電力への依存度が高いため,停電が長期化すれば,輸送システム,真水の供給,通信,銀行業務が危険にさらされる.
悪意あるハッカーが世界中で公共の安全を脅かしている.たとえば米国では,1月発行の 国家情報戦略報告書 サイバー脅威は,情報技術が重要インフラ,重要な国家ネットワーク,消費者機器に統合されるにつれて,国民の健康,安全,繁栄に対するリスクが増大する」と警告している.米国国家情報長官ダニエル・コーツは議会で演説し,さらに簡潔にこう述べた:「警告灯は赤く点滅している」.
重要インフラ施設は,発電所であれ,国鉄や地方の地下鉄システムであれ,その他の公共交通機関であれ,ますます標的になっている.サイバー攻撃は,病院,家庭,学校,工場への電力供給を遮断する可能性がある.私たちは効率的な電力供給に大きく依存しているため,その損失は他の重要なサービスにも大きな影響を及ぼすだろう.ここ数年の数々の事件は,脅威が具体的であることを示すだけでなく,私たちが何度もギリギリのところで悪夢のような結末を免れてきたことも示している.
以下の3つの例は,重要インフラの運用を妨害するように設計されたマルウェアを含む,サイバー兵器の進化を示している.産業環境におけるネットワーク化されたセンサーやその他の接続されたデバイスの利用の増加は,効率性の面でメリットをもたらす一方で,攻撃対象も増加させています.
最近の3つのサイバー攻撃で世界は息を潜めていた
2010年にイランのナタンツ核工場が攻撃されたことは,歴史書の中で特別な位置を占めている.いわゆるStuxnet(スタックスネット)というマルウェアがそのとき初めて公に姿を現し,原子力発電所を停止させたのだ.Stuxnetワームは,ウラン濃縮用遠心分離機で一般的に使用されているモーターにダメージを与え,制御不能に陥らせるよう設計されていた.それは1000台の遠心分離機を一時的に不能にすることに成功した.
それから5年後の2015年12月,ウクライナは送電網への前代未聞の攻撃を経験した.この攻撃により,広範囲にわたって停電が発生した.ハッカーがエネルギー会社3社に侵入し,ウクライナの3つの地域で発電を一時的に停止させたのだ.この攻撃により,25万人近い人々が真冬の最大6時間にわたって停電に見舞われた.攻撃者はBlackEnergy 3というマルウェアを使って3つの変電所を停止させた.このマルウェアは,偽のマイクロソフト・オフィスの添付ファイルに隠されたスピアフィッシング・メールで 配信されたと考えられている.
私たちが知っている3番目の,そして最も憂慮すべき攻撃は2017年に起こった.サイバーテロリストは,サウジアラビアにあると広く報道されているワークステーションの遠隔操作を引き受けた.彼らはTRITONと名付けられた新種のマルウェアを使い,プラントの安全計装システム(SIS)を乗っ取った.このマルウェアもまた,運用技術(OT )として知られる産業制御システム用に特別に設定されていた.
捜査当局は,大惨事の産業事故を防ぐために設計された安全システムを無効にすることで,爆発を誘発することを意図した妨害行為だと考えている.これまでの攻撃は,データの破壊やエネルギープラントの停止が中心だった.いくつかの報告によると,コーディング・エラーだけがこれを防いだという.証拠は,別のフィッシングまたはスピアフィッシング攻撃であることを示している.
Cyber Lessons Lead to Integrated IT/OT アプローチ
これらの事件が示しているのは,少なくとも過去10年間,ハッカーは運用技術をターゲットにした悪意のあるコードを作成してきたということだ.また,3件ともマルウェアによって引き起こされたという事実は,プロセス,テクノロジー,そして人を統合したサイバーセキュリティへの全体的なアプローチを採用する必要性を示している.
サイバー・スペシャリスト,Security in Depthの マイケル・コノリー最高経営責任者(CEO)は最近,オーストラリア放送協会(ABC)に対し,「世界中のサイバー攻撃の90%は電子メールから始まる」と語った.セキュリティは鎖の最も弱い部分と同じ強さしか持ち得ないことは自明の理である.
もう一つの重要な問題は,ITとOT の違いを理解することである.運用技術はますます身近になり,脅威のベクトルは今やスマート・サーモスタットのような基本レベルの資産にまで及んでいる.課題は,サイバー・セキュリティプログラムがITアプローチによって主導されることがあまりにも多いことである.現実には,エネルギー,製造,医療,運輸などの産業部門における運用上の制約は,OT をも保護するサイバーセキュリティへのアプローチが必要であることを意味する.
