重要インフラ環境向けのセキュリティ管理

産業用制御システム(ICS)の保護は極めて重要であり、ただ単にセキュリティ・ソリューションに任せれば済むという問題ではありません。私たちは、正常に機能する水道や照明、電気、信号機を当たり前のように利用しています。このような生活に不可欠なシステムが中断すると、たとえそれが数時間の場合でも、日常生活に大混乱を引き起こすことになるでしょう。

重要インフラの主な特徴は、情報技術(IT)と運用技術(OT)という、シームレスな運用が難しい2種類の技術が使用されている点です。そのため、IT/SCADA環境のパフォーマンス低下を招かずに、両者のセキュリティ管理を実現することが課題となっています。

CISOやCIO、CEOのポジションに付いている方であれば、ITについてよくご存じかと思います。ITとは、データや音声対話、電子メールのやり取り、画像、動画、マルチメディア・プレゼンテーションなど、さまざまな形式で情報を作成、保存、交換、使用する際に利用される、あらゆる形態の技術を指します。どの形式も、技術を介した個人対個人の通信です。

もとより非IPネットワークから発展したOT/SCADAシステムは、その設計段階からセキュリティは考慮されていないのが現実です。浄水場や発電所、化学工場、ガス・パイプラインや原子力施設、食品加工工場や自動車/航空機製造工場などの製造施設では、プロセス制御用言語を使用してマシン同士を接続しています。各システム内のプロセスの状態は、MODBUSやDNP3などのプロトコルによるコマンドのやり取りで監視、変更されています。OT環境の中核を担うのは、オペレーティング・システム(多くの場合、組み込みWindowsまたはUNIX)、ソフトウェア・アプリケーション、アカウントとログイン、通信プロトコルなど、コンピュータの標準的な要素を改良したものですが、それぞれある一定のリスクが許容されている可能性があります。製品の製造など最終的な目的の達成が何よりも優先され、パッチ適用のためのシステム停止が許されない場合があるからです。

つまり、従来のICS/SCADAシステムはITシステムと同様の攻撃に対して脆弱であり、しかも常時稼働する環境での動作というさらなる課題も抱えているのです。SCADAのプロトコル自体もセキュリティが考慮されていない設計であるため、サイバー攻撃者に狙われるリスクが高まっています。このようなSCADAのプロトコルを保護するため、セキュリティ・ベンダーはプロトコルを個別に識別し、チェックしていると主張するかもしれませんが、これは、実際のシステムで使用するプロトコルのSCADAコマンドがセキュリティ・ソリューションに実装されているという意味とは限りません。

必要とされるソリューション

多くのSCADA/ICS機器ベンダーは、さまざまなプロセスを自動化するために、独自のコマンド・セットやコマンド・プロシージャ、オペレーティング・システム構成を採用しています。このため、すべての要素を最新の状態に維持するためには、多大な時間と労力が必要となります。ICSの全領域にセキュリティを適用するには、基本的なコマンドだけでなく、パラメータ・レベルまで可視化、制御する能力を備えたセキュリティ・アーキテクチャが欠かせません。

ICS環境向けの適切なセキュリティ管理プラットフォームは、次の3要素を備えている必要があります。

  1. 次世代ポリシー管理: OTに固有のイベントについて警告するポリシーを作成する機能は欠かせません。また、このようなポリシーを、ネットワークのニーズに合わせて管理しやすい複数の単位やポリシー・レイヤに分割できる機能も重要です。
  2. 作業の自動化による効率性の向上: 作業の自動化は、社員のワーク・スタイルや連携方法を一変させます。とりわけICS環境では有効です。ポリシーに関するベスト・プラクティスやセキュリティ情報の入手が可能となり、スマートなシステムを構築できます。また、ルーチン・タスクを自動化・委譲すれば、セキュリティのセルフ・サービスが実現します。さらに、スマートAPIにより、連携インフラストラクチャとの信頼性の高い統合が可能となり、セキュリティ制御を完全に自動化できます。
  3. 包括的な可視性: 重要インフラのセキュリティ管理面においては、脅威管理の統合が最も肝要と言えるでしょう。脅威管理が統合されれば、SCADAのプロトコルや、正常かどうかのチェックを含む環境全体の動作を可視化できるようになります。ロギングや監視、イベント相関分析、レポーティングが1箇所にまとめられるためです。さらに、ネットワークやプロトコルの状態を完全に可視化してセキュリティ状況を継続的に監視したり、潜在的な脅威に関する対策を講じたりできるように、視覚性に優れた高度なダッシュボードも必要とされます。

増加を続けるSCADAシステムと安全性の低い従来型OTシステムの数を考慮すると、システムを確実に保護し、産業用IoT(モノのインターネット)のエコシステム全体を可視化するソリューションが不可欠と言えます。

セキュリティ管理の詳細については、こちらをご覧ください。

ジェシカ・クーパーは、チェック・ポイント・ソフトウェア・テクノロジーズで、小売業や医療、金融サービスなどのソリューション市場を担当しています。チェック・ポイントに入社する前は、ビッグデータやマシン・インテリジェンスを専門とする複数の企業に属し、製品やソリューション関連の業務を担当してきました。現在は、サイバー・セキュリティやモノのインターネット、新興技術などの分野に注力しています。Twitter(@thoughtcosm)での投稿もぜひご覧ください。