産業サイバーセキュリティでリスクを低減

産業サイバーセキュリティは多様であり、さまざまなレベルで重要な役割を果たします。OTや生産の現場において、産業サイバーセキュリティの原則は主に、人為的な行動によって引き起こされる危険から機械を保護することを目的としています。この原則によって、サイバー攻撃や不正操作といった危険から機械が保護されます。

しかし、潜在的なリスクや攻撃の機会をどのようにして見つけ出すのでしょうか？

産業サイバーセキュリティの観点から生産を検証する際に最初に行うべきことはリスク評価です。これにより、機械が「サイバースペース」を通じてさらされる危険やリスクが明らかになり、それを最小限に抑えるために講じるべき対策が示されます。

セキュリティリスクアセスメントでは、必ず以下の手順で実行してください。

1. 資産の特定：保護対象は何ですか。
2. 脅威の分析：保護対象の資産にどのようなリスクがありますか。
3. 関連する保護目標の決定：どのような目標の達成を目指しますか。
4. リスクの分析と評価：リスクが生じる可能性はどの程度ですか。
5. 脅威ベクトルの分析
6. セキュリティコンセプトの作成と履行
7. 履行内容の振り返り
8. 定期的な再評価
9. 保護対策の選択と実行：潜在的なリスクから身を守るためにはどうすればよいでしょうか。
10. レジリエンスマネジメント：攻撃を受けた後、どのように対処しますか。社内でどのようにセキュリティ問題への意識を定着させればよいのでしょうか。

セキュリティレベルは、設備のオペレータや製造業者がセキュリティ対策により達成を目指すセキュリティの水準を定義します。事前リスクアセスメントにより、必要な情報が得られます。これにより、保護の対象が定義され、この資産が攻撃を受ける可能性を判定できます。これに従って、セキュリティレベル (SL) が選択されます。SL-2とは、「低リソース、一般的技術、低い動機による簡単な手段を使った意図的な侵害」に対する保護で、現在では最低基準とみなされます。企業がこの最低基準を維持するには、一定のセキュリティ成熟レベルが必要です。最高のファイアウォールも、従業員が各自のパスワードを付箋に書き留めてパソコンのスクリーンに貼ったり、更新を怠ったりすれば、無用の長物です。セキュリティに企業が取り組めば取り組むほど、全体的な保護が強化されます。包括的なセキュリティコンセプトが重要なのはそのためです。

セキュリティレベルの概要：

• セキュリティレベル1：不注意または偶然による侵害に対する保護
• セキュリティレベル2：簡単な手段による意図的な侵害に対する保護
• セキュリティレベル3：高度な手段による意図的な侵害に対する保護
• セキュリティレベル4：高度な手段と豊富なリソースによる意図的な侵害に対する保護

的を絞った具体的な方法で機械を保護するためには、詳細なセキュリティリスクアセスメントが不可欠です。しかし、一般的な対策でもセキュリティを強化することはできます。どのような対策も、何もしないよりはましです。御社がセキュリティ対策実施の際、以下の戦略が役立ちます:

1.多層防護: 原則として、侵入者の経路に常に新しい種類の異なる障害物を置きます。そうすることで攻撃者が目的を達成し辛くなります。各対策が個別に突破される可能性があるため、可能な限り多くの層に多くの障害物を作るのがポイントです。このコンセプトの重要な部分は、常に人的要因を考慮に入れることです。

2.組織的対策: 全社員がセキュリティ対策を実行することが重要です。自社の従業員だけでなく、サプライヤやサービスプロバイダといったパートナーにも適用されるガイドラインを設けることが推奨されます。信頼は大切ですが、それだけでは十分ではありません。適切な管理が求められます。セキュリティ担当者全員がこれらのガイドラインの遵守状況を確認し、必要に応じて支援する必要があります。

