2024.06.06
バックドアの脅威
Config検査
オペレーション現場のネットワーク(OTネットワーク)では、災害リスクを局所化・極小化するためにゾーン分離が重要です。(OT-4参照)
インターネットなどの社外のネットワークと社内のLANを分離するような場所では、ファイアーウォールやUTMと呼ばれる多機能で統合されたセキュリティ装置を設置します。また、常時見守り異変に対処することができる体制も整えます。
OTネットワークでゾーン分離を行う場合、もちろんこのようなセキュリティの仕組みをゾーンごとに設置できれば万全ですが、それらを物理的に各所に設置することは現実的ではありません。
このため多くの場合、現場のゾーンの分離は物理的・分散的に行うのではなく、ファイアーウォールやレイヤー3スイッチのように、ネットワークを論理的に分離できる機能を持つ装置を活用しています。そのようなセキュリティ装置を工場建屋ごとに設置し、制御系やラインのゾーン分離(すなわち通信の分離)は、そのセキュリティ装置の内部の論理設定で実施します。たとえば、制御系やラインごとにネットワークセグメント(IPアドレスのネットワークアドレス)を変えて、そのセグメントの間を行き来できる通信データをファイアーウォールで一括制限や検査する、などの手法で行いす。もちろんこの場合でも、管理は必要ですが、現場の各所にファイアーウォールが設けられるよりは、運用保守が現実的です。
論理的な障壁でOTネットワークのゾーン分離を実現する場合、その障壁の改ざん、意図しない変更には注意を払う必要があります。ファイアーウォールやレイヤー3スイッチなどと聞くと万能な装置のように思えますが、中身はプログラムで動作するコンピュータです。それ自身に脆弱性もありファームウエアのアップデートも必要です。さらに「Configuration=設定ファイル(いわゆるコンフィグファイル)」の変更にも注意を払う必要があります。どれだけ高価な装置でも、コンフィグファイルが書き換わってしまっては無効化されてしまいます。論理的集中的な構造の場合、改ざんが広く全体の災害リスクにつながることに注意が必要です。
コンピュータや通信機器のセキュリティ設定を改ざんし無効化する(もしくは、隠された入り口を作る)行為をバックドアと言います。悪意のある処理をひっそりと行うトロイの木馬型ウイルスなどが、昔からある攻撃の1つです。セキュリティアップデートやOSのアップデートを徹底できないのが現場の実情(OTS-3)ですから、このようなウイルスに端末が(ひっそりと)感染し潜伏している可能性は、ITネットワークよりも高いと考えるべきです。
バックドアの脅威リスクを下げるため、ゾーン分離を行う障壁や通信機器の内部設定のチェックを行うことになります。(ペネトレーションテスト:侵入試験については別途ご説明します。ここでは割愛します。)
健全性の確認には、検証(Verification)と評価(Validation)があります。 「Verification」とは、設定データを正しいと想定できるものと比較する行為です。設定内容の一致をチェックします。「Verification」は、明らかに不必要なコマンドも排除します。
「Validation」は、比較する対象も含めて適切かどうか検討する行為です。重要で、かつOTネットワークで難しいのが「Validation」です。
社外と社内の間の障壁は、多くの企業で障壁の設定に大きな違いはありません。ITでは、使われるアプリケーションや環境に大きな多様性がないからです。多くの場合は、MicrosoftのOffice365やBoxのサービスを使うでしょうし、リモート会議も今の時代、内製した特別な会議システムを運用することも少ないでしょう。そうそう変更が加わるものでもありません。社内の技術者にとっても、また社外の技術者であっても、知見や経験を生かして、障壁の内部設定をValidationすることは可能です。
しかし、制御系や製造ライン製造設備の場合、制御系間の通信や設備間の通信には多様性があり(OT-4参照)一般的なルールを規定することは困難です。また、設備の拡張や変更、運用方法の変化などによって、セキュリティ設定すなわち通信の許可・不許可の設定は、そのたびに変化せざるをえません。
たとえば、ある定期チェックにおいて、ラインAからラインBの間で、前回のチェックではなかった「ポート番号29730」という通信手段の許可が、妥当であるかどうか考えてみましょう。変更した背景、理由、許可した人物などの記録がなければ、それが変更なのか改ざんの結果なのか区別することはとても困難です。
加えて、OTネットワークの通信では、何かのイベント(機械の故障や品質不良などのごくまれに発生する事象)によって自動的に発生する通信が多いです。平常時のトラフィック(通信の頻度や量)で、統計的に判断することが難しいケースもあります。めったに発生しない通信だから不適切な通信だ、という推測は成り立ちません。
OTネットワークでは、それが接続される制御系やライン全体を1つのシステムとして認識し、セキュリティ設定の変更は、制御系やラインの運用や保守、拡張や工程編成替えなどのイベントと共に変更管理・構成管理される必要があります。
変更管理とは、変更をする前に、決済(承認)プロセスフローを経ることであり、必要性を記録したり、その審議結果や許可履歴を残したりすることです。
構成管理は、オペレーションの現場では、PLC(制御装置)の制御回路や設定パラメータの変更などにおいて日常行われている行為です。誰が、いつ、どんな理由で変更したのかを記録しないPLCや表示操作端末などのコンピュータは、現場にはありません。
OTネットワークのセキュリティのバックドア対策は、このような現場のシステムと一体になった変更管理の中で運用保守されることが必要です。その変更管理の仕組みがあればこそ、Validationをすることが可能になります。
OTネットワークに使われているファイアーウォールなどの機器や技術に特別なものはありません。しかしそれらを適切に運用保守するために必要な要素、体制や管理の仕組みは、ITネットワークとは異なるものが必要となります。
・OTネットワークのゾーン分離は、論理的集中的に行うことが現実的である。
・論理的分離は改ざんによって、広範囲の災害リスクにつながる認識が必要である。
・バックドアの脅威リスクを下げるため、セキュリティ設定のVerificationとValidationが必要である。
・制御系やラインの設備システムと一体になった変更管理の仕組みがなければ、OTネットワークにおけるセキュリティ設定のValidationは難しい。
・OTネットワークとITネットワークの運用保守に必要な、管理の仕組みは異なる。