メインコンテンツへスキップ

Microoft Defender for IoT ブログシリーズ 【第1回】OTセキュリティとは

_________.png

 

本シリーズの構成は以下のようになっています。

  1. 【第1回】OTセキュリティとは (※ 本記事)

  2. 【第2回】Microsoft Defender for IoTでOT環境の可視化

  3. 【第3回】レポート・脆弱性診断

  4. 【第4回】その他の機能

 

目次

はじめに

OTと産業用制御システム

パデュー(Purdue)モデル

ITとOTの違い

OTはセキュリティ対策を進めづらい

OTにおけるセキュリティの最適解とは

Microsoft Defender for IoTによるOTネットワークの可視化

 

 

 

はじめに

本コラムはMicrosoft Defender for IoTの説明をさせて頂きます。

Microsoft Defender for IoTOT環境にも使用できる製品となっていますので、第1回はまずOTセキュリティの話をさせて頂きます。

 

OTと産業用制御システム

OTOperational Technology)とは、製造業やエネルギー産業などで使用されることが多く、工場の生産ラインや発電所の運転管理など、物理的なプロセスの効率化と安全性向上を目的としています。物理的な装置やプロセスを監視・制御するためのハードウェアとソフトウェアの総称です。具体的には、センサー、アクチュエーター、制御システム、監視システムなどが含まれます。

産業用制御システム(ICSIndustrial Control Systems)OTの一部であり、その名の通り、工場等の工作機械やインフラ産業の制御装置を遠隔でコントロールするシステムです。

 

image1.png

パデュー(Purdue)モデル

パデューモデルとは産業用制御システム(ICS)用のセキュリティの構造モデルです。

このパデューモデルはOTネットワークの世界でしばしばみられるモデルですので、OTの説明として、まずはこのモデルをご説明します。

システムを機能階層別に以下のようなレベルで分けたモデルとなっています。

Lv45はエンタープライズと呼ばれるオフィスITの領域です。

Lv3.5DMZ(Demilitarized Zone)と呼んでおり、ITOT接続するための緩衝領域と位置付けられ、ファイアウォールなどで分離されています。

  • Lv3は運用領域です。生産を管理・運用する為の機器が配置されています。
  • Lv2は監視・制御領域です。Lv1の機器を制御する為の機器が配置されています。
  • Lv1は感知・作動領域です。Lv0の製造機器を直接制御する機器が配置されています。
  • Lv0は実際の製造装置となります。
  • ※ historian – 製造にまつわる各種データが蓄積されるデータDBサーバ
  • ※ SCADA - Supervisory Control and Data Acquisition、工場や設備の監視、制御、データ収集などを行うためのサーバ
  • ※ HMI - Human Machine Interface、機器を操作する為のコンソール装置
  • ※ PLC - Programmable Logic Controller、実際の生産設備の制御装置。あらかじめ組み込まれたプログラム通りに機器を動かす。

 

 

ITOTの違い

ここで、一般的にわれわれがよく利用しているITOTの違いを挙げてみます。

最大の違いは、ITは我々がよく利用するのでお分かりかと思いますが、PCは汎用的に使用され、インターネットも不特定に接続し、情報収集などに活用されます。

一方OTは工場や発電所などのごく限られた範囲で、特定の機器を制御するために用いられます。つまり、ITのような汎用性は求められない一方で、24時間365日安定して動作する安定性が最重要視されるのです。

また、PCは汎用的に使われるものですが、OT機器は決まった役割でのみ使われます。この為、再起動やパッチで環境が変わることを嫌い、変更は最低限度しか行われない傾向があります。また、プロトコルも冗長的なTCP/IPよりは、最低限の機能しかない専用のプロトコルが好まれていました。

この事を踏まえて違いは次のようになります。

 

IT環境

  • プロトコル: TCP/IPを使用
  • パッチ適用: リアルタイムが主流
  • 再起動: PCは毎日

 

OT環境

  • プロトコル: 一般的なIPプロトコルと独自の産業用プロトコル(EtherNet/IP, Modbus TCP)を使用
  • パッチ適用: 定期メンテナンス時(12)
  • 再起動: 定期メンテナンス時(12)

 

 

過去のOTセキュリティは安全性を高めるためにエアギャップ(工場と外部がつながっておらず、隔絶している状態)が設けられ、社内のOAやインターネットからは切り離され、運用されていいました。

しかし、生産管理はOT環境ではなくIT環境で動作しますので、ここが分かれていると管理がしづらくなります。

製造業ではセキュリティよりも生産性が重要視される世界ですので、最近ではOTITを融合することによって効率化を目指す流れが主流となっています。

そして、徐々にですが生産管理もセキュリティもクラウド管理の流れとなっていますので、OT環境も間接的にですが、インターネット接続が必要となってきています。

 

この為、今まで別々のものであったITOTが次第に近づいてきています。

 

OTはセキュリティ対策を進めづらい

前述した通り、ITOTとでは使用するプロトコルが異なります。この為、OTプロトコルを読むことのできる製品が必要になります。

また、IT製品と違い機器がリルタイムのアップデートができないという特徴があります。

セキュリティ対策もITと違い、簡単に機器をブロックすることが出来ません。機械を止めてしまうと被害が甚大になる可能性がある為、機械の停止には慎重にならざるを得ません。

