セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが、Mandiant の ICS/OT コンサルティング プラクティスのテクニカル マネージャーであり、Entergy の元エンジニアであるChris Sistrunkと対談しています。制御およびデータ収集 (SCADA) システム。このブログでは、運用技術 (OT) 環境に対するセキュリティの脅威を軽減するためのベスト プラクティスを Chris が共有しています。
ナタリア: OT 環境を監視および管理するために、どのツールを使用していますか?
Chris:まず、制御システム自体を使用できます。これは、何が起こっているかについてある程度の可視性を既に提供しています。 NASAの管理下にあるようです。オペレーターは一日中座ってプロセスを見守っています。正常に見えるものと正常に見えないものを見ることができます。
新しいのは、システム自体だけでなく、OT ネットワーク セキュリティにも目を向けることです。特にここ 5 ~ 6 年間は、ネットワーク可視性センサーを制御ネットワークに組み込むことに重点が置かれてきました。 MODBUS、Siemens S7、DNP3 などのプロトコルを理解し、IT トラフィックではなく OT ネットワーク トラフィックを分析する目的で構築されたセンサーを開発したベンダーがいくつかあります。
新しい制御システムを使用すると、はるかに簡単になります。多くの場合、仮想マシンを使用して OT を管理するため、それらの領域にエージェントを配置できます。 Windows 10または Windows 7 環境の場合は、 Microsoft Defender ウイルス対策を使用して、Windows イベント ログとスイッチ ログを収集することもできます。ログを見ないと、そこに何があるか分からないため、ディープ パケット インスペクション (DPI) などのテクノロジを使用してネットワーク層で動作を監視し、侵害されたデバイスを特定する必要があります。
ナタリア: OT ネットワークへのリモート アクセスを保護するためのベスト プラクティスは何ですか?
Chris:第一に、まったく必要ない場合は、持っていないことです。それが最も安全なオプションです。
第二に、それが必要な場合は、それが必要な理由を考慮して設計されていることを確認し、誰がそれを使用できるかを厳密に制御します.また、制御ネットワークへの読み取り専用アクセスの場合を除き、 多要素認証(MFA) で監視および保護されていることを確認することも重要です。多くの場合、これらの OT 機器ベンダーは、保証契約で、完全な制御と構成を変更する機能を備えたリモート アクセスを要求しています。つまり、制御システムへの高レベルの特権アクセスを誰かに与えたことになります。
3 番目に、リモート アクセスを使用するときとオフにするときのプロセスと手順を用意します。監査ログなどを使用して、少なくとも誰が、どのくらいの時間そこにいて、誰が何をしたかを知る必要があります。
上下水道セクター向けに作成された国際的なセキュリティ ネットワークである Water ISAC が、上下水道事業の15 のサイバーセキュリティの基礎と呼ばれる無料の文書を公開したことを強調したいと思います。リモート アクセスがどこから来ているのかを考慮する必要があります。
ナタリア: OT ネットワークを継続的に監視している組織の割合は?
Chris:今日、それは例外であり、規則ではありません。唯一の監視対象は、原子力企業、北米電力信頼性協会の重要インフラ保護基準 (NERC CIP) の規制下にある 3,000 ほどの最大規模の電力会社など、それを行う必要がある企業だけでなく、過去に攻撃された可能性があります。しかし、NERC CIP でさえ、ネットワーク セキュリティの継続的な監視は必要なく、たとえば SIEM でイベント ログを監視するだけなので、見逃す可能性があります。
割合的には、特に製造、製薬、化学、石油とガス、鉱業、倉庫保管と物流などの規制されていないセクターでは、それほど多くはありません。
企業は、必要がなければ、セキュリティにお金を使いたがりません。残念ながら、攻撃を受けることになります。 1965 年と 2003 年 8 月に数百万人に影響を与えた 2 回の北東部停電が発生するまで、電気の信頼性基準はありませんでした。私が電力会社に入社したとき、ラインマンの安全インストラクターの一人が「安全規則は血で書かれている」と言いました。信頼性のルールがある唯一の理由は、闇があったからです。
ナタリア: チームは IT と OT のサイロをどのように打破できますか?
