運用テクノロジー環境のイラスト

OT および ICS セキュリティ

OT セキュリティとは

OT セキュリティ(ICS セキュリティや産業用 IoT セキュリティとも呼ばれる)は、産業ネットワークおよび重要なインフラストラクチャにおける運用の継続性、完全性、安全性を確保するサイバーセキュリティの仕組みです。

OT、ICS、SCADA、IIoT の違い

運用テクノロジー(OT)とは

OT は、機器、プロセス、イベントを制御および監視することによって、物理世界における変化を検出したり、物理世界に変化を加えたりできるハードウェアとソフトウェアです。OT にはバルブ、ポンプ、駆動装置、センサー、マシン、ロボット、産業用制御システムなど、さまざまなソリューションが含まれます。これらのソリューションは製造工場、送電網、水道事業、石油・ガス、運輸などの産業における業務を行うために使用されています。

産業用制御システム(ICS)とは

ICS は産業オペレーションの物理的なプロセスを管理、自動化、制御します。ICS は、たとえば遠方監視制御装置(RTU)、インテリジェント電子装置(IED)、プログラマブル ロジック コントローラ(PLC)、安全計装システム(SIS)、分散型制御システム(DCS)、監視制御・データ取得(SCADA)によって実行されるロジックに従って、OT アセットに指示を出します。

産業用 Internet of Things(IIoT)とは

IIoT とは、熱、埃、湿気、振動が問題となるような過酷な環境における産業オペレーションのニーズや特定の制約を満たすために設計された IoT ソリューションです。IIoT ソリューションは、産業オペレーションからのデータを収集、監視、分析するために使用され、トラブルシューティングおよび保守機能の改善、効率性の向上、コストの削減、安全性とセキュリティの向上に役立ちます。

産業用 IoT とは>

ICS セキュリティについて

ICS セキュリティは、制御装置と OT アセットをサイバー脅威から保護し、産業ネットワークと重要なインフラストラクチャにおけるオペレーションの継続性、完全性、安全性を確保するものです。ICS セキュリティ、OT セキュリティ、産業用 IoT セキュリティは異なる言葉ですが、その目的は同じで、産業用の自動化デバイスと運用ネットワークをサイバー脅威から守ることです。

OT セキュリティが重要な理由

産業用制御システムと運用テクノロジーは水道、ガス、配電網など、身近なところに存在しており、発電所や重要なインフラストラクチャを稼働し、工場の生産ラインを自動化しています。また、交差点や鉄道システムのような交通インフラストラクチャでも利用されています。産業ネットワークや重要なインフラストラクチャへのサイバー攻撃は、組織、その顧客、一般市民に、広範囲に及ぶ多大な影響を及ぼす可能性があります。その結果、業務の中断(それに続く生産の中止や収益の損失)、設備の損傷、従業員の怪我、環境被害、規制コンプライアンスの問題、民事または刑事上の責任などにつながる可能性があります。

OT サイバーセキュリティの課題

ICS と OT のアセットは、以前は企業の他の部門やインターネットからは隔離されていました。しかし、組織が業務をデジタル化し、インダストリ 4.0 のテクノロジーを導入するに従って、IT、クラウド、運用ネットワークの間のシームレス コミュニケーションが必要になりました。そのため、今では ICS と OT のアセットは重大なサイバー脅威に晒されています。

可視性の欠如

OT アセットの一部は数年または数十年前に設置されているため、DDoS や脆弱性のエクスプロイトのような悪意のあるトラフィックに対して無防備です。さらに悪いことに、ほとんどの組織は保護が必要な OT アセットの包括的かつ最新のインベントリを作成していません。そのため、悪意のある攻撃者がアクセス権を取得する可能性がある重要な脆弱性、インターネットトラフィックへの露出、不良構成などのリスクを評価することが困難な可能性があります。

管理性の欠如

産業ネットワークは通常セグメント化されていません。そのため、攻撃者は気付かれることなく容易に横方向に移動し、悪意のあるトラフィックが環境全体に広がります。リモートアクセスは一般的ですが、ほとんどは IT チームが制御していないセルラーゲートウェイまたはソフトウェアが使用されています。IT 部門が企業を保護するために使用しているセキュリティツールは ICS および OT アセットによって使用される通信プロトコルを分析できないため、脅威を検出することは特に困難です。