従って、OT環境でのセキュリティ対策は以下のような制約があります。

 

  • マルウェア対策: 一般のマルウェア対策は積極的には行われません。PLC等の機器はそもそもインストールが出来ません。WindowsLinux機器の場合もリソースの変化や、プロセス停止などのリスクから導入は推奨されません。
  • 脆弱性スキャン: ネットワークに余計なパケットを流すとシステム停止を招く可能性があるため、実施できません。
  • 境界監視: ファイアウォールやIPSによるセグメント間の通信監視は可能です。但し、脅威が見つかっても自動ブロック等は行われません。

 

狙われるOT環境

ではOT環境では脅威は発生しないのでしょうか。

実はOT環境は重要インフラにも用いられています。過去には国家間の争いや企業間の争いにより、OT環境が攻撃されることがありました。

それ以外にランサムの標的となっているケースもあります。

制御システム関連のサイバーインシデント事例はIPAが以下に公開しており、参考になるかと思います。

IPA 独立行政法人情報処理推進機構
制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ
https://www.ipa.go.jp/security/controlsystem/incident.html

例えばTSMC(台湾積体電路製造)ですが20188月に過失によりランサムウェアに感染し、工場で一時生産を停止したという事例があり、その被害額は最大190億円とも言われています。

本件の詳細は上記サイトにて「【事例6】2018年 半導体製造企業のランサムウェアによる操業停止」として紹介されています。

 

 

OTにおけるセキュリティの最適解とは

このように、OTにおいてセキュリティは一定の難しさを伴います。

では、OTにおけるセキュリティはどのようなものがあるか見ていきたいと思います。

 

ITOTを分けるファイアウォールやIPSといった境界型セキュリティ

これは導入が必須です。既に多くの企業で導入が行われていますが、これだけではラテラルムーブメント(侵入後、横方向(工場等ですとOTネッワーク内だけの通信)に侵害範囲を拡大していく攻撃手法)等の通信を検出することができません。

 

マイクロセグメーション

マイクロセグメーションとは、OTネットワーク内を細かくセグメント分けし、それぞれのセグメントの出入りをIPS等で制御・監視することで、ラテラルムーブメントを抑止・検出するという方法です。

 

NDR(Network Detection and Response)によるネットワーク監視

NDRとはネットワーク監視を行い、脅威を検知する製品です。必要に応じてネットワーク遮断などの防御も行いますが、OTでは自動防御を使う事は稀です。

この後ご紹介するMicrosoft Defender for IoTはこのNDRに該当する製品です。

 

ITであればEPPEDR等の対策が必須ですが、OTではパッシブ(受動的)な製品が求められますので、できる対策としてはこの程度となります。

理想を言えば、これらの対策をすべて取り入れるのが正解なのですが、実装にはいくつかの課題があります。

一番の問題は、ネットワーク分割する元となる工場ネットワーク全体の把握が困難という事です。まずはここを抑えないとマイクロセグメーション化が始まりません。

この点は課題としている企業が多く、一番に相談を頂くポイントです。

続いて設計時の問題点として、セグメント間でどのような通信がどのようなタイミングで発生しているのかを把握していない為、正確なフィルタを作ることができないという問題です。これは実際に装置を入れ、一定期間監視をする必要があります。

このような問題がある為、マイクロセグメーションは新設のネットワークに導入する場合は比較的設計が容易なのですが、既存のネットワークでは新規に張りなおす以上の労力が必要になります。

これらの問題はOTネットワークにおいて可視化が進んでいないという事の表れでもあります。

 

また、多く相談を頂くのは、「実際に監視するのは誰か」「工場の要員で監視が出来るのか」「不審かもしれない通信が検出したとして抑止していいのか誰が判断するのか」等といった運用のご相談もよく受けます。この点は運用監視設計やリモート監視といった提案ができますので、ご相談頂けますと幸いです。

 

Microsoft Defender for IoTによるOTネットワークの可視化

当社がお勧めするのは、まずはOTネットワークの可視化です。可視化を進めることにより、工場ネットワーク全体の把握が可能となり、日々どの機械からどの機械に通信が行われているかも把握できます。

そして何より、抑止すべき通信かどうかの判断材料となります。

この見える可に貢献するのがMicrosoftDefender for IoTです。

 

名称からOTにも使えるものだとだとわかりづらいですが、Microsoftは「業用制御システム (ICS) や運用技術 (OT) など、モノのインターネット (IoT) と産業インフラストラクチャに対するリアルタイムの資産検出、脆弱性管理、 サイバー攻撃に対する保護を利用できます。」と解説しています。

Microsoft社は2020年、OT向けソリューションを開発していたCyberX社を買収し、OT,IoT向けのセキュリティに乗り込んできました。ただ、大々的にOT向けを謳っていないので、この製品がOTセキュリティ製品であることはほとんど知られていません。

当社はCyberX時代に代理店となり、現在OT環境に向けて提案、PoC、構築、診断、運用管理などのサービス展開を行っております。

 

次回

続いて第2回ではMicrosoft Defender for IoTの機能について解説してまいります。

 

~~ 連載記事一覧 ~~

 

関連記事