ロックダウン時のICS/OTインシデント対応

COVID-19（コロナウイルス感染症）の拡大を遅らせるために実施されたロックダウンにより、OT環境でのサイバーインシデントへの対応方法の見直しを迫られることになった。そこで米国Dragos社は、ロックダウン下の状況に適応させる方法をいくつかのガイドとして提供している。その概要を紹介する。

OT環境のインシデント対応計画が、現場にアナリストを派遣して作業を行うサービスに頼っている場合、移動やアクセス制限により、アナリストの現場への出動ができなくなり、大幅に遅れることがある。その対処として、次の項目を社内外のインシデント対応者と協議し、決定することが必要となる。

• ICS/OT環境でのフォレンジックデータをリモート(遠隔)で取得可能か。
• リモートでのデータ取得が不可能な場合、現場の要員がフォレンジックデータ取得できるようにするにはどのような対応をおこなうべきか。
• 収集したデータの分析をリモートで行うことができるか。
• 規制によりデータが施設内から持ちだすことが許可されない場合、インシデント対応者がオンサイトで展開するためには、どのような手順を実施すべきか。
  

ICS/OT環境では、データのリモート取得をサポートするには十分な帯域幅がなく、リモート取得するソフトウェアの使用がICS/OT機器ベンダーや運用者から許可されていないため、データのローカル取得を既定の運用方法とする傾向がある。リモートでのデータ収集の是非はリスクアセスメントによって評価されるべきであり、これは今回のようなパンデミック時にも当てはまる。現場に移動するアナリストと現場の要員の両方にとって、移動に伴うリスクが今回のパンデミックにより変化したことから、 リモートでのデータ収集は以前よりも有効な運用方法となるだろう。

ロックダウン時のICS/OT環境のインシデント対応には多少異なるアプローチが必要で、リモートでのデータ取得と分析は、合理的に採用したほうが良い。一旦制限が解除されれば、安全でセキュアなリモート機能は、インシデント対応をスピードアップさせ全体的なIR態勢を改善することにつながる。

規制により、データのICS/OT施設外への持ち出しを許可していない場合、インシデント対応計画には、パンデミック時に必要とされる防御対策を考慮しなければならない。
 

参照URL：

Dragos, Inc.,"ICS/OT Incident Response in Times of Lockdown", 25 June 2020, https://www.dragos.com/blog/industry-news/ics-ot-incident-response-in-times-of-lockdown/

当該記事に関するデロイト トーマツの考察

～サプライチェーン全体での対応体制を整備すべき～

デジタル制御機器の保守は一般的に機器ベンダーに委託して実施している。また、その機器が故障した場合も機器ベンダーが修理することが多い。

事業者はパンデミック対応として、様々な対策を講じている。今回のCOVID-19のように人の移動が制限される場合でも、サイバー攻撃は待ってくれない。いつ起きるかわからないため、人の移動制限がある状況下でも起こる可能性は否定できない。そうした場合にもサイバーインシデントへの対応をできるような体制を整備しておくことが必要となる。

緊急事態宣言下では、機器ベンダーを施設の現地で2週間留め置きし、発熱などの症状がでないのを待ってから施設内への立ち入りを許可するといった運用がなされていたが、インシデント対応を進めるには遅すぎてサイバー攻撃がさらに拡大していることもありえる。機器に故障が発生した場合に自営でどこまでできるのかを見極め、また、サイバーリスクを評価したうえで機器ベンダーとリモートで作業できる環境を整えることが必要である。さらに、解析を行うためのログデータ等の取得もリモートで行い、解析の専門家へ引き渡す手順の確立も必要である。

【キーワード】パンデミック、自営化、リモート

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<