2016年10月5日

重要インフラのセキュリティ対策は一般企業のロールモデルとなりうるか

テクノロジー ビジネス 脅威

石油精製所から鉄道システムまで、長年にわたりお客様とともに産業制御システムの保護に取り組んだ人ならば、1つの学びを得ることでしょう。それは、重要インフラには特に注意を払う必要がある、ということです。一般企業と同様に、産業用施設もコンピューターやソフトウェアを利用していますが、使われているソリューションの種類が一般的なオフィスとはまったく異なります。そこでは、10年前のマシンがいまでも現役で稼働しており、運用側はリプレース費用で悩むことはありません。むしろ、マシンを1時間だけ止めた場合のコストがどれほどになるのかを気にします。万が一のことがあった場合、ダウンタイムによる損失が数百万ドル、コンプライアンス違反に対する罰金が1日あたり1,000~100万ドル(英語資料)に上るという現実が待っているためです。

産業制御システムにおいて何よりも重視されているのは信頼性と継続性であり、厳格なSLAが少しでも発動すれば、日々の業務は膨れ上がります。一般的なインフラを抱える企業にとって、こうした重要インフラのオペレーションから学ぶことはあるのでしょうか?答えは「イエス」でもあり、「ノー」でもあります。

当社が産業用施設向けのセキュリティ製品を開発していたとき、産業用ならではの要件を満たさなければなりませんでした。いくつかご紹介しましょう。

  • 観測性の高さ:重要な産業インフラでは、セキュリティ製品の導入は極めて慎重に行われます。セキュリティ製品はアクティビティを監視して脅威を検知しますが、攻撃を阻止するかどうかの判断は運用側に委ねられてしかるべきです。また、産業制御システムはカスタマイズされたソフトウェアに依存しており、セキュリティ製品と産業制御システム(たとえば鉄道システム)運用の競合などは、可能性としてもあってはなりません。一般的なITインフラの保護においては、新機能(たとえばアプリケーション制御など)実装の際に、こうした慎重さが良き手本となります。新機能はバックグラウンドで実行し、すべての統計データを収集、分析してから、初めて全機能を展開するべきです。
  • セキュリティ評価:重要インフラは、一般的なITシステムと常に連携しています。それぞれのセキュリティを担当するのは、往々にして別々のチームであり、そのために多くの課題があります。産業制御システムと一般的なITシステムの双方に熟知したセキュリティエキスパートが一元的に確認すれば、両システムの連結部分で発見されがちな脆弱性を特定しやすくなります。これは一般的なITインフラにも当てはまる話です。実際に、エンドポイント、モバイルデバイス、オンサイトサーバー、クラウドサービスなどが混在する環境は、電力発電所の複雑さに劣りません。
  • エクスプロイト対策:未知の脆弱性を悪用した攻撃を特定するためのテクノロジーは、一般的なアンチマルウェアシステムよりも1段階上のレベルです。Stuxnetから学んだように、重要インフラは最も高度なサイバー兵器を使って狙われる可能性があります。従来のマルウェアとは異なり、標的型の高度な攻撃には特殊なツールが必要です。周知のとおり、標的型攻撃が一般企業のビジネスにリスクを与える可能性は、産業用施設の場合を上回ります。個人的な意見では、APTからビジネスを守るための対策はすでに始まっていなければなりません。
main-6

以上、重要インフラの事例から一般企業がすぐに取り入れることのできる対策をご紹介しました。一方で、製造業界やエネルギー業界に留めておいた方がよいものも、いくつかあります。

  • 古いハードウェア:数百万ドル程度のコストで、信頼性が高いことから、Windows 98でフル稼働するマシンがいまだに活躍しています。重要インフラでこうしたハードウェアを使うのには理由がありますが、一般的なオフィスで時代遅れのソフトウェアやハードウェアを使う言い訳としては使えません。サポート対象外になったら、セキュリティ上の観点からリプレースする方がよいでしょう。
  • システムの隔離運用:SCADAシステムを直接インターネットに接続することほど、産業制御システムにとって最悪なことはありません。しかし、インターネットから切り離されている状況では、セキュリティ面、特にセキュリティアップデートの配信に関して問題が生じます。解決可能な問題ではありますが、セキュリティ対策を見直すことなく一般のインフラを隔離すると、多くの問題を招くことになりかねません。

重要インフラの経験から得られる最も重要な知見は、適切な対応を講じることの必要性です。ソフトウェアアップデートの対応を誤ると何時間ものシステム停止と1分につき何千ドルもの損失を招く可能性があると気付いたならば、対策方法を変える必要があります。従来のITシステムは重要インフラほど厳密性が求められるわけではありませんが、セキュリティインシデントでシステムが停止した場合、66,000ドル(中小企業)から140万ドル(大企業)の損失(英語資料)が見込まれます。以上を鑑みて、ITセキュリティを考えるときに「重要インフラ並み」の態度で臨むことは賢明な選択かもしれません。