NIST SP 800-82 準拠 - 安全ガイド

産業用制御システム (ICS) の概要

産業現場で使用されるコンピュータ化された装置をICS機器という。生産の各工程、付随する利用、そして例えば電力網や水処理システムなどの重要なサービスを含む。

ICSには、様々な種類の装置があり、例は以下の通りである：

• モジュラー論理システム (PLC)
• 遠隔端末装置 (RTU)
• ヒューマンマシンインターフェース (HMI)
• データ収集・監視システム (SCADA)

DCS、すなわち分散制御システム、データ収集管理 (SCADA) ネットワーク、プログラマブルロジックコントローラがICSの代表例である。

• SCADAシステムは広域に分散する施設の情報収集、監視、管理を行い、複数のDCSプラットフォームを制御することもある。
• 単一の施設内では、DCSが各種ロボットシステムをほぼ即時に監視し、いくつかまたは全体のPLCを管理する。
• PLCはセンサー値を監視し、DCSからの指令を実行、実際の制御装置の動作を変える信号を送る。物理世界とネットワークの架け橋として機能する。

先進の製造業のほとんどは、電気、廃水、天然ガス、エネルギー、交通、製薬、医療、さらに自動車や航空機などの重要生産と共にICSを活用している。これらの制御システムは複雑で、密接に連携している。

ICSシステムにおけるサイバーリスク

かつてはITとICSのネットワークは密接ではなく、専用のソフトウェアやハードウェアを使用した独立した仕組みで、企業のITシステムといった安全でない回線と接続されず、物理的な安全対策で守られていた。

しかし、安価なIP対応装置が普及したことで状況は変化した。過去20年で、IP対応の仮想ネットワークが徐々に専用プロトコルに取って代わっている。

遠隔操作の実現や効率向上など多くの利点がもたらされた一方、基盤となるOSは様々なハッキングリスクにさらされやすくなった。

NIST SP 800-82 r2によると、考えられるハッキング事例は以下の通りである：

• ICSシステムの不正な変更は、運転停止や作業の混乱、業務の妨害を引き起こし、システム全体や場合によっては人命にまで影響を及ぼす可能性がある。
• 安全機構が改ざんされると、従業員などが危険にさらされる。
• ネットワーク管理者に誤った情報や通知が届くことで、オペレーターの判断ミスや悪影響が生じる恐れがある。
• 重要なデータ伝送が途絶すると、ICSシステムの安全で継続的な運用に支障が出る。
• 機器の安全システムが妨害され、大規模プラントの機械が壊滅的に故障する可能性がある。
• ICSソフトウェアや設定がランサムウェアに感染したり、改ざんされると様々な悪影響が生じる。

‍

ICSサイバーセキュリティプログラムの目的

高度にデジタル化された製造工程は、安全かつ確実に動作する必要がある。これを実現するため、NISTは企業のICSを守る施策と生産ネットワークのICSサイバーセキュリティ対策を連携することを推奨している：

• ICSシステムへの論理的アクセスおよび物理的接続を制限する。
• 各ICS要素が不正利用されないよう守る。
• ICSインフラおよび装置の接続を物理的に限定する。
• システムの弱点や事象を特定し、不正なデータ変更を防ぐ。
• 困難な状況下でも継続して動作できるようにする。
• 事故後、システムを再構築できるようにする。

‍

ICSセキュリティのベストプラクティス

サイバーセキュリティの観点から、ICSネットワークはITシステムに比べ遅れをとることが多い。以下の基本対策を講じ、ICSプロセスの保護を近代化しよう：

1. ICS機器の特定

多くの企業は自社のICSネットワークの全体像を把握していない。サイバーセキュリティには、各要素やネットワーク機器の詳細な理解が求められる。

2. ネットワークの基準を評価する

セキュリティに接続される装置は常に変化するため、安定性が必要である。これらの接続を監視し、基準を設定し、異常や新たな接続があれば通知する仕組みが必要だ。

3. ネットワークのセグメント分割を実施する

かつては物理的に隔離されていたICS接続も、現代ではそうではない。ICSの特性を理解するフィルターを用いたネットワーク分割が、外部と接続される設計でないシステムの保護に不可欠だ。

4. 必要最低限の権限だけを付与する

多くのICSシステムは信頼性の原則が適用されず、不正に強力かつ危険な機能が使われる恐れがある。ICS用のルールを理解したファイアウォールでアクセス権を制限する必要がある。

