Sky Breaker

Hacking Celestial Wisdom with Skill and Technique.

NIST SP 800-82を読んだメモ書き(2) 3. OT Cybersecurity Program Development

NIST OT

「3. OT Cybersecurity Program Development」では、OTサイバーセキュリティプログラムを策定・導入するために、どのようなことを考えるか、基本的な内容などが記載されている。言及されたもので、具体的な内容に関しては「Section 4」以降で登場する。

OTシステムに対するサイバーセキュリティリスクを軽減するために、組織はOTサイバーセキュリティプログラム(cybersecurity program)を策定・導入する必要がある。ここでいう「cybersecurity program」は、おそらくOT環境に対するセキュリティポリシー、技術的対策、管理的対策などで、それらを明確にしておくということ。

It should be consistent and integrated with existing IT cybersecurity programs and practices but also account for the specific requirements and characteristics of OT systems and environments. NIST SP 800-82r3 33ページより。


IT環境のサイバーセキュリティプログラムと統合される必要があるっていう考え方が一般的であるのか分からないが、ここまでITとOTは色々な面が違うって言ってるから本当に統合すべき?それとも、ここでの「integrated」っていうのは技術的な話ではなく、より抽象的なマネジメントの話ということであれば分かる。

IT・OTどちらにおいてもセキュリティ対策は、新しいシステムを導入する際に考慮しておくべきで、後から付け加えるのはとても難しい。導入時に時間が無い、リソースが無いと後回しにしても、結局は後から必要になる。その際に、既に凝り固まったシステムに対してセキュリティ的に弱いところはどこか、そもそもどのようなリスク・脅威があるのか、そのシステムの仕様書はどこだ、そのシステムの内情を知っている人はどこだとなると間違いなくより大変なことになる。

そうとは分かっていても、ビジネス的にはセキュリティ対策よりも効率?費用対効果?的な部分を気にしがちな方が多くセキュリティ対策を優先しないような雰囲気が未だ存在する気がしている。是非、感情的な部分ではなく理屈として、セキュリティ対策を前提とした取引の増加、サイバー攻撃を受けた際の経済的・社会的影響度合いを考慮していただきたい。

ここに付け加えて、「2.4 Comparing OT and IT System Security」の「コンポーネントの寿命(Component lifetime)」で挙げたようにITシステムは更新頻度が多いがOTシステムは更新頻度が少ない。基本的には、既存のOTシステムにセキュリティ対策を導入する方が殆どだと思われるので覚悟が必要だろう。

これほど大変なことなのであれば委託やコンサルしてもらえば良いとも考える。「2.4 Comparing OT and IT System Security」の「サービスサポート体制(Managed support)」で挙げたような事情が存在するため、「責任」の所在をどのように扱うのか、様々な制約や要件をどのように扱うのか。そのような状況で委託やコンサルタントを担うような企業は、どれほど「専門家」であってどれほど「責任者」であるのか、それとも「担当者」なのかが気になるところ。

そして、サイバーセキュリティプログラムがあるということで満足せず、時代に合わせてアップデートしていかなければならない。セキュリティニーズは変化する。それらを反映するために定期的な見直しと更新の必要がある。

マネジメント、ガバナンス的な話が多いので技術的な観点が知りたい人的には全く面白くない。

3.1 Establish a Charter for the OT Cybersecurity Program

ここで書き留めておきたいことは無い。

3.2 Business Case for the OT Cybersecurity Program

3.2は、OTのためのサイバーセキュリティプログラムのビジネスケース構築のための参考資料的な内容。ここでいう、ビジネスケース(Business Case)は提案資料のようなものだろうか。

3.2.1 Benefits of Cybersecurity Investments

サイバーセキュリティに関わる者たちは、これまで何度も偉い人達に説明するような機会があったと思われるし、今後も無限に説明する機会があるような話題「サイバーセキュリティにお金をつぎ込むメリットは何か」。

基本的にはインシデント発生時の損失回避というのが数字的には分かりやすいが、まだまだサイバーセキュリティインシデント自体が他人事の方々も少なくない。なので、最近は「取引機会の創出と維持」、「法的リスクの回避」の観点で推している。
セキュリティ対策自体が取引条件の一部として一般的しつつある。一度失った取引先やお客様との信頼関係、企業ブランドは、金銭では回復できない。個人情報保護法や業界ごとの法的要件は増加しており、違反した場合には罰金などの罰則が適用される可能性がある。

ここでは、OTシステムへのサイバー攻撃により重大な影響として3種類挙げられている。

物理的影響(Physical impacts)

OTシステムは、物理的な環境を制御するので障害が発生した際には間違いなく物理的な影響が出る。それは、傷害や人命に関わることがあれば、自然環境に影響を及ぼす可能性もあり得る。

経済的影響(Economic impacts)

物理的影響は障害による直接的な影響だが、それによって経済的にも影響が及ぶ。それらは機器や施設に物理的影響が及んだ結果かもしれないし、インシデントの起きた組織やOTシステムに依存する他者にシステム障害による経済的損失をもたらす可能性がある。特に重要インフラの障害は、インシデントの起きた組織だけでなく関係各所への影響が計り知れない。

社会的影響(Social impacts)

やはり、一度失った取引先やお客様との信頼関係、企業ブランドは、簡単には回復できない。

具体的なOTシステム障害による影響は、他にも以下のようなものがある。それぞれは独立した事象ではなく、同時に起こる可能性、他の事象と関連する可能性がある。

  • 国の安全保障への影響(例:テロ行為の助長)
  • 地域社会における人身事故(負傷、場合によっては人命に関わることも)
  • 危険物質の放出、転用、または盗難
  • 規制要件違反
  • 製品の汚染
  • 刑事または民事上の法的責任
  • 機密情報の漏洩

以上ようなことから、OTサイバーセキュリティ対策は大きく分けて5つのメリットをもたらすと思われる。

  • OTシステムの事業継続 -> 不正アクセスサイバー攻撃を防ぎ、安全性、信頼性、可用性を向上させる。
  • 地域社会の懸念を軽減 -> 工場や発電所は管理・サイバーセキュリティ対策が不十分だと、障害が起こった際に地域環境に影響を与える可能性がある。そのため、懸念を軽減する。
  • 法的リスクの軽減 -> 情報漏洩に関わる個人情報保護法などサイバー攻撃を受けることによって生じる直接的な法的リスク、二次的なものとして環境やステークホルダに影響を与えた際の法的リスクを抑える。
  • 法規制の要件を満たす -> OTシステムの安全性を担保すべきという法的要件にはサイバーセキュリティ的な対策をしなければいけないと解釈されるものがある。そういった法規制の要件を満たせる。また、対策のレベルによっては欧州での無線機器指令(RED)、NIS2指令などを満たせる。
  • 保険の適用範囲と費用の支援 -> おそらく、事前の対策によりサイバーセキュリティ保険の適用範囲を明確しておくことができ、対策により被害を抑えることで障害時の費用を抑えられるということ。

3.2.2. Building an OT Cybersecurity Business Case

OTサイバーセキュリティプログラムをやるにしても、結局のところ経営陣の理解がなければ長期的に継続することはできない。先のメリットもそうだし、サイバーセキュリティ対策が実施されていないことによる影響や被害額の想定、ビジネスへの影響、それらをどのように低減できるかを理解してもらわなければいけない。

これは技術を学習して応用するような力とは別の能力が必要なので、経営陣に共感させるのが得意な人がいなければ難しい。テクニックを磨く、スキルを高めるのが好きな人達には嫌で面倒な話なので、こういうのが得意な人を何かしらの形で1人は居てもらわないといけない。

「OTシステムへの攻撃は金銭的なコストをはるかに超える重大な影響を及ぼす可能性があるという」というのが伝われば動かざるを得ないから、ITシステムよりも説得しやすいのではと思わなくもない。結局のところ、皆人間なので理屈では分かっていても最後は感情で判断するのが殆どだと思います。

