ICSセキュリティチェックリスト
従来のサイバーセキュリティでは、侵害によってエンタープライズデータシステムが公開されたり、破損したり、さらには拘束されたりする可能性があります。
従来のデータ侵害はコストがかかり、企業のITシステムを衰弱させる可能性がありますが、産業用制御システムへのサイバー攻撃は、ミッションクリティカルなデータと運用に影響を与える可能性があります。産業用制御システムが原子力発電所から製油所、電力網、工場、重機に至るまですべてを制御することを考えると、ICSのセキュリティは不可欠です。
ITシステムは、従来の企業環境ではソフトウェアのハードウェアですが、産業用制御システム(オペレーショナルテクノロジー(OT)とも呼ばれます)には、産業プロセスを運用および/または自動化するためのデバイス、システム、およびネットワークが含まれます。
ここでは、業界の専門家がサイバーセキュリティのリスクを軽減するのに役立つ一連のICSセキュリティ原則を提供します。
1。資産を理解する
ほとんどの産業組織は、高度なサイバーセキュリティ技術の準備ができていません。彼らは基本から始める必要があります。トレンドマイクロのインフラストラクチャ戦略担当バイスプレジデントであるビルマリクは、次のように述べています。
PASの最高情報セキュリティ責任者であるJasonHaward-Grau氏は、課題の一部は、オペレーショナルテクノロジー資産がIT資産とは異なることが多いという事実です。たとえば、データセンターのサーバーはIT資産です。しかし、工場のサーバールームにあるシステムは「資産にたどり着く能力」だと彼は付け加えました。 「PLC [プログラマブルロジックコントローラ]、SCADA [監視制御およびデータ取得]またはDCS [分散制御システム]システムの制御システムを実行します。」
そのため、サーバー、IPアドレス、またはネットワークスイッチを数えるだけでは、全体像を把握することはできません。 「正式なネットワーク上にない[産業用]システムはたくさんあります」とHaward-Grau氏は述べています。もう1つの課題は、機器の老朽化です。 「多くのプラントの中核には、1960年代と1970年代の技術がまだあります」と彼は付け加えました。
企業では、脆弱性評価の実行や資産インベントリの確立は一般的に簡単ですが、OTとICSの世界での同じアクションは通常そうではありません。デロイトのリスクおよびファイナンシャルアドバイザリーパートナーであるIoTセキュリティリーダーであるSeanPeasleyは、「OT環境で在庫チェックを行うと、デバイスまたは環境全体がダウンする可能性があります」と述べています。専門のICSセキュリティベンダーは、デバイスのインベントリを受動的に作成できると彼は言いました。
2。フレームワークでヘルプをご覧ください
産業インフラストラクチャの保護は難しいかもしれませんが、役立つ標準が増えています。サイバーセキュリティを含む共通のフレームワークを持つことで、ITとOTの間のギャップを埋め、産業組織全体で「全体的な考え方」を育むことができると、ピーズリー氏は述べています。
Haward-Grau氏によると、ほとんどのICS規格にはかなりの重複があります。 「フレームワークから始めましょう。どちらでも構いません」と彼はアドバイスした。
関連する標準とフレームワークには、次のものがあります。
- モノのインターネットを保護するためのDHSの戦略的原則
- ISA / IEC 62443
- ISO / IEC 27001
- 産業用制御システム用のMITRE ATT&CKフレームワーク
- NERC CIP
- NISTサイバーセキュリティフレームワーク、産業用制御システム(ICS)セキュリティに関するNISTガイド、およびIoTデバイスメーカー向けのNIST推奨事項
- UL2900規格
3。サイバーディザスタリカバリ計画を立てる
サイバーセキュリティの標準ドキュメントは密集していることがよくありますが、最終的には、フレームワークにより、スタッフはサイバーセキュリティについて平易な英語で話し合い、サイバー悪夢のシナリオに対応する方法について計画を立てることができます。 「フレームワークについては、「どうすれば物事を識別して保護できますか? [サイバー攻撃]をどのように検出し、対応し、さらに重要なことに、回復するのでしょうか?」とHaward-Grau氏は述べています。
4。 サイバー保険に投資する
サイバー攻撃はしばしばサイバー保険を引き起こすため、非常に貴重です。ただし、保険の購入は簡単ではありません。 Haward-Grau氏によると、従来の産業用機器は一般的であるため、特定の技術よりも産業プロセスに保険をかける方が理にかなっています。 「パッチを当てることができないものがある場合、サイバー保険会社は補償コントロールを探すつもりです」と彼は言いました。強力なサイバーセキュリティプログラムが実施されている場合でも、保険契約には他にも注意すべき除外事項がある場合があります。
