Tenable ブログ
ブログ通知を受信する
国土安全保障省、運輸保安庁の指令 Pipeline 2021-1 が意味するもの
米国国土安全保障省は最近のサイバー脅威を受けて、石油・ガス事業に対する重要なガイダンスを発行しました。 ここでは、OT インフラストラクチャの攻撃経路を遮断する実践的な 3 つの方法についてご紹介します。
石油・ガス産業におけるさまざまな事業活動は、自動化に大きく依存しています。 石油とガスの探鉱、採掘、精製、混合、協働、最終的な輸送に必要な事業活動の連携はすべて、オペレーショナルテクノロジー (OT) インフラストラクチャに依存して成り立っています。
Colonial Pipeline のインシデントを含む、最近発生した重要インフラの OT 環境の混乱は、重要インフラがいかにサイバーセキュリティ上の脆弱性や脅威、そして潜在的な供給停止の影響を受けやすいかを浮き彫りにしました。
石油・ガス分野を標的とした攻撃には、次のような例があります。
- 2020 年 2 月 - 天然ガス施設がサイバー攻撃を受け、IT と OT ネットワークの両方が暗号化されると同時に、ヒューマンマシンインターフェース (HMI)、データヒストリアン、ポーリングサーバーへのアクセスがロックされました。 パイプラインは、2 日間の操業停止を余儀なくされました。
- 2018 年 12 月 - イタリアの石油・ガス産業の請負企業がサイバー攻撃を受け、中東、インド、スコットランド、イタリアに置かれたサーバーが被害を受けました。
- 2018 年 4 月 - 共有データネットワークを狙ったサイバー攻撃により、米国の天然ガスパイプライン事業者 4 社が、顧客とのコンピューター通信の一時的な停止を余儀なくされました。
- 2017 年 - ハッカー集団の Xenotime グループの攻撃により、サウジアラビアの石油・天然ガス施設が操業を停止しました。
DHS- TSA 2021-1 Pipeline 指令
2021 年 5 月 28 日、米国 国土安全保障省 (DHS) の 運輸保安局 (TSA) は、特にパイプライン事業者を対象としたセキュリティ指令 2021-1 を発行しました。 石油・ガス産業に対しては以前より他の基準が制定されていましたが (下記参照)、米国のパイプライン事業者へのセキュリティ上の脅威が継続して進行中であることを受け、今回の指令が発行されました。 重要インフラ環境の保護に焦点をあてて、リスクにさらされる可能性を回避する重要な転機といえます。
セキュリティ指令 Pipeline 2021-1 は、パイプライン事業者に対して以下の 3 つの重要領域におけるガイダンスを提示しています。
- パイプライン事業の所有者と運営者は、サイバーセキュリティ・インフラセキュリティ庁 (CISA) にセキュリティインシデントを報告すること。
- 24 時間 365 日対応可能なサイバーセキュリティコーディネーターを任命し、連携の取れたセキュリティ慣行の実践や、指令に記載された特定の要件への準拠、インシデント発生時の対応に当たらせること。
- 石油・ガス施設は、サイバーリスクへの対処を目的とした現在のサイバーセキュリティ慣行と活動を TSA の 2018 年パイプラインセキュリティガイドラインに照らして評価し、現在のサイバーセキュリティ慣行とガイドラインに記載された慣行とのギャップを特定して、ギャップを埋めるための修正計画を策定すること。
石油・ガス産業に関連する主な標準
米国国立標準技術研究所 (NIST) サイバーセキュリティフレームワーク (CSF) : あらゆる産業セクターで企業に採用されている業界一のフレームワークです。 天然ガスや石油関連の企業でも、会社全体のプログラムを NIST CSF に適応させる企業がますます増えています。
国際電気標準会議 (IEC) 62443 : 産業用制御システム (ICS) のセキュリティに関する標準のファミリーです。 天然ガスや石油産業の生産部門で広く採用されています。 天然ガスや石油関連のあらゆる種類の ICS に適用できます。
API Standard 1164 : NIST CSF や IEC 62443 の対象範囲外の、パイプライン特有の内容です。
米国エネルギー省のサイバーセキュリティ能力成熟度モデル : 企業のサイバーセキュリティ能力の成熟度を測定し、運用を強化するための、業界が認めるベストプラクティスを用いた自主プロセスです。
国際標準化機構 (ISO) 27000 : 情報セキュリティマネジメントシステム (ISMS) に関する要件を提供している、最も重要な標準です。
リスク削減のための OT セキュリティの 3 つの重要なベストプラクティス
DHS-TSA 2021-1 指令では、石油・ガス事業者に関連する重要なニーズが強調されていますが、多くの企業にとっての最大の課題は、指令における以下の 3 つの要素をどのように運用可能にするのかということです。
- リスクの特定
- セキュリティに存在するギャップの根絶
- インシデント発生時の緩和
以下に、パイプラインの運用を安全にしてレジリエンスを確保するために、徹底的かつ速やかに導入すべき OT セキュリティの 3 つの重要なベストプラクティスをご紹介します。
- 可視性と深い洞察を得ること 石油・ガス産業では、インフラ全体の活動を同期させることと、広範囲かつ多種多様な関係者が認証情報にアクセスできるようにする必要があります。 Active Directory (AD) が重要な役割を果たしており、Colonial Pipeline のケースでランサムウェアが悪用したのもこの手法でした。 AD を利用する関係者には、認可された従業員、パートナー、エージェント、下請け業者などが含まれます。 アクセスの要求は実際に勤務している工場を超えて、世界中の遠隔掘削拠点やパイプラインへと拡大する可能性があります。 したがって、距離や分散の度合いに関わらず、主要な施設からすべての拠点までをカバーする、アクセスと構成の管理を維持することが極めて重要です。 OT のセキュリティソリューションは、常に全拠点のデバイス 1 つひとつについて情報を保持する必要があります。これらのデバイスには、プログラマブルロジックコントローラー (PLC) や HMI コントローラー、エンジニアリングステーション、ネットワーク機器、ゲートウェイ、その他日常のネットワーク運用に不可欠なデバイスなどが含まれます。 すべての種類のデバイス、パッチレベル、ファームウェアバージョン、バックプレーン情報に対する可視性を含む、深い知識も欠かせません。 さらに、通常ネットワークを介して通信を行っていない、休止状態のデバイスを確認することも忘れてはなりません。
