重要インフラのサイバーセキュリティの基礎

重要インフラの脅威の増大

過去2年間、コロニアルパイプライン、フロリダの水処理施設、イスラエルの上下水道施設といった重要インフラ(CI)プロバイダへの攻撃は、重要インフラ分野の脆弱性が増大していることを実証しています。これらは孤立した事件ではなく、2021年に調査した179のCI組織のうち、過去36カ月間に83%がOTサイバーセキュリティの侵害を経験したと報告しています。これらのサイバー攻撃の結果は、コストや混乱をはるかに超えて広がる可能性があります。ガートナー社は、2025年までに、サイバー攻撃者がOTを武器にして人に危害を加えるようになると予測しています。

CIセキュリティのリーダが知っておくべきこと

• 多くのICSシステムはハッカーに簡単にアクセスできることが、調査機関であるCybernews.comの調査により明らかになっています。
• 脅威の状況は進化を続けています。ガートナー社は、OTシステムの変化と同様に、脅威者の戦術やテクニックも変化していると説明しています。
• SANSが480人のサイバーセキュリティ専門家を対象に行なった調査では、ICSネットワークへの侵入源は依然としてハッカーがトップであることが判明しています。
• 脆弱なセキュリティプロトコルと標準化の欠如が、重要インフラ分野におけるIoT攻撃の一因になっていると、世界経済フォーラムが発表したこの記事は指摘しています。
   

重要インフラに影響を与えるトップ脅威

• マルウェア: 英国国立サイバーセキュリティセンターが、マルウェアの仕組み、例、防御策を解説しています。
• アドバンス･パーシステント･スレット(APT): CISAによる技術的な詳細と、緩和策に関するNSAのアドバイスが掲載されています。
• インサイダーの脅威: 米国国家防諜安全保障センターは、重要インフラ事業体向けのガイドラインを提供し、CISAは重要インフラ事業体向けのインサイダー脅威プログラム実施のためのガイドを提供しています。
• 国家による攻撃: 中国を発生源とする脅威について、このCISAの記事で例を検討してください。
• ランサムウェア: CISAのディレクター代行とMcCrary Institute for Cyber and Critical Infrastructure Securityによる仮想ディスカッションをご覧ください。また、CISAによるIT専門家向けのランサムウェアに関する総合ガイドをお読みください。
   

サイバーセキュリティの基礎とベストプラクティス

政府機関、業界固有の組織、および専門のサイバーセキュリティサービス会社は、適切なサイバーセキュリティプログラムの作成と実装に関するガイダンスを提供しています。以下は、重要インフラの防御に関するベストプラクティスを概説するいくつかの記事と Web サイトです。

世界的に認知されているサイバーセキュリティの中核的なフレームワークの1つに、米国国立標準技術研究所(NIST)によるものがあります。NISTのSP800-82「Guide to Industrial Controls Systems (ICS) Security」では、ICSの概要、リスク管理･評価、セキュリティアーキテクチャ、IT統制のICSへの適用などのセキュリティの基礎、セキュリティインシデントへの対応と復旧の手順などを解説しています。

これらのリソースは、「一目でわかる」ベストプラクティスを提供します。

• 制御システムサイバーセキュリティのためのヒントと戦術: NISTのインフォグラフィックには、簡単なヒントと基本的な手順が記載されている。
• 産業用制御システムのためのサイバーセキュリティの実践: CISAと米国エネルギー省(DOE)による、ハイレベルだが包括的な2ページの概要
•  経営陣のためのICSサイバーセキュリティ: 経営幹部およびその他の利害関係者とのサイバーセキュリティに関する会話を促進するための2ページのガイド 

現在の脅威の状況やサイバーセキュリティ計画の開始について詳しく知りたい場合は、CISAの「A Guide to Critical Infrastructure Security and Resilience (重要インフラのセキュリティと回復力のためのガイド)」を参照してください。また、WaterISACの包括的な「15 Cybersecurity Fundamentals for Water and Wastewater Utilities」では、重要インフラ部門全体に適用可能なベストプラクティスについて、以下のように論じています。

• 資産の棚卸の実施
• ユーザアクセス制御の実施
• サイバーセキュリティ文化の構築
• サプライチェーンのセキュリティ確保
• 脅威の検出と監視の実施

サイバーセキュリティのフレームワーク

サイバーセキュリティフレームワークは、重要インフラのリスクを管理し、リスク軽減戦略を実施するためのロードマップを提供します。いくつかの業界のフレームワークは重要インフラスに適用できますが、ロックウェル･オートメーションが推奨するのはNISTサイバーセキュリティフレームワーク(CSF)です。このフレームワークには、5つのコア機能に基づく包括的なサイバーセキュリティ保護のためのベストプラクティスが含まれています。このフレームワークには、「特定」「保護」「検出」「対応」「回復」という5つの中核的な機能に基づく包括的なサイバーセキュリティ保護のベストプラクティスが含まれています。このフレームワークは柔軟性があり、個々のニーズや環境に応じて活動をカスタマイズすることができます。

