ICS/SCADA Smart Scanning: 集中型 IT/OT 環境における IT ベースのシステムの発見と評価

運用・制御技術（OT）環境とITの相互接続は増えつつあり、エクスプロイトされる可能性のあるITベースの資産やプロトコルが採用されるようになっています。その結果、OTシステムはITの脅威にさらされるようになりました。さらに、IT/OTの集約もサイバーアタックサーフェスを拡大しています。 ITネットワークを侵害した脅威関与者は、ITネットワークからOTシステムにアクセスする可能があります。このような集約環境には、ITおよびOTデバイスとシステムが混在し、従来のITアクティブスキャン技術により簡単に妨害されてしまう可能性があるものも混ざっています。

ほとんどの業界環境において、 Tenable^®は継続的な受動的モニタリングをデプロイならびに使用し、OTネットワークを妨害することはありません。 しかしながら、集約IT/OTネットワークにおいてアクティブスキャンが好まれる、または必要な状況もあり、ITとOTのスキャンターゲットを分割することが難しい場合があります。

ジレンマを解消するために、Tenableは ICS/SCADA スマートスキャンを紹介します。このユニークな性能により、ITベースのシステム（たとえば監視、サイト運用管理、ERP、スケジュール）を集約環境下で検出し、徹底的に評価します。その上で、スキャン中にOTデバイスを不意に検出した場合でも、アクティブスキャンによるデバイスの中断リスクを軽減します。

集約されたIT/OT環境全体にわたるCyber Exposureの測定

ICS/SCADAスマートスキャンとパッシブなネットワークモニタリングの組み合わせにより、Tenableは集約IT/OT環境全体にわたって安全にCyber Exposureを測定し、サイバーリスクを完全に可視化します。

プログラム可能なロジックコントローラー（PLC）やリモートターミナルユニット（RTU）などのOT デバイスは、機械の状態と活動（ポンプ、バルブ、モーターなど）および環境要因（温度、pH、振動など）をモニターしており、脆弱性を測定しOTプロセスに対するリスクを管理するために、詳細に記録されなければなりません。しかしながら、これらのOTデバイスは、IT環境で一般的に使われているアクティブスキャンの手法に対して繊細すぎる可能性があります。特に、以下の理由が挙げられます：

• 限定的なCPUパワー： ITベースのシステムはリクエストが多すぎると圧倒される可能性があります。なぜなら、これらのシステムは一度にひとつのことをするようデザインされており、タブレットよりCPUパワーが劣ることがあるからです。
• リアルタイムコミュニケーション：関係するプロトコルは、デバイスが妨害なくスムーズに読み込めるよう期待されていることがよくあります。もしプロトコルが大幅に遅延することがあれば、コミュニケーションを再構築するのが難しい場合があるかもしれません。脆弱性の完全スキャンはデバイスの多くのエリアを短時間で調べようとするので、限定的なCPUパワーに負担をかけすぎ、コミュニケーションの遅延を招くことがあります。
• デザイントレードオフ：OTデバイスは停電、振動、空気中の粒子などに影響を受けにくいようデザインされています。多くのOTデバイス、特にレガシーデバイスは、大量のネットワークコミュニケーションに対応するようにはデザインされていません。
• カスタムOSおよびソフトウェア： OTデバイスは、WindowsやLinuxといった一般的に広く使われテストされているOS上では稼働しません。小さなHTTPサーバーを含んでいるかもしれませんが、フィーチャーセットにおいては制限があります。脆弱性スキャナーがSSL問題をチェックしようとすれば、埋め込まれたHTTPサーバーはクラッシュするかもしれません。このデバイスは一度にひとつのことだけを実行するようにデザインされているため、通常はデバイス全体がリブートし致命的なダウンタイムを引き起こし、潜在的に安全ではない動作状況を作り出します。
• 設定し、忘れてしまう： デスクトップとは違って、誰かが物理的OTデバイスを点検するまでに数ヶ月、もしくは数年かかることがあります。埃をかぶって今にも故障しそうになりながら、かろうじて稼働している状態かもしれません。そこに脆弱性のフルスキャンを加えることで、オーバーロードを引き起こすかもしれません。