- 脅威を特定すること 石油・ガス事業者の OT 運用環境はかつては隔離されていましたが、今日では IT に接続され、あらゆる場所からアクセス可能です。 IT と OT が融合された環境では、石油の探鉱、採掘、精製、配送の各プロセスの整合性が悪影響を受けるおそれがあります。 エアギャップがなくなると、悪意のある攻撃者が IT と OT のどちら側からでも運用環境の各部分に侵入できるようになります。 各種の疑わしい挙動を特定するためには、以下の 3 つの検出エンジンの活用が不可欠です。
- 外部ソースや、互いに通信すべきでないデバイスからの通信の試みを特定して警告を行う、トラフィックのマッピングと視覚化
- 通常のネットワーク動作の範囲外にあるトラフィックパターンを正確に特定する異常検知。
- 攻撃者によって使用されている既知の脅威を特定する、シグネチャベースの検知
- 脆弱性を早急に修正すること 石油・ガス関連の環境の多くには、通常 IT 環境にはないような古いデバイスが混在しています。 デバイスの種類によってパッチレベルがまちまちであるため、最新のパッチ管理プログラムの維持は困難です。 石油・ガス関連の環境では、保守作業を頻繁に行うことができなかったり、保守作業のための十分な時間が取れなかったりする場合があるため、既知の脆弱性に長期間パッチが適用されない可能性があります。すべてのデバイスの状態と特性を深く認識し続けることが非常に重要です。たとえば、特定のデバイスの状態と、関連するエクスプロイトの情報を備えた利用可能な脆弱性ナレッジベースを正確に対応させることなどが必要です。 石油・ガス関連の環境は動的な性質をもつため、ナレッジベースは新たに発見された脆弱性に関しても同期されている必要があります。 たとえば Tenable の Vulnerability Priority Rating (VPR) では、CVSS (共通脆弱性スコアシステム) スコアや脆弱性の深刻度、悪用される可能性、その他さまざまな要因に基づいて、脆弱性を最も深刻なものからそうでないものまでトリアージしたリストを提供できます。
まとめ
OT のサイバーセキュリティは、社会が依存する重要インフラの信頼性と効率、そして安全を確保する上での中核的要素として広く認識されるようになりました。 すべての運用資産に対する完全な可視性、セキュリティ、制御が必要となります。 既存の標準と今回新しくリリースされた DHS 指令の両方に準拠するという観点で、そしてコミュニティに対する注意義務の一環として、OT のセキュリティに対するベストインクラスのアプローチがこれまでになく重要となっています。 脅威の状況は常に変化するため、ネットワークレベルとデバイスレベル両方での、リアルタイムの深い状況認識が必要になり、 定期的な更新によって新たに発見された脆弱性や脅威、ギャップに関しても同期させる必要があります。 何か異常があった場合にはリアルタイムで捕捉し、文書化する必要もあります。 環境に対するすべての変更を記録した、完全な証跡が不可欠です。 このような詳細情報を取得して管理すれば、新しく検出された脆弱性に優先順位を付けて対処してインシデント対応を迅速化し、積極的なコンプライアンス準拠を社内ならびに規制当局に対して実証することができます。
もっと詳しく
- ブログ Colonial 石油パイプラインのランサムウェア攻撃: OT 環境のリスクを削減する方法もご覧ください。
- ソリューションのページはこちらです。石油・ガス事業運営のセキュリティを確保する産業サイバーセキュリティ
- ホワイトペーパー 重要なインフラのサイバーセキュリティ
関連記事
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Cybersecurity Snapshot: Critical Infrastructure Security in the Spotlight in November
November 10, 2023It’s “Critical Infrastructure Security and Resilience Month” – check out new resources from the U.S. government to better protect these essential organizations. Plus, the U.K.’s cyber agency is offering fresh guidance for mitigating the quantum computing threat. In addition, do you need a generative AI policy in your company? An ISACA guide could be helpful. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Center for Internet Security (CIS)
- Energy Industry
- Federal
- Government
- ISO
- NIST
- OT Security
- Public Policy
- Vulnerability Management
- Vulnerability Scanning