ICSセキュリティは、ネットワーク境界の変化に伴い進化する
ネットワーク境界が流動的になっている今日、ICS(産業制御システム)セキュリティはゼロトラストアーキテクチャとマイクロセグメンテーションの恩恵を受けることができます。
トラックが自動登録ブースに並びます。ブースは、フェンスに囲まれた工場の敷地から数メートルのところに隣接されていて、工場のICS生産ネットワークに直接接続することができます。ここでは、ドライバーがトラックを離れることなくネットワークへの接続登録が行うことができます。自動倉庫管理システム側では、ドライバーが貨物を集荷のため工場に到着したことを確認できます。
ベンダーの技術サポートチームから派遣されたエンジニアがICS生産ネットワークの奥深くに設置されているコントローラの問題解決に取り組んでいます。問題解決のため、彼はL2L(LAN to LAN)VPN接続を使用してネットワークに直接接続しています。ベンダのネットワークのIP範囲全体(/16マスク)に対する境界ファイアウォールルールにより、必要に応じて特定のスタッフは工場のネットワークに接続することができます。
生産ラインで新製品の組み立てができるようにするため請負業者が製造現場に派遣され、コントローラのソフトを更新しています。新製品の組み立てには、センサー用の追加ロジックが必要であるため、自分のノートPCをICSラックのイーサネットポートに差し込み、携帯電話のデザリング機能でインターネットからコントローラソフトの最新バージョンをダウンロードします。ICS生産ネットワークがインターネットと接続された瞬間です。
境界はどこにあるのでしょうか?
ご紹介した事象は、当社のコンサルタントが生産施設を訪問したときに目撃した、ICS環境における境界の柔軟性を示すほんの数例に過ぎません。データ転送とリモート接続の必要性の高まりにより、かつては分離されていたICSネットワークファイアウォールの環境が急速に変貌し、ICSセキュリティに対しての課題が突き付けられています。ICSネットワークの有効な境界は、実際の施設から数百kmも離れたところに存在するのかもしれません。この傾向は、ICS環境においてさえモバイルやクラウド技術が適応されることによってさらに加速しています。
これらのすべてによって、ネットワークへの入り口に単一の障壁を置くという伝統的な方法では、ICSネットワーク境界を効果的に管理することが困難になっています。施設の周囲にある物理的なフェンスは、もはや境界ではありません。むしろ、境界はネットワークの最も遠いどこかに存在するのです。それは、フェンスの外側にあるブースや、ベンダーの従業員の自宅かもしれません。
実際、生産施設を運営する会社は、実際の境界がどこにあるのかさえ知らないのが一般的です。現代の複雑なサプライチェーンと生産環境を維持している多数のベンダーが複雑なネットワークインフラストラクチャを作り出しています。
ソリューションとしてのマイクロセグメンテーション
今日、市場に出回っている最新のネットワーク機器とアクセス制御ソリューションの技術向上により、いわゆるゼロトラストアーキテクチャを構築することが可能です。ゼロトラストアーキテクチャでは、ICSネットワークにリモート接続するユーザは、アイデンティティとロケーション情報に基づいて適切に識別されます。ネットワーク内の特定のホストまたはコントローラに対してのみ接続を許可することで、アクセス権をきめ細かく付与することができます。この動的なネットワークのマイクロセグメンテーションにより、過度に権限を持ったユーザやベンダ固有のファイアウォールルールを設定することなく、厳密なアクセス制御が可能になります。これにより、ICSネットワークへの攻撃対象領域が大幅に縮小されると共に、ネットワーク内での侵入拡大の可能性を大幅に減らすことができます。
マイクロセグメント化されたプライベートオーバーレイネットワークは、例えば、ISA(International Society of Automation:国際計測制御学会)の文書TR100.15.01(英語)「バックホールアーキテクチャモデル:信頼できない、または信頼できるネットワーク上の安全な接続性」に記載されています。この文書は、産業用制御システムコンポーネントを接続するアーキテクチャモデルを提示しています。この文書から得られる知識とアーキテクチャモデルは、「信頼できる」VPNとLAN接続のベースラインとしても使用することができます。
今こそ、ICSセキュリティの課題をよく認識すべきときです。最初の課題は、ICSネットワーク内で起きていることを制御し、サプライヤーとベンダーのセキュリティへの対処の仕方を管理することが困難なことです。第二に、サプライチェーンがますます複雑になるにつれて、「すべてのVPNトラフィックは信頼できる送信元から来る」というパラダイムから脱却する時が来ているということです。
ICSセキュリティの詳細については、製造業における標的型サイバー攻撃のトピックに関するeBookをダウンロードしてください。攻撃者がどのようにして防御壁を突破するかについて知り、さらに本格的なICS攻撃で何が起こるのかを学びましょう。
カテゴリ