Industrial Control System Security Is Overlooked
2021/04/12 CyberSecurityIntelligence — 製造業などにおける組織は、その製品を製造・販売することをビジネスとしている。それらの組織の制御システムが、確実/安全/効率的/弾力的に機能しなければ、製品の製造や流通を行うことができない。IP ネットワークが登場する以前から、企業は製品の製造や流通を行っており、IP ネットワークによる効率化に依存しなくても、その事業は継続できる。
そのことは、2015年12月と2016年12月に、ウクライナの電力網がロシアによりサイバー攻撃された際に、その電力網が IP ネットワークなしで運用されたことで実証されている。その一方で、制御システムのサイバー・セキュリティが必要とするのは、接続されたネットワークとデバイスの機能が安全に実行され、安全性と信頼性をサポートすることである。IT の考え方は、その制御システムに関連する安全性/信頼性/完全性よりも、データ・セキュリティに焦点を当てている。現実面での問題は、サイバー・セキュリティ・ポリシーを策定する組織の中で発生する。オペレーションとエンジニアリングとサポートする OT は、そのビジネスにおける運用/機器/目標に焦点を当てた場合、CISO と対等な立場ではあり得ない。
Level 0,1 のデバイスには、サイバー・セキュリティおよび、認証、サイバー・ロギングがありません。しかし、このプロセス・センサーの問題は、1,300件以上の制御システム・サイバー・インシデントの多くに関与しています。たとえば、ISA62443-4-2コンポーネント・サイバー・セキュリティ仕様のISA84.09レビューでは、有線式安全圧力トランスミッタのサイバー・セキュリティ要件の大半が、現時点では満たされていないことが確認されました。IT の人々の思考では効率化や機密性に重点が置かれますが、OT 人々の思考では品質や可用性が重視されます。生い立ちの異なる両者では、それぞれの価値観に差異があるのは当然です。つまり、IT/OTネットワーク組織が Level 0,1 プロセスが重要であるという考えに至るまで、制御システムはすべての危険に晒されることになります。しかし、この両者が協調して、標準化の作業が進んでいけば、いまよりも安全な Level 0,1 デバイスのエコシステムも実現するはずです。
IoT OT Security News 