産業用制御システムを守る方法:8つの実践的ステップ
本記事はTrustwave Blog(米Trustwave社 発行)の2017年6月27日発行の記事を、米Trustwave社の許諾を得てTIS株式会社が日本向けの翻訳(一部意訳)したものです。
原文はこちら↓
https://www.trustwave.com/Resources/Trustwave-Blog/How-to-Defend-Your-Industrial-Control-Systems--8-Practical-Steps/
Dan Kaplanによる掲載
事実上、どのセキュリティー専門家にマルウェアの兆候に関連する最悪なシナリオを挙げ欲しいと頼まれた場合、その答えはシンプルです:生死の結果を招く攻撃です。
良い点は、「サイバー真珠湾」や「デジタル 9.11」の悲惨な宣言のすべてについて、事実上死傷者はいませんが ― 確かに知ることは不可能だが ― コンピューター・ベースの攻撃に直接起因していることです。しかし、そのような結果は差し迫っていて、多くのITエンジニアがそう見ており、この見通しは、敵の能力に精通しているセキュリティー専門家を引き続き混乱させ続けます。
このような攻撃の可能性が最も高いのは、病院のような医療機関に所属するコンピューターシステムや医療機器を途絶することです。
通常の手術を適切に継続できない場合、患者は苦しむ可能性があります。
この可能性は、英国の医療施設に影響を及ぼしたWannaCryのランサムウェア攻撃の間に全面的に焦点が当てられました。
アウトブレイクの動機は利益と恐喝に基づくようですが、人間は容易に巻き添えを受けていた可能性があります。
しかし、一般的には、関係者がサイバー(仮想空間)による死と破壊の恐ろしい亡霊を浮かべると、電力網や給水設備、治療施設、石油・ガス・パイプラインなどの生存能力に欠かせない重要なインフラの停止を指し、輸送網や金融ネットワークにも拡大しています。ちょうど最近、私達はウクライナの冬の真っ只中に意図的に停電を起こした「クラッシュ・オーバーライド」と呼ばれる高度なマルウェアを学びました。 専門家は、カスタムメイドのマルウェアの創意工夫に驚いていました。
このマルウェアのコードは、監視制御およびデータ収集(SCADA)システムを対象としており、施設がより信頼性高く効率的に実行できる様に産業プロセスを監視し、オペレーティング・データを収集する産業制御システムです。しかし、コストと利便性の理由から、これらのレガシーシステムの多くは、インターネットから隔離されていない安全性の低いネットワークに接続されており、侵入のリスクがかなり高くなっています。
制御システムやその他に関する最新の脅威トレンドについて2017 Trustwaveグローバル・セキュリティー・レポートの無償コピーを入手してください
重要なインフラストラクチャーは、ある大きな理由によりハッカーの怒りを大部分は避けてきました。殆どのハッカーは、人の命を奪うのではなく、お金を稼ぎたいのです。しかし、重要なインフラストラクチャーを国家主義的な最終目標と見なす、国家的攻撃者の動機を考慮すると、見通しが変化します。
SCADAシステムに関するこの懸念は新しいものではありません。実際、アイダホ国立研究所で行われ、結果としてタービンが爆発した模擬ハッカー攻撃(Aurora)の10周年を迎えました。多くの人は、彼らが直面しているサイバー・セキュリティー・リスクに関する予算、リーダーシップ、知識に関して、時代遅れだった業界に大いに必要な警笛を提供するという実験を認めました。
しかし、セキュリティーに関しては典型的なように、進歩は継続的ではありません。米国の電力網に対する最近の模擬攻撃が進展し、政府機関が防衛を強化するための規範的指針を提出しているが、懸念は山積みです。制御システムの脆弱性や侵入の試みが近年大幅に増加しており、SCADAベンダーは、欠陥のパッチ適用に時間がかかっています。また、何人かの専門家は最悪のケースを恐れています:これらのシステムには、マルウェアが既にインストールされており、リモートからのコマンドで起動するのを待っている。
最近発表された2017年のTrustwaveグローバル・セキュリティー・レポートは、SCADAシステムによって提起されたリスクを文書化し、8つの勧告を提出するセクションを設けました。TrustwaveのエリートSpiderLabsチームの一員で、このセクションの作者であるSachin Deodharは、これらの推奨事項を再共有し、それらを達成する手助けをするための、拡張され排他的で技術的な洞察力を提供します。
