投稿者: tamura

【保坂範和／KPMGコンサルティングテクノロジーリスクサービス・シニアマネジャー】

重要インフラを狙ったサイバー攻撃が世界的に増加しており、国内でもランサムウェア攻撃が顕在化している。進化する脅威に組織はどう備えるべきか―。OTセキュリティーについて専門家が解説する。

産業用途向けIoT（IIoT）による操業の最適化は、制御運用技術（OT）環境のデジタル化を加速した。一方、情報技術（IT）とOTのネットワークが相互接続されたことで、攻撃リスクが高まっている。近年、特にネットワーク技術の活用が進むエネルギー、製造、医療などがランサムウェアの標的になることが増えている。

KPMGコンサルティングがKPMG FASと共同で行った「サイバーセキュリティーサーベイ2022」の調査結果では、30・5%の企業が過去1年間にサイバーインシデントや不正な侵入の痕跡を確認したと回答。被害を受けた攻撃の種類はランサムウェアがトップで、26・4%の企業が被害を受けたと回答している。さらに、被害を受けた企業の約3割で経済的な損失やシステムの遅延・中断が発生している。

今年3月には「Emotet」と呼ばれるマルウェアによる感染被害が2020年の感染ピーク時の約5倍以上に急増。感染した国内組織から別の国内組織に対するメール配信が増えたことで、JPCERTコーディネーションセンターから注意喚起が出された。

OTセキュリティーを推進していくための人、モノ、金、時間のリソース不足に多くの企業が苦しんでいる。解消には経営層の理解とサポートが不可欠となる。経営者が適切にOTセキュリティーを経営課題として認識することが肝要だ。組織として取り組むことが円滑に推進していくための重要な要素となる。

重要な七つの取り組み まず必要な対策の可視化を

OTセキュリティーでは、①組織が備えるセキュリティー機能の現状把握、②最新の保有資産の把握、③OT環境と企業ネットワークとの接続把握とコントロール、④OT環境への安全的なリモートアクセスの確立、⑤バックアップ管理方針と手段の確立、⑥OT環境へのセキュリティーパッチの適用方針の検討、⑦インシデント監視の確立―の七つのチャレンジが重要だ。

①組織全体のOTセキュリティーの現状課題と、ビジネスの継続性の観点で必要な対策を可視化することで、サイバーセキュリティーに取り組む意義を整理できる。また、経営層に必要な意思決定を訴求できる。

②最新の資産情報を作成することは、OT環境の全体像を把握し、脅威に対して脆弱な資産を明確にするために不可欠である。その上で、ビジネスインパクト分析を通じて、重要な資産にどのようなセキュリティー対策を施すべきか、また、OT環境の特殊性によってパッチ適用などの一般的なセキュリティー対策が施せない場合は、その他の対策でリスクを低減できないかを具体的に検討することが重要である。OT環境は一般的にマルチベンダーで構築されている。そのため、手動による資産の識別が難しく、ツールによる自動識別が有効だ。構成管理データベースまたは資産管理ソフトウェアと組み合わせることで、保有資産の最新化に役立つ。

③ネットワークをセグメンテーションすることで、ランサムウェアの拡散範囲を制限することができる。OTネットワークのセグメンテーションのベストプラクティクスに「Purdueモデル」がある。システムを階層ごとに区分するためには、ネットワーク上のITとOTそれぞれの資産、接続関係、通信プロトコル、インターフェースを把握しておく必要がある。多くの侵入検知システム（IDS）には、これらを識別する便利な機能があり、活用できる。

④アフターコロナでは、遠隔地から資産の保守と修復を可能とする安全なリモートアクセスの確立が不可欠である。一般的なリモートアクセスの種類には、リモートデスクトップ（RDP）と仮想専用線（VPN）があるが、どちらも攻撃対象になる危険がある。

