制御システムにおける資産管理

     

概要

セキュリティ対策において「資産管理」は、サイバー攻撃から保護すべき資産の把握やセキュリティ対策の優先度等を決める上で重要なプロセスである。リスクアセスメントにおけるリスク特定の際にも、資産管理(特に資産の特定)は有効な手法として実施されることが多い。この一方で、資産管理には多くのコスト(時間や費用等)がかかる等といった理由より、資産管理を十分に実施できていない組織も多く存在する。とりわけ、制御システムにおいては、ITシステムと比べて物理的な資産が非常に多い傾向にある。

制御システムの資産(以降、ICS資産という)の特徴としては、IT環境と異なり資産の入れ替わりが少なく、限定的な資産間で規則的な通信が行われているケースが多い。このため、ICS資産の特徴を利用したホワイトリスト形式の検知・防御といったセキュリティ対策を実施できる。また、デバイスの設置個所やデバイス間の接続といった資産の構成情報、および資産を管理する担当者を把握することで、インシデントが発生した際に、どの程度の範囲・デバイスに影響を及ぼすかを早期に特定でき、管理する担当者にも迅速な対応を求めることができる。このように、ICS資産の管理を適切に行うことは、セキュリティを高めるためにも大きなメリットがある。

ここでは、ICS資産を管理するための、管理特定プロセスや資産情報の収集方法・支援ツール等について説明していく。
※内容に関しては、随時更新していく予定です。

      

資産管理プロセス

ここでは、ICS資産を管理するプロセスについて説明する。
資産管理プロセスは、図1のように、大きく3つのフェーズを継続的に実施する方法が主流である。
      



                図1:資産管理プロセスの概略図

      
■1:スコープの設定
資産を特定する範囲(施設や部署等)を設定するフェーズである。資産の喪失やサービスの中断によるビジネスインパクトが大きい施設を優先的に実施する場合や施設の資産を管理している部署がサイバーセキュリティに対する理解があり、取り組みに協力してくれる施設を優先的に実施する場合が多い。なお、ビジネスインパクトが大きい施設を優先的に実施するには、経営層やガバナンス組織に対してサイバーセキュリティの重要性を理解してもらっておくと作業が進みやすい。また、定期的にスコープを見直すことも重要である。

■2:収集・検証
資産の情報を収集・検証するフェーズである。資産を収集・検証する方法は複数存在し、各方法を組み合わせて、漏れがないよう資産を収集する。ICS資産を収集・検証するためのツールも存在しており、大規模な組織・施設では現物確認等では発見が難しい資産もこれらのツールを使用することで、発見できる可能性が高まる。資産を収集・検証する書く方法については、次章にて解説する。このフェーズは定期的に実施することも重要である。

■3:データベース化
得られた資産の情報をデータベース化して整理するフェーズである。資産管理ツールを用いたり、文書化したりすることで、資産を漏れなく効率的に管理できる。資産の情報を出来る限り詳細に記録しておくことで、脆弱性への対応、インシデント発生時の調査、リスクアセスメント時の優先度決め等に効果的に活用することができる。資産の構成が変更になる都度、データベースを更新するよう周知・教育することも重要である。

      

ICS資産を収集・検証する方法

ここでは、資産管理プロセスの中の「収集・検証」の各方法について説明する。

     
■既存資料の確認
機器やシステムを導入した際のNW構成図、資産リスト、ベンダ提供資料、マニュアル等の資料を参考に、資産を特定する。初めて資産を特定する場合は、この方法から実施することが多い。現物調査よりも工数が少なく、また施設が遠く離れていても調査することができる利点がある。
しかし、調査したICS資産の情報と実際のICS資産が異なっている可能性もあるため、初回調査や現物調査の事前調査としての位置づけとして実施することが多い。また、情報提供依頼の頻度が高いと、依頼される側から敬遠され兼ねないため、構成変更が起きた場合に情報共有をしてもらう等、運用ルールを決める必要がある。

