境界のない世界におけるIDMZの重要性

過去10年間、ある時点で、すべての製造メーカは、産業用制御システム(ICS)と、それが構成するデータ、エンジニアリング、テクノロジ、および製品を保護するための最善の方法に苦労してきました。ICSはビジネスシステムと通信する必要がありますが、ネットワークセキュリティパラダイムが進化するにつれて、製造メーカはどのように対応できるでしょうか。

サプライチェーン、エネルギー管理、ラボテスト、メンテナンス、規制データ収集、および生産性管理ビジネスシステムはすべて、製造システムからのデータを必要とします。これらのシステムがデータを取得するために使用する基盤となるテクノロジとプロトコルには、さまざまな種類のデータベース、Webサーバ、リモートアクセス、およびファイル転送が含まれます。したがって、ビジネスシステムのセキュリティリスクからICSを保護するために、ICSを保護するための最良の方法は、ビジネスシステムをICSから分離するセキュリティ境界を設計することでした。これは産業非武装地帯(IDMZ)と呼ばれます。

IDMZとは何ですか?

IDMZは、製造またはプロセス施設内に、セキュリティ要件が異なり、相互に固有の信頼を共有しないビジネスシステムと産業用制御システムの間にバッファを作成するために存在する境界です。この境界では、ネットワークとアプリケーションのセキュリティ制御を使用して、信頼できないゾーン間のデータフローを管理します。

数年前、サイバーセキュリティは物理的に言えば完全に「壁に囲まれた」世界に存在していました。その後、2006年に、当時の通知やファンファーレはほとんどなく、データを保存する新しい方法が作成されました。インターネット(AWS、Microsoft Azure、Google Cloud、IBM Cloud)を介して提供されるサードパーティが提供するサーバおよびネットワークインフラであるパブリッククラウドは、それ以来、IT組織がデータを保存してコンピューティングワークロードを処理する方法を変えてきました。現在、多くのIT組織は、パブリック･クラウド･サービスとオンプレミスサーバのインフラを組み合わせたハイブリッドクラウドを使用しています。パブリックネットワークのインフラとパブリッククラウドの両方の信頼性が高まるにつれ、ますます多くのストレージとコンピューティングがサードパーティのパブリック･クラウド･サービス･プロバイダにアウトソーシングされています。

後から考えると、パブリッククラウドがIT組織にとって最適なストレージになることは避けられませんでした。床から天井までの高さのある物理的なサーバラックのために巨大なサーバルームが用意されていた時期がありました。これらの部屋の壁は、ITセキュリティのほぼ全体である境界ファイアウォールを構成していました。ハイブリッドクラウドは、物理サーバのストレージスペースの必要性を減らすだけでなく、仮想化によってそれらの部屋よりも大きくなりました。ファイアウォールはまだ存在しています。ただし、データストレージとコンピューティングワークロードの大部分または全体がファイアウォールの外側にある場合、その境界はもはや十分ではありません。パブリッククラウドにアクセスする際のインターネットへの露出によって存在する境界の変化する境界と新しいセキュリティの脅威に適応するために、新しいセキュリティパラダイム(ゼロトラストモデル)が導入されました。

ゼロトラストモデルとは何ですか?

ゼロトラストモデルは、最小権限の原則を最大化します。この場合、タスクを実行するために必要な最小限の権限のみがユーザまたはシステムに付与されます。この原則は、ユーザ、データ、コンピュータ、および場所が許可されている場合にのみ、デバイス間のデータまたは通信を許可するという、信頼しないスタンスに立っています。これは、古い「自分のゾーンにある場合はすべてを信頼する」モデルから、「複数の方法で検証できない限りすべてを信頼しない」モデルに移行します。
ICSの脅威の状況は進化しています。WannaCryやマスカレードNotPetyaなどの大規模なランサムウェア攻撃や、Crash Override、Triton、LookBackなどのマルウェアを使用した重要なインフラへの標的型攻撃がますます一般的になっています。ICS環境とその管理者は、認識しているかどうかに関係なく、常にIT境界のセキュリティに大きく依存してきました。IDMZを持っている人にとっても、IT境界セキュリティはより大きな世界からの最初の防衛線でした。IDMZは最後の防衛線でした。IT境界がなくなると、それが唯一の防御線になる可能性があります。

ICS環境はゼロトラストモデルを採用できますか?

