NIST が製造業向けの Industrial Control System (ICS) ガイド SP 1800-10 を公開

NIST Releases ICS Cybersecurity Guidance for Manufacturers

2022/03/17 SecurityWeek — 新しいサイバーセキュリティ実践ガイドのタイトルは「NIST SP 1800-10, Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector」である。これは、NIST の National Cybersecurity Center of Excellence (NCCoE) および MITRE、そして Microsoft/Dispel/Forescout/Dragos/OSIsoft/TDi Technologies/GreenTec/Tenable/VMware などの民間企業の協力により実現されたものだ。

このガイダンスの著者は、Operational Technology (OT) と Information Technology (IT) のシステム接続は、メーカーの生産性と効率に有益である一方、サイバー脅威に対してより脆弱になると指摘している。

この、無料で利用できる新しい出版物は、Industrial control system (ICS) の整合性リスクの軽減/OT システムの強化/処理するデータの保護などの、いくつかの課題に対処することを目的としている。

このドキュメントは 369 ページもあり、一般的な攻撃シナリオを説明し、破壊的マルウェア/内部脅威/不正ソフトウェア/不正リモートアクセス/異常ネットワーク・トラフィック/履歴データ損失、不正システム変更といった問題から、ICS を保護するためにメーカーが実施可能な、実践的ソリューションの例を示している。

このガイドで説明されている例は、アプリケーションの許可リスト作成/異常な動作の検出/ファイルの完全性チェック/リモートアクセス/ユーザー認証・承認/ハードウェア/ソフトウェア/ファームウェアなどにフォーカスしている。

本書で説明されている攻撃シナリオの1つに、製造環境のワークステーションを USB メモリ経由で配信されるマルウェア感染から保護するというものがある。この種の感染は、Carbon Black (VMware) のアプリケーション許可リスト機能および、Windows のソフトウェア制限ポリシー (SRP) を用いて防ぐことができるとしている。

攻撃経路が企業ネットワークである場合には、Carbon Black と Windows SRP が提供する allowlist 機能、および、Dragos/Tenable/Forescout/Microsoft の動作異常検出ソリューションが推奨されている。

このガイドが扱う、その他の理論上の攻撃シナリオには、リモートアクセス接続を通じて配信されるマルウェアからのホストの保護/不正なアプリケーションのインストールに対するホストの保護/ネットワークへの不正デバイス追加の防止/デバイス間の不正な通信の検出/PLC ロジックに対する不正な変更の検出/履歴データの変更の防止/センサーデータ操作の検出/不正なファームウェア変更の検出などが含まれている。

説明されている攻撃シナリオに対して、製造業者が対処する際に役立つ手法として、各ベンダーの製品のインストール/コンフィグレーションの安全な手順が、段階的に説明されている。また、プログラム・マネージャーや中間管理職が意思決定する際に参照する章もあり、施設内の OT セキュリティの問題に対処するために、使用すべき技術を決定するのに役立つようになっている。

Dragos は、このガイドを説明するブログ記事において、「自社のユースケースに対応する、産業用サイバー・セキュリティ技術のカテゴリーを検証/確認する時間や手段を持たない組織は、このアウトプットが最も重要である理由が分かるだろう。同時に、政府機関が公平な立場で、この取り組みを主導したことで、この文書には極端なベンダーの意向が反映されないことも明らかだ。その目的は、製品の勝者/敗者を選ぶことではなく、組織が利用可能な技術の種類と、投資収益率を向上させるための導入/統合の方法を、簡単に理解できるようにすることだ」と述べている。

現時点において NIST は、製造業向けのサイバー・セキュリティ・ガイドも作成中であり、サイバー攻撃への対応と復旧にフォーカスするものになっている。こちらのガイドは、パブリック・コメントの受け付け期間中である。

この NIST SP 1800-10 をダウンロードしてみましたが、文中でも指摘されているように、かなりのボリュームです。ただし、本編は 54ページであり、その後に続く Appendix が充実しているという構成になっています。11項目の具体的かつ細分化されたシナリオが提供されているので、すべてを読まなければならないという、構成にはなっていないようです。それにしても NIST は、いつも頑張りますね。

%d bloggers like this: