クリティカルなインフラに欠落しているクリティカルな何かとは?

Critical Infrastructure is Missing Something Critical

2021/06/22 SecurityBoulevard — 今回の Colonial Pipeline への攻撃は、重要インフラが強固なセキュリティを必要としていることを、改めて認識させるものだった。この攻撃は、重要インフラへのサイバー攻撃による最近の被害例の一つだが、この現象は新しいものではなく、また米国に限ったものでもない。あらゆる国々の安全を保障する、重要インフラは不可欠なものであり、特に国家が関与する行為者やテロリスト・グループの主たる標的となり得る。

そして、このような組織を標的にすることで、サイバー犯罪者は物理的な世界にも侵入してくる。重要インフラのサイバー・セキュリティを、強化するための取り組みが行われていが、重要インフラが攻撃にさらされているという、重要な側面が軽視されている。しかし、その前に、重要インフラがなぜ脆弱なのかを理解し、脆弱性がもたらす物理的な影響を理解する必要がある。

重要インフラにおいて、情報技術 (IT) と運用技術 (OT) の融合が進んでいる。Newsweek Vantage が2020年に発表したレポートによると、自社のシステムが統合されていないと回答した経営者は、10人に1人しかいなかった。サイバー・フィジカル・システムへの移行は、効率性を高め、遠隔監視を可能にし、パンデミックの際にも便利に運用できる。しかし、かつては別々に存在していた環境が統合されたことで、攻撃対象が大幅に拡大している。

以前は防御されていた OT も、いまでは IT が直面するサイバー・セキュリティの脅威にさらされ、後者への攻撃が前者に影響を与える可能性が生じている。そして、サイバー・セキュリティを考慮せずに構築されたレガシーの OT システムは、この分野で IT に大きく遅れをとっている。Nozomi Networks の共同設立者である Andrea Carcano は、「OT システムは組織の宝であり、脅威の主体はそれを狙っている。OT の露出が大きな問題となっている」と述べている。

この問題点と、攻撃の物理的な影響について考えてみよう。OT は、物理的な世界とのインターフェースを持つ技術だ。したがって、OT への攻撃は、Colonial Pipeline への攻撃のように、物理的な世界にも影響をおよぼす。ランサムウェア攻撃を受けたパイプラインが操業を停止したことで、東海岸のガソリン価格が高騰し、消費者はガソリンをパニック買いし、国際航空便は燃料不足のためにルート変更せざるを得なかった。

しかし、これらの被害はすべて、OT を標的にすることを意図していない攻撃によるものだった。確かに、犯人である DarkSide は、OT に影響を与えようとしなかったが、攻撃が OT に浸透するリスクは、業務を停止させるのに十分だった。もしも、攻撃者が意図的に OT を狙ったら、どのような事態になったのだろう。現実的な例として、Stuxnet を見てみよう。

この記事では、ゼロトラストについても、とても興味深い視点から言及されていますので、もう少し訳を続けてみました。

IT/OT 融合の問題は、先日のバイデン大統領による、サイバー・セキュリティ大統領令で推奨された、ゼロトラストのセキュリティ・モデルの採用とセットになっていることが多い。ゼロトラストでは、マイクロ・セグメンテーションと最小特権の原則により、ネットワークへのアクセス制御を強化することができる。ゼロトラストはセキュリティ・モデルであるため、ZTA (zero-trust architecture) の全体像は、エンドポイント・セキュリティやネットワーク・セキュリティなどの、さまざまなソフトウェア・ツールに依存して機能を構成することになる。

しかし、このようなソフトウェアは、ハードウェアのセキュリティを提供することができないため、ハードウェア・セキュリティ領域は非常に軽視されることになる。つまり、ハードウェア攻撃に使用される悪意のツールは、既存のセキュリティ管理に影響を与えないため、数多くの企業がハードウェア・ベースの攻撃に晒されることになる。悪意を持って動作するように設定されたローグ・デバイス (Rogue Devices) は、ゼロトラスト・セキュリティ・プロトコルをバイパスし、ネットワークに不正にアクセスし、様々なネットワーク・セグメントを横切って移動する。

言い換えれば、どこがエントランスであろうと、攻撃者は OT に影響を与えることができる。このような攻撃に対する唯一の障壁は、物理的なセキュリティであり、また、犯人に対して物理的なアクセスを要求することだ。しかし、70% の組織が物理的な侵入を経験しており (OT 32% / IT 37%)、物理的なセキュリティが明らかに不足している。

%d bloggers like this: