海の向こうの“セキュリティ”

運用技術サイバーセキュリティ「6つの原則」とは――ACSCによるガイダンスの内容を簡単に要約

 オーストラリア通信電子局(Australian Signals Directorate、以降ASD)のサイバーセキュリティセンター(Australian Cyber Security Centre、以降ACSC)は、重要インフラ組織によるシステムとオンライン・サプライチェーンの保護を支援するためのガイダンスとして、国内外の協力の下、「運用技術サイバーセキュリティの原則(Principles of operational technology cyber security)」を公開しました。

 本ガイダンスはACSCがオーストラリアの重要インフラ事業者と共同で作成したもので、オーストラリア国外の以下の機関も作成に協力しています。

  • 米国
    - サイバーセキュリティ・インフラセキュリティ庁(Cyber security & Infrastructure Security Agency:CISA)
    - 国家安全保障局(National Security Agency:NSA)
    - 連邦捜査局(Federal Bureau of Investigation:FBI)
    - 多州間情報共有分析センター(Multi-State Information Sharing and Analysis Center:MS-ISAC)
  • 英国
    - 国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC-UK)
  • カナダ
    - サイバーセキュリティセンター(Canadian Centre for Cyber Security:Cyber Centre)
  • ニュージーランド
    - 国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC-NZ)
  • ドイツ
    - 連邦情報セキュリティ庁(Federal Office for Information Security:BSI Germany)
  • オランダ
    - 国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC-NL)
  • 日本
    - 内閣サイバーセキュリティセンター(National Center of Incident Readiness and Strategy for Cybersecurity:NISC)
    - 警察庁(National Police Agency:NPA)
  • 韓国
    - 国家情報院(National Intelligence Service:NIS)
    - 国家サイバーセキュリティセンター(National Cyber Security Center:NCSC) ※NIS傘下

 本ガイダンスでは、安全でセキュアな重要インフラの運用技術(Operational Technology、以降OT)環境の構築と維持の指針となる原則として以下の6点を挙げています。

  1. 安全第一
    Safety is paramount
  2. 事業に関する知識が重要
    Knowledge of the business is crucial
  3. OTデータは非常に価値があり、保護する必要がある
    OT data is extremely valuable and needs to be protected
  4. 他の全てのネットワークからOTをセグメント化して分離する
    Segment and segregate OT from all other networks
  5. サプライチェーンは安全でなければならない
    The supply chain must be secure
  6. OTサイバーセキュリティには人材が不可欠
    People are essential for OT cyber security

 今回公開されたガイダンスの使用方法としては、OTの意思決定者が上記6つの原則を適用して、その決定がOT環境のサイバーセキュリティに悪影響を及ぼす可能性があるかどうかを判断することが推奨されています。もし決定が原則の1つ以上に影響を与えたり、破ったりする場合には、OT環境に脆弱性をもたらす可能性が高いので、そのような決定は、適切なサイバーセキュリティ対策が確実に講じられ、対策後の残存リスクが許容可能であることを確認するために、より詳細に検討する、あるいは提案を再考する必要があるとしています。

 なお、本文書の対象者は、OTの意思決定者のみならず、OTに影響を与える決定を選別する必要がある全ての人とされており、組織の戦略的決定を行う役員や取締役会のメンバーなどはもちろん、戦術的決定および運用上の決定を行う技術担当者までが含まれています。

 ガイダンスには上記6つの原則のそれぞれについて概説および「例と意味(Examples and implications)」が記載されています。ここからはそれらの内容を簡単に要約して紹介します。なお、あくまで要約であり、説明が十分でないところもありますので、必要に応じて原文を参照してください。

原則1:安全第一

物理的環境での安全性は極めて重要であり、OTシステムのリーダーは日々の意思決定において生命への脅威を考慮しなければならない。重要インフラにはさまざまな一次的な危険が存在し、必須サービスの中断は市民生活に直接影響を与える。サイバーセキュリティシステムは決定論的で予測可能であるべきで、エンジニアはシステムの弱点を深く理解する必要がある。インシデント対応においては安全性に関連する重要な問題点(インシデント発生現場へのスタッフ派遣の安全性、ランサムウェア対応における復号化の信頼性、バックアップ自体の信頼性)を考慮し、一般的なサイバー衛生タスク(バックアップ、資産発見、パッチ適用、変更管理)においても安全性の観点から慎重に検討する必要がある。

