT デバイス専用に構築された安全で非破壊的なエージェントは、効率的な補完手段となります。たとえば、 Nozomi Arcエンドポイントセンサーは、ネットワークセンサーが実用的でない、あるいはイーストウェストトラフィック、USBポート、ログファイル、ローカルネットワークトラフィック、ユーザーアクティビティを検出するには不十分であるなど、これまで到達できず、監視できなかった環境の領域を明らかにします。
NERC CIP-015-1 INSM要件とは?
NERC CIP-015-1 は、重要なサイバー資産が存在する信頼されたゾーン (電子保安境界、ESP) 内でのネットワークセキュリティ監視を義務づけています。また、進行中の攻撃の緩和を迅速に行うために、侵入や悪意のある活動を検知できる技術の導入を義務付けています。FERCの当初の指令 (以下に要約) に従い、責任を有する事業体は、以下のことを行う必要があります。
- 環境内の通信ネットワークのベースラインを開発し、通信とプロトコルを含めます。
- 許可されていないアクティビティ、接続、デバイス、ソフトウェアを監視および検出します。
- ネットワークトラフィックのログを記録し、ログを維持し、攻撃者がその活動の証拠を削除するのを防ぐことで、異常な活動を特定します。
新しい標準では、データ収集、保持、保護に関して 3つの要件が定められています。以下に、要件、その意味と方法についての簡単な説明、および Nozomi Networks プラットフォームがどのように役立つかを示します。
R1: 責任事業体は、影響度の高い BCS (BES サイバーシステム) および影響度が中程度の ERC (外部ルーティング接続性) を持つ BCS について、責任事業体の ESP 内で INSM (内部ネットワークセキュリティ監視) のためのひとつ以上の文書化されたプロセスを実施し、異常または不正なネットワーク活動を検出する確率を高めるものとします。
ディスカッション:INSM ソリューションを導入する際には、責任を負う組織は、ネットワークのベースラインを決定し、異常な活動を評価するための基準を策定するために、どのようなデータソースを収集するかを特定する必要があります。変電所内のベースラインは、コントロールセンターのベースラインとは大きく異なるでしょう。自動化しない限り、膨大な作業量となります。
Nozomi : Nozomi Networks プラットフォームと実装アプローチは、技術的能力を提供し、要求される文書化成果物のインプットとなる複数の文書化要素を提供する。
継続的な内部モニタリングソリューションとして、当社のセンサーは接続されたすべての資産を即座に検出し、お客様の環境で訓練された人工知能を使用してベースラインの動作を決定し、その後、異常を認識します。導入時には、誤検知を最小限に抑えるために、同様の環境におけるベストプラクティスに基づいてシステムを構成することも可能です。
R1.1 接続、デバイス、ネットワーク通信を含むネットワークアクティビティを監視するために、ネットワークセキュリティリスクに基づいて、ネットワークデータ収集の場所と方法を特定します。
Nozomi : 私たちの配備アプローチには、ネットワーク活動を監視する適切な場所を特定し、文書化する取り組みが含まれています。
R1.2 第1.1項で特定された場所で収集されたデータを使用して、異常なネットワーク活動を検出する1つまたは複数の方法を実施
Nozomi Networks ができること : 当社のプラットフォームは、収集したデータを使用して、悪意のある異常なネットワーク活動を検知するために、ネットワークを継続的に監視しています。
R1.3 第1.2項で検出された活動を評価し、適切な行動を決定するためのひとつ以上の方法を導入
Nozomi Networks ができること: 当社のプラットフォームは、検出されたアクティビティを評価し、適切な対応を決定するために、ネットワークグラフ、資産およびネットワーク情報、アラート (タイムラインおよび詳細)、フォレンジック比較によるベースライン、関連する手法を含むプレイブック、対応およびエスカレーションプロセスなど、複数の機能を提供します。
R2 責任事業体は、CIP の例外的な状況を除き、要件 R1 をサポートするために収集された INSM データを、不正な削除または変更のリスクを軽減するために、ひとつ以上の文書化されたプロセスを実施して保護しなければなりません。
