技術情報
OTセキュリティ
産業用サイバーセキュリティに関する、より優れた意思決定を支援する2つの基礎的事項
効果的なサイバーセキュリティマネージメントは、すべての企業にとって不可欠です。そこには、企業が推進するために参照できる多くの規格とガイドラインがあります。この記事では、独自のICS (Industrial Control System=産業用制御システム)のためにサイバーセキュリティマネージメントシステムを構築する際に、明確に定義されたフレームワークと規格に基づいた特定のアクションアイテムを紹介します。ネットワーク構築に多層防御アプローチを採用し、企画・設計・実装の各段階からセキュリティを組み込む secure-by-design ソリューションを選択することで、ICSサイバーセキュリティの意思決定プロセスを簡素化することができます。
サイバーセキュリティマネージメントシステムの重要な要素
サイバーセキュリティマネージメントシステム(Cybersecurity Management System=CSMS)の主要な要素を理解するために、明確に定義された業界規格の1つであるIEC 62443シリーズの規格を詳しく見てみることができます。産業用制御システム(ICS)の保護。これらの規格は、フィールドアプリケーションの拡大し続けるスペクトルにおいて、資産オーナー、サプライチェーンマネージャー、および製品開発チームに豊富な情報を提供しますが、独自のICSサイバーセキュリティマネージメントシステムを構築するための具体的なアクションアイテムを抽出するのは難しい場合があります。ここでは、IEC 62443規格によって提案されたCSMS開発プロセスの主な要素を特定します。
IEC 62443規格によって提案された主要な要素 | 決められた条件によるアクション |
---|---|
1.CSMSプログラムを開始する | 経営陣からのサポートを受けるために必要な情報の提供 |
2.ハイレベルのリスク評価 | リスクの優先順位を特定して評価 |
3.詳細なリスク評価 | 脆弱性の詳細な技術的評価の実施 |
4.セキュリティポリシー、組織、および意識の確立 | セキュリティポリシー、関連組織、および従業員間の意識の確立 |
5.対策を選択して実施 | 組織へのリスクの軽減 |
6.CSMSの維持 | CSMSが効果的であり、組織の目標をサポートしていることの確認 |
表1:IEC 62443規格によって提案された主要な要素
資産オーナー、システムインテグレータ、および製品サプライヤーは、IEC 62443規格で提案されているサイバーセキュリティマネージメントシステム全体において重要な役割を果たしています(図1)。特に、IEC 62443規格では、資産オーナーが企業のリスクアペタイトに応じて、リスクに対するサイバーセキュリティマネージメントシステムの防御能力を分析、対処、監視、改善をすることを推奨しています。さらに、IEC 62443規格は、ソリューションプロバイダまたはシステムインテグレータが提供する製品やシステムのセキュリティを許容できるレベルに維持するために、製品のライフサイクルを通してセキュリティ開発を行うことを推奨しています。
図1:製品ライフサイクルの範囲の例
上記のフレームワークで言及されている2つの原則があり、次の具体的な行動を取ることを奨励しています:
- ネットワーク構築のために多層防御アプローチの採用
- アフターサービスや確立されたセキュリティ対応プロセスを含む、企画・設計・実装の各段階からセキュリティを組み込む "secure by design" = "設計による安全性" ソリューションを提供するベンダーの選定
これらの2つの原則に従うことで、セキュリティの脆弱性からデバイスを保護し、セキュリティリスクをより適切に管理できるようになります。
多層防御ネットワークの構築
ICSの最も一般的なセキュリティ上の弱点の1つは、ネットワーク上のすべてのデバイスが必要としない場合でも相互に通信できるフラットネットワークを使用する場合です。フラットなネットワークアーキテクチャは、ネットワーク上の情報を制御できず、脅威の伝播と通信の劣化を助長します。
軍隊を参照にして、資産オーナーはネットワークを構築するときに多層防御アプローチを採用できます。軍事的なコンテキストでは、多層防御とは、敵の侵入を防ぐために、複数のレベルまたはレイヤーの保護を実施することを指します。同様に、多層防御ネットワークでは、複数のゾーンとコンジットに分割して、それぞれに関連するリスクに応じて異なるセキュリティレベルを割り当てます。
セキュリティレベルの評価
多層防御戦略の重要な部分は、ゾーンと内部製品の対策を検討することです。IEC 62443規格では、ゾーン、コンジット、チャネル、製品に適用できるセキュリティレベルの概念を導入しています。Security Level=セキュリティレベル(SL)は、特定のデバイスを調査し、システム内の場所に応じて、そのデバイスが持つべきセキュリティレベルを決定することで定義されます。セキュリティレベルは、レベル1から4に明確に分類することができます (ただし、この規格では、ほとんど使用されていない "open" level 0についても言及しています)。
- Security level 1:簡易な手法あるいは偶発的な不正アクセス
- Security Level 2:リソースが少ない意図的な攻撃
- Security Level 3:中程度のリソースを使用した意図的な攻撃
- Security Level 4:広範なリソースを使用した意図的な攻撃
リスクとコストのバランス
ゾーンに必要なSLが定義されると、ゾーン内のデバイスが対応するセキュリティレベルを満たせるかどうかを分析する必要があります。もしそうでなければ、どのような対策を講じれば要求されるSLに到達できるかを計画する必要があります。これらの対策には、技術的なもの (例えば、ファイアウォール)、管理的なもの (ポリシーや手順など)、物理的なもの (ドアの施錠など)があります。
すべてのゾーン、コンジット、デバイスにLevel 4のセキュリティが必要ではないことに注意することが重要です。資産オーナーやシステムインテグレータは、detailed risk analysis = 詳細なリスク分析を実施して、システム内の各ゾーンやコンジットの適切なリスクレベルを決定する必要があります。言い換えれば、資産オーナーやシステムインテグレータが考慮しなければならないリスクとコストの本質的なバランスがあります。
強固なコンポーネントを選定する
セキュリティレベルの概念は、システムの構築に使用されるコンポーネントにも適用されます。実際、IEC 62443-4-2規格では、次の4つのタイプのコンポーネントのセキュリティ要件が具体的に定義されています:
- ソフトウェアアプリケーション
- 組み込みデバイス
- ホストデバイス
- ネットワークデバイス
IEC 62443-4-2規格では、コンポーネントのタイプごとに、7つの基本的な要求事項を定義しています:
- 識別と認証の制御
- ユースコントロール
- システムインテグリティ(完全性)
- データの秘匿性
- データフローの制限
- イベントへのタイムリーな対応
- リソースの可用性
幸いなことに、Bureau Veritas や ISA Secure など、製品がIEC 62443-4-2要件に準拠していることを確認するために製品を認証できる研究所がいくつかあります。これらの研究所は、必要なセキュリティのレベルを決定し、その要件を満たす認定製品を選択するだけなので資産オーナーの選択プロセスを簡素化できます。
このコンポーネントレベルのセキュリティ保証は、hardening とも呼ばれ、多層防御戦略の一環としてシステムに別の保護層を追加します。
アフターサービスをサポートするSecure-by-Designサプライヤーを選定する
セキュリティが強化されたデバイスを選択することに加えて、資産オーナーはサプライチェーンマネージメントのプラクティスにも注意を払う必要があります。実際、アフターセールスサポートと脆弱性への対応は、デバイスの設計と構築をすることと同じくらい重要です。これは、サイバーセキュリティマネージメントシステムの構築に使用されるコンポーネントが、多くの場合、異なるベンダーから提供されているためです。ベンダーのデバイスが危険にさらされている場合、デバイスと、場合によってはシステム全体も同様に危険にさらされている可能性があります。そのため、デバイスレベルのセキュリティに加えて、サポート、品質管理、パフォーマンスの検証、脆弱性への対応などの数ある中で、製品のライフサイクル全体を通じてセキュリティを提供するサプライヤーを選定することもできます。
言い換えれば、製品ライフサイクル全体が secure-by-design である必要があります。IEC 62443規格には、特定のサブセクション IEC 62443-4-1があり、製品ライフサイクル全体(つまり、デバイスの構築、メンテナンス、およびデバイスの製造中止)を通じて 'secure-by-design' を保証するための要件を指定しています。これらの要件は通常、パッチマネージメント、ポリシー、手順、および既知の脆弱性に関するセキュリティ通信に必要なサポートに関連しています。製品認証のIEC 62443-4-2 規格と同様に、ソリューションプロバイダが優れたセキュリティマネージメントプラクティスに従い、IEC 62443-4-1規格の具体的な基準に準拠していることを証明することで資産オーナーの意思決定プロセスを簡素化できます。
さらに、セキュリティの脆弱性から製品を保護し、Moxa Cyber Security Response Team (CSRT)などの専用の対応チームを通じてカスタマーがリスクを管理できるように積極的に取り組む信頼できるベンダーを選定することで、新たな脆弱性や脅威が出現しても、サプライチェーンを確実に保護することができます。
結論
世界中の重要なインフラストラクチャを稼働させている産業用制御システムを保護することは、非常に困難な作業です。産業用ネットワークの全体的なサイバーセキュリティマネージメントシステムを構築するためのガイドラインや規格は数多く存在しますが、資産オーナー、システムインテグレータ、製品サプライヤーがそれぞれのシステムやアプリケーションを構築する際には、協力し合う必要があります。ネットワーク構築に徹底した防御アプローチを採用し、脆弱性に積極的に対応する secure-by-design のサプライヤーを選定することで、独自のサイバーセキュリティマネージメントシステムを構築する際の本質的な複雑さを簡略化することができます。
この記事で取り上げたIEC 62443規格の詳細と、その採用方法に関する実践的な推奨事項については、ホワイトペーパー「IEC 62443を採用するための実践的なアプローチ」をダウンロードしてご覧ください。