■現物調査
実際に施設等に行き、ICS資産の現物を調査する方法であり、実物を確認するため正確性が高い方法である。ICS資産が設置されている箇所や物理NW等を確認できることから、物理的な防御対策も確認することができる。また、現物調査では、現場担当者と面識ができ、今後のコミュニケーションにも好影響を及ぼすメリットもある。
一方、施設の規模に比例して作業に多くの時間が必要であることや多国籍企業のような拠点間が離れている企業の場合は、移動費も含め多くのコストがかかる。

■パッシブスキャン
ネットワークトラフィックを調査し、通信パケットに含まれる情報からICS資産を特定する方法である。ICS環境におけるネットワークトラフィックを調査する代表的な商用ソフトウェアとしては、Guardian[1]、Claroty Platform[2]、Forescout Platform[3]、SilentDefence[4]、Dragos Platform[5]、CyberX Platform[6] 等がある。フリーソフトであれば、Moloch[7]、Wireshark[8] 、Grassmarlin[9] 等が活用できる。
パッシブスキャンは、実際の通信パケットから資産情報を収集するため、情報の正確性が高く、また作業工数も少ない利点がある。また、アクティブスキャンと異なり、現在稼働している製品に影響を及ぼすリスクが低い。
一方、多くの製品がEthernetのみを対象としているため、シリアル通信やWireless(Wireless LAN、Bluetooth、ZigBee 等)で通信するICS資産等の情報を取得することは難しいといった特徴もある。

■アクティブスキャン
情報を取得する側が通信リクエストを送信し、レスポンスを基にICS資産の情報を取得する方法である。アクティブスキャンとして著名なベンダである Langner の OT-BASE OT Asset Management System[10] は、1晩に1度だけ起動し、産業用プロトコルを利用して1つ以上のプロセスネットワークをクローリングして資産を特定するといった方法を用いている。フリーソフトであれば、Nmap や hping 等がある。
パッシブスキャン同様、事実に基づく資産情報を取得できるため、情報の正確性があり、作業工数も少ない。
ただし、本来発生しない通信が各機器・デバイスに送信されるため、PLCや稼働している機器が停止したり、既存通信を阻害したりといったリスクがあるため、メンテナンス期間や工場稼働前など実施タイミングが限られることが多い。またパッシブスキャン同様、多くの製品が Ethernet のみを対象としており、さらに調査端末が特定の端末のみしかレスポンスを返却しない設定等になっている場合は、ICS資産の情報を取得することは難しい。

■コンフィグファイルの確認
FW、スイッチ、ルータといったネットワーク機器のコンフィグファイルや Linux や Windows に記録された ARP テーブル等を確認し、ICS資産の情報を取得する方法である。本方法では、想定していない資産間の通信を見つけられる等、多くの恩恵をもたらす情報である。ただし、物理調査同様、機器ごとに調査が必要となるため、多くの工数がかかる。

     

おわりに

本記事では、ICS資産の管理について説明した。資産管理はコストがかかる作業であるが、専門的な知識・技術がなくても実施でき、セキュリティ対策の強化、リスクアセスメントの促進、インシデント対応等といった多くのセキュリティ対策に活用できるメリットの大きい取り組みである。資産情報を収集・検証する方法の選定については、自組織の形態や規模に合わせて、最適な方法を組み合わせて使用することを推奨する。

      

参考文献

[1] Nozomi Networks, "Guardian", https://www.nozominetworks.com/products/guardian/
[2] Claroty, "Claroty Platform", https://www.claroty.com/platform
[3] Forescout, "Forescout Platform", https://www.forescout.com/platform/
[4] Forescout, "SilentDefence", https://www.forescout.com/platform/silentdefense/
[5] Dragos, "Dragos Platform", https://www.dragos.com/platform/
[6] CyberX, "CyberX Platform", https://cyberx-labs.com/ja/the-platform/
[7] AOL, "Moloch", https://molo.ch/
[8] The Wireshark team, "Wireshark". https://www.wireshark.org/
[9] NSA, "Grassmarlin", https://github.com/nsacyber/GRASSMARLIN
[10] Langner, "OT-BASE OT Asset Management System", https://www.langner.com/ot-base/

      

登録日時2020-06-10 22:25:21
更新日時2020-06-10 22:32:03