OPSWAT 重要インフラをOPSWAT 、その対象は政府が定義する「重要インフラ」に限定されるものではなく、お客様が重要とみなすものすべてを含みます。
そのインフラの中核をなすのは、安全かつ安定的で継続的な運用を保証する重要なデータです。
ICS(Industrial )やOT環境において、このデータはビジネスの中核となる機能やプロセスを反映しています。しかし、サイバーインシデントが発生した場合、最優先事項の一つは被害の封じ込めとなります。
封じ込めのジレンマ
封じ込めの第一歩は、影響を受けたシステムを隔離し、攻撃が拡散する可能性のある接続経路を遮断することです。例えば、CISA(サイバーセキュリティ・インフラセキュリティ庁)のランサムウェア対応に関するガイダンスでは、影響を受けたシステムを直ちに隔離し、可能であればデバイスの接続を切断するよう明示的に求めています(1)。これは妥当な助言ですが、産業環境においては、運用上のジレンマを引き起こす可能性があります:
| セキュリティには分離が必要 | 業務には可視性が必要 |
|---|---|
| 横方向の動きを止める | システムは依然として安全に稼働していますか? |
| 指揮統制型の手法を止めよ | システムは安定しているのか、それとも許容範囲外に向かっているのか? |
| 伝播を防ぐ | 操業を停止すべきでしょうか、それとも何事もなく操業を続けられるでしょうか? |
光ダイオードは、あらゆる疑念を払拭します
光データダイオードを利用することで、組織はファイアウォール、VPN、リモートアクセス、信頼関係などの双方向通信経路を遮断しつつ、重要なテレメトリデータの外部への送信を継続させることができます。この手法により、プロセスの可視化、安全性の向上、そしてリアルタイムデータに基づく意思決定の改善が可能となります。
Core
封じ込め措置の期間中、ITとOTの間に「扉」を閉ざしたとしても、読み取り専用のプロセスデータがOT環境から外部へ送信されるための「投書口」を設けることは可能です。しかも、その際にOT環境へ戻るネットワーク経路を提供する必要はありません。
インシデント対応(IR)の一環としての封じ込めは、NISTが長年提唱してきたOTセキュリティの指針と一致しています。NISTは、ファイアウォールの代替手段として、許可され設定された通信のみを一方向に通す一方向ゲートウェイ/データダイオードを挙げています(2)。
暗闇に包まれたらどうなるのか
自動化やインフラなしに、どうやって製造を継続できるのでしょうか?「接続遮断による封じ込め」の代表的な事例としてよく挙げられるのが、2019年にノルスク・ハイドロで発生したランサムウェア攻撃です。同社は感染拡大を防ぐためネットワークへのアクセスを遮断し、一定期間、手作業によるプロセスに切り替えて対応しました。 LockerGogaランサムウェアは同社のアルミニウム加工工場の一部に最も深刻な影響を与え、その経済的損失は7,100万ドル以上に達すると見込まれています。旧来の紙ベースのシステムに精通していた定年退職した工場職員が、生産を維持するために自発的に工場に戻ってきました(3)。
この事例は、インシデント対応(IR)の過程で、自動化されたプロセスにおけるデジタル接続性や一元的な可視性を失うことが、運用面および財務面でどのようなコストを招くかを示しており、理解する上で非常に参考になります。それは正しい判断でした。
封じ込めによる決定レベルの可視性
多くの産業組織において、プロセスの可視性は、次のようなOTソースから流れるデータに依存しています:
- OPC UA サーバー(リアルタイム値、アラーム、コンテキスト付きデータ)
- 歴史家たちはAVEVA PI(時系列データ+イベント+アセット・フレームワークのコンテキスト)を好んでいる
封じ込め措置中は、OTテレメトリデータが企業のツールに接続されるのを防ぐため、ファイアウォールやルールを無効にしたり、リモートアクセスをブロックしたりすることが一般的です。ダイオードアーキテクチャは、その障害モードを変えます:
- インバウンドのリスクを防ぐために、ファイアウォールやサーバーのルーティングを無効にすることができます。
- 状況把握を維持し、インシデントのリアルタイムな優先順位付けを迅速に行うために、片方向のテレメトリデータを取得することは依然として可能です。
- ネットワークトラフィックの可視化に基づいて脅威を検知する他の可視化ツールをご利用の場合、そのデータをダイオードを介して継続的に送信することができます
シナリオ例
事案
企業ネットワーク上でランサムウェアが拡散した。インシデント対応チームは、OTインフラへの感染を防ぐため、ITとOT間のトラフィックを遮断し、無効化した。
問題
中央管理チームは、「安全か?安定しているか?」といった環境状況の可視化を提供するOTダッシュボードやヒストリアンビューへのアクセス権を失う。
ダイオードを使用することで、OTは読み取り専用のテレメトリデータをレシーバーネットワークに継続的に送信し、SOCおよび運用部門の責任者は、OT環境への制御通信を一切行わずに、主要な傾向、アラーム、および安全に関するデータを確認することができます。
ダイオードは「ランサムウェアの問題を解決する」ものではありません(Core予防技術については別途ご確認ください)。しかし、リスクの高いゾーンからのインバウンドネットワークアクセスを遮断することで、影響範囲を最小限に抑えつつ、運用上の可視性を最低限維持することができます。
送信すべき実用的なデータ
業務の効率性を維持するため、インシデント対応計画の策定段階で「危機状況可視化データセット」を定義してください。これには、以下のようなデータを含めます:
- 安全上重要なプロセス値(圧力、温度、レベル、インターロック)
- モード/ステータス表示(自動/手動、許可状態、トリップ)
- アラームの概要(件数+上位のアラーム)
- ネットワークの状態監視データ(重要なスイッチ/ルーター、デバイス/ポートの稼働/停止状況、ヒストリアンの状態データ)
- 最低限の背景情報(チームがすぐに内容を把握できるよう、資産名や単位など)
参考文献
1. CISA.https://www.cisa.gov/ransomware-response-checklist; CISA. [オンライン]
2. NIST. SP800-82r3. NIST. [オンライン]https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. ブリッグス、ビル。「ハッカーがNorsk Hydroをランサムウェア攻撃。同社は透明性を重視した対応をとった」。Microsoft.com。[オンライン] 2019年12月16日。https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/。