それがそんなに単純だったらよかったのですが。標準的なIT環境は複雑かもしれませんが、いくつかの共通点があります。

• ライフサイクルプランを備えた標準的なコンピュータハードウェア
• 定期的にパッチが適用される標準オペレーティングシステム
• 標準的なビジネス･オフィス･ソフトウェア･ツール
• ユーザと資産に対してサポートされているIDおよびアクセス管理ソリューション
• 資産が攻撃に対して自身を識別して防御するためのサポートおよび更新された手段

ICS環境は、さまざまなプロトコルを使用して通信する多数のベンダーによって製造された、数世代にわたる数百もの異なる種類の製品で構成されています。これらはすべて、独自のカスタムファームウェアとソフトウェアを使用する独自のハードウェアプラットフォームです。ソフトウェアのみのソリューションでさえ、非常に古いオペレーティングシステムとしか互換性がないことがあり、その多くの場合はサポートされなくなったオペレーティングシステムです。システムがまだパッチを受信しているオペレーティングシステムを使用している場合でも、ICS担当者はパッチの実施がダウンタイムを引き起こすことを恐れて、常にパッチを実施することを躊躇しています。彼らの懸念は根拠のないものではありません。

したがって、ICSがゼロトラストモデルで「セキュアに」存在するためには、ICS資産が一般的なIT資産と同じように自己保存的になる必要があります。これを実現するために必要なプラットフォームと制御システムテクノロジへのすべての変更について考えてみましょう。

• ゼロトラストは、ビットを1から0に即座に反転します。
• 現在、ICSデバイスは、それらと通信できるすべてのものを信頼しています。ユーザ、デバイス、場所、資産が通信している理由、またはアクセスされているオブジェクトを確認する方法はありません。彼らの側から、彼らはいつ接続を開始するかを確認する方法がありません。
• ほとんどのICSデバイスには、認証メカニズムがないか、ルール、ロギング、または管理がありません。
• 攻撃を受けているときや、何かが異常に通信しようとしているかどうかを検出する方法はありません。
• これまでに見られなかった行動を特定したり、複数の行動の結果を分析したりできる行動技術はありません。
• 必要な文化的変化は言うまでもありません。

例えば、ICSデバイスが共通のユーザ名/パスワードモデルを使用した認証を必要とする場合でも、デバイスは可能な限り単純な資格情報で構成され、全員で共有され、永続的にログオンしたままになります。プラントの人員に必要な技術とスキルから、セキュリティ文化、モニタと管理に至るまで、ICSに関するすべてを変更する必要があります。そして生産に影響を与えることなくそのシフトが行なわれます。

IDMZの課題

すべての企業がIDMZに投資する準備ができているわけではありません。設計が難しく、既存のOTおよびITネットワークシステムに統合するのは困難な場合があります。IDMZを設計および実装するには、次の分野で専門家レベルの理解が必要です。

• ネットワークセキュリティ
• ファイアウォールプラットフォームおよびACL
• 仮想サーバテクノロジ
• システムの強化
• アプリケーションセキュリティ
• 専門分野の機能とセキュリティ
• セキュアなデータとファイル転送方法
• セキュアなリモートアクセス方法
• そして、さらにリストは続きます...

課題をさらに進めるには、IDMZは、インフラを維持し、ネットワークの変更を承認し、セキュリティの脅威に対応するために、これらの側面に精通しているチームによってサポートされる必要があります。

IDMZの構築は単純でも安価でもありませんが、それがあなたにとって適切な解決策であるかどうかを判断するために計算を行なう価値があります。IDMZに関連するコストは、IDMZが保護しているもののコストよりも少ないですか? IDMZがICS全体を保護している場合、それは非常に優れた投資になります。非常に脆弱なICS環境に対する脅威が増大していることを考えると、壁のない世界では、実際には、ICSで現在利用できる完全な保護はこれだけです。

産業用制御システムは、境界のない世界でセキュリティリスクをある程度許容できるほど成熟していません。多層防御を強くお奨めします。ただし、これらのデバイスが自身を保護し、外部保護システムと相互作用できるようになるまで、IDMZは産業用制御システムの最良の防御であり続けます。今のところ、IDMZで補強された「内壁」は残しておく必要があります。

ロックウェル･オートメーションが、ネットワークセキュリティに対する多層防御アプローチの一部としてIDMZを作成および維持するのにどのように支援しているかについてご覧ください。