Washington State Public Utility

課題

過去15 年にわたり、WPUD は変電所と水道施設を最新化して運用効率を高めてきました。 しかし、リモートアクセスや IT ネットワークへの接続機能を備えた、デジタル化された制御システムを導入したことで、機器の故障や停電を引き起こす可能性のあるサイバー攻撃に対する、WPUD のオペレーショナルテクノロジー (OT) ネットワークのエクスポージャーもまた増大しました。 

WPUD の自動化およびテクノロジーサービスマネージャーである Paul Siegmund 氏は、「IT 側と OT 側の両方で、サイバーセキュリティは常に懸念事項の 1 つでした。 私たちが探していたのは、インサイダー脅威を含む、リモートとローカルの両方の攻撃からシステムを保護できるソリューションでした」と言います。 WPUD の産業用コントローラーは、運用ネットワークの重要資産です。 サービスの継続性を確保するために、WPUD は送配電環境内のコントローラーやその他の重要なデバイスに加えられた変更に対する完全な可視性とアラート機能を必要としていました。 

WPUD にとってのもう 1 つの重要な要件は、ネットワークパケットを常時監視してキャプチャできることでした。以前、WPUD がパケット分析に使用していたオープンソースのツールは、設定が煩雑かつ不便であったため、ネットワークに関連する問題のトラブルシューティングの妨げとなっていました。

ソリューション

Tenable OT Security は 2016 年に WPUD の産業用制御システム (ICS) ネットワークに最初に導入され、Siegmund 氏と彼のチームは WPUD の重要インフラの運用を完全に可視化し、制御できるようになりました。それ以来、WPUD は製品をさらに強化する新たな追加機能によるメリットを享受してきました。

•  

  実例となるデータ: Tenable OT Security はサイバーリスクの効果的な修正に役立つ、すべての OT 資産の使いやすいマッピングを提供

  包括的な脅威検出機能
  Tenable OT Security を使用することで、WPUD は外部ソース (マルウェアなど) や内部ソースに起因する脅威を検出し、それについてのアラートを受信できます。Tenable OT Security は通常とは異なるネットワークの挙動を識別し、ネットワークセキュリティポリシーを適用してデバイスの局所的な変化を追跡するため、WPUD は ICS 環境に対するあらゆる脅威を常に把握できるようになります。 詳細情報を含む文脈を踏まえたアラートや、包括的な監査証跡によって、WPUD はサービスの継続性や従業員の安全に影響を与える可能性のあるサイバー攻撃や誤動作を迅速に軽減できます。

   

• 自動資産追跡機能
  Tenable OT Security の自動資産追跡機能によって、WPUD は ICS 環境を完全に可視化し、そのセキュリティと制御を実現しています。 このシステムはデバイスに関連するすべてのアクティビティの収集と追跡を行い、休止状態のデバイスを含む、WPUD のコントローラーと資産の最新のインベントリを作成します。 Tenable OT Security は、ネットワーク上のすべてのコントローラーとデバイスを自動的にマッピングし、その設定を文書化し、状態を詳細に可視化します。これには、WPUD のバックアップとリカバリのニーズを満たせるよう、詳細なバージョン履歴を含めたコントローラーのコードの完全なスナップショットが含まれています。
• 監査証跡継続的なパケットキャプチャを実行するとともに、コントローラーに関連するすべてのエンジニアリングアクティビティを詳述する包括的な監査ログを WPUD に提供するよう、Tenable OT Security を設定できます。
  この監査機能によって誰が、何を、いつ、どこで、どのように、といった情報を記録することで、WPUD のエンジニアは迅速に根本原因を突き止めて、責任者を特定し、修正を容易に行えるようになります。
• ポリシーベースの検出機能
  WPUD は Tenable OT Security のポリシーベースの検出機能を使用して、独自のカスタムセキュリティ規則を数分で設定します。 ウィザードベースの柔軟なインターフェースを使用して、WPUD は事前定義済みの 「ベストプラクティス」ポリシーに変更を加えたり、必要に応じて新しいポリシーを作成したりすることができます。 これらの柔軟な規則と異常ベースの検出を組み合わせることで、WPUD は ICS ネットワークのセキュリティポリシーをあらゆる種類の脅威に効果的に適用するだけでなく、アラートの数も大幅に減少させています。

影響

• すべてのコントローラーの制御
  Tenable OT Security によって、WPUD のエンジニアはネットワークで起こっていることを常に正確に把握できます。パッシブとアクティブ両方の検出テクノロジーを使用して、Tenable OT Security は WPUD の ICS 環境においてリモートまたはローカルで実行されたすべての設定とコードの変更を自動的に追跡し、詳細なバージョン管理を行います。「Tenable OT Security という製品のおかげで、私はコントローラー内のファームウェアとプログラムは私自身がインストールしており、それ以降変更されていないことに確信を持てるようになりました」と Siegmund 氏は述べています。
• 柔軟性と使いやすさ
  WPUD は Tenable OT Security の直感的で使いやすいポリシー設定ツールを使用して、自社環境に特化したセキュリティポリシーを設定しています。 例えば、プログラマブルロジックコントローラー (PLC) のコードが変更された場合は、常に WPUD のエンジニアがすべてのアクティビティ情報を含むアラートを受け取ります。 さらに、WPUD は、このツールで新しいポリシーを作成することで、重要ではないアラートの大量送信を防げます。 「ポリシー設定の柔軟性は素晴らしいものです。 設定は簡単なので、 大抵のファイヤーウォールで行うような、込み入った規則を理解する必要はありません」と Siegmund 氏は言います。
• 応答時間の短縮
  Tenable OT Security の導入前は、厄介なネットワーク障害が発生するたびに、WPUD は複雑なミラーリングを設定して他のツールを接続し、ネットワークトラフィックのプロファイル作成とパケット分析を行う必要がありました。WPUD は Tenable OT Security を使用してパケットキャプチャを継続的に実行しており、これによりアナリストはネットワークイベントやシステムアラートのトラブルシューティングをより容易に行えるようになります。

まとめ

広範囲にわたる評価プロセスを経て、WPUD は Tenable OT Security を選択しました。「探していたものが見つかるまで、おそらく 10 社から 20 社のさまざまなベンダーを調査しました」と Siegmund 氏は述べています。

Tenable OT Security により、WPUD は OT ネットワーク全体のサイバーリスクを包括的に可視化できるようになりました。

あるケースでは、WPUD は不正なマシンがネットワークに接続されたのではないかという疑いを持っていましたが、 アナリストは Tenable OT Security のインタラクティブ資産マップを使用することで、疑わしいマシンが通信していたさまざまな資産をすべて迅速に調べて、コントローラーが侵害されていないことを確認できました。