背景
右インダストリー4.0その必要性は明らかだ。化学部門における改善の推進力は極めて重要だ。加えて、化学産業は他のほとんどの製造業のサプライチェーンに貢献しているため、大きな可能性もある。製品の改善、コスト効率の向上、ビジネスの最適化は、このデジタル変革の主要な推進要因の一部である。このトレンドが今後も続くと予想されるのは、なおさらだ。しかし、デジタル・セキュリティについてはどうだろうか。
伝統的に、産業用制御システム(ICS)または運用技術(OT)は、企業のITネットワークから厳密に分離されてきた。ICSパデュー大学の参照モデルは、あまりにも多くの施設を見つけ、階層化され、十分にセグメント化されたネットワークを記述している。これが非常に重要である主な理由の1つは、オートメーション・コントローラー、PLC、SCADAシステムなど、多くのICSコンポーネントがセキュリティを念頭に置いて設計されていないことです。それらは安全でセキュアである必要があり、セキュリティは後回しになる。もちろんだ。サイバーセキュリティまだある。
IEC 62443などの規格では、ネットワーク・セグメンテーションではなく、ネットワーク・セグメンテーションを使用する方法を定義している。サイバーセキュリティ管理システムは、サイバーセキュリティのリスクを許容可能なレベルまで管理する。現在の平均的なセキュリティ態勢が、ランサムウェアのようなサイバー攻撃に耐えられるほど成熟しているかどうかは議論の余地がある。残念なことに、実際には、それに反する例を数多く目にする。
こうした課題に加え、インダストリー4.0構想はハイパーコネクティビティ(超接続性)を推進し、OTネットワークのさらなる露出、より汎用的なITサービス、クラウド接続の利用をもたらし、従来のセグメント化された参照モデルを「バイパス」している。繰り返しになるが、サイバーセキュリティを後回しにしなければ、これは必ずしも悪いことではない。我々は過去から学んだのだろうか、それともまた同じ過ちを繰り返すのだろうか。
クラウド診断の事例:
最初の例では、様々なOT機器からデータを収集するソリューションが実装されている。いわゆる「エッジ・デバイス」は、計測器からプロセス・データと診断データを収集し、分析のためにクラウド・アプリケーションに送信する。このクラウドプラットフォームは、エンドユーザーとサプライヤーの両方が、状態ベースのメンテナンスの実行やリモートサポートの提供に利用できる。
エッジデバイスは、2つの独立したネットワーク接続を持つネットワーク上に設置される、いわゆる「デュアルホーム」システムである。クラウドと通信するためのItネットワーク接続と、OT機器から情報を収集するためのOTネットワーク接続がある。クラウド接続は、セキュアな暗号化VPNトンネルによって保護されている。さらに、エッジ・デバイスはOTネットワークからクラウドにのみデータを送信するよう設定されており、OTネットワークへのトラフィックは不可能である。
一見すると、これは適切かつ安全で、うまくセグメント化されたソリューションに見える。しかし、全体的なネットワーク図にデバイスを追加すると、OTネットワークとITネットワークの間にバイパスを作る可能性があることが明らかになった。ITネットワークの詳細なレビューとネットワーク・スキャンの結果、エッジ・デバイスを設定するための管理サービスが稼働していることが判明した。エンド・ユーザーはこのことに気付かず、ITネットワーク内の誰もがこの接続を利用できる。コンフィギュレーションにアクセスするために必要なパスワードはデフォルトの状態であり、ベンダーのマニュアルから簡単に取得できることは明らかでした。加えて、エッジ・デバイスは、オープンなセキュリティ脆弱性を含む古いファームウェアを実行している。これらの事実がすべて合わさることで、エッジ・デバイスにこれまで知られていなかった攻撃ベクトルが提供される。つまりハッカーエッジ・デバイスを攻撃し、デフォルトの認証情報でログインし、古いファームウェアの既知の脆弱性 を悪用してより多くの特権を獲得し、OT ネットワークに侵入することが可能である。この攻撃経路は、このネットワーク図で視覚化されている。
クラウド部分はVPNで保護されているため、この攻撃経路は利用できない。しかし、エッジ・デバイスはファイアウォールで保護されたIT/OTのDMZのような保護されたネットワーク領域に設置されていないため、この設定はIT環境からOT環境へジャンプするための潜在的なバイパスとなる。この問題は、脆弱性評価と併せて脅威モデル評価を実施することで特定された。これらの方法については、ソリューションのセクションで詳しく説明します。
リモート・アクセス・ゲートウェイの場合:
つ目の例は、リモート・アクセス・ゲートウェイに関するものである。これは、サードパーティのサプライヤーにリモートアクセスと診断データを提供する通信機器である。この場合、工場に設置された重機に付属するサービス契約の一部です。サプライヤーはこのリモート・アクセスを使って、遠隔保守や、運転上の問題が発生した場合のトラブルシューティングを行う。エンドユーザーにとってのメリットは、ダウンタイムの短縮とメンテナンスコストの削減である。
リモート・アクセス・ゲートウェイも、ベンダーが現場の保守チームと協力して設定・設置する。ゲートウェイは、利用可能な最も強力な暗号化機能を備えたVPNトンネルを使用し、サプライヤーとの安全なネットワーク接続を構築する。
繰り返しになるが、このセットアップは表面的には非常に安全に見える。VPNトンネル自体は安全で保護されているが、そのセットアップ方法が複数のセキュリティ問題を引き起こしている。
最初の質問は、リモートアクセスについてです。ゲートウェイはプロバイダー・ネットワークからプロバイダー・ネットワークへの双方向接続が必要なので、ファイアウォールでこのトラフィックを許可する必要がある。しかし、理由は不明だが、ファイアウォールは特定のベンダーからのVPNトラフィックだけを許可するように制限されているわけではなく、インターネット上のあらゆる場所からのあらゆる種類のトラフィックを許可している。これは、重機の設置や試運転の際にネットワーク・セキュリティにあまり注意が払われておらず、ゲートウェイが納入のごく一部に過ぎなかったことが原因と思われる。設定ミスのもう一つの一般的な理由は、試運転の過程でソリューションが適切に機能せず、トラブルシューティングの過程でファイアウォールのルールが緩和されたことである。その後、これらの設定は保持されます。IIoTデバイスがインターネットに直接接続され、例えばShodan1(接続デバイスのための特定の検索エンジン)を通じて最終的に発見されることも珍しくありません。OTデバイスやプロトコルに特化したサブセクションもある。
つ目の問題は、ゲートウェイのコンフィギュレーションである。これはベンダーのスコープの一部であるため、ベンダーはこのデバイスのセキュリティ保守とコンフィギュレーションにも責任がある。ゲートウェイへのトラフィックはすべてVPNによって暗号化されていたため、エンド・ユーザーはベンダーがこのデバイスで何ができるのかまったく知らなかった。調査の結果、ベンダーは潜在的に設定を更新し、より必要な権限を自らに与えることができることが明らかになった。
最後に、ゲートウェイの機能は、問題のマシンの特定のコンポーネントへのリモートアクセスを提供することである。しかし、このデバイスの実装が不十分なため、ゲートウェイは、直接的または間接的に、より広範囲のデバイスにアクセスすることもできる。さらに、複数のネットワーク接続のセグメンテーションがないため、理論的にはOTネットワークのほぼ全体に接続することが可能である。
処方
最良の解決策は、特にIIoTやその他のリモート接続に関しては、新規プロジェクトの設計段階にサイバーセキュリティを組み込むことである。これは、新しい施設だけでなく、既存のサイトの拡張や修正にも当てはまります。もちろん、これは言うは易く行うは難しで、OTネットワークは必ずしもすべての技術的要件を取り入れるのに適しているとは限らず、技術的な専門知識が不足している場合もある。さらに、これらのソリューションのほとんどはビジネスまたはオペレーション主導であるため、プロジェクト段階ではサイバーセキュリティの影響を完全に無視している可能性がある。最後に、さまざまな接続性を提供する多種多様なIIoT実装が、メンテナンス段階にある施設にすでに存在していたり、時にはエンドユーザーにさえ知られていなかったりする可能性がある。次のセクションでは、これらの問題に対する解決策を提供するために考えられるいくつかのアプローチについて説明する。
デザイン・レビューと脅威のモデル化
設計レビューでは、利用可能で関連するすべての設計文書をレビューし、テクノ ロジーオーナー、ソリューションアーキテクト、及び/又はベンダーと議論する。このアプローチは、新設設備(CAPEX)と既存設備(OPEX)の両方に適用されることに留意することが重要である。特に後者については、次のセクションで説明するように、このレ ビューをサイトアセスメントと組み合わせることは価値がある。設計レビューの利点は、会社のセキュリティ方針、業界標準、組織及び/又は設計レ ビュー及び脅威モデル評価2 に従って、設計文書に基づくセキュリティ設計を既存環境と新し いシステム又はシステム拡張の両方で実行できることである。上述した 2 つ目のユースケースは、設計レビュー評価中に特定された。最後に、脅威モデリングは、次のセクションで説明する侵入テストのような後続の技術的評価にも非常に有用な情報を提供することも注目に値する。あるいは、業界特有のベストプラクティス。特定された設計上の欠陥、ポリシー違反、またはこれらのベストプラクティスからの逸脱は、軽減することができる。
脅威のモデリングでは、同じ設計情報を使用したが、この評価では異なるアプローチをとり、ハッカーの考え方を用いた。これは、対象範囲内で想定されるすべての攻撃経路にわたって脅威をマッピングする構造化されたアプローチである。インタラクティブなセッションの中で、攻撃サーフェスの完全な概要と、追加の緩和が必要かどうかを示すチャートが作成される。
