■ なぜイーサン・ハントはハッキングに命をかけるのか

映画「ミッション：インポッシブル」には機密情報を盗むために苦労をする主人公「イーサン・ハント」の姿が良く描写されている。変装はもちろん、水深60ｍの急流の中で3分間息を我慢する。空中に縋って侵入するとき落ちた汗一滴で発覚される危機に瀕する場合もある。無事に終われば幸いが問題はこのような試みがばれる可能性が高くてまたこのような流れで誰かを殺さなければならない場合があり、残念ながらそれが味方(?)の犠牲になるときもある。

一般的に「ハッキング」または「サイバー攻撃」の話をするとき命の脅威を感じるほど危険なことだとは思わない。なぜならば我々に馴染みなハッカーのイメージは暗い空間でパーカーを被ってコンピューターに座ってタイピングをしている姿に近いためである。しかし、なぜ映画やドラマの中の主人公はいつもこのように難しくて険しい方法を使って直接侵入をしようとするのだろうか。より劇的な展開のためなのか。

その理由は産業制御システム(ICS: Industrial Control System)が基本的に外部のITネットワークと分離されているつまりプライベートネットワークで構成されているためである。このような施設は持っている情報の重要度が高いほど、社会全般に及ぼす影響が大きいほどより厳めしいセキュリティを持っている。ではもっと安全で、直接行かなくても施設の情報を盗んだりハッキングすることは本当にできないのか。産業制御システム(ICS)の環境、さらにOT(Operational Technology, 運用技術)について調べてその可能性について工夫してみよう。

■ OTとは

最近のセキュリティトレンドをみると、情報技術を意味するIT(Information Technology)と違う運用技術のOT(Operational Technology)という用語が登場する。
既存産業制御システムと知られている環境より幅広い領域であるOTに拡張されて使われている。

区分	内容
OT	・ Operational Technology, 産業運用管理コンピューティングシステム ・ ICS, SCADAなどを含む産業用機械、工程運用のための技術及びシステム
ICS	・ Industrial Control System, 産業制御システム ・ 工場や施設の各種機械もしくは工程を制御するためのしすてむ
SCADA	・ Supervisory Control and Data Acquistion, 作業工程監視/制御システム ・ HMI(Human-Machine Interface)、PLCなどを含め工程施設と設備を制御するための遠隔制御システム/通信施設基盤の産業制御及び監視システム
DCS	・ Distributed Control System, 分散制御システム ・ 自動制御プログラムが内蔵された制御用コンピューターを機能別に分散させて中央管理及び制御するシステム
PLC	・ Programmable Logic Controller, プログラムされた制御措置 ・ 産業プラントの自動制御及び監視に使用される制御システム

【▲ OT, ICS, SCADA構成 (参考：ガートナー(Gartner)、イグルーコーポレーション再構成)】

ガートナー(Gartner)によるとOTを接するとき一番違うところは使う言語である。ある産業施設でOTセキュリティコンサルティングをやっていたコンサルタントはプロジェクトの実施する中で一番難しかったところは「ITとOT用語の言語」を選んだ。今までITの領域で長い間コンサルティングをやっていてそれなりの自負心も持っていたベテランコンサルタントであったが、OTの領域で初めて技術者とインタビューをやって感じた「言語の違い」でどうしても進んでなくて言語を取得するのにかなり時間と努力が必要だったと語った。

セキュリティを見る観点からもITとOTは大きな違いがある。セキュリティの優先順位の観点からみると機密性(Confidentiality)、整合性(Integrity)、可用性(Availability)の中、ITは機密性を、OTは可用性をもっとも重要とする。この違いは二つの領域の業務の違いもあるが上記で説明したようにOTはプライベートネットワーク環境、つまり外部と繋がっていない環境から運用されるためでもある。今までOT環境は「閉鎖性」を担保として安全なセキュリティを保障されていた。しかしながら時代が変わっていくことによってこのようなOTの閉鎖性もやはり시험대에 오르게 됐다.第四次産業革命と共にIoT、ビックデータなど様々な新技術が登場してプライベートネットワークであったOTネットワークがITネットワークと繋がって運用されるようになった。

区分		IT	OT
基本観点	セキュリティの優先順位	C>I>A	A>I>C
	脅威に露出される要素	データ	物理的な対象
	パッチサイクル	早い	状況に従って対応
目的基盤技術	基本戦略	データ保護	プロセス保護
	プロトコル	標準化	登録(独自的な方法)
	危険性分析方法	脅威性基盤	脆弱性基盤
サイバーセキュリティ専門性	経験	ITステックに特化	特定産業に特化
	認証	IT全般	ドメインに特化

【▲ ITとOTのセキュリティ違い (参考：GEコリア、イグルーコーポレーション再構成)】

■OT環境のセキュリティインシデント

セキュリティに興味がある人なら「Stuxnet」という名前を憶えているだろう。2010年6月発見されたStuxnetは産業制御システムで有名なドイツのシーメンス社の産業用ソフトウェアを標的に攻撃し、当該のソフトウェアを使用している産業施設に侵入、誤作動を発生させたマルウェアだった。これでイランの核開発施設が大きい被害を受け、イランだけではなく中国や他の国にも急速に広がり、色々な施設を感染させた。

Stuxnetは産業制御システムを狙って作成されたマルウェアである。ハッカーの自己誇示または金銭的な理由で作成された既存のマルウェアとは違って国の主要産業施設破壊を目標とする。それで当時多くのセキュリティ専門家がStuxnetをセキュリティ脅威のパラダイムを変えるマルウェアだと評価しているが、実際にStuxnetの攻撃はそのものより注目が必要なのは既に長い間渡って数多くのOT、産業制御システムが攻撃されていることである。これは映画「ダイ・ハード4.0」によく説明されている「ファイアセール(Fire Sale)」がもう映画の想像ではないことを言っている。

前にOT環境はプライベートネットワークで構成されているといｓたがどうやってマルウェアに感染して施設の攻撃に繋がるだろう？これを調べるためにOT環境の構造を調べなけれべならない。OT環境を表現するためには一般的に「Purdue Model」を使用するがそのモデルは下記になる。

【▲ Purdue Modelで表現したOTの環境 (参考：CISCO、イグルーコーポレーション再構成)】

既存我々が「プライベートネットワーク」と呼ばれるOTネットワークはPurdue ModelのSafety ZoneからIndustrial Zoneまで、Level 0からLevel 3を示す。きっとこの領域は外部と断絶されていてITと違うOTだけの別途プロトコル(ABB, GE STRP, Siemens S7など)で構成されているため基本的には外部からの脅威から安全だと考えている。

しかし罠はOT環境がこのようにプライベートネットワークだけで構成されるのはできないということである。運用管理のためにはEnterprise Zone、つまりITネットワークであるLevel 4~Level 5の領域が存在し、職員による運用、メンテナンスのための外部からのリモートアクセスなど多様な理由でITネットワークとOTネットワークの接点である「Industrial DMZ」俗称「Level 3.5」が存在すべきである。この領域でITとOTが繋がり、IT領域から発生する数多い脅威が結局OT環境にも影響を与える。OTセキュリティソリューション専門業者であるClatoryによるとどれだけ外部から内部プライベートネットワークへのアクセスが多いのかセキュリティ担当者やOT担当者、誰も知らないと語った。

結局、OT環境は我々がしxtぐているようにプライベートネットワークに構成されて外部の攻撃が絶対届かないところではなく、むしろ既に「外部の攻撃に漏出されている環境」の意味である。OT環境にアクセスし情報を盗んだり、ハッキングするために苦労して変装し、空中にぶら下がり、水中で息を我慢し、高層ビルを這い上がらなくても内部のPCを利用して手軽にアクセスできる方法ももちろん簡単ではないが存在するわけである。できるのであればこの事実を早速「イーサン・ハント」に教えたい。

■ OTセキュリティ、どうすればいいのか

IT環境とOT環境の結合は既存IT環境から発生しうるセキュリティ脅威をOT環境まで転移させる問題を持ってきてこれはすぐに実際の攻撃による被害に繋がった。OT環境に対するセキュリティ脅威は単なる情報漏洩などの問題を超えて社会基盤施設の中断まで繋がる金銭的な被害、直間接的な人命被害、さらに大規模の社会混乱まで起こせるため、その深刻度はより高い。従って可用性を機密性と整合性より優先的にしたOT環境も「セキュリティ」が最優先に考慮させるべきである要素として浮上するようになったのはあまりにも当然のことである。

プライベートネットワークだから物理的なセキュリティで十分だと思っていたOT環境に対するセキュリティ対策はもうIT環境との結合を考慮して新たに樹立する必要がある。これのためにコンサルティングやセキュリティ専門家がそれぞれの経験と判断を基にOTセキュリティに対する定義、考慮事項、対応方法を出して、それぞれ相違な内容を整理したのが下記になる。

セキュリティ管理体系の樹立	可視性確保	セキュリティアーキテクチャの樹立
▼	▼	▼
・ 経営陣の意志は反映されているのか ・ OTセキュリティのための標準及び管理体系を樹立したのか ・ 関連政策・組織・技術・プロセスが樹立されているのか	・ 管理している(保護すべき)OTシステムは何でどこにあるのか ・ このシステムはどこと繋がっているのか ・ このシステムの担当者はだれなのか	・ OTセキュリティに最適化されたソリューションを構築したのか ・ ITセキュリティ技術と統合されたセキュリティ管理アーキテクチャを構築したのか ・ セキュリティソリューションから発生するイベントとアラートに対するモニタリング及び対応はじっししているのか

【▲ OTセキュリティのための要素 (参考：イグルーコーポレーション)】

1) セキュリティ管理体系の樹立

OTセキュリティのために管理体系の樹立時、政策、組織、技術、プロセスに対する全ての内容が含まれるべきだが、何よりも大事なのは経営陣の意志からの予算及び資源の確保が先に必要である。一般的にOT環境で既存の「情報保護」組織はITセキュリティに限られたR&Rを付与され業務を実施し、OT運用担当者はセキュリティ対する別途のR＆Rが付与されてないのがほとんどである。従って、この二つの領域を調整し、融合されたセキュリティ管理体系を樹立するためには経営陣の積極的な介入が必要である。

また、セキュリティ管理体系を樹立するためには管理体系の標準が必要だが、最近OT環境に対するセキュリティ脅威が多きく増加することによってこれに関するセキュリティ規定の制定も活発に行われている。代表的なグローバル標準にISA/IEC 62443, NIST 800-82などがある。

加えて、世界最大のサイバーセキュリティレファレンスであるRSA2020ではOTセキュリティが主要問題として取り扱われていた。OT環境に対するセキュリティ体系を樹立する際、NIST CSF(NIST Cyber Security Framework)をIT及びOTの共通的な言語で使用しようとする論議があった。セキュリティ運用の側面としてはITとOTは融合されると予想されるため、NIST CSFでITだけではなくOTセキュリティステータスのギャップ(Gap)識別し、リスク(Risk)を基盤として優先順を洗い出してギャップ(Gap)を縮めるための戦略的なロードマップを樹立しようとする意見である。現時点ではOT環境にぴったりの標準だけではなくIT環境との融合を考慮した管理体系の樹立がもっとも大事であることを意味している。

区分	内容
1	・ 経営陣の支援と予算編成についての承認を得る
2	・ IT/OTセキュリティレベルのギャップ(Gap)を把握するためにIT/OTの持っている組織と共にNIST CSF(CyberSecurity Framework)を使用する。
3	・ ITとOTの脅威基盤のアクセス方法を使用してセキュリティレベルの違い(Gap)を分析し、今後各施設の重要度に従ってセキュリティレベルの違い(Gap)を減らすために戦略的なロードマップを開発する。
4	・ IT標準及びプロセスはOT環境には動作しない。OT環境に合わせたプロセス、標準及びレファランスアーキテクチャを樹立する必要がある。
5	・ OTセキュリティはITセキュリティと同じレベルでのプロセスを樹立し、運用する必要がある。：資産リスト、ファイアウォール、パッチ、ネットワーク構成、業務連続性計画(BCP)、災難復旧計画(DR)など
6	・ OTねぅっとワーク内部の非承認/疑い行為を検知する。
7	・ ITとOTの担当者は共に協力し、OTネットワークのセキュリティアラートに対するインシデント対応計画を作成し実施する。
8	・ ITとOTの担当者は共に協力し、運用の弾力性(resiliency of operations)に集中した業務連続性計画(BCP)を樹立する。
9	・ OT設備担当者に対するセキュリティ認識教育及びコミュニケーションを樹立する。
10	・ NIST CSF(CyberSecurity Framework)をITとOTのために教養原語で使用する。

【▲ List for Securing Your OT Environment (参考：Rockwell Automation、イグルーコーポレーション再構成)】

