化学的、物理的、電気的、機械的な一連のプロセスを体系的にIndustrial 、通常、従来のレガシーシステムによって保護されていますが、これらのシステムは、現代のサイバーセキュリティ上の脅威に対抗するよう設計されたものではありません。
エネルギー生産および精製業界において、これらのプロセスは、原材料を大規模にエネルギーへと変換することを目的としています。石油精製所で使用されるさまざまなOT機器は、エンジニアリングプロセスを円滑に稼働させるために、相互に通信を行う必要があります。
そして、ここに重大な脆弱性が生じているのです。
PLC、DCS、SCADAなどの制御システムは、一般的に、それらと通信するものはすべて信頼できるものとみなしています。そのため、認証や暗号化、あるいはコマンドの妥当性を検証する機能が欠けている場合があります。
OTシステムがITシステム(リモートアクセスツール、外部業者との接続、保守用ノートPCなど)と同じネットワーク上に配置されている場合、セキュリティ対策が不十分なこれらの領域で何らかの侵害が発生すると、それが制御環境に直接及ぶ可能性があります。その結果、IT環境で発生したセキュリティインシデントは、ほとんど抵抗を受けることなくOT環境へと横方向に拡散する恐れがあります。
DoS/DDoS攻撃、ソフトウェアの設定ミス、あるいは悪意のあるユーザーによって、制御システムと直接通信が行われ、プロセス値が改ざんされたり、生産が停止したり、設備が損傷したり、あるいは安全でない運転状態が生じたりする可能性があります。
OT環境では、可用性と安定性が最優先されます。これらのシステムは迅速にパッチを適用できるものではないため、脆弱性が長期間にわたり悪用され続けることになります。そのため、フラットなネットワークやセグメンテーションが不十分なネットワークでは、たった1件のインシデントが急速に拡大し、複数の資産や拠点に影響を及ぼす可能性があります。
当社の顧客である、世界最大級のエネルギー・化学系上場企業の一つは、自社のリスクへの曝露を認識し、セグメンテーションを通じてレガシーシステムに起因する脆弱性への対処に乗り出した。
適切なセグメンテーションが実施されると、ネットワークはリスクと機能に基づいて分離されます。これにより、重要なOT資産へのアクセスは厳重に管理された経路を通じてのみ可能となり、通信はデフォルトで安全であると仮定されるのではなく、明示的に定義・制限されます。
従来のITファイアウォールでは、独自の通信プロトコルへの対応が不十分であることが判明したため、同組織はOPSWAT「MetaDefender Industrial Firewall 」を導入し、重要なOT資産とセキュリティレベルの低いゾーンとの間に安全なセグメンテーションFirewall 。
サイバーセキュリティが国家安全保障となる時
欧州の大手石油・ガス事業者である同社の業務プロセスは、複数の製油所、海洋掘削プラットフォーム、およびパイプライン制御センターにまたがるインフラに支えられていました。
このインフラは、PLC、SCADAプラットフォーム、HMIといった従来の産業用システムに大きく依存していた。
これらのシステムは、もともとサイバーセキュリティではなく、信頼性と可用性を重視して設計されたものでした。そのため、組み込みの認証機能や暗号化機能、詳細なログ記録機能が欠けていました。
従来使用されていたIT用ファイアウォールは、OTおよびCPS環境で使用される独自の通信プロトコルへの対応に不十分であり、その結果、システムは次のようなリスクにさらされることとなりました:
- 不要なネットワークトラフィックとラテラルムーブメントのリスク
- ランサムウェアや標的型サイバー攻撃の侵入経路となり得る箇所
- 産業用プロトコルに対するきめ細かな制御の実施における課題
これらは、エネルギー生産や精製業界で事業を展開する組織が、単に受け流せるようなリスクではありません。エネルギーシステムへの攻撃は、公共の安全を脅かし、不可欠なサービスを混乱させ、国家安全保障を損なう恐れがあるからです。
最悪の事態が起きるのを待つのではなく、この顧客は、OPSWAT「MetaDefender Industrial Firewall」を導入することで、組織が直面していた危機的な状況を打開しようと乗り出した。
IEC 62443およびNIS2の要件を満たしつつ、Industrial レジリエンスを確保する