5. 侵入検知システム (IPS) を導入する

既知の悪意ある攻撃やセキュリティ事象に対する対応を確実にするため、ICSネットワークや従来のソフトウェアの脆弱性を検出し、悪用を防止するIPSの導入が求められる。

‍

NIST SP 800-82 フレームワークとは

かつて隔離されていたICS装置がデジタル化する現状に、現代のITリスク低減策をどのように適用するかを明確にするため、NIST 800-82は2015年に改訂された。この改訂は、電力、製薬、食品生産など国の基幹施設への攻撃面を減らすことを目的としている。

2006年の初版以来、NIST 800-82は300万回以上ダウンロードされ、以下の内容について網羅的に解説している：

• ICSがネットワーク化される変遷。
• ICSのサイバーセキュリティインフラは、プロキシサーバ、接続分離、冗長化、低遅延、さらに監視、ログ管理、セキュリティプロトコル適用のためのアカウンティングを含む。
• 増大するICSのインターネット接続によるリスク評価の重要性。
• 重要インフラ業界の企業におけるICS監視システムの構築と運用。

‍

SP 800-82 の歴史

NIST SP 800-82（産業用制御システムのサイバーセキュリティハンドブック）は、セキュリティツールや手法、手順については扱わない。付録Fでは、NIST 800-53に規定された対策の実装方法が示され、そのバージョン5では20の管理試験がリストアップされている。しかし、NIST 800-82は、これらの検証項目をOT環境（個人情報処理を除く）で利用するための修正方法を提示している。

また、NISTの1800シリーズのように、複数のパートナーのセキュリティ手法を活用して実際のフレームワークのモデルを構築する具体的な解決策も、サイバーセキュリティベンダー向けとしてより実用的である。

例えば、工業環境での情報保持とシステムの一貫性に焦点を当てたNIST SP 1800-104は、Carbon Black (VMware) をデスクトップ向けの選択肢として、ホワイトリスト方式と脆弱性スキャンという2つの暗号技術と比較評価している。他の8社（MicrosoftやTenable4など）のセキュリティ製品は、さらに異常検知、アイデンティティ管理と権限、リモート監視の3機能と連携している。

‍

なぜNIST SP 800-82に準拠する必要があるのか

NIST SP 800-82は、従来のITセーフティ対策をICS特有の効率性、安全性、信頼性に合わせて変更する最適な方法を示し、制御ネットワークの侵入、機器の故障などのリスクを低減するための指針を提供している。

DOS攻撃、マルウェア、ランサムウェアなどの侵入が横行する現状では、ICSネットワークの信頼性向上が不可欠である。

サイバー攻撃は深刻な影響を及ぼす可能性があり、特に以下の点で顕著である：

• 経済状況

ネットワーク侵入により業務が停止すると、一時的または長期的な中断が発生し財務面で損失をもたらす。さらに、世界規模での経済的損失も懸念される。

• 物理的影響

人的被害や死亡を伴う物理的な事故は最も深刻な損害であり、データ消失や環境破壊にもつながる可能性がある。

• 社会的信用

ハッキングや事故は、株主、従業員、顧客、取引先、事業を行う地域社会に長期的な影響を及ぼし、企業の社会的信用が低下し、脆弱性が広く知られる結果となる。

準拠を達成するには

NIST SP 800-82の目的を実現するためには、統一したセキュリティチームが必要である。NISTは、このチームをIT専門家、管理エンジニア・システム技術者、通信インフラのセキュリティ専門家、現場担当者、そして経営委員会の協力者で構成することを推奨している。チームはプロジェクト責任者やシステム提供者と連携する必要がある。

工場の工程や施設管理に影響を及ぼすすべての事象に最終的な権限を持つCIOまたはCSOが、チームの中心メンバーとして密接に連携することが望ましい。優先順位に基づく是正措置、即時にカスタマイズされた評価、そして自動化されたデータ収集と解析により、企業はICSを守るためのNIST 800-82の基盤に沿った対策を講じるべきである。

‍

結論 - Wallarmの支援について

Wallarmは、安全な産業プロセスの構築と運用のために、カスタムのサイバーセキュリティコンサルティングサービスを提供している。業界標準のハッキング、管理システム、手順のセーフティ基準を取り入れ、展開可能なサイバー攻撃の評価に体系的な手法を採用している。

製造現場向けのカスタム産業用アプリにおいて、Wallarmのサイバープロセス脅威評価アプローチは、潜在的な弱点、脅威、欠陥、自律的なセキュリティ層を発見する。正確なコスト分析により、検出されたサイバーセキュリティリスクに優先順位が付けられる。