OT と CPS の文脈における OSI モデルとサイバーセキュリティの基礎

 Mar 28, 2024 10:36:48 AM  株式会社テリロジー 技術統括部

※この記事は、SecurityGateのブログを抄訳したものです。

 

運用技術 (OT) とサイバーフィジカル システム (CPS) が絡み合った世界では、OSI モデルを深く理解することは必須です。 7 層 OSI モデルは、ネットワーク機能を理解し、潜在的なセキュリティ脆弱性を特定するための構想を提供します。これは、IT と物理システムの統合が現実となっている OT および CPS 環境では特に重要です。このモデルの各層には固有の脆弱性があり、サイバー攻撃から保護するために特定の制御が必要です。各レイヤーと対応する制御の概要は次の通りです。 

 

1.物理層 – OT と CPS の基盤

 

OT および CPS では、物理層には、センサーやアクチュエーターから PLC (プログラマブル ロジック コントローラー) や RTU (リモート ターミナル ユニット) まで、幅広いデバイスが含まれます。この層を保護すると、物理インフラストラクチャが改ざん、不正アクセス、物理的損傷から保護されます。たとえば、製造現場の PLC や電力網の RTU へのアクセス制御を確保することは、セキュリティの基本的な実践です。  

  • 制御方法物理的なアクセス管理システム、監視カメラ、不正抑止シール。たとえば、サーバー ルームや重要な OT 機器が設置されているエリアなどの機密エリアへの生体認証によるアクセス制御です。

 

2.データリンク層 – 安全なノード通信の確保

OT 環境では、データリンク層は、ModbusやProfibusなどの産業用制御プロトコルが動作する場所です。この層のセキュリティ対策には、これらのデバイス間のデータ送信の保護が含まれ、ネットワーク内の通信が安全で、MAC スプーフィングや同様の攻撃に対する回復力が確保されます。 

  • 制御方法ネットワークのセグメンテーション、MAC フィルタリング、安全な産業用プロトコルの使用。VLAN(仮想LAN)を実装して OT ネットワークのさまざまな部分を分離すると、この層での侵害の影響を最小限に抑えることができます。

 

3.ネットワーク層 – OT ネットワークでのデータルーティング

CPS では、特に複数の運用サイトにまたがる複雑なネットワークでは、ルーティングと転送の管理におけるネットワーク層の役割が重要になります。 IP スプーフィングおよびルーティング攻撃から保護することは、ネットワーク全体でのデータ通信の整合性を維持するために不可欠です。産業グレードのファイアウォールを使用し、安全なルーティング プロトコルを実装することは重要な実践です。

  • 制御方法ファイアウォール、侵入検知/防御システム (IDS/IPS)、および安全なルーティングプロトコル。産業用プロトコルを理解する高度なファイアウォールテクノロジーを採用すると、悪意のあるトラフィックが OT ネットワークを介して伝播するのを防ぐことができます。

 

4.トランスポート層 – OT システムの信頼性の高い通信

OT および CPS のトランスポート層は、システム間の信頼性が高く安全なデータ転送を保証します。たとえば、スマートグリッドシステムには、変電所と中央制御システム間の通信チャネルの保護が含まれる場合があります。 TLS を実装し、通信チャネルの整合性を確保することは、重要なセキュリティ対策です。 

  • 制御方法暗号化通信のための TLS/SSL、ポートのセキュリティ対策、およびフロー制御メカニズム。機密データの送信に TLS を実装すると、送信中のデータが傍受されたり改ざんされたりすることがなくなります。 

 

5.セッション層 – 安全な接続の維持

OT 環境では、セッション層がデバイスと制御システム間の接続を管理します。これらのセッションが安全に確立、維持、終了されることを保証することが重要です。たとえば、これには、水処理プラント内の SCADA システムとリモート コントローラー間のセッション管理のセキュリティ保護が含まれる可能性があります。 

  • 制御方法安全なリモート アクセスとセッション暗号化のための VPN (仮想プライベート ネットワーク)。リモート監視のシナリオでは、VPN によりフィールド デバイスとコントロール センター間の通信を保護できます。 

 

6.プレゼンテーション層 – OT でのデータ変換と暗号化

この層では、安全な通信のためのデータの暗号化と復号化が行われます。 OT および CPS では、フィールドデバイスと制御システム間で送信されるデータの暗号化が不可欠です。たとえば、製造工場のセンサーから制御室までのデータを暗号化することは、重要なセキュリティ対策です。 

  • 制御方法暗号化および復号化プロトコル、データ形式の変換。保存中および転送中のデータに対して、特に機密性の高い運用データが含まれる場合には、強力な暗号化標準を使用することが重要です。

 

7.アプリケーション層 – OT および CPS のユーザー インターフェイス セキュリティ

アプリケーション層は、ユーザーがネットワークおよびそのデバイスと対話するためのインターフェイスです。 OT および CPS では、これには、HMI (ヒューマン マシン インターフェイス) システムなどの物理プロセスを管理するアプリケーションのセキュリティ保護が含まれます。これらのシステムを SQL インジェクションなどの脅威から保護し、アプリケーションの安全な動作を保証することが最も重要です。 

  • 制御方法アプリケーション ファイアウォール、安全なコーディングの実践、定期的なパッチ管理、マルウェア対策ソリューション。たとえば、HMI (ヒューマン マシン インターフェイス) システムが定期的に更新され、マルウェアから保護されるようにします。 

 

まとめ

OT 固有の考慮事項を OSI モデルの各層に組み込むことで、OT および CPS 環境のセキュリティを保護するための固有の課題と要件が浮き彫りになります。これらの層を理解することは、OT 部門のサイバーセキュリティ専門家がサイバーセキュリティ リスクを効果的に特定、評価、軽減し、重要なインフラストラクチャと産業運営の回復力とセキュリティを強化するのに役立ちます。 

OSI モデルのコンテキストでこれらの制御を適用することで、OT および CPS におけるサイバーセキュリティに対する包括的かつ多層的なアプローチが保証されます。このアプローチは、各層の特定の脆弱性に対処し、重要なインフラストラクチャと産業システムの全体的な回復力とセキュリティ体制に貢献します。 

 

原文:https://securitygate.io/blog/osi-model-fundamentals-cybersecurity-basics/


RECENT POST「Nozomi Networks」の最新記事


Nozomi Networks

Salvador Technologies でデータのバックアップとリカバリーをしてみた

Nozomi Networks

Nozomi Guardianで検知した通信をTXOne EdgeIPSで遮断してみた

Nozomi Networks

“製造業のIT/OTマッピング”とは

Nozomi Networks

MITRE ATT&CKフレームワークを活用してOT/IoT脅威への対応を迅速化および簡素化!

OT と CPS の文脈における OSI モデルとサイバーセキュリティの基礎