5。 「最小特権」を採用する
サイバーセキュリティでは、「最小特権」の概念は、組織がコアアクティビティを構成せずにITシステムとユーザー間のアクセス制御を制限する必要があることを助言します。
ファイアウォールは、この目標を達成するための従来のITベースの戦略ですが、OTセキュリティでも不可欠です。 「マルウェアが本番施設全体にどのように拡散するかを検討し、ファイアウォールを設定します」とマリク氏は述べています。潜在的な干渉を回避するために、許可されるプロセスをホワイトリストに登録してください。
AssetLinkGlobalのCEOであるDavidGoldstein氏は、ファイアウォールよりも「最小特権」の方が重要だと述べています。たとえば、Goldsteinは、「アプリケーションに必要のない方向へのトラフィックを制限することを推奨しました。監視のみを行っている場合は、制御機能を無効にするなどしてください。」
リモートアクセスは別の心配です。 「メンテナンスタスクには一意のIDを使用してください」とMalik氏は述べています。 「産業環境でIPネットワークを介してテクノロジーにアクセスする場合は、各ユーザーによる一意の認証が必要です。」
ICS環境で汎用PCを使用することもリスクです。 「ロックしてください。インストールを無効にし、コンパイラを削除し、不明または不要なプロセスを無効にします」とマリク氏は述べています。
6。 バグバウンティプログラムを検討する
システムの脆弱性を特定した開発者に報酬が与えられるバグバウンティプログラムは、産業の文脈を含め、近年人気が高まっています。 「バグバウンティプログラムは、先進的なIoTおよび産業用IoTベンダーの特徴です」とMalik氏は述べています。
「デジタル化の旅全体が、プラントの運用方法を変えるでしょう」とHaward-Grau氏は述べています。 「IIoTデバイスと5Gの導入を開始すると、バグバウンティが必要になります。」
しかし、それはすべての場合にバグバウンティを優先することが理にかなっているという意味ではありません。パッチが適用されていない、または古いオペレーティングシステムを実行している数十年前の機器とワークステーションを持つ組織は、バグバウンティプログラムの結果に圧倒される可能性があります。
7。 サードパーティのリスクを管理する
サードパーティのリスク管理プログラムは、OTの領域でますます重要になっているとピーズリー氏は述べています。しかし、拡張されたサプライチェーン全体でリスクを管理することはしばしば困難であると彼は強調しました。 「大企業の場合、考慮しなければならないサードパーティ、フォースパーティ、およびファイブパーティが何千もある可能性があります」と彼は言いました。 「サブコンポーネントに何かを埋め込んでいるのはサプライヤーなのか、それとも...ソフトウェア製品であり、それらすべてを考慮する必要があります」とPeasley氏は付け加えました。
8。 安全プログラムからインスピレーションを得る
多くの産業組織は、何十年にもわたって安全プログラムを実施してきました。サイバーセキュリティの脅威が安全関連の脅威を引き起こす可能性がある今、「セキュリティに関して同様の考え方を持っている必要があります」とピーズリー氏は述べています。
アイデアは定着しました。たとえば、American Institute of Chemical Engineersは、サイバーセキュリティの考慮事項を従来のプロセスハザード分析に統合することを推奨しています。これは、従来、化学工学施設での人為的ミスや機器の故障などのリスクに焦点を当てています。
潜在的な災害から産業施設を保護するための1つの戦略は、安全計装システムの使用です。しかし、そのようなシステム自体は侵害に対して脆弱である可能性がある、とマリク氏は語った。また、マリク氏によると、セキュリティ機能を既存の安全計装システムに後付けすることはお勧めできません。 「サイバーセキュアになるように設計されたことのないプラットフォーム上にインフラストラクチャを構築することになります」と彼は言いました。
Haward-Grauは、安全計装システムが不完全であることを認めながら、それらが重要な防御であると強調しました。 「私たちが事業を拡大し始め、より多くのものを接続するにつれて、より効果的な安全計装システムの必要性が一気になくなることはありません。それらはより重要になるでしょう。」
モノのインターネットテクノロジー