コラボレーションの欠如

多くの組織では、最高情報セキュリティ責任者(CISO)と IT チームがサイバーセキュリティに関する責任を共有しています。しかし、ほとんどの場合は運用テクノロジーやプロセス制御テクノロジーの専門知識を持っていません。時に OT チームはネットワークに「立入禁止」の標識を掲げたい誘惑に駆られますが、OT 部門と IT 部門の間に信頼とコラボレーションが欠如している場合、組織のセキュリティに深刻な影響が及ぶ可能性があります。

OT セキュリティと IT セキュリティの違い

マルウェアを阻止し、悪意のあるトラフィックを防ぎ、リソースへのアクセスを制御し、脆弱性を緩和する必要があるなど、IT サイバーセキュリティと OT サイバーセキュリティの共通点は多くあります。ただし、OT 環境の物理的な性質により、運用テクノロジーセキュリティ戦略を構築する上で考慮しなければならない特殊性が生まれます。

OT チームは機密性よりも可用性を重視する

IT の世界ではデータの機密性、完全性、可用性が非常に重要です。OT でもデータの盗難は恐れられていますが、稼働時間を維持することがより優先されます。送電網のシャットダウン、信号機の停止、パイプラインの閉鎖などがもたらす影響を考えてみてください。コンピュータの再起動や不審なデバイスの切り離しは IT では一般的なやり方ですが、OT の場合は物理的な世界への甚大なリスクと、組織の収益の大きな損失を発生させる可能性があります。

OT アセットは異なるライフサイクルを持つ

OT システムのライフサイクル(15 〜 30 年以上)は、IT システムのライフサイクル(3 〜 5 年)よりもはるかに長くなっています。時には、アセットが古すぎてセキュリティパッチが利用できない場合もあります。パッチが利用可能な場合でも、インストールすることは容易ではありません。アセットはビジネスクリティカルなプロセスの一部であり、滅多に、または決して停止されることはありません。IT 部門が自身の環境内で安全に使用している手順は、単純に OT には適用できないのです。

通常の動作がサイバー攻撃である可能性がある

マルウェアの侵入は OT 環境にとって最も一般的な脅威ですが、より高度な攻撃の場合は産業プロセスの基本的なパラメータが変更され、正常に稼働できなくなる場合があります。産業プロセスの変更を検出するには産業ネットワークのトラフィックを解析し、通常のトラフィックがどのようなものかを明確に理解した上で、出されている命令の正当性を判断する必要があります。

OT アセットは固有の通信プロトコルを使用する

OT アセットを特定し、動作を把握し、異常を検出するにはパケットペイロードの解析と通信内容の分析が必要です。Modbus、S7、Profinet、EtherNet/IP、CIP、NTCIP、CC-Link、IEC104/101/61850、DNP3、OPC などのプロトコルを解析することは、産業ネットワークと重要なインフラストラクチャを保護するために重要です。通常 IT セキュリティソリューションにはこのような機能がないため、運用環境を可視化するには OT セキュリティツールが必要です。

ICS セキュリティの Purdue モデル

Purdue Enterprise Reference Architecture(PERA)は、1990 年代にパデュー大学のパデュー応用産業制御研究所(PLAIC)によって開発されました。PERA は後に International Society of Automation(ISA)の ANSI/ISA-95 国際標準に統合されました。

Purdue モデルは、産業用制御システム(ICS)ネットワークを企業のエンタープライズネットワークから分離し、産業ネットワーク内での役割に応じてシステムを整理するためのフレームワークです。