NIST CSFは、もともと重要インフラに特化して作成されたものですが、今では業界横断的に標準化されています。米国連邦政府機関は、2017年以降、連邦政府の情報システムにこのフレームワークを適用することが義務付けられています。NIST 800-53などの特定の要件に従う必要がある政府契約者も、NIST CSFにマッピングして準拠を証明することができます。

NIST CSFの実装に役立つリソース:

• NIST Interagency Report 8170は、連邦政府機関のCSFに対するアプローチについて述べている。このレポートは連邦政府ユーザを対象としているが、NISTは、CSFを使用している民間企業も同様に利益を得ることができると考えている。
• 重要インフラに広く適用できるセクター固有の実施ガイドには、エネルギーに関するDOEのもの、輸送システムに関する国土安全保障省のもの、およびダムに関するCISAのものがある。

その他のフレームワークやモデル

•  IIoTコンソーシアムのセキュリティ成熟度モデル: このモデルは、IoTシステムの所有者、インテグレータ、意思決定者、およびその他の関係者向けに設計されている(プラクティショナーズガイドの追加考察を参照してください)。
• MITRE ATT&CK: 連邦政府の資金提供による研究によって開発されたMITREは、セキュリティ実務者に広く利用されています。ATT&CKは、実世界の観察に基づく敵の戦術と技術のマトリックスと精選された知識ベースです。最近追加された産業制御システム専用のセクションは、セキュリティチームが戦術を実行する際に役に立ちます。CISAは、ATT&CKを脅威に関する勧告の一部にも使用しています。例として、2021年10月に上下水道システム運用者に向けて発表した警告をご覧ください。
• ISO 27000とIEC 62443: 国際標準化機構(ISO)と国際電気標準会議(IEC)が開発したこの一連の規格は、リスクマネジメントとセキュリティの指針となるものです。多くの企業がISO/IEC認証を取得することで、セキュリティ対策への準拠を証明しています。IEC 62443は、組織がサプライチェーン全体にわたってサイバーセキュリティとリスクを検証するための柔軟性を提供するために開発されたもので、厳密に資産の所有者レベルで検証することはできません。
• UK’s Cyber Assessment Framework (CAF) (英国のサイバー･アセスメント･フレームワーク(CAF)): 英国国立サイバーセキュリティセンター(NCSC)が重要インフラ部門のセキュリティを確保するために開発したこの一連の14の原則は、資産管理、サプライチェーン、スタッフの意識とトレーニング、対応と復旧計画などの分野を対象としています。
• Cybersecurity Maturity Capability Model (C2M2) (サイバーセキュリティ能力成熟度): このエネルギー省のモデルは、IT/OTサイバーセキュリティの実践に取り組むために民間セクターと協力して開発され、重要インフラの垂直方向全体に適用されるものです。C2M2には、脅威と脆弱性の管理、リスク評価、人材管理、サイバーセキュリティアーキテクチャなど、10の領域に分類された300以上のサイバーセキュリティの実践が含まれています。

規制に関する考察

脅威の主体が重要インフラのプロバイダや施設をますます標的とするようになるにつれ、各国政府はより優れたセキュリティとレジリエンスを義務付けています。特に米国は、この分野で非常に積極的であり、継続的に規制を強化しています。例えば、2021年7月のCISサイバーセキュリティの改善に関する大統領覚書は、連邦政府と民間企業との協力関係を強化し、防衛力を向上させることを目的としています。

この取り組み自体は任意ですが、そこからリスクとセキュリティを管理するための新しい基準が生まれるでしょう。重要インフラ組織のリーダは、この変化が将来の規制遵守をどのように促進するかを理解するために、その動向を注意深く見守る必要があります。

規制関連資料

• CISAの概要: この覚書の結果、CISAとNISTが重点的に取り組むことになる目的および9つの分野のレビュー
• NISTの更新: NISTはSP 800-82 (Guide to Industrial Control Systems Security)を更新する。この更新は、この覚書の結果です。
• 専門家の見解: 影響に関する法律事務所からの解説をお読みください。
• Networks and Information Systems (NIS)指令: 重要部門の監督に関する欧州連合(EU)の指令。重要インフラ部門に対するこの指令の意味と、NISTやATT&CKなど他の規格との対応についての分析については、SANS白書「NIS指令の中のICSはATT&CK^®化すべき」をお読みください。 

