産業制御システム内のゼロデイ脆弱性: 重要インフラのセキュリティ確保の難しさを浮き彫りに

Schneider Electric 社の産業制御システムで発見されたゼロデイ脆弱性の公表は、OT 環境におけるサイバーセキュリティ対策の見直しが必要なことを浮き彫りにしています。

複数の脆弱性が Schneider Electric 社 (以下、「シュナイダー社」) の産業制御システム(ICS)で発見され、ゼロデイ脆弱性として公表されました。重要インフラのエコシステムが実世界で苦戦している問題を浮き彫りにした出来事です。

発見された脆弱性は、シュナイダー社の EcoStruxure Control Expert、EcoStruxure Process Expert、SCADAPack REmoteConnect x70、ならびに Modicon M580 および M340 の制御製品で複数のリスクの原因となり、認証ステップの回避、無作為なコード実行、機密性と完全性の損失などを起こす可能性があります。

Tenable のゼロデイリサーチチームは、他のベンダー数社と同時に、シュナイダー社に標準の開示手順に従って脆弱性を開示しました (テクニカルレポートはこちらから)。 当社は、通常、完全な情報開示が正しいという見解を主張していますが、今回は一部の技術的な内容を文書で公表することを控えました。オペレーショナルテクノロジー (OT) のシステムは、まだセキュリティ体制が IT システムほど発展していないため、完全な情報開示が望ましくない稀なケースです。全容の開示が脆弱性の悪用につながり、攻撃が仕掛けられて成功するリスクが高いと考え、重要インフラの機密性やパッチの提供がまだ数か月先であることを考慮したためです。

今回の公開は、重要インフラのセキュリティに絡む様々な課題を浮き彫りにしています。OT 環境で使われているICSやとその他のテクノロジーは、パッチの開発と導入が困難なことがよく知られています。これはなぜかというと、アップデートをする度に、システムを完全に停止して徹底的にテストしなければならないからです。しかし、発電所、ガス供給施設、製造工場などほとんどの OT 環境では、既存の操業体制がダウンタイムを許しません。IT 環境で適用されている、ベンダーによるゼロデイ公表の基準が、重要インフラに適当であるかどうか、業界全体でさらに協議する必要があることが明白です。

典型的な IT 環境では、デジタルのビジネスシステムをパッチするための作業手順やプロセスは十分に確立されており、有効である実績があります。その一方、ほとんどの　OT 環境では、現代の重要インフラの縁の下の力持ちとも言えるソフトウェアの更新に必要な明確な作業手順が不在です。社内の生産部門とセキュリティ部門では、アップタイムやシステムパフォーマンスに関して何をして成功と評価するかというメトリクスが異なり、統制が欠けた状態が続いています。

OT 環境では、ソフトウェアに依存したシステムが一旦就役すると、その後10年間全く手を加えないという状態がよくあります。OT テクノロジーのソフトウェアを定期的に更新することは、多くの重要インフラ企業の標準プロセスに盛り込まれていないのです。

政府、法執行機関、リサーチャー、ベンダー、重要インフラ施設の所有者と運用者などを含む、国際的で広範囲なステークホルダーは、グローバルに協働することを優先項目とし、世界のどこでも実行できる、OT システムのセキュリティ確保に向けたベストプラクティスを策定することが責務であると当社は考えます。

そのような検討に際しては、OTベンダーやオペレーターは、重要システムを支えるソフトウェアの開発と管理の方法について、IT 部門に比べて遅れをとっており、熟達しなければならないことを認識する必要があると考えます。その責任は、重要インフラ環境の所有者とオペレーターのみにかかるものではないことを十分理解してください。ベンダーも、自社のソフトウェアに対してバグ検索や品質管理を継続的に行い、脆弱性開示の管理を効果的に行う専門チームを割り当て、アップデートのリリースサイクルの加速化に努める責任を負う必要があります。

