サイバーエスカレーションに直面しているICS運用者と重要インフラでやらなければならない5つのこと
米国、ロシア、イランの国家間でエスカレートしている一連の言動により、対立激化のリスクや、産業用制御システム(ICS)、重要インフラに弊害を及ぼすリスクが高まっている。例としては、ロシアの重要インフラをターゲットにした米国の攻撃的サイバー作戦についての最近のニュース報道や、ロシアの送電システムに侵入しようとする試みはサイバー戦争につながり得るとのロシア政府の警告も含まれる。加えて、Dragosなどのサイバー脅威インテリジェンス会社や、米国国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)が最近、米国内の産業や政府機関をターゲットとしたイラン関連の悪意あるサイバー活動の増加を報告している。
すべてのICS運営企業(電力、石油、ガス、水管理、下水処理、製造業など)は、この脅威を真剣に受けとめ、次にあげる5つのステップを直ちにとらなければならない。
このブログをサポートする脅威インテリジェンスや対策についてのさらなる議論に興味のある方は、2019年6月25日木曜日開催のDragos社ウェビナーにご参加ください。(訳注: 翻訳時点では終了している。)
1.脅威を真剣に受けとめる
緊張や様々な発言が、米国、ロシア、イランの間で急速に沸き起こっている。政治的緊張の存在するところには、サイバー攻撃や諜報活動行為が発生する。産業プロセスは、サイバー空間で対立がエスカレートした場合に最もターゲットになりやすいものの一つである。多くの国が産業破壊用攻撃能力の開発投資を増大させていることから、私たちはそれらが現在そして将来の対立の際に使用される可能性を考えておかなければならない。各国は当然軍民両面の犠牲を避けたいので、動的な武力の代替としてICSのサイバー破壊活動を模索する。さらに、サイバーセキュリティや個人情報の著名研究者であるLukasz Olejnik氏は、専門的見地から次のように強調する。「従来型の軍事作戦においては、閉じられた至近距離内に複数の武装勢力がいれば、往々にして事態がエスカレートするリスクは増大する。バーチャルの至近距離内には、装備している何十という部隊が常時存在しているのだ。相互に影響し合って事態をエスカレートさせる可能性を常時作り出していると言える。」
2.国境を超えた思考をする
事態がエスカレートした場合におけるサイバー攻撃の脅威やリスクを考えるには、直接関連のある国や地域の枠を超えた思考が必要である。各国は、非対称に力を誇示し、予想される報復措置を軽減するために第三国に影響を及ぼしてエージェントとして使う可能性がある。さらに、各国は力を行使するにあたり単独で行動することはめったになく、自国の能力(あるいは能力の欠如)を補うために同盟国を頼ることになる。たとえば、イランとロシアは立場を同じくする利害がいくつかあり、協調や協力を通して互いを支援する可能性がある。特に両国は現在、共通の敵である米国と対立している。したがって私たちは、当事国の一国からではなく、同盟諸国からのサイバー攻撃リスクを考慮しなければならない。これは「自分はターゲットではない」という神話を一掃し、敵は戦場を、防衛者たちとは異なる視野で認識していることを理解する良い機会だ。通常の思い込みは命取りになる。
3.可視化と脅威検知力を向上させる
産業組織やICSの所有者や運営業者は、セキュリティの可視化やロギングのデータ粒度を向上させ、脅威探知の優先度を上げる必要がある。先週は優先度の低かった行為や活動が、今週にはもっと詳細な検査を必要とするものになる。先週まではロギングしていなかったネットワーク、アセット、端末が、今はロギングを有効にしておく必要があったりするのだ。セキュリティ業務ではより詳細な検査をし、それに相応しい脅威インテリジェンスを適用しなければならない。組織の調査方法やセキュリティ対応は、脅威環境に応じて変化させるべきである。このセキュリティ対応体制は、後に緩和させることも可能である。
4.レスポンスとリカバリの見直しと実行
大惨事が起きている最中は、レスポンスとリカバリについてのプランを練るには最悪の時である。準備もなく登場する対応者は、往々にして自らの最悪の敵となるものだ。起こり得るすべての事態に対処できる対応プランなどというものはないものの、一般的な手法、明確な指揮系統、事前に準備したツールや手続きは、すべて危害を最小限に抑えるのに役立つ。
- OTやIT環境におけるすべてのアセットに関する知識を集めて維持管理すること。
- OTおよびITネットワークの隅々から証拠や情報を集めるためのツールや手続きを備えること。これには、非常時に相互支援できるような他組織との関係構築も含まれる。
- OTネットワークの可視化を予め構築しておくこと。産業ネットワーク内で事後に情報収集するのは、最も対応を遅らせるやり方のひとつである。
- ベンダ、インテグレータ、産業コンソーシアム、行政、提携業者、セキュリティ会社などとの関連性を構築すること。それらは状況に素早く対応する助けとなる。
- サイバー、デジタル、物理面でのレスポンスやリカバリのプランを統合する。脅威はこうした境界をまたがっている。
- 意思決定者、決定点、重要な法的問題や方針問題を文書化して認識しておくこと。
- いつどのように情報が流れるかを知っておくこと。どのような状況においても最も混乱を引き起こす要素のひとつは、組織内外のコミュニケーションである。
5.積極的な脅威ハンティングを実施する
先を見越して行動すること。まだそうしていないのであれば、今すぐにでも自らのOTおよびIT環境全般にわたる能動的で継続的な脅威ハンティングに乗り出すべきである。脅威ハンティングでは、従来の脅威検知では発見できない脅威を発見するために、セキュリティの専門家、ツール、データの活用にも目を向ける。脅威ハンターたちは、脅威を早期に発見して先手を打つのを可能にするかも知れない。脅威ハンティングは、たとえ先回りして脅威を発見することができないことがあったとしても、重要な資源を予め配置し、非常事態が生じた際にはそのレスポンスやリカバリを劇的に改善させることができる。
結論
Dragos社では産業制御システムを直ちに破壊したり破壊的な影響を及ぼしたりする脅威をまだ認識してはいないが、戦場は流動的にエスカレートする環境において急速に変化し得る。私たちは今、ICSや重要インフラの防御について、かつてない時代に突入している。かつては離れた場所での紛争であったものが、今では容易に世界のどこにでも拡張し得る。私たちは すべてのICS運営業者たちがこの脅威を真剣に受けとめ、世界中の生命、サービス、事業、そして重要インフラを守るようにと強く推奨する。
Dragos社の産業用サイバーセキュリティプラットフォームは、高度な脅威分析を体系化し、OTとITの実践者にこれまでにない可視性と規範的な手順を提供して、産業界の脅威世界の敵対者に対応します。 Dragosプラットフォームを使用すると、ICSサイバーセキュリティ担当者は独力でICS資産を識別し、ICSの脅威を検出し、ICSサイバーセキュリティ固有の対応を決定できます。 Dragos社の製品には以下のものがあります。ICSの脅威の検出と対応のためのDragosプラットフォーム、 ICSの脅威の狩猟と事件対応サービスのためのDragosの脅威オペレーションセンター、毎週の脅威インテリジェンスレポートであるDragos ICS WorldViewです。 Dragos社のプラットフォームは、米国の諜報機関および民間の産業会社にまたがるICSサイバーセキュリティ専門家のエリートチームの数十年にわたる実際の経験を活かしています。 詳細についてはdragos.comをご覧ください。