⑤セキュリティー対策を実施していたとしても、ランサムウェアがOTネットワークに侵入することを完全に防ぐことは難しい。ランサムウェアに感染した重要資産をリカバリーする場合は、バックアップから復元する必要がある。まずは、バックアップが必要となる重要な資産の見極めを行う。そして、システムがネットワークに接続しているのか、ネットから独立しているかを把握することもバックアップ方法を検討する上で必要だ。

⑥24時間365日の連続稼働が求められるOT環境にとって、セキュリティーパッチの適用は悩みの種だ。パッチを適用する際は、まずビジネスインパクト分析を通じて資産の重要度とリスクを認識することが肝心である。重要度が高いと判断された資産には、パッチを適用する周期を可能な限り短くする。一方で重要度が低い資産にはメンテナンス時にパッチを適用するなど合理的に判断すべきだ。

⑦ランサムウェアからOT環境を保護するためには、早期検出が重要だ。IDSに代表されるネットワークトラフィックを検査・監視するツールは、ランサムウェアなどを検出するのに役立つ。さらに、セキュリティーログを統合的に分析するシステム（SIEM）と連携することにより、ランサムウェア攻撃を早期に検出できる。

完全に防ぐことは困難 成熟度向上を継続的に

サイバーセキュリティー機能を有する組織でも、絶えず進化する脅威を完全に防ぐことはできない。このため重要インフラに携わる企業は、OT環境におけるサイバーセキュリティー機能を確立した上で、その成熟度を向上させていく継続的な取り組みが必要だ。さらに、重大な影響を与えるインシデントの発生を想定し、発生後の対応を整備しておくことも欠かせない。緊急事態を想定した準備や訓練を定期的に実施することで、脅威による被害を最小限に抑えさせ回復を早めることが求められる。

【関西電力 原子力発電所】

DXによる効率化には、常にサイバー攻撃のリスクが付きまとう。デジタル化とセキュリティー保持を表裏一体と捉え、迫りくる脅威に立ち向かう。

サイバー攻撃の高度化、巧妙化が深刻だ。関西電力は美浜発電所（福井県美浜町）、高浜発電所（同高浜町）、大飯発電所（同おおい町）において、サイバーセキュリティーの強化に注力している。
原子力発電所は、外部から電気通信回路を通じた不正アクセス行為を受けることがないよう、OT（制御系）システムへの外部アクセスを遮断するよう設計されているのが特徴だ。物理的・技術的・運用的対策を多層にし防衛策を講じることで、内部脅威によるサイバーテロを未然に防止している。
一方、サイバー攻撃の脅威は日々高まっており、従来の防護策で防ぎきれなかった場合も想定しておく必要がある。そこで同社では、インシデント対応手順の整備とサイバー攻撃対応訓練での実践を繰り返し実施していくことで、有事に備えている。
例えば、OTシステムが被害を受けた場合、最初からサイバー攻撃と気付くことはまれで、設備故障対応として調査を進める段階で判明するケースが大半だという。
「被害が広がる前に、いかに早く被害を疑い、気付くことができるかが大切。社内のCSIRT（コンピューターに関するセキュリティー事故対応チーム）要員はもとより、設備メーカーとの密な連携も求められます。訓練ではそうした事象を想定し取り組んでいます」。原子力発電部門セキュリティー管理グループの金広正彦マネジャーはこう話す。
原子力事業者は、原子力規制庁が定めた「原子力施設情報システムセキュリティー対策ガイドライン」に基づき、これまで自主的に情報システムセキュリティー対策の向上に取り組んできた。訓練もそうした取り組みの一環だ。

規制委の審査基準化に対応 さらに独自策を強化

今年3月には、原子力規制委員会で「原子力施設の情報システムセキュリティー対策に係る審査基準等の改正」が承認された。これまで推奨要件であったものが審査基準に格上げされ、セキュリティー強化が打ち出されたのだ。
関西電力ではこの対応に加え、独自の取り組みとして米国国立標準技術研究所が策定した重要インフラサイバーセキュリティーの枠組みを用いてマネジメントレベルを評価し、成熟度向上に取り組んでいる。国のマニュアルに従うだけでなく、さらなる独自策を打ち出すことが重要との考えだ。