現場での安全性評価
サイト・アセスメント3では、より実践的なボトムアップ・アプローチにより、現場の技術レベルでリスクを特定する。設計とアーキテクチャのレビューは、現場視察とシステムのウォークスルーと組み合わされる。アセスメントには、IEC 62443で規定されている機能要件の重要な側面がすべて含まれます。
このアセスメントの第一段階は、既存のすべての文書を分析し、施設所有者、技術担当者、および/またはサプライヤーと議論する設計レビューに似ている。しかし、IEC 62443の主要な機能要件をすべてレビューするためには、さらに深い検討が必要です。
現場視察では、実際のシステム・ステータスと OT ネットワークの現状把握が比較される。さらに、潜在的なセキュリ ティ上の問題を把握するために、機器固有の構成がレビューされる。例えば、ファイアウォール設定、ネットワークルーティング、VLANS、インストールされたソフトウエア、実行中のサービスが、OTネットワークの露出度を調査するためにレビューされる。さらに、OT ネットワークの回復力を判断するために、ユーザー認証と承認、セキュリ ティ管理、バックアップ・ポリシー、セキュリティ・モニタリングが評価される。
最後に、様々なネットワーク・トラフィック・サンプルを OT ネットワーク上の戦略的ポイントで受動的に収集する。これらの収集には、潜在的に脆弱な OT デバイスに干渉しない既存のネットワーク・トラフィックのコピーを使用します。その後、トラフィックが分析され、その結果が以前のすべての情報と関連付けられます。オプションとして、特別に調整された選択的スキャンを実行し、最小限の侵入方法で追加情報を取得することもできる。その結果、未知のホスト、オープン・ポート、脆弱なプロトコル、予期せぬネットワーク接続、その他の未知のセキュリティ問題が発見されるかもしれない。例えば、先に述べた最初のユースケースは、サイトアセスメント中に発見された。
脆弱性テストと侵入テスト
脆弱性評価と侵入テストは、しばしばVAPT4と略されるが、さらに一歩進んで、より詳細な技術的評価である。その目的は、未知の脆弱性を探索し、それが悪用できるかどうかをテストすることである。また、特定のサイバーセキュリティの問題がもたらす結果と、それが組織にとってどのような意味を持つかを示します。
これらの VAPT テストは、現在のネットワークの回復力と、どのような改善が必要かを詳細に理解することができる。しかし、こうした評価ははるかに侵入的であり、古いレガシー OT システムではこれに対応できないことはよく知られている。脆弱性をスキャンしている間に、重要なシステムが機能しなくなることさえある。そのため、通常、これらのテストを実稼働中の OT 環境で実施することは推奨されない。
同時に、パッシブスキャンなど、安全に使用できる技術も存在する。あるいは、権限の範囲を注意深く選択するか、代替機器を使用することで、生産プロセスを中断させることなく、侵入侵入テストを実施することも可能である。もちろん、これには、OTシステムと対象システムに合わせた、非常に特殊なアプローチが必要である。工場受入試験(FAT)や現場受入試験(SAT)のような、設置、試験、試運転プロセスの一環としてVAPT試験を利用することも良い機会である。これは、新システムまたはシステム拡張に適用できる。
評価の結果は、組織のセキュリティギャップを埋め、リスクを低減するための措置を講じるために利用することができる。最初の使用事例については、侵入テストによって、仮想的な攻撃経路が攻撃者にとって実際に実行可能かどうかを調査することができる。この結果によって、最終的なセキュリティ緩和策を決定することができる。
結論と今後の方向性
インダストリー4.0とIIoTへの流れは、化学業界を含むあらゆる業界で今後数年間続くと予想される。これは主に、ビジネスとオペレーションの利益によって推進される。サイバーセキュリティが後回しにされない限り、これは問題ない。このようなスマートな取り組みのビジネスケースにセキュリティ設計と運用コストを直接組み込み、その影響を検証することが重要である。OTネットワーク・セキュリティ状況の影響は、作業計画の文脈で評価することができる。この段階では、内部及び外部のセキュリティ設計レビューが役立つ。既存のソリューションやシステムについては、セキュリティの現状をレ ビューし、検証する方法が複数あり、ビジネスに影響を及ぼす前に潜在的な問 題にプロアクティブに対処する機会を提供することができる。最終的な目標は、安全でセキュアでコスト効率の高い生産を実現し、これらの目標をサポートするためにサイバーリスクを許容可能なレベルに管理することに変わりはない。
元記事はSnowFlakeによるもの。転載の際は、https://cncso.com/jp/スマートインダストリー4-htmlが直面するサイバーセ。