3.2.3. Resources for Building a Business Case

ここで書き留めておきたいことは無い。

3.2.4. Presenting the OT Cybersecurity Business Case to Leadership

In order to be successful, the OT cybersecurity program must have active participation from senior management. NIST SP 800-82r3 36ページ


OTサイバーセキュリティプログラムを成功させるには、経営幹部の積極的な参加が不可欠。組織的でサイバーセキュリティ対策に取り組むには、技術があるかどうか云々よりも圧倒的に重要となる。技術的な話は経営陣の理解があれば、お金をかけてどうにでもなるので、何よりも上に理解してもらうことが大切。

When presenting the business case to leadership, it may also be helpful to mention the specific challenges in securing the OT systems:


と記載されている内容がOTセキュリティまとめ的なもので良いと思ったので確認しておく。

  • OTシステムは、ITシステムとは異なる環境と要件で動作する。例えば、OTシステムは、機密性などの他の要素よりも、可用性と安全性を優先する傾向がある。
  • ITプログラムやツールはOT システムには適していないか、効果的ではない可能性がある。
  • 代替的対策は、システムのパフォーマンスに影響を与えずにOTシステムを安全に運用するための効果的な解決策となる可能性がある。
  • OTシステムの保護は重要であり、OTシステムにおけるサイバーセキュリティインシデントは、 人間の生活と環境に壊滅的な影響を及ぼす可能性がある。

3.3 OT Cybersecurity Program Content

このセクションでは、OTサイバーセキュリティ対策の確立、実装、維持、そして継続的な改善に関する推奨事項を示す。

3.3に記載されているものは、基本的に抽象的で個人的には面白くない。

ここでは、以下のようなNISTの他のドキュメントを参考にすると良いと記載されている。

参考

NIST  SP  800‑100
組織内でITセキュリティプロ グラムを確立および実装するのに役立つ情報セキュリティプログラム要素の広範な概要を提供

NIST  SP  800‑37  Rev. 2
リスク管理の観点からサイバーセキュリティプログラムを設計および推進するために、リスク管理フレームワークを規定。このフレームワークは、リスク管理を実施するための中核的なタスクとプロセスを定義。

3.3.1 Establish OT Cybersecurity Governance

ここで書き留めておきたいことは無い。

3.3.2 Build and Train a Cross-Functional Team to Implement the OT Cybersecurity Program

組織内のOTサイバーセキュリティチームには、どのような専門知識や経験を持った人たちが必要なのか。ここでは、セキュリティ専門家、制御エンジニア、制御システムオペレータ、安全専門家、ITスタッフ、そしてリスクマネジメント担当者とある。

まず、主なセキュリティの担当者としてセキュリティ専門家が必要。OTシステムのサイバーセキュリティチームなので現場のエンジニアや管理者、つまり制御エンジニアや制御システムオペレータが必要となる。

次に、OTシステムでは安全性が重要であることは何度も挙げている通り。機器の故障やオペレーターのミスによる重大事故や封じ込めの喪失は深刻な結果をもたらす可能性がある。ここでは、産業プロセスの安全性や信頼性を管理する立場の安全専門家をチームに含めるべきとされている。

現状、OTシステムに詳しく無い立場からすると、安全専門家というのは制御エンジニアや制御システムオペレータが同時に担うようにも思う。そうではないのだろうか。技術的には被るけど、責任的には分散させているようなイメージを持っている。

そして、OTとITは一部統合が進みつつあることから、ITスタッフも関わってくる。このことは、セキュリティ専門家がOT分野に特化した能力を持つだけでなく、IT分野でもセキュリティ専門家である必要があることを示している。

サイバーセキュリティ運用上の指標とリスクはリスク管理部門に報告され、経営幹部と連携 してリスク許容度と残存リスクを決定するとされている。

部門横断的なチームを設立するための追加情報は、Section 4やAppendix Dにあり、NIST IR 8183Aにもあるとのこと。

3.3.3~3.3.10

ここで書き留めておきたいことは無い。