セキュアなOTアーキテクチャの設計

前述のCISAの9つの重点分野の1つに、アーキテクチャと設計があります。ネットワークセグメンテーション、ファイアウォール、非武装地帯(DMZ)分離などのサイバーセキュリティ機能をアーキテクチャに組み込むことで、攻撃対象領域を減らし、侵入をより困難にし、検知と対応を向上させることができます。

ゼロトラストは、より良いサイバーセキュリティアーキテクチャに貢献できる多くのアプローチの1つで、継続的かつ動的に認証･認可されない限り、いかなるユーザ、接続、リクエストも自動的に信頼できないという考えに基づいて構築されています。CISAは現在、重要インフラのサイバーセキュリティを向上させるという大統領の指令を受けて、ゼロトラストを強化された目標とみなしています。

サイバーセキュリティアーキテクチャのリソース

• Secure Architecture Design (セキュアなアーキテクチャ設計): CISAからのインタラクティブなページ(ワイヤレス･アクセス･ポイントからウェブ･アプリケーション･サーバまでのICSコンポーネント用の定義と文書を掲載)
• Design Principles and Operational Technology (設計原則と運用技術): セキュアなOTシステムに関する設計でのNCSCの推奨事項
• Security architecture anti-patterns (セキュリティアーキテクチャのアンチパターン): OTに適用可能な、避けるべき設計パターンに関するNCSCの白書
• Zero Trust Maturity Model (ゼロ･トラスト･マチュアリティ･モデル): 連邦政府機関がゼロ･トラスト･アプローチを実施するために設計されたCISAのドラフト文書(更新はこちらで確認)
• CNI Systems Design: Secure Remote Access (CNIシステム設計: セキュアなリモートアクセス): パンデミック時に重要インフラ部門向けのNCSCの包括的な記事
• NIST Publication 800-207: ゼロトラスト戦略と展開のバリエーションについての包括的な議論
• ロックウェル･オートメーションとジョン･キンダーバグ氏によるOTのゼロトラストに関する講演: ロックウェル･オートメーションとジョン･キンダーバグ氏(ゼロ･トラスト･アプローチの発案者)によるOTにおけるゼロトラストに関する最新の洞察をお聞きください。
   

米国のインフラ法案にサイバーセキュリティの助成金

2021年11月、米国議会は遠大なインフラ支出法案であるH.R. 3684, Infrastructure Investment and Job Actを成立させました(興味深いサイバーセキュリティの内容については、セクション40121～40127、50113、タイトルVI、セクション70611～70612を参照してください)。

この法律の一環として、DHSは、重要インフラ組織のサイバーセキュリティ向上のための補助金に資金を提供します。上下水道や電気などの公共サービス、石油やガスの処理業者、交通機関、医療施設など、CISAで特定された16業種の民間組織が助成金支援の対象になっています。

助成金の対象は何ですか?

ガイドラインは2022年に発表される予定ですが、助成金は、NISTの5つのカテゴリ(認識、保護、検出、対応、および回復)にわたるIT、OT、ICSセキュリティ防御の強化に関する幅広い投資が対象となる可能性があります。

組織は、サイバーセキュリティのニーズを定義し、文書化することで、計画の策定と提出を加速することができます(そのような計画がまだない場合)。ロックウェル･オートメーションは、DHSの助成金申請に適した正式なサイバーセキュリティ計画策定の第一歩として、無料のサイバーセキュリティ計画のテンプレートとチェックリストを開発し、ダウンロードすることができます。

NISTサイバーセキュリティフレームワークに関するツールとヒント

ここには、NISTカテゴリ(認識、保護、検出、対応、および回復)に従って探すことができる便利なリソースをいくつか記載します。

認識

この領域は、ビジネス上の背景や利用可能なリソースを含め、サイバーセキュリティリスクを理解することに関連します。

• OT Cybersecurity Quick Assessment  (サイバーセキュリティ･クイック･アセスメント): ロックウェル･オートメーションが開発したこのツールはサイバーセキュリティの準備とギャップを素早く読取り、推奨事項と業界、規模、地域別のピア組織のベンチマークデータを提供します。
• IIoT/IoTスキャニングツール: インターネットに面したICSデバイスを発見するための一般に入手可能な3つのツールのリストとツール使用のヒント。CISAもそれぞれのツールに関する詳細情報をここで提供しています。
• サイバーセキュリティ評価ツール(CSET): 制御システムネットワークのサイバーセキュリティを評価するために、CISAが提供する無料のデスクトップソフトウェア
• Guide for Conducting Risk Assessments (リスクアセスメント実施のためのガイド) NIST Publication 800-30は、連邦政府の情報システム向けですが、民間企業にも適用できます。
• インサイダー･リスク･アセスメント: CISAからダウンロード可能な自己評価キット