クリス:コミュニケーション。それがあなたにできる唯一のことです。 IT に携わっている場合は、ドーナツの箱をオペレーターのところに持って行き、次のように尋ねます。私が理解できるように、あなたが何をしているのかをもっと知るにはどうすればよいでしょうか。そうすれば、私が「パッチを当ててください」と言うたびに私の手を平手打ちすることはありません。
一般的に、一度も傷を負ったことのない白いヘルメットをかぶった IT 担当者が入ってきた場合、オペレーターは「何も触るな」と考えます。しかし、その信頼とコミュニケーションを築くことができれば、組織が強化され、トレーニングと知識の共有を開始できます。
ナタリア: 役割と責任はどのようなものであるべきですか?
Chris:現在、ネットワーク上にあるものはすべて、制御システム環境であっても、最高情報責任者 (CIO) または最高情報セキュリティ責任者 (CISO) を通じて報告できます。電力会社でさえ、電力網のために SCADA を行っている人でさえ、すべての人を業務の下ではなく CIO または CISO の下に置いています。上下水道のような小規模な企業では、IT 担当者と OT エンジニアまたはオペレーターがいるという古い状況が続いています。大企業では、OT は CIO の下の IT 組織を経由するか、IT は CIO の下にあり、運用はまだ運用中であり、リンクは CISO の下にあります。 IT のセキュリティ担当者と OT のセキュリティ担当者がいる場合があります。
CISO が IT と OT の両方のセキュリティに責任を持つべきかどうか疑問に思っているなら、それは簡単な答えです。 OT を含めない限り、企業全体のセキュリティを確保することはできません。セキュリティはすべてに適用する必要がありますが、企業全体のセキュリティを提供すると言っているプロバイダーに行き、「発電所の OT ネットワークについて何か知っていますか?」と尋ねます。 “いいえ。”では、企業全体のセキュリティを行う必要はありません。お金を稼ぐものを保護していません。
ナタリア: 企業はセキュリティ オペレーション センター (SOC) で IT と OT のセキュリティを統合する必要がありますか?
Chris: 1 つの統合 SOC として実装されているのを見てきましたが、2 つの別個の SOC も見てきました。物理的に分離したシステムを使用する場合、物理的に分離した SIEMを使用する必要があるからです。たとえば、原子力発電所には独自の SOC があり、企業には独自の SOC があります。電力会社が原子力発電所を所有している場合、その発電所は独自の SOC を持つことになります。これは、エア ギャップがあり、外部の世界や IT ネットワークに接続されていないためです。ただし、石油とガスの環境がある場合は、両方が 1 つに結合されている可能性があります。
長所と短所があります。お金と予算と人があれば、どちらでもできます。従業員を部屋に入れ、ピザのランチを提供し、最善の解決策を考えさせます。統一された SOC を持つことには利点があります。 OT 固有の SOC アナリストも必要ありません。優れた IT セキュリティ担当者に制御エンジニアまたはオペレーターから学んでもらい、アラートを作成して、ハンティング、ツールの調整、およびルールの調整を行うだけです。
ナタリア: 取締役会に OT セキュリティの優先順位を付けるためには、どのようなことを伝えますか?
Chris:短くて甘い言葉にします。「ハンマーを作れなくなったらどうなる?」 CISO がその質問に答えられない場合は、CISO がその認識を得る必要があることがわかります。ネットワークの可視性はありますか?制御システムのオフサイトバックアップはありますか?セキュリティ意識向上トレーニングはありますか?
取締役会のメンバーは、最新かつ最大の Advanced Persistent Threat (ATP) には関心がありませんが、ビジネスに対するリスクには関心があります。彼らはこう言うでしょう。セキュリティを実装していないと、ダウンタイムが発生するリスクがわずかにあります。」マネージャーと話せば、生産が停止した場合に 1 日あたりどれだけの損失が発生するかを正確に知ることができます。ビジネス リスクは、次の式で表されます。リスクは影響に確率を掛けたものです。 OT のサイバー攻撃に関する十分なデータがないため、サイバーセキュリティをリスク レジスタに結び付け、確率を悪用可能性に置き換えます。悪用するのはどれくらい簡単ですか?スクリプトキディはそれを行うことができますか?私の13歳の息子はそれをすることができますか?
オペレーティング システムがインターネットに公開されていて、Shodan を介して検出できる場合、数分で悪用可能になります。その影響は何ですか?化学、製薬、食品工場、または精製所にある場合、それはダウンタイムの問題だけでなく、安全または環境の問題を引き起こす可能性があるため、さらに重要です.温度計であれば、リスクははるかに少なくなります。企業は、自然災害を含むその他すべてのリスク登録簿を持つことになります。 OT サイバーセキュリティ リスク用にも 1 つ用意する必要があります。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments