OT/ICS セキュリティインシデントのアクターと初期攻撃区分

      

概要


ここでは、OT(Operation Technology:制御・運用技術)と ICS(Industrial Control System:産業用制御システム)に関するサイバーセキュリティインシデント(以降、OTインシデント)のアクターと初期攻撃区分(起因となった攻撃)に関する情報について、文献[1] を基に紹介します。

OTインシデントのアクター(攻撃の起因となった人物・組織のこと)について理解することで、優先的にどのようなセキュリティ対策を取るべきかを検討する際に役立ちます。

      

OTインシデントアクター


図1は、文献[1] で調査対象となった組織において、自組織で発生したインシデントにどういったアクターが関与しているかを尋ねた結果を示している。
各項目(Hackerや組織犯罪など)の数値(%)は、全項目の回答数から、個別の質問に対する回答の総数で割って算出している。

図1より、外国国家または国家が後援する団体(#2)や組織犯罪(#3)による攻撃が大きく増加していることが分かる。
米中貿易戦争といった昨今の地政学リスクの状況もみると、今後もこれらのアクターによるサイバーインシデントは増加すると推測される。

一方、ハッカー(#1)による攻撃の比率は、減少していることが分かる。
これより、サイバー攻撃を行うアクターは以前よりも組織的な体制を整備し、戦略的にサイバー攻撃を実施していると推察される。

また、悪意あり/なしに関わらず、前従業員(#6)、前装置プロバイダ(#7)、現サービスプロバイダ、コンサルタント、請負業者(#8)、悪意のない内部アクター(#9)、現従業員(#13)によるインシデントが多く発生/増加している。

これより、組織内部や関係者によるサイバー攻撃へのセキュリティ対策についても重要視する必要がある。
      


              図1:OT インシデントの発生源である攻撃アクター

      
補足:図1~図3は、SANS が2019年6月に報告した” SANS 2019 State of OT/ICS Cybersecurity Survey”の結果[1]を Hipopos で整理して記載している。
本文献は、業務時間の内50%以上を OT/ICS セキュリティに関する業務に費やしている338人にヒアリングした結果をまとめている。

      

初期攻撃区分


図2は、初期の攻撃区分(起因となった攻撃)のトップ5を示している。
USBメモリなどを利用した装置への物理アクセスが一番多く、続いてリモートアクセス(意図したアーキテクチャーを使用しない)、リモートアクセス(意図したアーキテクチャーを使用する)と続いている。
      

                   図2:初期攻撃区分

      
図3より、初期攻撃区分が物理アクセスの場合のアクターを確認すると、トップ2は「現従業員」(46.7%)と「現サービスプロバイダ、コンサルタント、請負業者」(40.0%)であり、会社関係者であることが分かる。
これより、物理アクセスが行いやすいアクターが関係しているということが分かる。

会社関係者であれば、セキュリティポリシーの策定、リテラシー教育、物理アクセスのポリシー・手順整備、および法的手段を取れる契約などによって、サイバー攻撃を防御・抑止する方法が対策として考えられる。

もちろん、資産管理ツール、物理的境界防御(鍵付きラック、USBポートの物理ブロックなど)、DPI(Deep Packet Instropection)製品といった資産管理による不正アクセス監視や物理資産の管理・監視なども対策として有効である。
      

             図3 初期攻撃区分が物理アクセスの場合のアクター

      
続いて、初期攻撃区分がリモートアクセスの場合を分析する。

図4より、初期攻撃区分がリモートアクセス(意図したアーキテクチャーを使用しない)場合のアクターを確認すると、ハッカー (#1)、組織犯罪 (#6)、外国国家または国家が後援する団体 (#2)といった悪意を持つ外部アクターが上位にきている。

一方、初期攻撃区分がリモートアクセス(意図したアーキテクチャーを使用する)場合のアクターは、外部アクターに加えて現従業員 (#3)、現サービスプロバイダ、コンサルタント、請負業者 (#4)、悪意のない内部アクター (#5)といった会社関係者も上位にきている。
これらより、外部アクターだけでなく、会社関係者への対策も必要であることが分かる。

リモートアクセスへの対策としては、推測されやすいユーザ名・パスワードを設定しない、リモートアクセスができる端末を限定する(アクセス制限、アクセス認可、アクセス認証)、生体認証等を利用した多要素認証、定期的にログイン履歴や操作ログを確認するといった仕組みが有効である。

また、会社関係者への脅威の対応として、定期的にセキュリティ教育を実施することも効果的である。


             図4 初期攻撃区分がリモートアクセスの場合のアクター

      

おわりに


本記事では、OTインシデントのアクターと初期攻撃区分について説明した。

調査データが示す通り、外部からの攻撃だけでなく、悪意がある・なしにせよ、従業員や会社関係者のリスクに重みをつけて対策する必要があることを理解して頂いたと思う。

特に、制御システムにおいては、外部ネットワークとの分離やアクセス制限をしている構成が多いが、それで安心するのではなく、内部からの脅威についても十分に検討されたい。

ただし、本調査データはほんの一例であるため、すべての組織に本調査データが当てはまる訳ではない。
自組織の体制や社内外との関係性などを十分に把握し、自組織に沿ったセキュリティ対策を考えていくことが重要である。

      

参考文献


[1] SANS. (2019). "SANS 2019 State of OT/ICS Cybersecurity Survey". https://radiflow.com/wp-content/uploads/2019/06/Survey_ICS-2019_Radiflow.pdf

     

更新・修正履歴


2019-12-11, 図2中, #2,#3の初期攻撃区分が反転していた誤記を修正。
2019-12-11, 図4、関連文章追加

登録日時2019-10-30 20:58:16
更新日時2019-12-11 20:11:19