3.トレーニング：誰もがITに詳しいわけではないので、従業員向けのセキュリティトレーニングを定期的に行う必要があります。ピルツのセミナーはシュツットガルト近郊のオストフィルダンにあるピルツ本社やお客様の施設で開催、或いはウェブ形式のセミナーとして提供され、機械や設備の設計者、さらにはオペレータを対象としています。

4.「ゾーンとルート」のセグメント化： セキュリティ要件が類似する装置のゾーンは、ファイアウォールや安全なルータによって互いに分離させる必要があります。情報の送受信は、真に認証されている装置だけがゾーン間のルートを介して行えます。例えば、安全に関わる装置は、特に精密な保護を施された専用のゾーン内に配置できます。それによって通常の運用に影響が生じることはありません。 

5.ファイアウォール：ルータやスイッチはセキュリティメカニズムをサポートしますが、制御ネットワークにファイアウォールも使用する必要があります。例えば、アプリケーションファイアウォールSecurityBridgeは、設備や機械の安全制御技術をプロセスデータなどの不正操作から保護します。

6.パッチ管理：パッチが特に必要となるのは、ソフトウェアにセキュリティ関連の脆弱性が判明した場合です。該当するものとして、アプリケーションソフトウェアや組み込みソフトウェアがあります。メーカがリリースする更新やパッチだけでなく、第三者ソフトウェア（オフィスアプリケーション、PDF Readerなど）も考慮する必要があります。パッチのプロセスにより、責任範囲と手順が定義しやすくなります。

産業サイバーセキュリティに関して言えば、IEC 62443を参照すると、「基本的要求事項（foundational requirements）」と呼ばれる一連の基本要件が見つかります。これらは、セキュリティを高めるための技術的手法を抽象的に説明したものです。

IDとアクセス管理（Identification and Access Control、IAC）

装置とその中の情報に対するアクセスおよび変更を、必要な権限を持つ正当な主体に限定します。設備の運用の安全を確保し、IACS（Industrial Automation and Control System）の機能を保証するためには、これらの権限が必要となります。

使用管理（Usage control、UC）

使用管理（UC）は、正当な許可を得た主体以外、装置や情報を使用して、有効かつ必要なタスクを実行できないようにします。設備の安全性と生産性に不可欠な役割を果たします。つまり、これは権限の問題です。「最小限の権限」の原則を適用する必要があります。

システムの整合性（System Integrity、SI）

通信チャンネル内のデータが許可なく変更されないようにし、常に正しいデータを利用できる状態にする基本的要求事項です。例えば、表示される値は実際の値と一致し、不正に操作されていないものでなければなりません。 

データの機密性（Data confidentiality、DC）

機械の中にあるすべてのデータは、機密が保持されている必要があります。部外者や許可されていない部内者によって閲覧されることがあってはなりません。

データフローの制限

データを真に必要とされる領域にのみ流すことを保証する基本的要求事項です。データが許可なく閲覧されたり不正に操作されたりするリスクを軽減する働きがあります。当然、適切なセキュリティレベルを持つゾーンとルートにシステムを分割できるようにシステムアーキテクチャが設計されていなければなりません。例えば、一方向ゲートウェイやデータダイオードといったデバイスを活用する方法が考えられます。

事案への迅速な対応

セキュリティ侵害に対応するために必要な能力をIACSが備えているかを確認することが重要です。例えば、適切な当局への通報、侵害の証拠の記録、さらにそのようなインシデントが発覚した際の迅速な是正措置が考えられます。

リソースの可用性

システムが制御不能になる、あるいは最悪の場合、安全な状態にすら戻せなくなる状況が発生しないようにIACSが設計・運用されていなければなりません。つまり、安全システムは、サービス拒否攻撃を受けた場合でも、設備を安全な状態にすることや、その保護機能を果たすことが妨げられてはならないということです。

以上に挙げた基本的要求事項には、それぞれ別途システム要件が規定されています。これらはセキュリティ対策を実施するうえでの基盤ともなり、技術的セキュリティのレベルを高く設定するほど、大がかりなものになる可能性があります。