初回となる前回は「そもそもOT(Operational Technology:制御技術)とは何なのか」について説明しました。今回は、OTに必要とされるセキュリティについて解説します。

OTにおける情報セキュリティの三要素

まず、情報セキュリティの三要素(機密性、完全性、可用性)における優先度について、ITとOTの違いを説明します。

一般的に、ITにおける情報セキュリティの三要素の優先度は、機密性が最も優先度が高く、これに完全性、可用性が続きます。なぜなら、ITの世界ではデータそのものに対しての価値が高いため、データの搾取による機密性への影響を最も優先的に考慮するからです。

一方、OTではデータそのものよりもプロセスに対しての価値が高くなっています。そのため、機密性や完全性よりも可用性が重要視される傾向にあります。OTにおいて可用性が損なわれるということは、被害額の面から考えてもITとは比較にならないくらい大きな影響を受けることになります。

そのため、OT環境ではしばしばITとは逆の優先度で判断がなされる場合があります。例えば、脆弱性が機器に発見された場合、ITではセキュリティパッチを当てることは比較的容易に行われますが、OTの場合、稼働している機器にパッチを当てるのはかなり困難です。

したがって、IT管理者は、OTにおける可用性への影響度合いを常にIT以上に考慮しなければなりません。続いて、OTに必要とされるセキュリティについて3つの観点から解説します。

OT環境を可視化する

1つ目の観点は、OT環境を可視化するということです。どのような種類のOT機器がどのような用途でいつからどこに存在しているのか、またファームウェアのバージョンは何で、どのような脆弱性が存在しているか、といった基本的なことが管理されていない問題がOTでは非常に多く見られます。

仮に管理されていたとしても、台帳での管理になっており、情報が古すぎて正しいかどうかがわからない場合もあります。さらには、無線のアクセスポイントやノートパソコンが勝手にネットワークにつながれているケースもあり、セキュリティ侵害の温床になっています。

機器を管理することは情報セキュリティの最も基本になるため、OTにおいても例外なく優先度の高いセキュリティ対策になります。

また、古い機器やプロトコルが使われ続けている、という課題もあります。ITに比べてOTでは機器が長期間にわたって使用される場合が多いです。10年以上一度も停止せずに稼働し続けているシステムもあり、機器のサポートが終わっている場合もあります。

例えば、IT環境においてはWindows XPやWindows 2000を見つけることは困難ですが、OTにおいては簡単に遭遇します。OTのセキュリティについて考える場合、IT環境でもそうですが、やはりまずは可視化することが重要です。

コントローラに焦点を当てる

2つ目の観点は、PLCやDCSなどのコントローラに焦点を当てて対策をする、ということです。

OT環境における脅威としては、USB経由でのマルウェア感染やDoS攻撃による制御システムの停止などが挙げられますが、攻撃者の最大の狙いは制御システムを乗っ取ることです。

ただし、制御システムは通常の場合、入力、制御、監視、表示とその役割が分散しているため、全体を乗っ取ることは容易ではありません。では、攻撃者が何に照準を合わせるかというと、それは何といってもコントローラなのです。

例えば、攻撃者が工業炉を爆発させることを想像してください。攻撃者がSCADAやHMIなどの入力装置を乗っ取っとることに成功し、9000度になるようにコントローラに命令をしたとします。

しかしながら、コントローラでは一定温度以上の命令は受け付けない、というプログラムになっているため、9000度にする命令に対してエラーを返すことになります。つまり、入力装置を乗っ取るだけでは攻撃者の目的は十分に果たせたとは言えないのです。

  • コントローラを乗っ取って、9000度にする命令を出しただけでは、攻撃の目的は果たせない

ところが、攻撃者がコントローラのプログラムを書き換え、9000度以上の命令を実行するようにしていたとすると、工業炉は9000度に上昇し、最終的に爆発するでしょう。

  • コントローラのプログラムを書き換えて、9000度以上の命令を実行するようにしていたとすると、工業炉は9000度に上昇して爆発してしまう

そのため、OT環境をセキュアにするにはコントローラをいかに保護するか、ということを考えなければなりません。

継続的な監視

3つ目の観点は継続的な監視を行うということです。OTにおけるセキュリティ対策に取り組む場合、まずはアセスメントサービスを受けるケースが増加しています。しかしながら、アセスメントサービスはあくまで現状を把握するだけです。そのため、継続的にOT環境をセキュアにするには、継続的な監視を行う必要があります。

継続的監視を行う目的は何らかの”異常”を発見することですが、この異常をどうすれば知ることができるのでしょうか。

1つ目の手段はITで行われているように、攻撃の痕跡を発見することです。例えば、攻撃が行われていることの痕跡を検知したり、マルウェア侵入の痕跡を発見したりすることです。

もう1つの手段は、正常ではない状態を見つけるということです。OTの場合ITと比べると遥かに正常状態を管理することは容易です。例えば、あるコントローラが制御ネットワークを介して通信する先は特定の入力装置に限られています。この状態を正常だとした場合、仮に普段通信が行われないような入力装置からの通信が発生した場合、異常通信として調査を開始することができます。

以上見てきたように、OTにおけるセキュリティはITとは根本的に異なっているということを理解した上で対策を取ることが重要です。

次回は、OT環境を可視化するための仕組みについて解説します。

著者プロフィール

阿部 淳平


Tenable Network Security日本法人のSecurity Engineer。脆弱性スキャナとして有名なNessusのほか、IT/OTを統合した包括的なセキュリティ製品であるTenable.io、Tenable.sc、Tenable.ot等を担当。