1. 既存のシステムを評価する
これは、従来のネットワークの「ギャップ」評価を実行することを要求していますしかし、この場合、いくつかの重要な違いがあります:評価対象のインフラストラクチャーは、システム、ネットワーク、および3つのゾーンに明確に区分された、企業/管理ネットワーク、制御ネットワーク、リモート・フィールド・ネットワーク(物理的プロセス・ネットワークとしても知られている)です。
企業/管理ネットワーク(および関連するコントロール/セキュリティーの実践)は、SCADA以外の評価で評価していたネットワークと似ていますが、残りの2つのゾーン(制御フィールドとリモート・フィールド・ネットワーク)は、 特別な機器で構成され、通信に特化したプロトコルを使用し、非SCADAネットワークが直面しているのと似ているが同じではない攻撃に対して脆弱です。
そのため、SCADAネットワークへの脅威に対処し、そのようなネットワークの現在の状態を評価するための特殊なスキルが必要です。
2.ポリシーと手順を文書化する
セキュリティー・ポリシーの枠組みは、非SCADAの環境と似ていると思いますが、いくつかの違いがあります。
ネットワーク上の攻撃に関連する脅威認識はしばしば、非SCADAの環境より高いです。 何故なら通常金銭かデータをターゲットとし、生活や物理的財産/インフラストラクチャーへの影響がほとんどない従来のサイバー攻撃とは対照的に、SCADAシステム上のサイバー攻撃者達は、生活や財産に実際に直接的/間接的な物理的影響を与える可能性があるためです。(例:Stuxnetと従来の金融サイバー犯罪を対比する)
さらに、インフラストラクチャー、データおよび通信リンクを保護する手順は、SCADAシステムが通信用に独自のプロトコルTCPIPまたはシリアル、RF / Wi-Fi /有線を使用するため、異なります。プログラム可能なロジック・コントローラ(PLC)、A / Dコンバーター、アナログからデジタルへの変換用のデータ収集/制御(DAC)などの特殊機器。そして制御入力を感知し制動するためのトランスデューサーとアクチュエーターです。これらはすべて堅牢化と保護に異なるアプローチが必要です。
3. スタッフと請負業者をトレーニングする
SCADAセキュリティー・トレーニングのいくつかの要素は、従来の企業ネットワーク環境の使用、管理、保護に従事する人々に与えられるものと同様です。
しかし、SCADA環境で働くスタッフと請負業者のためのトレーニングの一部は大きく異なります。以下が違いになります:
- 装備の特殊性
- 独自のプロトコルを使用した通信/認証
- SCADAプロセス管理における機能トレーニングの必要性
- セキュリティー上の脅威に対する許容範囲が狭く、疑わしいアクティビティーや脅威をより広範に監視する必要
- 迅速な対応が必要
- SCADA環境では、PLCや物理的なプロセス・ハードウェアーなどの制御要素を維持および更新するためにベンダーや請負業者からサード・パーティーのサポートが必要になることがよくあります。
- 責任ある行動と厳格なセキュリティー・ガイドラインに従わないと、マルウェアがStuxnetで起こったように、いわゆるエアギャップ型の「SCADAネットワークゾーン」に感染する可能性があります。
これらの理由のために、そのような要員(およびそれらを管理する者)のための専門的なセキュリティー意識と訓練が必要です。
4. 制御システムゾーンに分割する
これは、このリストの最初の推奨事項に関連しています。SCADAネットワークは1つのモノリス・ネットワークではなく、少なくとも3つまたは4つの別個のゾーンで構成されており、少なくとも分離する必要があります。
- 物理プロセスおよびプロセス・ハードウェアー(トランスデューサー、アクチュエーター、ADC / DACコンバーター、リモート・ターミナルユニット、別名RTU)。
- 制御ネットワークは、PLC、分散制御システム(DCS)および他のタイプのコントローラー・ハードウェアーなどのプロセス制御要素で構成されています。 RF伝送リンク; ネットワーク・スイッチとファイアウォールは、プロセス・ネットワークとの通信を許可し、制御します。
- ヒューマン・マシン・インタフェース(HMI)ソフトウェアーを実行する監視ワークステーションを構成する管理および監視ネットワーク。監督者および管理者は、これらを使用してプロセスおよびコントローラを実際に見たり、プロセス制御またはプロセス・パラメータ(例えば、設定点および閾値)を操作する。
5. SCADAネットワークへの物理的および理論的アクセスを制御する
