電力会社は、高度に分散化された安全上極めて重要な制御環境を運用しており、SCADA、EMS、保護リレー、変電所などのシステムは、中断することなく継続的に稼働し続けなければなりません。こうしたサイバー資産の多くはレガシープロトコルでのみ通信が可能であり、機器の大部分は現代的なサイバー脅威が出現するはるか以前に設計されたものであるため、時代の変化に対応するために必要なアップグレードは不可能に思えるほど困難です。
こうした制約があるにもかかわらず、現代の公益事業会社には、集中監視機能の提供、運用状況のリアルタイム可視化、そして必然的に、企業のIT部門、SOC(セキュリティオペレーションセンター)、規制当局とのデータ共有が求められています。これにより、運用の独立性と組織全体の可視性との間には、絶え間ない緊張関係が生じています。
公益事業分野において、サイバーインシデントの影響は、単なるデータ損失やシステム停止にとどまりません。より深刻なリスクとしては、送電網の信頼性が損なわれ、連鎖的な停電を引き起こし、作業員や一般市民の安全を脅かす事態が挙げられます。さらに、NERC CIP(北米電力信頼性協議会サイバーセキュリティ基準)に違反した場合、多額の罰金や法的責任を問われる可能性があります。
多くの現代の組織は、基本的なセキュリティ対策としてファイアウォールやVPNを採用していますが、これらのセキュリティソリューションに依存することは、重大な脆弱性を露呈することになります。その理由は、これらが設計上双方向通信を許容する仕組みになっているからです。ファイアウォールは、一般的な通信シナリオにおいて返信トラフィックを通過させる必要があり、設定ミスが生じたり悪用されたりするケースが少なくありません。厳重に設定されたファイアウォールであっても、熟練した管理者によるソフトウェアの正確な運用に依存しており、ポリシーを確実に適用しつつ、必要な変更を正確に許可するためには、継続的なルールメンテナンスが不可欠です。
CIP基準で対応が求められる「影響度の高いBES」の観点から見ると、これは、たとえ強力な専門家や運用担当者のチームを擁していたとしても、インバウンドリスクが完全に消滅することは決してなく、せいぜい管理されているに過ぎないことを意味します。 いかなるインバウンドの電子経路が存在するだけでも、コンプライアンスチームが監査の際に複雑な構成を擁護しなければならない中核的なリスクとなります。例えば、電子セキュリティ境界(ESP)の保護に関するCIP-005-8表 R1 や、システムの強化に関するCIP-007-7表 R1 の要件を満たすための証拠を提示することが求められます。 監視ネットワーク、ITネットワーク、またはベンダーのネットワークが侵害された場合、攻撃者は許可されたリターンパスを悪用してOT環境へ再び侵入し、コマンド、マルウェア、または不正なトラフィックを注入することで、取り返しのつかない損害を引き起こします。
だからこそ、NERC CIPでは、不正利用の検知だけでなく、外部からのアクセスを最小限に抑え、厳格に管理することを重視している。データダイオードは、ハードウェアレベルで一方向のデータ転送を強制する。保護されたOT環境からは情報が外部へ流出することはできるが、ソフトウェアの状態、設定、あるいは侵害の有無にかかわらず、外部から内部へ戻ることはできない。このアプローチにより、セキュリティモデルは「ルールによって外部からのトラフィックをブロックする」ものから、「外部からのトラフィックが物理的に不可能な」ものへと転換される。
データダイオードを導入することで、公益事業者は、SCADAやEMSのテレメトリデータのエクスポート、ヒストリアンのレプリケーション、SOCプラットフォームへのログやアラートの送信といった、業務上不可欠なレポート要件を引き続き満たすことができます。これらはすべて、BESサイバーシステム環境にインバウンド攻撃経路を持ち込むことなく実現可能です。
下の図に示すように、可視性は維持されつつ、露出は遮断されます。
アーキテクチャの観点から見れば、この変更は単純だが決定的なものである。ソフトウェアによる信頼境界が、物理的な強制力に置き換えられるのだ。監査担当者は「ルールを信頼する」必要はなく、アーキテクチャと物理法則を信頼すればよい。
実際の近道は、CIP-002からCIP-013までの規格において、単方向ゲートウェイ/データダイオードを使用することで、公益事業者がいくつかのコンプライアンス要件(一部のNRCの文脈では26のルールのうち21項目など)を免除される点にあります。 データダイオードを使用することで、ファイアウォールの設定変更が不要となるため、構成変更の管理および監視に関するCIP-010-5の表R1を満たすための文書化要件を回避できます。また、データダイオードは、指定された情報のみが完全な監査証跡を残して転送され、その他の情報はポリシーにより一方向通信を通過できないため、情報保護に関するCIP-011-4の表R1の要件にも適合します。
このファストパスにより、コンプライアンスおよび監査対応体制が整い、NERC CIPの趣旨に沿った説明可能な制御措置を適切に文書化できるほか、外部アクセス許可の範囲を効果的に縮小し、影響の大きい環境におけるデューデリジェンスの確固たる証拠を提供します。公益事業者の最優先目標である事業継続性により、制御システムの可用性への影響を排除し、レガシーOTプロトコルの変更を伴わず、予測可能で安定したデータフローを実現します。
一方向のセキュリティアーキテクチャの導入を検討している電力会社にとって、MetaDefender Optical Diode のようなソリューションは、外部からのリスクが許容できない、規制対応が求められる高信頼性環境向けに特別にOptical Diode 。NERC CIPコンプライアンスへの対応、運用リスクの低減、あるいは長期的なレジリエンスの確保のいずれを目的とするにせよ、ハードウェアによって強制される一方向のデータフローは、電力会社が下せる最も堅牢なセキュリティ上の判断の一つであり続けています。
MetaDefender Optical Diode 、NERC CIPコンプライアンスの達成にどのようにOptical Diode 、詳細をご覧ください。
