- Column
- 問われるサイバーレジリエンス
事業を止めずにセキュリティを高めるための考え方と手法の整理が重要に
「重要インフラ&産業サイバーセキュリティコンファレンス」のパネルディスカッションより
止められないOTシステムの防御にはガイドライン参照や優先順位付けが重要に
長谷川 :OTレイヤーのアタックサーフェスや、その対策については、どうお考えでしょう。
横澤 :OT機器はネットワーク上に存在するものがすべてではないだけに、それらをどう把握するかが問題になります。例えば、現場スタッフにヒアリングしてアタックサーフェスを洗い出したうえで、攻撃ルートを想定して脆弱性を検証するペネトレーションテスト(実際に侵入を試みて防御に問題がないかを確認する)などを実施することが考えられます。
長谷川 :その際は設計書などを確認する必要があります。OT部門の協力が不可欠になりますね。
横澤 :機械を止められない部門では、クライアント側から働きかけるパッシブ型の脆弱性検証から始めることもあります。USBメモリーを使えないようにしたり、使用していない通信ポートを閉じたりするなど、OT部門の協力が欠かせません。
長谷川 :セキュリティ対策のルールはどのように作成していますか。
横澤 :業界ごと・企業ごとに用意されているガイドラインに従うのがベストだと思っています。ガイドラインがない場合は、例えば工場のためのサイバーセキュリティの国際標準である「IEC62443」や、経済産業省の『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』がベースになります。
長谷川 :電力業界では経産省が『自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン』を出しています。対策を考えたり実施したりする際に参照しやすく、社内で取り組みを促す際の説明資料としても活用できます。では実際に取り組むにあたって、米永さんは、どうされていますか。
米永 :私は重要度の高いシステムから優先順位をつけて対策していくことが重要だと思っています。その際に役立つのが冒頭でご紹介したCCEです。攻撃による影響をシステムごとにCCEで可視化し必要な対策を導き出します。その結果を下に優先順位づけて対策を実行します。
対策に関しては、現状把握はできるがパッシブな対策が主になってしまう場合は境界防御も有効です。城の外堀のように、OTシステム周囲に防御壁を張り巡らせるやり方です。OTシステムを止めることなく構築できます。その中に、高度制御情報ネットワークや高度制御PCなどをつなげる対策が望ましいと考えます。
危険度が高いインシデントではシステムを止める
長谷川 :攻撃発生時の対応、つまりインシデントレスポンスには、どう取り組まれていますか。
土屋 :基本的には、業務影響を考慮しますが、感染拡大を防ぐため、安全側に倒します。当社はSOC(Security Operation Center)についても一部内製で対応しているため、アラートパターンの知見が蓄積でき、判断・対応が迅速になりました。パターンによっては該当PCを自動で隔離しています。
横澤 :過検知もあり得るため、アラートの見極めが難しい時もあります。基本的には安全側に振る判断をしますがが、それが多くなり過ぎると現場に迷惑をかけてしまいます。
土屋 :例えば、当社のSIEM(Security Information and Event Management)では、一定時間のうちにアラートが連発した事象は危険度が高いと判断し、すぐに該当PCを隔離し、対象部門に連絡を入れます。該当PCが止まっても、従業員には別の連絡方法を確保しており、メールの確認程度であれば継続できるため本人への連絡も可能です。
長谷川 :「止められては困る」と現場サイドから言われることはありませんか。
土屋 :今はありません。ウイルス感染を知らされたら現場サイドも止めざるを得ないので。
横澤 :現場サイドとのやり取りでいうと、ネットワークに接続されていないシステムについては、アラートが発生すると頼りになるのは現場の運用担当者ということになります。限られた情報から判断する必要があるので、どんな情報が必要になるのかを整理しておくといったことが考えられます。
長谷川 :そこまでやるのがインシデント対応チームであるCSIRT(Computer Security Incident Response Team)の役割なのでしょう。そのためには、現場サイドとのコミュニケーションが非常に大切です。常日頃から関係性を作り、有事の際、一緒に解決に取り組む体制構築が不可欠ですね。
