制御システムを狙うサイバー攻撃の脅威(2)
制御システムにおけるセキュリティ対策はどのような観点で検討していくとよいのでしょうか。企業全体としてのセキュリティレベルを向上させるための提言として、3つの対策方向性があげられます。
特集
特集
また、核関連施設や水処理施設、石油やガスパイプラインなどを狙ったサイバー攻撃と考えられるインシデントが、世界各地で報道されています。
今回は、制御システムのセキュリティインシデントが深刻化する背景や、トレンドマイクロがおとり調査によって収集した攻撃サンプルの解析結果をもとに制御システムに迫る脅威を解説し、有効な対策を紹介します。
●制御システムの特性にあった対策が必要
これまで述べてきたように、制御システムにおけるセキュリティインシデントは、製造業であれば生産停止、社会インフラであれば影響がより広範囲に及ぶ恐れがあります。経済的な損害はもちろん、社会的信用の失墜が懸念されるため、企業は、制御システムにおけるセキュリティ脅威を経営リスクとしてとらえ、組織全体としてセキュリティ対策の整備を進める必要があります。しかし一方で、制御システムは、情報システムとは異なる特性ゆえに対策が困難となっており、抜本的な解決に至っていないケースもあります。
制御システムの主な特性としては、「可用性の重視」、「長期運用」、「リアルタイムデータ送受信」、「情報システム部門以外で管理」などがあげられます。制御システムは、24時間365日連続稼働を求められることが多いため、例えば修正プログラム適用のためにシステムを頻繁に再起動したり停止させたりすることは困難です。また、10年、20年以上といった長期運用が前提なので、運用中にソフトウェアベンダーのサポートが終了してしまう場合もあります。さらに、タイムリーな運用監視のために、リアルタイムなデータ送受信が求められ、システムパフォーマンスの低下は極力回避しなければなりません。このほか外部ネットワークに常時接続していないケースも多く、日常的なパターンファイルの更新等を前提とするソリューションでは適さない場合もあります。こうした特性に加え、管理側の状況にも注目をする必要があります。具体的には、制御システムの管轄は一般的に現場技術部門が担っており、これまで必要性が低かったことから、セキュリティに関する充分な知識・スキルを持つ技術者が不足している状況です。このような特性から、制御システム特有のセキュリティ要件として、以下に示す5つの要件が導き出されます。
制御システム特有のセキュリティ要件
1.アップデートや復旧作業においてシステムを停止させない
2.システムパフォーマンスへの影響を最小限に抑える
3.クローズド環境においてもセキュアな状況を保つ
4.修正プログラムを定期的に適用できない環境でもセキュアな状況を保つ
●制御システムセキュリティにおける3つの対策方向性
では、制御システムにおけるセキュリティ対策はどのような観点で検討していくとよいのでしょうか。企業全体としてのセキュリティレベルを向上させるための提言として、次の3つの対策方向性があげられます。
方向性1.セキュリティ基準の整備
方向性2.システムの特定用途化(ロックダウン)を中心とした対策の導入
方向性3.組織/人材の育成
1つめの方向性として、システム導入運用の各プロセスにおいて、準拠すべきセキュリティ基準を整備することです。 例えば、導入フェーズでは、システムを停止させるリスクを低減するために冗長化可能なシステムの導入、実機での実効性を確保するためのテストベッド活用などの検討です。運用面では、定期的なシステムパスワード変更や、外部メディア使用における業務フロー、インシデント発生時の対応フロー等を見直すことです。これらの検討には、制御システムのセキュリティ標準であるIEC62443や、経済産業省や制御システムセキュリティセンター(CSSC)等による活動や成果物も参考にするとよいでしょう。
次に、端末やネットワークを特定用途に限定する"ロックダウン"ソリューションをはじめとしたシステム対策の検討です。具体的には、制御システム内の端末に対し、ロックダウン型セキュリティ対策ソフトを導入し、不正プログラムの侵入・実行を防止します。さらに、データのやり取りが必要な場合は、USBメモリ内の不正プログラムの検索・駆除機能を搭載したUSBメモリを利用することで、システム内への不正プログラムの侵入を防止します。仮に網の目をかいくぐり侵入した不正プログラムがあったとしても、端末にソフトウェアをインストールすることなく、オフライン環境でも最新のパターンファイルを用いて検索可能な不正プログラムの検索・駆除ツールを利用することで、制御システムを効果的に保護することができます。
そして組織/人材面では、情報システム部門と現場技術部門が連携しながら統合管理や人材育成等の協力体制を構築することです。制御システム管理者の60%以上が、制御システムのセキュリティ対策について、情報システム部門の協力を期待しています。情報システム部門では、セキュリティに関する様々な知見が蓄積されており、それを制御システムの保護に生かさない手はありません。
トレンドマイクロは、制御システムにおける様々なサイバーインシデントからお客さまを守るため、今後も調査活動およびソリューション開発を継続してまいります。
(Trend Micro)
※本記事は「TREND PARKコアテク・脅威インテリジェンス」から転載しました※
《Trend Micro》
関連記事
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
-
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
-
RoamWiFi R10 に複数の脆弱性
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供