2)可視性(Security Visibility)確保

見えない対象を保護するわけには行けない。ITセキュリティで「保護すべきIT資産に対する識別」も重要であり、必須できな要素でもある。これはOTセキュリティも同じことである。しかし、OT領域の可視性確保は大体IT領域より難しい傾向を見せているがその理由はそれぞれ違う担当者が担当する多様な機器が様々な事業場に散らされている場合が多いためである。これでどのような機器が土器にあるかを全て完璧に把握している人を探すことはより難しい。Claroty, CyberX, SCADA guardianなどOTセキュリティソリューションがOT環境にBMT(Bench Marking Test, 性能テスト)または、POC(Proof of Concept, 技術検証)をするときにまず先にすることが機器を可視化して探すこと、つまり可視性確保であうｒ。この過程で各担当者も知らなかった機器を探す場合があるがこのような危機はセキュリティホールになる可能性が高い。

保護すべき機器識別がおわったら次は各機器がどこに繋がっていて担当者は誰なのか、どのような用途なのか、どのようなプロトコルで通信をしているかなど当該の機器に対する情報把握が必要でる。このように対象機器に対する可視性の確保が行われてからこそどのようにセキュリティアーキテクチャを樹立するかに対する基になる。

【▲ OTセキュリティソリューションから可視性確保 (参考：Claroty)】

3) セキュリティアーキテクチャの樹立

GEのRajiv Nilesは「OTシステムの場合、マルウェア感染など障害検知に必要な時間が平均272日だと知られているが、セキュリティを持っているITシステムの場合24時間以内」と語り、OTセキュリティの問題を指摘したことがある。OT環境にセキュリティ脅威が検知できる設備やツールが十分ではないので対応はもちろん発生した危険を気づくことも難しいことである。

Purdue Modelを基にITとOTが融合された環境からのセキュリティ脅威をモニタリングし、対応するためにはIT領域のレガシーセキュリティソリューションFirewall, IDS/IPS, Endpoint Protectionなど)を利用したセキュリティ体系の樹立と共にOT領域の固有ネットワークプロトコルを基盤とした別途のセキュリティソリューションの活用が必要である。TCP/IPで代表されるITプロトコルとは違ってOT環境からは各設備業者の固有なプロトコルで通信をするため通称「OTセキュリティソリューション」の活用が必要で、このようなOTセキュリティソリューションが共通的に掲げる特徴とメリットはOTプロトコルの互換性と可視性の確保、リスク管理、脅威分析などがある。

【▲ ICS/OT Security Reference Architecture (参考：Gartner(August 2017)一部再構成)】

ITとOT両領域すべてに最適化されたセキュリティアーキテクチャを樹立したらこれを融合して統合セキュリティができる「統合SOC(Security Operation Center、セキュリティ監視センター)」と「SIEM(Security Information and event mmanagement、統合セキュリティ監視ソリューション)」が必要である。ITとOTを統合した「統合SOC」から識別・予防・検知・対応・復旧のための一連のセキュリティプロセスを樹立及び運用する必要がある。そしてこれのためにはＩＴ領域とＯＴ領域の数多いセキュリティソリューションで収集される情報を統合的にモニタリングできる「SIEM」も必須である。既にＩＴセキュリティにはビッグデータ基盤のSIEMを超えてAIが合体したSIEMの構築及び運用が行われていて、これはＯＴセキュリティソリューションとの連携で融合監視ソリューションとして活用ができる。

OTセキュリティに関する理解、難しくない。

今までＯＴセキュリティに関して調べてみた。情報セキュリティ業界で働いている人は既視感(Deja vu)を感じたかもしれないがOTセキュリティのために考慮する必要があることが最初ITセキュリティが生まれたとき、もっとも重要だと強調されていたことと同じためである。保護すべきの資産を識別し、経営陣の意志を全面にして、組織及びR&Rを明確し、情報保護管理体系を樹立して管理し、適切なセキュリティアーキテクチャを構築して運用することはITだけではなくOTセキュリティも同じことである。今の間プライベートネットワークという無敵な盾に隠されていたOT環境がIT環境との融合によって様々な脅威に露出しはじめ、それによって少し遅れてセキュリティに対する必要性が高まっただけである。

IT環境に最適化された色々なセキュリティ要素にOTだけの固有な特性を反映すれば思ったより難しくなくOTセキュリティの実現ができる。もちろん細かい違いが実務段階では困難要素になるかもしれないが我々はいつもように回答を見つけるだろう。素早く変化される環境の中、ITとOTが区別されない完璧に融合されたセキュリティ生態系が駆逐されるのは遠くないと期待される。ただ残念ながら「イーサン・ハント」がオフィスに座ってコーヒーを飲みながら情報を盗むことはまた別の理由で簡単ではないと思う。