水道事業は、注目を集めるサイバーインシデントに見舞われた最新の業界です。
今年初めには、カリフォルニア州の浄水場にハッカーが侵入し、水を浄化するためのプログラムを削除しました。また、フロリダ州の浄水場では、ハッカーが遠隔地からアクセスし、処理工程で使用する灰汁の量を増加させたという事件が発生し、全米で大きな話題となりました。この変化は、幸いにも工場の従業員が気づき、すぐに修正されました。
水道事業の接続性が低かった時代に戻るという選択肢はありません。コロナ禍の状況では、従業員がリモートで仕事ができるように、接続されたオペレーションが求められています。また、リアルタイムのモニタやリモート接続などの「スマートウォーター」機能は、人口の変化やより厳しい気象現象などの課題に水道事業者が迅速に対応するために、ますます不可欠なものとなっています。
水道事業者ができる最善のことは、サイバーセキュリティに対する包括的なアプローチによって、この課題に正面から取り組むことです。
計画から始める
サイバーセキュリティ計画は、オペレーションの安全を確保するために不可欠なものであるだけでなく、米国環境保護庁からも要求されています。
米国水インフラ法(AWIA)では、人口3,300人以上のすべてのコミュニティの水道システムが、5年ごとに2つのリスク管理活動を実施することが義務付けられています。
第一に、脆弱性評価として知られていたリスク・アンド・レジリエンス評価を行なう必要があります。第二に、緊急時対応計画を作成することです。
ここで重要なのは、AWIAは従来、これらの活動において物理的なセキュリティへの配慮のみを要求していましたが、今回の活動ではプラントのプロセス制御システムに対するサイバーリスクにも対応することを要求していることです。
資産を知り、リスクを知る
オペレーションのリスクを評価するには、オペレーションに含まれる資産を評価する必要があります。それは、存在を知っているものしかセキュリティを確保できないからです。しかし、残念ながら、ほとんどの人は、長年にわたってネットワーク上に置かれてきたすべてのデバイスを把握しているわけではありません。
設置ベースの評価(IBE)は、お客様のネットワークに接続されているすべてのデバイスを完全に評価することができます。IBEを自社で実施する場合は、ITチームと運用技術(OT)チームが最初から協力していることを確認してください。これらのチームはそれぞれ異なる技術を持ち、時には優先順位が競合することもあるため、IBEの開始時から同じ見解を持つことが重要です。
多くの工場では、ITとOTの専門家を雇ってIBEを実施することを選択しています。この方法をとる場合も、ITとOTの両方の専門知識を導入しているかどうかを確認することが重要です。例えば、シスコ社とロックウェル・オートメーションは、IBEにITとOTの比類なき専門知識を提供する「両方のいいとこ取りをする」アプローチを提供しています。
IBEの結果は目を見張るものがあります。工場のスタッフは、高品質な機器に投資しているため、オペレーションは安全だと確信していたのに、IBEによっていくつかの脆弱性が発見されることがあります。IBEで発見されたリスクには、セキュリティパッチのアンインストール、下請け業者による不正なリモート接続、廃棄したはずの資産がまだ接続されていることなどがあります。
計画の策定
IBEは、貴社のサイバーセキュリティ計画の策定に役立ちます。しかし、計画はいくつかの重要な目的にも対応する必要があります。
まず、NISTセキュリティフレームワーク、ISA/IEC 62443、ISA84/IEC TC65などのセキュリティ企画や規制に準拠している必要があります。また、多層防御型のセキュリティアプローチを採用する必要があります。これは、複数の保護層を使用して脅威を軽減するというものです。
目の前の課題に圧倒されたり、どこから手をつけてよいかわからない場合は、上下水道の運営をより安全に行なうために、多くのリソースを利用することができます。
American Water Works Association (AWWA)のツールは、AWIAの要件を満たすのに役立ちます。また、ロックウェル・オートメーションとシスコ社が提供する無料のConverged Plantwide Ethernet (CPwE)設計ガイドでは、拡張性に優れた堅牢でセキュア、および将来性のある産業用ネットワークアーキテクチャを展開するための設計ガイダンスとベストプラクティスを提供しています。
オンデマンドウェビナー「The Critical Role of Network Security in Water Utilities」で詳細をご覧ください。
公開 2021/09/10
