セキュリティに関するリモートアクセスデバイスの調達に関する考慮事項

産業用システムを実行している運用チームは、リモートアクセスデバイスに依存して仕事をしており、購入時に非技術的および非商業的な考慮事項について考えることはめったにありません。しかし、最近の歴史によれば、デバイス、さらにはデバイス内のコンポーネントがどこから来ているのかは、私たちが認識しているよりもはるかに重要です。

サプライチェーン攻撃は深刻です

サプライチェーン攻撃は、サプライチェーンの上流要素を標的にすることによってアクセスが取得されるサイバーセキュリティ攻撃のカテゴリです。デバイスを購入する素人（おそらく週末に機器を試運転するため）は、リスクは購入の決定に影響を与えるほど重要ではないと考えるかもしれませんが、そうです。

サプライチェーン攻撃は、1つのサプライヤに侵入することで、多くのエンドユーザーにアクセスできるため、攻撃者に非常に人気があります。たとえば、Stuxnetは、ウラン濃縮プログラムで使用されるPLCを標的とした効果的なサプライチェーン攻撃でした。メルクやサンゴバンなどの組織に推定100億米ドルの損害を与えたNotPetyaは、税務準備ソフトウェアを通じて配布されました。最近では、SUNBURSTは最大18,000の組織にバックドアアクセスを提供し、SolarWindsソフトウェアを介して配布されました。これは何度も発生しており、攻撃者の見返りのために継続します。

リモートアクセスデバイスを介したICSへのサプライチェーン攻撃

リモートアクセスデバイスを介してICSを標的とするサプライチェーン攻撃のアイデアは、単なる理論上のものではなく、以前にも発生していました。 2014年、Dragonflyマルウェアは多くの組織に感染し、ICS機器へのVPNアクセスを提供するために使用されるソフトウェアであるEwonのTalk2Mアプリケーションセットアップパッケージを介して配布されました。 SANS Instituteは、攻撃とその影響に関する論文を提供しました。これは、ここで読むことができます。

購入前の考慮事項

それで、デバイスを購入している素人に戻って、いくつかの機器を試運転できるようにします。彼らは何をすべきでしょうか？

あなたが専門家ではない、そして専門家になれない状況では、専門家が何をしているのかを調べるのが賢明です。セキュリティの場合、これらの専門家の1人は米国国防総省になります。サプライチェーンのリスクを理由に、特定の外国メーカーからのデバイスの購入と使用、またはデバイスを使用するプロバイダーとの契約を明確に禁止しています。 2020年7月の1つのDoDメモは、この慣行の概要を示しており、ここで公開されています。 Tosiboxなどのリモートアクセスデバイスを含むチップが広く使用されているため、重要な名前の付いた会社はHuawei Technologies Company（およびその子会社と関連会社）です。

したがって、ここでの素人にとっての1つのポイントは、可能な限り国内で購入することかもしれません。国産製品や深いセキュリティ層で設計された製品の購入は簡単ではなく、通常は価格プレミアムが必要ですが、ユーザーにとっては間違いなくコストに見合う価値があります。特に 産業用システムへのリモートアクセス用。

サプライチェーンのリスクを超えて、リモートアクセスを実装する際には多くの技術的および組織的な考慮事項があります。私は、機械の自動化と制御のための組織（OMAC）の作業グループ内でこれらを調査し、その後、読むことをお勧めするプラント機器へのリモートアクセスの実用ガイドを公開しました。