議論:INSM データの完全性を保護するために、責任者は他のシステムからデータを保護する既存のセキュリティ管理を活用することができます。すなわち、システムへのアクセス制限、適切なセグメント化、多要素認証の適用などです。推奨される管理は、初期のシステム構成時に実装することができます。
Nozomi Networks ができること: 当社のプラットフォームは、調整可能な保存設定を提供し、すべてのデータを含むセンサーの画像を希望の場所にバックアップすることができます。
R3 責任事業体は、CIP 例外状況を除き、要件 R1、パート 1.3 の分析をサポートするために、十分な詳細性と期間で収集されたネットワーク通信データおよびその他のメタデータを保持するための1つまたは複数の文書化されたプロセスを実施しなければなりません。
議論: CIP-015-1 は客観的であり、規定するものではないため、責任ある事業体は、異常なトラフィックを評価する必要が生じた場合に備えて、どの程度のデータをどのくらいの期間保持すべきかを独自に決定することができます。この場合も、インシデント調査のための既存のデータ保持ポリシーを適用することができ、より価値の高いデータについてはより長い保持期間を設定することができます。
Nozomi Networks ができること:当社のプラットフォームは、関連するシステム構成の詳細とレポートを提供し、必要なドキュメントをお知らせします。
INSM は電気事業者のセキュリティギャップをどう埋めるか?
現行の NERC CIP 標準では、ESP に出入りするトラフィックの監視のみが要求されている。CIP-005-7 は、従来の侵入検知システムを使用して、電子アクセスポイントで電気通信システムを監視することを要求しており、CIP-007-6 は、特にアンチウイルスソフトウェアに関連している。どちらのソリューションも、重複トラフィックを悪質コードの既知のシグネチャと比較するシグネチャに依存している。しかし、少なくとも2018年以降、悪意のある行為者はシグネチャベースの防御による検出を回避するためにますます洗練された方法を使用するようになっています。いったんESPファイアウォールを迂回すれば、重要なサイバー資産にアクセスできるようになります。
シグネチャベースの方法とは異なり、INSMは実際の受信トラフィックを、予想されるアクティビティの確立されたベースラインと比較する。
ステークホルダーの課題とその対策
振る舞いベースの異常検知を導入することで、信頼されたゾーン内の重要なサイバー資産をより適切に保護できるようになります。また、さまざまな利害関係者にも影響を及ぼし、今から備えておくべき新たな課題を提起することにもなるでしょう。以下では、それらの課題と推奨される戦略について概説します。
NERC CIP規格を総合的に満たすNozomi Networks
CIP-015-1 は客観的な基準であり、規定的な基準ではないため、事業体は望ましい結果を得るために、選択した INSM の方法を実施することができる。Nozomi Networks プラットフォームは、INSM を含む技術を必要とする NERC CIP サイバーセキュリティ規格をサポートしています。
Nozomi Networks :
- 資産の可視性と脆弱性評価:自動化された資産識別により、時間を節約し、ICS とその関連資産の集中管理を実現します。包括的な脆弱性分析により、修正手順、パッチ、アップグレードに関する実用的な洞察に基づく優先順位付けされた効率的なリスク低減活動をサポートします。
- ネットワーク監視と脅威検知:AI 主導のネットワーク監視と脅威検出が、重要な資産が存在する信頼されたゾーンを含め、CIP ネットワーク化された環境におけるあらゆる異常な活動を迅速に特定
- ダッシュボードとレポート: NERC CIP コンテンツパックは、チームが監査人に対して迅速にコンプライアンスを実証するのに役立ちます。ダッシュボード、クエリ機能、フォレンジックツールにより、根本原因を特定し、インシデント対応の取り組みを強化して、NERC CIP の報告要件に対応しています。
Nozomi Networks のソリューションがNERC CIPコンプライアンス要件をどのようにサポートするかについては、以下のマッピングガイドをダウンロードしてください。