  • レベル 0(プロセスゾーン):物理的な世界とやり取りするデバイス(センサー、アクチュエータ、マシン)が含まれます。
  • レベル 1(制御ゾーン):レベル 0 デバイスに命令を出すインテリジェントデバイスが含まれます。例:プログラマブル ロジック コントローラ(PLC)、遠方監視制御装置(RTU)、インテリジェント電子装置(IED)、安全計装システム(SIS)など
  • レベル 2(監視ゾーン):物理的なプロセスを制御および監視するシステムが含まれます。例:分散制御システム(DCS)、監視制御・データ取得(SCADA)、ヒューマン マシン インターフェイス(HMI)など
  • レベル 3(オペレーションゾーン):運用ネットワークのデータセンターのように機能し、産業プロセスのオーケストレーションを担当するシステムをホストします。例:製造実行システム(MES)、データヒストリアンなど
  • レベル 4 および 5(エンタープライズゾーン):従来のエンタープライズ IT ネットワークから成り、エンタープライズ リソース プランニング(ERP)や E メールサーバーなどのビジネスシステム、ユーザーのコンピュータや関連する機能などがこのレベルに属します。

このモデルでは 6 つの機能レベルが記述されていますが、産業サポートオペレーションは次の 3 つの主要な領域に分けられています。

  1. エンタープライズゾーン(レベル 4 および 5)には、企業のデータセンター、LAN、WAN、ビジネス アプリケーション ホスティングなどの IT で制御される環境が含まれます。
  2. 産業用緩衝ゾーン(IDMZ)は、重要な環境または生産システムとエンタープライズ ネットワーク間のバッファです。産業ゾーンとエンタープライズゾーンの間の共有サービスはすべて IDMZ に配置されます。
  3. 産業セキュリティゾーン(レベル 0 〜 3)には、セル/エリアゾーンなど、低遅延またはリアルタイムベースで頻繁に通信が行われる重要な運用システムが含まれます。

 

Purdue モデルの機能レベル

OT サイバーセキュリティの標準

NIST サイバーセキュリティ フレームワーク(CSF)

サイバーセキュリティ フレームワーク(CSF)は、米国国立標準技術研究所(NIST)による一連のサイバーセキュリティのベストプラクティスおよび推奨事項です。特定、保護、検出、対応、回復の 5 つの機能から成るシンプルなモデルを使用して、アプローチの構築を支援します。

NIST サイバーセキュリティ フレームワークのホワイトペーパー(PDF)を読む >

NIST SP 800-84

NIST Special Publication 800-82『Guide to Operational Technology (OT) Security』は OT の概要を詳しく説明し、一般的なシステムトポロジ、脅威と脆弱性、関連するリスクに対処するためのセキュリティ対策などを紹介しています。

NIST の OT セキュリティガイド(PDF)を読む >

ISA99/IEC 62443

International Society of Automation(ISA)と国際電気標準会議(IEC)は協力して、ISA99 および IEC 62443 として知られる一連の OT セキュリティ標準を作成しました。これらの標準は、リスクを評価し、セキュアなコンポーネントを開発し、セキュアな産業ネットワークアーキテクチャを設計し、各セキュリティ要件に対する成熟度を測定する手法を定義しています。

ISA/IEC-62443-3-3 のホワイトペーパーを読む >

NERC CIP

北米電力信頼度協議会の重要インフラ保護(NERC CIP)レポートおよび監査コンプライアンスプログラムは、米国および隣接する国の電力会社のオペレーターがシステムレベルのサイバーセキュリティを達成することを支援します。

NERC CIP コンプライアンスのホワイトペーパーを読む >

EU NIS/NIS2 指令

ネットワークおよび情報セキュリティ(NIS)指令は、欧州連合のすべての加盟国に対して適用されているサイバーセキュリティ規制です。その目的は、重要なインフラストラクチャのセキュリティと復元力を向上することであり、セキュリティ要件、報告義務、厳格な監視手段などを規定しています。

NIS2 コンプライアンスのホワイトペーパーを読む(PDF)

OT セキュリティのベストプラクティス

運用ネットワークは IT テクノロジーを土台としているため、OT セキュリティには境界セキュリティ、エンドポイント保護、多要素認証(MFA)、チームのトレーニングなど、IT ネットワークと同じサイバーセキュリティ ソリューションが必要です。OT 環境に固有の性質をサポートするためには、特定の対策を施す必要があります。シスコの OT セキュリティソリューションである Cisco Industrial Threat Defense は、OT セキュリティ態勢を強化するために役立ちます。

IT ドメインと OT ドメイン間の通信を制限する

OT セキュリティプロセスの最初のステップは、OT ネットワークへの論理的なアクセスを制限することです。一般的には、ネットワークトラフィックが企業ネットワークと OT ネットワーク間を直接通過することを防ぐファイアウォールを IDMZ ネットワークに配置するという方法がとられます。IDMZ のファイアウォールは攻撃者がネットワークを侵害しようとすると直面する最初の防御ラインとなり、正規のサービスが安全に境界を通過するための、最小権限アクセスの適用ポイントとなります。

Cisco Secure Firewall の詳細を見る >

OT アセットの詳細インベントリを維持する

見えないものは保護できません。運用テクノロジーアセットの詳細なインベントリを維持することは、OT セキュリティプログラムの前提条件です。OT 環境を可視化することで、ソフトウェアの脆弱性、不明なアセット、IDMZ の漏洩、不要な通信アクティビティなどのリスクを特定できます。これにより、組織は攻撃と、OT ネットワークの一時的な状態または通常のオペレーションの違いを把握できます。

Cisco Cyber Vision の詳細を見る >

OT ネットワークを小規模な信頼ゾーンに分割する

多くの産業ネットワークが長年の間に拡張し、大規模でフラットなレイヤ 2 ネットワークになりました。現在では、アセット間の通信を制限して、攻撃が拡散して生産インフラストラクチャ全体が中断するのを阻止することが非常に重要です。ISA/IEC-62443 セキュリティ標準は、システムを「コンジット」と呼ばれるチャンネルを介して通信する「ゾーン」というグループに分割することを推奨しています。

ゾーンの分割にファイアウォールを使用するには、専用のセキュリティアプライアンスの実装、ネットワーク配線の変更、ファイアウォールのルールの維持が必要です。幸いなことに、専用のセキュリティアプライアンスを実装して保持しなくても、ソフトウェア セグメンテーションを使用してセキュリティポリシーを適用し、産業ネットワーク全体にセキュアゾーンを作ることができます。

Cisco Identity Services Engine(ISE)の詳細を見る >

OT アセットにゼロトラスト リモートアクセスを適用する

リモートアクセスは、時間とコストのかかる現場の訪問なしに OT アセットを管理およびトラブルシューティングするための鍵となります。多くの組織では、機械メーカー、保守業者、または運用チーム自身がセルラーゲートウェイやリモートアクセス ソフトウェアを設置しており、それらは IT 部門が制御していません。一方、IDMZ に設置される仮想プライベートネットワーク(VPN)には複雑なファイアウォールのルールの維持が必要で、NAT 境界の背後にあるデバイスにはアクセスできません。

そのような中、組織がサイバーリスクを軽減する方法として、ゼロトラスト ネットワークアクセス(ZTNA)がますます注目を集めています。ZTNA はユーザーを検証し、アイデンティティおよびコンテキストポリシーに従って特定のリソースに対するアクセス権のみを付与するセキュアなリモートアクセスサービスです。ZTNA では、最初はすべてのアクセスが拒否され、状況に応じて必要な信頼が適応的に提供されます。ただし、OT 環境では、ZTNA は、大規模展開を簡素化し、すべてのアセットへのアクセスを認めるために分散させる必要があります。

Cisco Secure Equipment Access(SEA)の詳細を見る >

IT と OT 全体にわたる、セキュリティーチームのグローバルビジョンを実現する

OT アセットの特定と保護に加え、OT セキュリティではサイバーセキュリティイベントの検出と対応が必要です。OT セキュリティの管理は多くの場合サイロ化されているため、セキュリティ分析で組織が直面している包括的な脅威状況を把握することは困難です。セキュリティ運用チームには、IT および OT ドメインにわたって監視対象を容易に調査し、脅威がドメインを超えるのを防ぐための修復のワークフローを開始できるソリューションが必要です。

Cisco XDR の詳細を見る >

最悪の事態に備える

サイバーセキュリティの対応は、緊急事態が起こる前に開始するのが理想です。あらゆる組織で、定期的に従業員にサイバーセキュリティのベストプラクティスに関するトレーニングを実施する必要があります。OT セキュリティの準備を整えることは、防御態勢をテストし、プレイブックを作成し、机上訓練を実施することも意味します。

Cisco Talos インシデント対応サービスの詳細を見る >