分断化および／もしくは中断のリスクのために、OT環境における実践ではOTデバイスにはアクティブスキャンの使用を避けている。代わりにパッシブモニタリングが使用され、パッシングモニタリングでは繊細なデバイスとは相互通信しないので、その影響を受けません。

集約IT/OTにより、OT環境で多くのITベースのシステムがデプロイされる結果を生んでいます。これらのITベースのシステムは、Windowsコンピューターでヒューマンマシンインターフェイス（HMI）、SCADAモニタリング、記録アプロケーションを実行している可能性があります。さらに、これらのシステムは、チェーン管理とスケジュール化アプリケーションを可能にするためにますますネットワーク化されており、クラウドに格納されたデータベースやバーチャルインフラストラクチャを含む場合があります。

典型的に、これらのITベースのシステムはアクティブスキャンによって検知され評価されます。なぜなら、アクティブスキャンを利用するとインストールされたソフトウェア（および関連した脆弱性）、ユーザーアカウント、構成とマルウェアに関するより深い知見を得られるからです。

潜在的な課題

理想的には、繊細なOTは、WindowsコンピュータのようなITベースのOTシステムから論理的に分離されているべきです。しかし、現実的には、そのような分離はできないかもしれません。潜在的な問題は、もし既存のOTデバイスのIPアドレスが変わったり、もしくは新しいOTデバイスが加わったりした場合に、そのデバイスはアクティブスキャンから除外されず、スキャンが停電を引き起こす可能性があるということです。

ソリューションICS/SCADA スマートスキャン：

ICS/SCADAスマートスキャンは、多数の既存のスキャンテンプレートに適用可能な新機能です。既存のスキャンパラメーター（たとえばスキャンを実行する／しないIPレンジ、ポート、スケジュール、その他の設定）を修正する必要がありません。

「OTデバイスのスキャン」のボックスにチェックが入っていると、OTデバイスのフルスキャンが実行されます。チェックが入っていなければ、ICS/SCADA スマートスキャンが適用されます。

ICS/SCADA スマートスキャンは注意深くOTデバイスを特定し、検知するとスキャンをストップします。動作は以下のとおりです：

1. スマートスキャンは、もしデバイスがIPアドレスを使用したら、そのアドレスをpingします。
2. スマートスキャンはオープンな既知のOTポート／プロトコルに対して実行されます。当初からサポートされているプロトコルは以下のとおりです：
   • Siemens S7
   • Modbus
   • BACnet
   • Omron FINS
   • Ethernet CIP
   • 7T IGSS
   • ICCP COTP
     注記： ICS/SCADAスマートスキャンは、プラグインがデバイスに対して起動するのを90％削減します。これにより、HTTPおよびSSHテストを含むデバイスに高負荷を与えるプラグインを削除できます。
3. OT ポート／プロトコルが特定されたら、Nessus^® はオープンと特定されたポートおよび検知されたOTプロトコルを報告します。INFOもしくはQUERY を含む多数のプロトコルは、デバイスに関する基本情報を取得するコマンドを出します。もしこれが発見されたプロトコルによってサポートされている場合は、通常デバイスの種類などの追加情報が記録されます。
4. そのデバイスに対するスキャンがストップします。プロトコルが特定され、通常のOTデバイスのスキャンが起動されなかった場合には、プラグイン109142の結果がOTデバイスを表示します。
5. ユーザーはプラグイン109142によってリストされたデバイスを使用して、そのデバイスを「スキャン除外」リストに追加できます。

警告

Tenableは ICS/SCADA スマートスキャンが問題を起こさないことを保証しません。したがって、ラボ環境下で各デバイスの種類に応じてテストをした上で、保証やサービス規約に問題が生じないことを確認した後でのみ使用してください。