はじめに
世界中で、電力や水道システムから製造、鉱業、エネルギーに至るまでの重要インフラを狙った攻撃の急増に警鐘を鳴らしています。これらのサイバー脅威の多くは従来ITシステムに焦点を当ててきましたが、現在ではOT/IoTシステムを攻撃してこうした重要インフラのオペレーションを妨害しようとするインシデントが増えています。PLC、DCS、RTUなどの産業制御システムは、OT/ICS/IIoTネットワークの中核を成しています。これらの重要なシステムをより深く理解し、防御することで、全体的な産業分野のセキュリティ対策を強化し、重要インフラの回復力を向上する必要があります。
◆OT/ICS/IIoT攻撃フレームワークの台頭
これらの産業制御システムの中で、PLCは特に重要な役割を果たしており、サイバーセキュリティ対策を強化する上で重要なポイントとなっています。PLC へのエクスプロイト攻撃のアプローチに関する最近のCISA勧告では、複数のPLCへの直接攻撃により生産プロセスが停止したり、公共インフラの安全が脅かされたりする可能性があることを厳しく警告しています。サイバー攻撃を阻止し、悪意のある攻撃者よりも一歩先んじるためには、企業は運用レベルで資産デバイスを可視化してセキュリティ防御を強化し、制御システムの物理層への潜在的な攻撃を示唆する異常なアクティビティを監視する必要があります。
産業制御システムのセキュリティの階層モデルであるPurdueモデルでは、PLC は通常、レベル1に配置され、センサーやアクチュエータなどのレベル0デバイス (総称して“フィールドアセット”) とネットワークでインターフェイスされています。レベル0の資産デバイスは、物理プロセスからリアルタイムでレベル1にデータ転送され、PLC からの制御コマンドでこれらプロセスを管理されています。サイバー攻撃が発生した場合、PLCは物理プロセスの状態の詳細情報を提供し、セキュリティチームはこうした状況を即時に把握し、効果的に対応して、壊滅的な影響を最小限に抑えることが必要です。
◆産業制御システムに組み込む世界初のセキュリティセンサー:“Nozomi Arc”
Nozomi Arc Embeddedは、PLCなどで実行され、高度な防御レイヤーを提供する世界初のエンドポイントセキュリティおよびセンサーソリューションです。Nozomi Arc Embedded は、PLCのレベル1から、これらのPLCが制御する資産のレベル0 に至るまでの資産、ネットワークトラフィック、異常検出、脅威の特定を詳細かつリアルタイムで監視します。Nozomi Arc Embedded は、インシデントがPLCとこれらレベル1やレベル0の資産に影響を及ぼした場合に、継続的なインサイト(洞察)、より正確な検出、およびより迅速な対応を実現します。
Nozomi Networksは、三菱電機の技術協力により三菱電機製MELSECシーケンサーPLC向けのNozomi Arc Embedded を開発し、初めてPLCネットワークの“east-west”セグメントの振舞いを監視して、産業運用環境全体に被害や拡大が生じる前にPLCレベルでサイバーインシデントを検出することが可能になります。このプロアクティブなアプローチによりOT/ICS/IIoT運用の迅速な回復力が強化され、ダウンタイムが短縮され、重要制御インフラが保護され、プロセスの整合性が維持されます。
レイヤー1とレイヤー0での可視化とサイバーセキュリティ対策
Nozomi Arc Embedded が登場する前は、セキュリティチームは制御システムの物理レイヤー、つまりPurdueモデルのPLCの内部およびその配下で何が起こっているかを継続的に把握する手段はありませんでした。
Nozomi Arc Embedded をPLC上で直接実行することで、セキュリティチームは各レベル0モジュールからのデータを使用してコントローラの状態を継続的に監視できます。攻撃中のレベル 0デバイスのステータスと動作を理解することで、影響を軽減し、運用上の安全性と整合性を確保できます。セキュリティチームは以下を把握することが可能になります:
- ソフトウェア、ハードウェア、脆弱性データ、パフォーマンスデータを含む継続的なPLCステータス
- USB経由で転送されたファイル、その他の悪意あるHMIなどのHID(Human Interface Device)を含むPLCへの物理的アクセス
- PLCステータスとステータスの変更(ラダーロジックの変更を含む)
- 異常な測定値や動作を含むレベル0/1の資産を監視するための可視性
レベル0デバイスのリアルタイム監視により、異常な測定値や動作を迅速に検出し、潜在的なサイバー攻撃やその他の問題を特定することができます。セキュリティチームは、PLCステータスやセンサーデータの突然の変化の警告をキャッチしたり、重要な機器に物理的な損傷を与えたり、安全上のリスクをもたらす可能性のある悪意のある振舞いや運用上の問題を防ぐために迅速に対応できます。攻撃中にレベル0デバイスの正確なステータスと動作を把握することで、セキュリティチームはシステムのどの部分が影響を受けているかを正確に特定し、より的を絞った緩和策で効果的に対応して、運用に壊滅的な影響を与える可能性を防ぐことができます。
さらに、Nozomi Arc Embedded は、PLC がオフラインの場合やトラフィックを送信していない場合でも、レベル0のデータを収集し続け、重要な運用に対して24時間365日の包括的な可視性と検出を提供します。
Nozomi Arc Embedded センサーは、OT/ICS およびIIoTネットワークのエンドポイントデータ収集と資産の可視性を強化します。収集されたすべてのデータは、Guardianまたは Vantage に送信してさらに分析することができます。
産業制御システム向けの高度な防御レイヤー
Nozomi Arc Embedded は、レイヤー1とレイヤー0 からの重要なネットワークおよびシステム情報 (これまで入手できなかったバックプレーンの運用情報やプロトコル情報を含む) を提供します。これらの情報は、より正確な異常および脅威の検出と、より迅速な対応を可能にします。より大規模なNozomi OT/ICS/IIoTセキュリティプラットフォームの新しいコンポーネントとして、Nozomi Arc Embedded によって生成された追加のインサイトは、NozomiのAI搭載エンジンに取り込まれ、資産、脆弱性、異常、脅威の検出を強化し続け、インシデント対応時間を改善します。
おわりに
産業制御システムに組み込まれた世界初のセキュリティセンサーは、今までレイヤー2からレイヤー4までの制御インフラネットワークのOT/ICSの可視化とセキュリティ対策のみに対応していましたが、市場のニーズにより、レイヤー0とレイヤー1のPLCに組み込まれたNozomi Arc EmbeddedによってNozomi Networksの世界は格段に広がります。
S4のDale Peterson氏は、Nozomi Arc Embedded の最もエキサイティングな部分はPLCエンドポイント検出およびEDRの始まりだと述べています。本文でも述べましたが、Nozomi Arc Embedded は、三菱電機のMELSEC ファミリーの PLCで利用できるようになりました。他方、Nozomi Networksのユーザでも三菱電機以外のPLCを使用しており、Rockwell Automation、Siemensそして、Omronへの対応にも注目したいところです(筆者)。
- カテゴリ:
- Nozomi Networks
