Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する
  • Twitter
  • Facebook
  • LinkedIn

国土安全保障省、運輸保安庁の指令 Pipeline 2021-1 が意味するもの

国土安全保障省、運輸保安庁の指令 Pipeline 2021-1 が意味するもの

米国国土安全保障省は最近のサイバー脅威を受けて、石油・ガス事業に対する重要なガイダンスを発行しました。 ここでは、OT インフラストラクチャの攻撃経路を遮断する実践的な 3 つの方法についてご紹介します。 

石油・ガス産業におけるさまざまな事業活動は、自動化に大きく依存しています。 石油とガスの探鉱、採掘、精製、混合、協働、最終的な輸送に必要な事業活動の連携はすべて、オペレーショナルテクノロジー (OT) インフラストラクチャに依存して成り立っています。

Colonial Pipeline のインシデントを含む、最近発生した重要インフラの OT 環境の混乱は、重要インフラがいかにサイバーセキュリティ上の脆弱性や脅威、そして潜在的な供給停止の影響を受けやすいかを浮き彫りにしました。 

石油・ガス分野を標的とした攻撃には、次のような例があります。

  • 2020 年 2 月 - 天然ガス施設がサイバー攻撃を受け、IT と OT ネットワークの両方が暗号化されると同時に、ヒューマンマシンインターフェース (HMI)、データヒストリアン、ポーリングサーバーへのアクセスがロックされました。 パイプラインは、2 日間の操業停止を余儀なくされました。
  • 2018 年 12 月 - イタリアの石油・ガス産業の請負企業がサイバー攻撃を受け、中東、インド、スコットランド、イタリアに置かれたサーバーが被害を受けました。
  • 2018 年 4 月 - 共有データネットワークを狙ったサイバー攻撃により、米国の天然ガスパイプライン事業者 4 社が、顧客とのコンピューター通信の一時的な停止を余儀なくされました。
  • 2017 年 - ハッカー集団の Xenotime グループの攻撃により、サウジアラビアの石油・天然ガス施設が操業を停止しました。

DHS- TSA 2021-1 Pipeline 指令

2021 年 5 月 28 日、米国 国土安全保障省 (DHS) の 運輸保安局 (TSA) は、特にパイプライン事業者を対象としたセキュリティ指令 2021-1 を発行しました。 石油・ガス産業に対しては以前より他の基準が制定されていましたが (下記参照)、米国のパイプライン事業者へのセキュリティ上の脅威が継続して進行中であることを受け、今回の指令が発行されました。 重要インフラ環境の保護に焦点をあてて、リスクにさらされる可能性を回避する重要な転機といえます。

セキュリティ指令 Pipeline 2021-1 は、パイプライン事業者に対して以下の 3 つの重要領域におけるガイダンスを提示しています。

  1. パイプライン事業の所有者と運営者は、サイバーセキュリティ・インフラセキュリティ庁 (CISA) にセキュリティインシデントを報告すること。
  2. 24 時間 365 日対応可能なサイバーセキュリティコーディネーターを任命し、連携の取れたセキュリティ慣行の実践や、指令に記載された特定の要件への準拠、インシデント発生時の対応に当たらせること。
  3. 石油・ガス施設は、サイバーリスクへの対処を目的とした現在のサイバーセキュリティ慣行と活動を TSA の 2018 年パイプラインセキュリティガイドラインに照らして評価し、現在のサイバーセキュリティ慣行とガイドラインに記載された慣行とのギャップを特定して、ギャップを埋めるための修正計画を策定すること。 


石油・ガス産業に関連する主な標準

米国国立標準技術研究所 (NIST) サイバーセキュリティフレームワーク (CSF) : あらゆる産業セクターで企業に採用されている業界一のフレームワークです。 天然ガスや石油関連の企業でも、会社全体のプログラムを NIST CSF に適応させる企業がますます増えています。


国際電気標準会議 (IEC) 62443 : 産業用制御システム (ICS) のセキュリティに関する標準のファミリーです。 天然ガスや石油産業の生産部門で広く採用されています。 天然ガスや石油関連のあらゆる種類の ICS に適用できます。


API Standard 1164 : NIST CSF や IEC 62443 の対象範囲外の、パイプライン特有の内容です。


米国エネルギー省のサイバーセキュリティ能力成熟度モデル : 企業のサイバーセキュリティ能力の成熟度を測定し、運用を強化するための、業界が認めるベストプラクティスを用いた自主プロセスです。


国際標準化機構 (ISO) 27000 : 情報セキュリティマネジメントシステム (ISMS) に関する要件を提供している、最も重要な標準です。


リスク削減のための OT セキュリティの 3 つの重要なベストプラクティス

DHS-TSA 2021-1 指令では、石油・ガス事業者に関連する重要なニーズが強調されていますが、多くの企業にとっての最大の課題は、指令における以下の 3 つの要素をどのように運用可能にするのかということです。

  • リスクの特定 

  • セキュリティに存在するギャップの根絶
  • インシデント発生時の緩和 


以下に、パイプラインの運用を安全にしてレジリエンスを確保するために、徹底的かつ速やかに導入すべき OT セキュリティの 3 つの重要なベストプラクティスをご紹介します。

  1. 可視性と深い洞察を得ること  石油・ガス産業では、インフラ全体の活動を同期させることと、広範囲かつ多種多様な関係者が認証情報にアクセスできるようにする必要があります。 Active Directory (AD) が重要な役割を果たしており、Colonial Pipeline のケースでランサムウェアが悪用したのもこの手法でした。 AD を利用する関係者には、認可された従業員、パートナー、エージェント、下請け業者などが含まれます。 アクセスの要求は実際に勤務している工場を超えて、世界中の遠隔掘削拠点やパイプラインへと拡大する可能性があります。 したがって、距離や分散の度合いに関わらず、主要な施設からすべての拠点までをカバーする、アクセスと構成の管理を維持することが極めて重要です。 OT のセキュリティソリューションは、常に全拠点のデバイス 1 つひとつについて情報を保持する必要があります。これらのデバイスには、プログラマブルロジックコントローラー (PLC) や HMI コントローラー、エンジニアリングステーション、ネットワーク機器、ゲートウェイ、その他日常のネットワーク運用に不可欠なデバイスなどが含まれます。 すべての種類のデバイス、パッチレベル、ファームウェアバージョン、バックプレーン情報に対する可視性を含む、深い知識も欠かせません。 さらに、通常ネットワークを介して通信を行っていない、休止状態のデバイスを確認することも忘れてはなりません。
  2. 脅威を特定すること  石油・ガス事業者の OT 運用環境はかつては隔離されていましたが、今日では IT に接続され、あらゆる場所からアクセス可能です。 IT と OT が融合された環境では、石油の探鉱、採掘、精製、配送の各プロセスの整合性が悪影響を受けるおそれがあります。 エアギャップがなくなると、悪意のある攻撃者が IT と OT のどちら側からでも運用環境の各部分に侵入できるようになります。 各種の疑わしい挙動を特定するためには、以下の 3 つの検出エンジンの活用が不可欠です。

    • 外部ソースや、互いに通信すべきでないデバイスからの通信の試みを特定して警告を行う、トラフィックのマッピングと視覚化

    • 通常のネットワーク動作の範囲外にあるトラフィックパターンを正確に特定する異常検知
    • 攻撃者によって使用されている既知の脅威を特定する、シグネチャベースの検知

  3. 脆弱性を早急に修正すること  石油・ガス関連の環境の多くには、通常 IT 環境にはないような古いデバイスが混在しています。 デバイスの種類によってパッチレベルがまちまちであるため、最新のパッチ管理プログラムの維持は困難です。 石油・ガス関連の環境では、保守作業を頻繁に行うことができなかったり、保守作業のための十分な時間が取れなかったりする場合があるため、既知の脆弱性に長期間パッチが適用されない可能性があります。すべてのデバイスの状態と特性を深く認識し続けることが非常に重要です。たとえば、特定のデバイスの状態と、関連するエクスプロイトの情報を備えた利用可能な脆弱性ナレッジベースを正確に対応させることなどが必要です。 石油・ガス関連の環境は動的な性質をもつため、ナレッジベースは新たに発見された脆弱性に関しても同期されている必要があります。 たとえば Tenable の Vulnerability Priority Rating (VPR) では、CVSS (共通脆弱性スコアシステム) スコアや脆弱性の深刻度、悪用される可能性、その他さまざまな要因に基づいて、脆弱性を最も深刻なものからそうでないものまでトリアージしたリストを提供できます。 


まとめ

OT のサイバーセキュリティは、社会が依存する重要インフラの信頼性と効率、そして安全を確保する上での中核的要素として広く認識されるようになりました。 すべての運用資産に対する完全な可視性、セキュリティ、制御が必要となります。 既存の標準と今回新しくリリースされた DHS 指令の両方に準拠するという観点で、そしてコミュニティに対する注意義務の一環として、OT のセキュリティに対するベストインクラスのアプローチがこれまでになく重要となっています。 脅威の状況は常に変化するため、ネットワークレベルとデバイスレベル両方での、リアルタイムの深い状況認識が必要になり、 定期的な更新によって新たに発見された脆弱性や脅威、ギャップに関しても同期させる必要があります。 何か異常があった場合にはリアルタイムで捕捉し、文書化する必要もあります。 環境に対するすべての変更を記録した、完全な証跡が不可欠です。 このような詳細情報を取得して管理すれば、新しく検出された脆弱性に優先順位を付けて対処してインシデント対応を迅速化し、積極的なコンプライアンス準拠を社内ならびに規制当局に対して実証することができます。

もっと詳しく

関連記事

最新のエクスプロイトに対して脆弱ですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

無料でお試し 今すぐ購入
Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスのご購入で、お得にご利用いただけます。 電話、コミュニティ、チャットによる 24 時間年中無休の拡張サポートオプションもご用意しています。 製品の詳細を見る

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

デモを申請

Tenable.scのデモを入手する

右のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます (255文字以内)。アスタリスク(*) マークの付いた欄は必須です。

試用リクエスト送信 お問合せはこちらから

Tenable Luminを試用する

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

デモをリクエストする

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
リスクを削減します。

デモをリクエストする

Tenable.ad

Active Directory に対する攻撃を継続的に検知して対応。エージェントレス。 権限も不必要。オンプレミスとクラウドの両方をサポート