上記2で説明したように、脅威の認識が高いため、ミッションクリティカルなSCADA環境では、サイバー攻撃やキネティック攻撃、サイバー・キネティック・ハイブリッド攻撃を防ぐためのアクセス制御や検証など、十分な物理的および論理的な保護が必要です。
6. コンポーネントを強化する
これには特別な処置が必要で、上手くやるために、努力とお金による多くの投資が必要です。国立標準技術研究所(NIST)および類似機関は、企業ネットワークの典型的なコンポーネントを強化するための包括的なガイダンスを発表していますが、SCADA環境に関連するものもありますが、制御システムの硬化についてはパブリック・ドメインではほとんど知られていません。
さらに、SCADAネットワークとその運用者は、セキュリティー保証の欠如に悩まされています(つまり、まず機器が毎回なすべき事を行い、次にその機器がすべきではない事をしないと言う2倍の保証です)。また、原子力施設、航空、発電、配電システムなどの非常に敏感な環境に設置されたSCADAハードウェアーには不信があります。
ハードウェアー、ソフトウェアー、および通信プロトコルをファジーにして先験的に発見するための手法は、すべての場合において実現可能ではないことが多く、限られたセキュリティー保証しか提供できません。
7. システムの監視とメンテナンス
問題:全てではないにしても多くの重要なSCADAインストールは、レガシー・ハードウェアーおよびソフトウェアーの問題を抱えています。随分昔にセットアップされたこれらのシステムの多くは、Windows NTやXPなどの時代遅れのプラットフォームであっても、何年もの間更新または修正されていないソフトウェアーやツールを使用します。
OSやハードウェアーは非常に時代遅れであり、例えば、アンチウィルス検出のための現代的なツールでは、効果的に実行させるために、容認できないほどのリソース・オーバーヘッドを無理強いします。さらに、そのような設定は非常に敏感であり、オペレータはしばしばインフラストラクチャーをアップグレードしてシステムを「壊す」恐れがあります。
それは、壊れてないなら修正しないと言うケースになります。そのようなシステムを保守しないと出る直接的に結果は、マルウェアや他の脅威によって影響を受けることが多く、他の現在もサポートされているシステムにパッチが当てられていることです。皮肉なことに、それは、通常、アップグレードされたハードウェアー、最新のオペレーティング・システムやアプリケーションを持つ企業のITネットワークよりも脆弱性が高い、最も機密性の高いシステムであることがしばしばです。
非常に機密性の高いSCADA環境にインストールされたハードウェアーとソフトウェアーの従来の性質にもかかわらず、コンポーネント・システムを維持し、サイバー攻撃に対する十分な保護を持つことが重要です。
攻撃面を最小限に抑えるためにハードウェアー、OS、ソフトウェアーを最新バージョンにアップグレードするなどの直接的なコントロールが不可能な場合は、検出して対応する補償コントロールに切り替える必要があります。これには、疑わしい活動、より強力で制限の厳しいファイアウォールとネットワーク・セグメンテーション/隔離ポリシー、そのようなシステムの使用に関するより厳しいポリシーを監視し警告するソリューションが含まれます。
8. システムのテストと監査
重要なインフラストラクチャーの攻撃面は巨大です。機密性の高いSCADAインストールの一部であるシステムから適切なレベルのセキュリティー保証を得ることができない場合、唯一の他のアプローチは、システムが予測可能な振る舞いをするように頻繁な監査とテストを実行することです。
セキュリティー上の問題が完全に明らかになる前に、これらの弱点を特定して修正することができれば、一定レベルの運用上の適切な注意とプロセスの警戒が生まれます。また、従来のITネットワーク上の特殊なSCADAネットワーク上のサイバー脅威に対処するのに適した脅威ハンティングなどの現代的なアプローチを検討することもできます。
本記事はTrustwave Blog(米Trustwave社 発行)の2017年6月27日発行の記事を、米Trustwave社の許諾を得てTIS株式会社が日本向けの翻訳(一部意訳)したものです。
原文はこちら↓
https://www.trustwave.com/Resources/Trustwave-Blog/How-to-Defend-Your-Industrial-Control-Systems--8-Practical-Steps/
Dan Kaplanによる掲載
関連記事
TISプラットフォームサービス
