※この記事は、SecurityGateのブログを抄訳したものです。
運用技術 (OT) とサイバーフィジカル システム (CPS) が絡み合った世界では、OSI モデルを深く理解することは必須です。 7 層 OSI モデルは、ネットワーク機能を理解し、潜在的なセキュリティ脆弱性を特定するための構想を提供します。これは、IT と物理システムの統合が現実となっている OT および CPS 環境では特に重要です。このモデルの各層には固有の脆弱性があり、サイバー攻撃から保護するために特定の制御が必要です。各レイヤーと対応する制御の概要は次の通りです。
OT および CPS では、物理層には、センサーやアクチュエーターから PLC (プログラマブル ロジック コントローラー) や RTU (リモート ターミナル ユニット) まで、幅広いデバイスが含まれます。この層を保護すると、物理インフラストラクチャが改ざん、不正アクセス、物理的損傷から保護されます。たとえば、製造現場の PLC や電力網の RTU へのアクセス制御を確保することは、セキュリティの基本的な実践です。
OT 環境では、データリンク層は、ModbusやProfibusなどの産業用制御プロトコルが動作する場所です。この層のセキュリティ対策には、これらのデバイス間のデータ送信の保護が含まれ、ネットワーク内の通信が安全で、MAC スプーフィングや同様の攻撃に対する回復力が確保されます。
CPS では、特に複数の運用サイトにまたがる複雑なネットワークでは、ルーティングと転送の管理におけるネットワーク層の役割が重要になります。 IP スプーフィングおよびルーティング攻撃から保護することは、ネットワーク全体でのデータ通信の整合性を維持するために不可欠です。産業グレードのファイアウォールを使用し、安全なルーティング プロトコルを実装することは重要な実践です。
OT および CPS のトランスポート層は、システム間の信頼性が高く安全なデータ転送を保証します。たとえば、スマートグリッドシステムには、変電所と中央制御システム間の通信チャネルの保護が含まれる場合があります。 TLS を実装し、通信チャネルの整合性を確保することは、重要なセキュリティ対策です。
OT 環境では、セッション層がデバイスと制御システム間の接続を管理します。これらのセッションが安全に確立、維持、終了されることを保証することが重要です。たとえば、これには、水処理プラント内の SCADA システムとリモート コントローラー間のセッション管理のセキュリティ保護が含まれる可能性があります。
この層では、安全な通信のためのデータの暗号化と復号化が行われます。 OT および CPS では、フィールドデバイスと制御システム間で送信されるデータの暗号化が不可欠です。たとえば、製造工場のセンサーから制御室までのデータを暗号化することは、重要なセキュリティ対策です。
アプリケーション層は、ユーザーがネットワークおよびそのデバイスと対話するためのインターフェイスです。 OT および CPS では、これには、HMI (ヒューマン マシン インターフェイス) システムなどの物理プロセスを管理するアプリケーションのセキュリティ保護が含まれます。これらのシステムを SQL インジェクションなどの脅威から保護し、アプリケーションの安全な動作を保証することが最も重要です。
OT 固有の考慮事項を OSI モデルの各層に組み込むことで、OT および CPS 環境のセキュリティを保護するための固有の課題と要件が浮き彫りになります。これらの層を理解することは、OT 部門のサイバーセキュリティ専門家がサイバーセキュリティ リスクを効果的に特定、評価、軽減し、重要なインフラストラクチャと産業運営の回復力とセキュリティを強化するのに役立ちます。
OSI モデルのコンテキストでこれらの制御を適用することで、OT および CPS におけるサイバーセキュリティに対する包括的かつ多層的なアプローチが保証されます。このアプローチは、各層の特定の脆弱性に対処し、重要なインフラストラクチャと産業システムの全体的な回復力とセキュリティ体制に貢献します。
原文:https://securitygate.io/blog/osi-model-fundamentals-cybersecurity-basics/