より包括的なサービスを希望する組織には、ロックウェル･オートメーションがネットワーク資産の識別とスキャン、およびセキュリティリスクを継続的に識別するための継続的な資産インベントリモニタを提供しています。詳しくはこちらをご覧ください。

保護

この分野は、データセキュリティ、ID管理とアクセス制御、適切なアーキテクチャ、製品セキュリティなどの保護手段の開発と実装に焦点を当て、スタッフの認識やトレーニングなどの必要性も含みます。

• ISC-CERTアドバイザリ: さまざまなベンダーの一般的な脆弱性と暴露(CVE)のリスト。NISTとMITREによる追加のCVEリポジトリも参照してください。
• ID管理とアクセス管理 (IAM): NCSCによるIAMの紹介で、OTのセクションがあります。
• ソフトウェアサプライチェーン攻撃に対する防御: CISAによるソフトウェア開発者とそのクライアント向けの白書
• インターネットに接続されたサービスの保護: NCSCによる、重要インフラ事業者向けの記事
• 重要インフラ事業者のためのビデオ会議セキュリティ: CISAによる推奨事項

検出

この機能では、連続モニタプロセスはサイバーセキュリティインシデントの検出のために実装されます。

• サイバーセキュリティハイジーン評価: CISAが重要インフラ組織に提供する脆弱性スキャン、フィッシングテスト、侵入テストなどの無料サービスの一覧
  
• 多層防御の概要: CISAが原子力部門向けに開発したものですが、このインフォグラフィックには、あらゆる分野に適用できる簡単な洞察が記載されています。
•  SOCバイヤーガイド: セキュリティ･オペレーション･センターのアウトソーシングをお考えの組織向けに、このNCSCのガイドでは、SOCの概要とヒントを詳しく説明しています。

より包括的なサービスを希望する組織には、ロックウェル･オートメーションは異常と脅威検出サービス、およびカラロティ社やシスコ社のようなグローバルなプロバイダとの戦略パートナシップを提供します。詳しくはこちらをご覧ください。

対応と回復

NIST CSFの最後の2つの領域は、サイバーセキュリティの発生時に行動を起こして、侵害の試みの成功と拡大を阻止し、その後、業務を通常レベルに回復させることに重点を置いています。これらのカテゴリでは、攻撃の試みを利用して、洞察力とレジリエンスを向上させます。

• インシデント･コミュニケーション･テンプレート: SANSからダウンロード可能な各種書式
  
• テーブルトップエクササイズ: CISAからのサイバーセキュリティ対応シナリオのためのキット
• インシデント対応プレイブック: このDOEのプレイブックは、公共電力事業体を対象としていますが、あらゆる重要インフラに適用することができます。
• インシデント対応計画: NCSCによるステップ･バイ･ステップのガイド。さらに、インシデント対応チームの構築に関する有用なガイドも参照してください。
• サイバーインシデントへの準備: NIST CSFに基づく、米国シークレット･サービス･サイバー捜査局による入門ガイド
• 実際の例: ニューオーリンズ市が独自のインシデント対応計画に従って、ランサムウェア攻撃を阻止したという興味深い記事です。

産業レベルのリソース

以下の業界別リソースには、重要インフラ組織が適応できる有用な情報とアドバイスがあります。以下はその例です。

• パイプラインのサイバーリスク軽減: CISAによる簡単な概要
  
• 水部門のベストプラクティス: EPAによるサイバーセキュリティのリソースのリスト
• インシデント対応のためのチェックリスト: EPAが水部門向けに作成したもの
• IoTセキュリティのベストプラクティス: EUのサイバーセキュリティ機関(ENISA)によるスマートマニュファクチャリングのための産業用IoTに関する詳細なガイド
• 水分野におけるサイバーセキュリティリスク: 米国水道協会による白書

行動を起こし、警戒を怠らない

重要インフラにおけるサイバーセキュリティは、急速に進化しています。脅威の一歩先を行くには、セキュリティリーダは、新たなトレンド、規制の進展、業界の変化を継続的に監視する必要があります。CISAの電子メールリストでは、継続的なニュース、アラート、ヒントなどを受信することができます。
 

ロックウェル･オートメーションの産業用サイバーセキュリティサービス

産業用セキュリティの専門知識と、重要インフラの最適な保護方法に関するガイダンスをお探しなら、ロックウェル･オートメーションがお役に立ちます。当社は、プロジェクトベースまたは継続的なマネージドサービスによるさまざまなソリューションの評価、設計、実装、管理を行なうことができます。世界各地に拠点を置き、100年以上にわたって産業の中心で組織をサポートしてきた当社の実践的なサイバーセキュリティチームと産業用の強力なSOC機能が、お客様の生産業務を確実に保護するお手伝いをします。

詳細はこちらをご覧ください。また、専門家によるコンサルテーションをご予約の上、お問い合わせください。