ITの主な焦点はデータであり,データが自由かつ安全に流れることである.ITはバーチャルな世界に存在し,そこでデータが保存され,検索され,伝送され,操作される.ITは流動的で,多くの可動部分やゲートウェイがあるため,非常に脆弱であり,絶えず進化するさまざまな攻撃を受ける可能性が大きい.攻撃を防御するには,あらゆるレイヤーを保護し,継続的に弱点を特定して修正し,データの流れを維持する必要があります.
OTこれとは対照的に,ITは物理的な世界に属し,そこではすべてのアクションの正しい実行が保証される.ITはシステムのあらゆるレイヤーを保護しなければならないが,OT は,オンかオフか,閉じているか開いているかわからないシステムの制御を維持することである.OT システムは,発電機のスイッチのオン・オフを確実にするとか,化学薬品タンクが満杯のときにオーバーフロー弁が開いていることを確実にするといった特定のアクションのために設計されている.OT のすべてが,システムを意図したとおりに作動させるために,物理的に装置やプロセスを動かし,制御することに向けられており,セキュリティと効率向上に主眼が置かれている.
産業モノのインターネット(IIoT)の出現と,物理的な機械とネットワーク化されたセンサーやソフトウェアとの統合により,ITとOT の境界線が曖昧になりつつある.より多くのモノが互いに接続し,通信し,相互作用するにつれて,エンドポイントの数が急増し,サイバー犯罪者がネットワークやインフラシステムにアクセスする潜在的な方法が増えている.
消火は炎を消すが,根本的な原因には対処しない.初期の設計・開発段階からセキュリティの脅威を検討することが不可欠である.多くの場合,組織は,開発ライフサイクルの初期段階からサイバーレジリエンスを構築するのではなく,実装後にしかセキュリティに目を向けない.IEC 技術委員会(TC)57の活動は,ベストプラクティスの標準化の好例である.
電力網をセキュア・バイ・デザインにする
IEC TC 57は,パワーグリッドをセキュア・バイ・デザインにするためのワーキンググループ(WG 15)を設立した.技術的観点から要件を評価し,それらを実装する標準的な方法を定義するこのグループは,セキュア・バイ・デザインの電力システムに必要なコンポーネントを特定した.これには,エンド・ツー・エンドの暗号化原則,全ユーザーの役割定義とID管理,システム自体の広範な監視などが含まれる.
「WGのメンバーであるモレノ・カルロは言う.「悪者探しからセキュリティ・バイ・デザインにシフトする必要がある」.
現在,IEC 62351規格群(詳細な概要については,IEC 62351-1:序論を参照)は,安全な電力システムのアーキテクチャを描き,そのプロトコルとコンポーネントを標準化している.その概要については,IEC 62351-10が興味深い:TC 57 システムのセキュリティ・アーキテクチャガイドライン
規格と適合性評価
IEC は,全体論的なリスクベースのアプローチこそが,サイバーレジリエンスを構築する最 善の方法であると考えている.特に,既存の,あるいは潜在的な内部脆弱性と,特定された,あるいは可能性のある 外部脅威の評価に基づく場合,リスクベースのアプローチは非常に効果的である.これは,規格を別個の分野として扱うのではなく,適合性評価としても知られる試験や認証と組み合わせた総合的なアプローチの一部として最も効果的である.
このようなアプローチは,ベストプラクティスに基づくセキュリティ対策の使用だけでなく,組織がその対策を効率的かつ効果的に実施していることを実証することにより,利害関係者の信頼を高める.システム・アプローチは,リスクを優先順位付けし,許容可能なレベルまで軽減することで機能する.このため,リスクのさまざまなレベルに応じて,自己評価から独立した第三者試験まで,さまざまな種類の適合性評価に対応する中立的なアプローチが必要となる.
多くの組織は,強制的な規則や規制に準拠することをサイバーセキュリティ戦略の基本としている.これはセキュリティの向上にはつながるかもしれないが,個々の組織のニーズに包括的に対応することはできない.最も強固な防御は,「水平的」な標準と「垂直的」な標準の両方に依存している.水平的な標準は汎用的で柔軟性があり,垂直的な標準は非常に特殊なニーズに対応する.特に,水平標準の2つの例が際立っている.