課題は、テクノロジーの領域に留まらず、人やプロセスの問題にも及びます。重要インフラ環境のオペレーターは、サイバーセキュリティのガバナンスやリスクとコンプライアンスに関する対応を見直す必要があります。OT システム内のソフトウェアの脆弱性の管理と修正は、工場の保守計画において、現在のハードウェアに定期的に実行されているのメンテ作業と同じように位置付ける必要があります。

米国では、すでにポジティブな動きがあり、バイデン政権が ５ 月 12 日に国家の情報セキュリティ改善の大統領令を発表し、ソフトウェアのサプライチェーンに対して脆弱性開示制度を導入するガイダンスを策定するよう呼びかけています。また、5 月 18 日に発表されたホワイトハウスの ファクトシートでは、「サイバーセキュリティはレジリエンスと将来のインフラ構築の中核をなすものである」と宣言しています。

現場では、今日、重要インフラ環境の所有者とオペレーターが緊急に実施できることがあり、それらの実行の促進がより必要なことを認識させられます。次に、シュナイダー社の公開事例を教訓に、企業が自社の保護のために実行できる 3 つのハイレベルのアクション、そして 2 つの作戦を紹介します。

重要インフラのセキュリティ確保に必要な 3 つのアクション

OT 環境の保護に特効薬はありません。IT セキュリティと同様に、基本を固めることに尽きます。簡単に見える推奨事項のガイダンスの行間に、複雑な実施作業が隠されていることも承知しています。しかし、このような実行項目は繰り返して提示する価値があると考えます。なぜなら、サイバーセキュリティ戦略の基礎としてどのような状況にもあてはまるものであり、アップデートできないシステムの場合には特に重要であるからです。

1. 基礎から防御する体制の構築 重要インフラ環境は、ここの個別のデバイスのセキュリティの集合では達成できません。最もリスクが高いデバイスを保護するために、堅牢なセキュリティアーキテクチャを実装し、補完手段を導入する必要があります。
2. 強力なガバナンスとDR方針の策定 ランサムウェアなどのサイバー攻撃に対処するために必要不可欠な項目です。テクノロジーだけでなく、企業内の作業者やプロセスすべてを考慮する必要があります。バックアッププランの予行演習とテストをインシデントが起こる前に実行してください。サイバースキルの不足は、OT 環境で特に顕著なので、このレベルの統制を達成するのは多くの企業にとって困難です。
3. テクノロジーの賢い選択 適切な人材と方針がなければ、いくらテクノロジーを購入しても、最大の価値を引き出せません。しかし、テクノロジーを選択するときには、とくに注目すべき機能があります。例えば、OT 環境は、IT の世界にあるようなレベルのリアルタイムで継続的な分析を必要とします。OT の運用者は、巧妙な攻撃者の裏を突くことのできるような検知、復旧機能を備えたテクノロジーを実装する必要があります。

侵害されたシュナイダー社のシステムのユーザーのための 2 つのアクション

本件の影響を受けたシュナイダー社のシステムを導入されている企業は、次の 2 点を今すぐ実行することができます。

1. シュナイダー社の開示レポートにあるベンダーへの推奨項目の詳細を確認して実行してください。
2. Tenable のお客様は、こちらから影響を受けたシステムを検出する方法についてもっと詳しくご覧いただけます。

まとめ

リサーチ担当者、政府、民間企業、テクノロジーベンダーは、速戦効果のある行動と、長期的な戦略のための行動の両方を実行して、現代社会の重要インフラが直面するサイバーセキュリティの大問題に対処する必要があります。また、ほとんどの企業に存在する IT、OT、情報セキュリティ部門を分断するサイロ体制を取り払い、各チームの仕事に対するインセンティブがどのように設定されているかを見直し、サイバーセキュリティを最優先項目にする必要があります。

もっと詳しく

• Tenable のゼロデイリサーチチームによるシュナイダー社の脆弱性に関するレポートをご一読ください。
• ベンダーに対するアドバイザリはこちらからご覧ください。
• ウェビナー: Active Directory と OT の設定でセキュリティを強化するには にご参加いただけます。