ここからは、本インシデントを防ぐための対策について、第1回、第2回で紹介したガイドラインの対策ステップに沿って考えてみよう。
ガイドラインでは工場システムのセキュリティ対策導入に必要な3つのステップを示している。まず、ステップ1では工場のゾーンに対するセキュリティ脅威と影響を整理する。今回のケースでは、情報システムと制御システムがそれぞれゾーンとして定義され、情報システムゾーンに対する「ネットワーク経由の侵入」「データ盗難、漏えい」が脅威となる。
次に、ステップ2では具体的な対策を立案する。ネットワークを介した不正侵入やデータ漏えいなどの脅威に対しては「システム構成面でのセキュリティ対策」が必要となる。先述のように、システム構成面の対策はネットワークにおける対策と、機器における対策に分けられる。
ネットワークにおける対策として、多要素認証による利用者制限や、OS/ソフトウェア/VPN装置などのネットワーク機器を最新の状態に保つことによる脆弱性対策、接続機器の管理/可視化/制限を実施すると良いだろう。
今回はVPN経由での不正侵入が発端となっているため、多要素認証で不正ログインを防止することが有効な対策となる。さらに、情報システム管理部門で把握されていないVPN装置であったことから、このような機器の適切な管理も重要だ。
VPNから侵入した攻撃者は、ネットワークを調査して機密情報を探し、攻撃可能な機器に対しランサムウェアを配布することで攻撃範囲を拡げた。
これには、機器におけるセキュリティ対策が有効となる。メール添付ファイルのマクロ実行を禁止するなど、業務端末での不正なプログラム実行を抑止することでマルウェア対策を行う。
攻撃範囲の拡大を検知、防御するための統合ログ管理やネットワーク/エンドポイント監視の導入や、業務端末の脆弱性対策も有効だ。
機器におけるセキュリティ対策として、業務端末/業務サーバ内のファイルを暗号化してデータを保護しておくと良いだろう。今回は、ランサムウェアによるデータの暗号化だけでなく、データを窃取して公開することと引き換えに身代金を要求する二重脅迫の手口が利用された。
このような二重脅迫型の攻撃に対しても、ファイルを暗号化しておけば中身の公開を防ぐことができる。また、先述した多要素認証/不正プログラムの実行抑止/エンドポイント監視も同様に効果的な対策となる。
機器におけるセキュリティ対策として、定期的なオフラインデータバックアップが有効だ。ランサムウェアによって暗号化された場合、あらかじめバックアップしておいたデータから復旧するのが確実な対策となる。今回のようにネットワーク共有されているデータを暗号化するランサムウェアもあるため、バックアップデータをオフラインで保管しておくのが望ましい。
ネットワークにおける対策として、制御系ネットワークと情報系ネットワークを分離する。ネットワークの構成分割においては、VLANなどによって論理的に分離する方法と、物理的にドメインを分割する方法がある。FWやIDS/IPSを設置して通信の解析/検知/遮断を行い、通信データを制限することも有効だ。
第1回で製造業を取り巻く環境動向について解説した。実際、ランサムウェアの被害件数は年々増加しており、2022年に警察庁に報告のあった件数は230件に上った。その内、全体の33%を製造業が占めており、最も攻撃を受けた業種であることが分かっている。
今回は、米パイプライン工場のランサムウェア被害の事例を基に、ガイドラインに沿った対策方法を紹介した。製造業における被害は増加しており、工場の稼働停止や数十億円の損害など甚大な被害を受けてしまう前に対策をしておく必要がある。
実際に対策を実施する際には、ガイドラインのステップ1にあたる自社の情報の洗い出しが重要となる。業務内容を洗い出してゾーンを設定し、それぞれのゾーンに対するセキュリティ脅威と影響を整理する。これにより、具体的に攻撃のルートや手順を想定できるようになり、効率的かつ効果的にセキュリティ対策を進めることができるだろう。
◇ ◇ ◇ ◇
これまで全3回に渡り、ガイドラインのポイントと工場での対策を紹介した。本連載が、自社の工場セキュリティ環境を見直す一助になれば幸いだ。
アルプス システム インテグレーション株式会社 ビジネス戦略部 プロダクトマーケティング課
松上 伸子(まつがみ のぶこ)
自社の情報漏えい対策製品のプロダクトマーケティング担当として活動。現在は、製造業のお客様向けや他業界のお客様向けにセミナー講演を行うなど、幅広く発信を行っている。
情報漏洩対策の一元管理 InterSafe ILP https://www.alsi.co.jp/security/ilp/
Copyright © ITmedia, Inc. All Rights Reserved.