パイプライン事業者は、不確実性が高まる中、デジタル・インフラを強化し、サイバー耐性を構築するために必要な措置を講じている。誰に尋ねるかにもよるが、彼らが依存しているほぼすべてのデジタルコンポーネントが、何らかの形で潜在的なリスクにさらされている。所有者や事業者は、サイバーインシデントが業務に影響を及ぼした場合に連鎖的な影響が生じる可能性があることを認識しているものの、企業や利害関係者は、潜在的な影響に備えるのではなく、セキュリティインシデントに対応することがまだほとんどです。
重要な資源、製品、サービスが広範囲かつ長期にわたって中断、停止、または破壊されるリスクには、早急な注意と継続的な対策が必要である。そのため、TSAは最近、パイプラインおよび液化天然ガス施設の所有者および運営者向けの新しいガイダンスと要件を発表した。
規制は、ダイナミックに成長する脅威の状況を考えると、陳腐化しない程度に曖昧でなければならないが、一方で組織の遵守能力を低下させるような過剰な規定であってはならない。
このブログでは、こうしたリスクに確実に対処するために策定された最新のTSAガイドラインの概要を紹介し、事業者が長期的な成功を収めるための計画を立てる際の指針を示す。
今日のパイプラインのリスクと要件
最近では、物理的なオペレーションを標的にする国家的な能力が増加している。OT 脆弱性はITネットワークの日和見的なプロービングに含まれ、USB攻撃は産業界を悩ませ続け、インサイダー脅威のシナリオは彼らの環境におけるサイバーセキュリティの脅威のトップであり続けている。
石油・ガスパイプラインに関しては、さまざまなサイバーシナリオによって、計画外の停止やメンテナンスに何百万ドルものコストがかかる可能性があり、復旧や修復を含めるとコストは急増する。上位のリスクは、以下のようなもので、常に変化している:
- 安全でない、乗っ取られたリモート接続
- セキュリティを考慮せずに設計されたシステムにはよく知られた脆弱性があり、パッチが提供されていないものや、分離やアップデートが困難なものもある。
- インターネット接続および企業/エンタープライズ・ネットワークに接続された制御システム
- オンラインおよび印刷物で入手可能な制御システムの技術仕様の普及
TSAは最近、パイプラインおよび液化天然ガス施設の所有者および運営者向けの新しいガイダンスと要件を発表した:
- ネットワーク・セグメンテーション・ポリシーとコントロールを策定し、情報技術システムが侵害された場合でも運用技術システムが安全に運用を継続できるようにする;
- 重要なサイバーシステムへの不正アクセスを安全かつ防止するためのアクセス制御手段を構築する;
- サイバーセキュリティの脅威を検知し、重要なサイバーシステムの運用に影響を及ぼす異常を修正するための、継続的な監視と検知の方針と手順を構築する。
- 重要なサイバー・システムのオペレーティングシステム、アプリケーション、ドライバ、ファームウェアのセキュリティ・パッチとアップデートを、リスクに応じた方法で適時に適用することにより、パッチ未適用のシステムが悪用されるリスクを低減する。
また、パイプラインの所有者および運営者は、次のことを義務付けられている:
- パイプラインの所有者と運営者が、セキュリティ指令で定められたセキュリティの成果を達成するために利用する具体的なサイバーセキュリティ対策を記載した、TSA承認のサイバーセキュリティ実施計画を策定し、実行する。
- サイバーセキュリティインシデントレスポンス計画を策定し、維持する。この計画には、サイ バーセキュリティインシデントによって業務が中断したり、業務が著しく低下した場合に、パイプライ ンの所有者と運営者が取るべき対策が含まれている。
- サイバーセキュリティ対策の有効性を積極的にテストし、定期的に監査し、機器、ネットワーク、システム内の脆弱性を特定して解決するためのサイバーセキュリティ評価プログラムを確立する。
重要なインシデントを報告することは重要だが、新しいガイダンスの中で最も良い提案は、計画を作成するだけでなく、計画を定期的に(早期に、頻繁に)テストすることである。このためには、他の多くの要件、特にインシデントや緊急事態が発生した場合の連絡手順を作成する必要があるサイバーセキュリティの連絡窓口を実施する必要がある。
更新された要件はまた、安全性と事業継続性を損なうことなく、これらの優先事項に合わせてサイバーセキュリティの準備と回復力を柔軟に設定することを認めている。また、多くのエンドユーザが監査フォームのチェックボックスにチェックを入れるために奔走するような杓子定規なガイダンスを避け、包括的なパスワード、バックアップ、リカバリポリシーのような重要な意思決定に情報を提供する。
コーディネータは、トレーニングの実施、ストレステスト計画の策定、セキュリティ投資とプロセスのROIの長期的な実証などに取り組む必要がある。短期的には、幅広い利害関係者を巻き込みながら、サイバーインシデントがいつでも発生することを想定して計画を立てなければならない。他の大規模な攻撃から学んだように、組織の最も弱いリンクは、事業運営にとって重要なITシステムかもしれない。また、侵害されたサイバー・フィジカル・システムであったり、リモートアクセスや不必要なインターネット接続を可能にする業務コンポーネントへの広範なアクセスであったりすることもある。
資産所有者は、問題の原因が国家のキャンペーンなのか、機器の故障なのか、設定ミスなのか、ランサムウェアの状況なのか、あるいはゴースト・ドリフト(デバイスが監視されることなく時間の経過とともに徐々にスコープから外れていくこと)なのかを判断するための適切なツールと専門知識を持つことが不可欠です。
成熟したセキュリティ体制の構築
業界はゼロからのスタートではなく、安全とセキュリティの懸念に対応するために進化し続けている。パイプライン事業者は、公衆と労働者の安全、事業の品質と継続性、機密情報とシステムの保護を優先している。すべての資産所有者が、セキュリティ態勢を改善するための独自のニーズと変更を評価しなければならない段階にきている。セキュリティ態勢を成熟させるには、次のような構成要素から始めて、業務を内側から強化する全体的な計画が必要である:
- 組織のミッションにとって重要で、事業継続に必要なあらゆるものに関連する包括的な資産目録を作成する。
- 使用中のシステムの内部脆弱性を特定し、リスクを追跡、低減し、資産を強化するための戦略を策定する。
- シグネチャベースのthreat intelligence 、ビヘイビアベースの異常検知を活用し、あらゆるレベルでネットワークを監視します。
- ファームウェア、ファンクションコード、コンフィギュレーション設定、管理レベルのコントロールなど、重要な資産の変更を監視します。
- データとシステムの冗長バックアップを確保し、リストアポリシーでは安全性とプロセス運用を第一に考慮する。
- インシデントレスポンスプレイブックを作成・テストし、卓上演習を実施することで、レジリエンスを構築し、サイバーシナリオの影響分析を理解する。
パイプラインのセキュリティ強化は長期戦になる
パイプライン会社が業務に導入すべき追加要件や潜在的な規則に関する今回の発表に伴い、業界のリーダーの中には、追加規制指針の影響を理解するのに苦労している人もいるかもしれない。要件が成功か失敗かを評価するのは時期尚早であるが、成功とはどのようなものか、また成功に至るにはどうすればよいかを問い始めるのは遅くはない。