原則2:事業に関する知識が重要

事業に関する深い知識は、サイバーインシデントへの防御・準備・対応の能力を向上させる。特に、組織の上層部でOTシステムのサイバーリスクの理解・可視化・報告が行われることが重要である。重要インフラ組織は、極めて重要なシステムの特定、OTプロセスの理解、防御アーキテクチャの構築、システムの依存関係の把握などのベースラインを満たす必要がある。保護すべき対象の理解には、トップダウンとボトムアップの両方の思考が必要であり、最小限必要なOT機器のセットの特定が重要である。OT特有のインシデント対応計画は組織の他の緊急時対応計画と統合されることが不可欠であり、物理的な側面(ケーブルの色分けなど)もOTシステムの理解を助ける。OTサイバーセキュリティ担当者には、プラントの運用に関する実務的な知識と、物理プラント担当者との良好な関係の維持が求められる。

原則3:OTデータは非常に価値があり、保護する必要がある

敵対者の視点から見ると、OT環境の構成情報は長期間変更されないため非常に価値がある。特に、エンジニアリング構成データは20年以上変わることがない可能性もあり、敵対者にとって高い価値がある。一時的なOTデータ、知的財産、個人識別情報も保護が必要である。組織はOTデータの保存場所と方法を定義・設計し、厳重に管理する必要がある。理想的には、重要なOTデータは常にOTシステムと同レベルで保護され、企業環境やインターネットから分離・隔離されて保護されたリポジトリに保存されるべきである。OTネットワークは外部からデータを引き出すのではなく、ネットワークからデータをプッシュアウトすべきである。組織は、OTデータの機密性、完全性、可用性の保護にとどまらず、データの閲覧や流出時の警報システムの実装も検討すべきである。また、敵対者が既にアクセスしているデータの変更可能性も考慮する必要がある。

原則4:他の全てのネットワークからOTをセグメント化して分離する

OTネットワークをインターネットやIT環境から分離するだけでなく、他の組織のOTネットワークからも分離する必要がある。特に、ピア組織や上流・下流の組織からOTネットワークを保護することが重要である。また、OTネットワーク内でも、資産やプロセスの重要度に応じてセグメント化を行なう必要がある。さらに、OTシステムの管理・運用インターフェースをIT環境から適切に分離することも重要である。OTネットワークへの接続が存在する場合、接続先の組織の規模に関わらず、同等のセキュリティを確保する必要がある。また、より重要な環境は常に同等以上のセキュリティ態勢を持つネットワークから管理されるべきである。バックアップインフラなども含め、組織は定期的にOT環境における管理システムとサービスの分離が十分であるか評価する必要がある。

原則5:サプライチェーンは安全でなければならない

従来の大規模ベンダーや工学的に重要なベンダーだけでなく、あらゆる規模のベンダーや機器に対する監視が必要である。OT環境では、ネットワークがかなりオープンである(重要な制御メッセージが暗号化されていないなど)ため、ほぼ全てのデバイスが重要な制御メッセージを閲覧したり、望ましくないアクションを引き起こすメッセージを作成・注入したりすることができてしまう。そのため、周辺機器を含む全てのデバイスの出所(source)・出自(provenance)を把握することが重要である。また、デバイスの現在の設定だけでなく、ファームウェアや設定が変更された場合に何ができるかも考慮する必要がある。サードパーティによる干渉から保護するために、事業体は確実に、ファームウェアが信頼できる場所から受信され、暗号方式で署名され、その署名が検証されるようにすべきである。ベンダーの要求や習慣、アーキテクチャがOTサイバーセキュリティの原則を破る場合、それはOTシステムのサイバー攻撃への脆弱性を高める可能性がある。例えば、OTとインターネットを直接接続することを必要とするライセンスやファームウェアの更新プロセスなどが挙げられる。

原則6:OTサイバーセキュリティには人材が不可欠

サイバー関連インシデントの防止・特定・対応には、必要なツールと訓練を受けた人材が不可欠である。強力な安全性ベースのサイバーセキュリティ文化が、OTシステムの継続的なサイバーレジリエンスにとって重要である。特に現場技術者や運用スタッフは、組織の最前線の防御と検知を担っている。効果的なOTサイバーセキュリティの実践には、OTだけでなく、ITを含め、さまざまなスキル、知識、経験、セキュリティ文化を持つ多様な人材の混成が必要である。そのうえで、組織全体でOTの原則に関する認識を合わせることが重要である。特に非工学系や非重要インフラ系のバックグラウンドを持つ人々にとって「安全第一」の原則は、考え方の根本的な転換を求められるものであることが多い。さらに、現場運用スタッフのサイバーセキュリティ意識を高め、潜在的な懸念事項を躊躇なく提起・報告できる文化を醸成することが重要である。

 今回、6つの原則について紹介した内容は独自に要約したものであり、少々分かりにくい部分もあったかと思いますが、ガイダンスでは詳細に分かりやすく説明されていますので、OTセキュリティに関わる方には原文に目を通すことを強くお勧めします。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。