同社は、重要なOT資産とセキュリティレベルの低いゾーンとの間に安全なセグメンテーションを構築Firewall 、OPSWAT MetaDefender Industrial Firewall を導入した。
MetaDefender Industrial Firewall
当社のFirewall Industrial Firewall は、高性能かつ堅牢なファイアウォールであり、不注意による設定ミス、悪意のある不正利用、ゼロデイ脅威、DoSおよびDDoS攻撃、ならびに潜在的に有害な異常事態に対する最終防衛ラインとして構築されています。
このファイアウォールは、産業用プロトコルに対するディープパケットインスペクションとポリシーベースのアクセス制御機能を備えており、これにより顧客は以下のことが可能になりました:
- PLC、SCADA、およびDCSシステムを標的としたサイバー攻撃から、OT/ICS資産を隔離する。
- 産業用プロトコルをフィルタリングおよび制御し、不正なコマンドをブロックしつつ、安全な運用を可能にします。
- 歴史家やエンジニアのワークステーションを、不正アクセスの試みから保護します。
IEC 62443 および NIS2 への準拠支援
「Industrial Firewall Operations」の導入により、顧客は、欧州の重要サービス事業者に対するIEC 62443およびNIS2指令の要件への準拠を維持するための取り組みにおいても支援を受けました。
NIS2指令 | IEC 62443 |
リスク管理の実施:ITとOT間のネットワーク分離を徹底し、重要サービスに対するシステミックなサイバーリスクを低減する。 | ゾーンおよびコンデュイットアーキテクチャ: |
攻撃対象領域の縮小: | コマンドレベルの検証: |
運用レジリエンス: | Industrial コマンドフィルタリング: |
監査対応の統制: | 「制御および通信の整合性(SR 3.x)」の使用: |
取締役会レベルの説明責任: | OT資産に対するアクセス制御の実施: PLC、SCADA、エンジニアリングワークステーションへのアクセスを制限します |
アーキテクチャの管理またはセグメンテーション、運用の安定性、およびガバナンスの向上
MetaDefender Industrial Firewall 製油所やパイプラインシステムでよく見られるレガシー資産やパッチ適用が不可能な資産に対する補償的制御システムFirewall 機能します。
Firewallを利用することで、お客様は以下のことが可能になります:
- 産業用プロトコルの検査を通じて、コントローラへの誤ったコマンドや不正なコマンドの送信を防止します。
- 現場レベルで混乱を封じ込め、相互に接続された施設間での多拠点への波及を防ぐ。
- コントローラの可用性を維持するため、異常なトラフィックや不正な形式のパケットに対してレート制限を適用します。
- 運用リスクを低減するため、安全システムを標準的な制御ネットワークから分離する。
- ベンダーおよび請負業者に対するアクセスガバナンスを、監査可能な形で実施する。
今後の展望
当社の顧客は、安全なセグメンテーションが、強固な多層防御戦略の実現に向けた第一歩に過ぎないことを理解しています。
とはいえ、これは重要な一歩である。将来の成長に向けた体制整備を行うことで、組織は安全な環境下で業務を継続することができるからだ。
お客様は、以下の方法により、サイバーセキュリティ戦略にさらなる層を追加できるようになりました:
- MetaDefender Industrial Firewall MetaDefender OT Security 統合しOT Security 製油所およびパイプラインネットワークvulnerability detection 資産の可視化とvulnerability detection OT Security 。
- MetaDefender OT Access を活用しOT Access OT環境への安全なリモートアクセスOT Access 。
- オフショアプラットフォームや製油所全体にわたる多層的な防御戦略を構築し、内部関係者やサプライチェーンに関連するリスクを軽減する。
貴社がネットワークの大規模な近代化と保護を目指している場合、MetaDefender Industrial Firewall を活用することで、トラブルシューティングの迅速化と運用効率の向上Firewall 。
当社のOPSWAT お客様のシステムをどのように保護できるか、ぜひお問い合わせください。