効果的な水平および垂直運用基準の策定
ISO/IEC 27000規格ファミリーは,純粋な情報システム(IT)を保護し,仮想世界におけるデータの自由な流れを保証するのに役立ちます.ISO/IEC 27000は,管理の実装,維持,および継続的な改善におけるベストプラクティスをベンチマークするための,強力で水平的なフレームワークを提供します.
IEC 62443は,もうひとつの水平規格シリーズで,OT システムを実世界で稼動させ続けるために設計されている.IEC 62443は,電力会社や原子力発電所などの重要なインフラ施設や,医療,運輸部門など,あらゆる産業環境に適用できる.IECEE(IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components)は,IEC 62443シリーズに基づくグローバルな認証サービスを提供しています.
水平規格を補完するのが,特定分野のニーズに合わせて設計されたカスタム・ソリューションである.原子力セクター,産業用通信ネットワーク,産業オートメーション,海事産業など,特定のセキュリティ・ニーズをカバーする垂直規格がある.
リスク軽減によるサイバー・レジリエンスの実現
サイバーセキュリティ戦略の目的は,可能な限り多くの資産を保護することであり,最も重要な資産を確実に保護することである.すべてを均等に保護することは不可能であるため,何が価値があり,何を最も保護する必要があるかを特定し,脆弱性を特定し,優先順位を付け,ビジネスの継続性を確保するための深層防御アーキテクチャを構築することが重要である.
レジリエンスを達成するためには,システムの適切なポイントに適切な保護を適用するために, リスクを理解し,緩和することが大部分である.ミティゲーションの決定が業務に重大な影響を及ぼす可能性があるため,このプロセスが組織の目標と密接に連携していることが極めて重要である.理想的には,組織全体の利害関係者が参加するシステム・アプローチに基づくべきである.
深層防衛の重要な概念は,セキュリティには一連の調整された対策が必要であるということである.サイバー攻撃のリスクと結果に対処する上で,実現に不可欠な4つのステップがある:
1.システムを理解し,何が価値あるもので,何が最も保護が必要かを理解する.
2.脅威のモデル化とリスク評価を通じて,既知の脅威を理解する.
3.グローバルなベストプラクティスに基づく国際基準の助けを借りて,リスクに対処し,保護を実施する.
4.要求事項に対して,適切なレベルの適合性評価(試験と認証)を適用する.
別の言い方をすれば,サイバーセキュリティのABCである:
Aは 評価
Bは リスクに対処するためのベストプラクティス
Cは モニタリングとメンテナンスの適合性評価
リスクベースのシステム・アプローチは,ベストプラクティスに基づくセキュリティ対策の使用だけでなく,組織がその対策を効率的かつ効果的に実施していることを実証することにより,すべての利害関係者の信頼を高める.これは,適切な規格を適切なレベルの適合性評価と組み合わせることを意味する.
適合性評価の目的は,システムの構成要素,システムを設計・運用・維持する人々の能力,およびシステムの運用に使用されるプロセスと手順を評価することである.これは,企業の自己評価やサプライヤーの宣言に依存するものから,独立した第三者による評価や試験に至るまで,さまざまな種類の適合性評価を使用し,さまざまなリスクレベルに応じて最も適切なものを選択することを意味する.
国際的なコラボレーションがセキュア・バイ・デザインを推進
サイバー脅威がますます一般的になりつつある世界において,特定の国際規格を専用の世界的な認証プログラムと組み合わせて適用できるようにすることは,長期的なサイバー耐性を構築するための実証済みの非常に効果的なアプローチである.しかし,規格と適合性評価は,脅威と脆弱性の全体的な評価に基づくリスクベースのアプローチの一部としてのみ,最大の効果を発揮することができる.このようなアプローチには,技術やプロセスだけでなく,トレーニングの重要な役割を認識した上で,人材も組み込まれる.
IEC Working Group 15の21カ国121名のメンバーは,エンドツーエンドのサイバーセキュリティ規格の開発に数年にわたり協力してきた.Nozomi Networks 共同設立者兼CTOのモレノ・カルロは,2015年から同グループに参加している.
IECアドボカシー・オフィサー,マイケル・マレーンによる「重要インフラを狙うサイバー攻撃」の原文はIEC e-techに掲載されたもので,本人の了解を得てNozomi Networks ブログに掲載した.マイクは経験豊富なジャーナリスト,技術者,経営者である.BBC,スイス放送協会,欧州放送連合,Raiに勤務し,ニュースとデジタル・オンライン・メディアを専門としてきた.IECではAIとサイバーセキュリティを中心に活動しており,OCEANIS(https://ethicsstandards.org/).
