21世紀のサイバーセキュリティ市場調査
インフラの保護
コンピュータが世界的に重要性を増し、人間の活動のあらゆる側面に統合されるにつれて、サイバー犯罪が急増し、現在では国民、国家、政府、企業、重要なインフラストラクチャに深刻なリスクをもたらしています。 インターネットによる犯罪行為は、世界経済に年間1兆4千億以上の損失をもたらしていると推定されている。. 1 金銭的な代償と潜在的な危険性 サイバー犯罪は、放置すれば確実に増加し続けるだろう。.
エネルギーインフラへの攻撃は、おそらく最も潜在的に壊滅的な被害をもたらすだろう。 ハクティビスト敵対政府、ならず者国家、準宗教的派閥などによる単独または連携したコンピュータ攻撃が増加しており、場合によっては、時代遅れまたは不十分なインフラの防壁の境界を突破することに成功している。 このような犯罪行為がもたらす影響は不吉です。水処理施設、エネルギーパイプライン、通信、衛星システム、金融機関、発電所がサイバー攻撃によって機能停止、あるいは破壊されるところを想像してみてください。このような侵入の結果、影響を受ける人々の間に不安や混乱が生じる可能性があり、経済は深刻な弱体化と損害を受けます。
急増するサイバー犯罪の背後にいる者たちは、刻々と技術的に進歩し、スパイ活動、政治的駆け引き、テロ、そして戦争行為によって、重要なインフラシステムを混乱させ、破壊し、侵害する方法を模索しています。2013 年だけでも、米国の国土安全保障当局は、重要なインフラを狙ったサイバー犯罪未遂事件を 256 件報告しており、そのほとんどはエネルギー部門に集中していました。 2 レオン・パネッタ元国防長官は、米国は「サイバー真珠湾攻撃」や「9.11テロ以前の瞬間」と称する脅威に直面しているとまで主張した。 彼は、汚染された可能性のある水源、広範囲にわたる停電、そして列車が強制的に脱線させられるといった悲惨な状況を描写した。3
サイバー攻撃には、マルウェア、ウイルス、ワーム、スパイウェア、パスワード攻撃、ブルートフォース侵入、DoS (サービス拒否) 攻撃など、さまざまな方法があります。これらのサイバー攻撃方法は、重要なインフラストラクチャの保護システムに過負荷をかけたり感染させたりして、侵入を容易にします。攻撃方法とサイバー犯罪の犯人が適切に特定され阻止されなければ、防御システムと標的のインフラストラクチャが無効化されたり、破壊されたりする可能性があります。
2月12日th2013年、米国大統領バラク・オバマは 大統領令13636「重要インフラのサイバーセキュリティの向上」では、「国家の重要インフラのセキュリティと回復力を強化し、安全性、セキュリティ、企業機密性、プライバシー、公民権を促進しながら、効率性、革新性、経済的繁栄を促すサイバー環境を維持することが米国の政策である」と定められています。4
この命令により、サイバー犯罪問題に対処する組織を支援するために設計されたサイバーセキュリティ フレームワークが確立されました。民間部門と政府の共同作業では、コミュニケーションのための統一言語の確立と、効果的なサイバーセキュリティ対策をコスト意識の高い方法で実装することに重点が置かれました。大統領令 13636 に関連する直接的な規制は制定されていません。
オバマ大統領は指示した NIST米国立標準技術研究所は、大統領令によって直接影響を受ける機関や企業と協力し、国の重要インフラに対するサイバー犯罪のリスクを最小限に抑えることを目的とした自主的な計画を作成する予定です。 これらすべての取り組みは、さまざまなセクターの標準と手順を統一し、迅速に実装できるガイドラインを作成するために行われました。この目的のために、業界間のコミュニケーションとコラボレーションも奨励されました。NIST は 2014 年 2 月にフレームワークの最初の草案と、研究所がフレームワークに対して意図する将来の方向性を明らかにした付随するロードマップを発表しました。
サイバー犯罪、ハクティビズム、サイバーテロ活動、サイバー戦争を抑制するための取り組みには、政府機関と民間部門の利害関係者のネットワークが拡大していることは予想通りである。 NERC、北米電力信頼性協会。 NERCは「北米の大規模電力システムの信頼性を保証することを使命とする非営利の国際規制機関です。」 5 NERC は、米国、カナダ、メキシコのバハ カリフォルニア州の一部を担当し、信頼性基準の作成と施行を行っています。また、業界関係者のトレーニングと認定にも携わっています。
の CIPC (重要インフラ保護委員会)はNERC傘下で運営されており、業界のサイバー、運用、物理セキュリティの専門家で構成されています。また、電力サブセクター調整協議会も含まれています。 (ESCC) 連邦政府と連携して、重要なインフラを保護し、特定された体系的な弱点に関する重要な情報の交換を迅速化するための概念とリソースを開発します。
NERCは、 連邦エネルギー規制委員会連邦エネルギー規制委員会(FERC)は「州間の電気、天然ガス、石油の輸送を規制する独立機関です。また、液化天然ガス(LNG)ターミナルや州間の天然ガスパイプラインの建設提案や、水力発電プロジェクトの認可も審査しています。」6 2005 年、エネルギー政策法により、インフラの安全性、信頼性、セキュリティの促進を含むさらに多くの責任が FERC に与えられました。
オバマ大統領は2015年2月にスタンフォード大学で講演し、サイバー犯罪と戦うために米国政府と技術部門が協力することを要請した。国家安全保障局に関するエドワード・スノーデンの漏洩を受けて信頼感を再構築することを目指して (国家安全保障局), オバマ大統領は、国の重要なインフラやコンピュータネットワークの多くが民間部門にあり、提案されている共同の取り組みが必要であることを認めた。また、サイバーセキュリティの脅威に関する情報を最初に受け取るのは政府であることが多いという事実を強調し、脅威と戦うための統一された取り組みの利点をさらに強化した。大統領の発言は、北朝鮮が実行したとみられる最近の攻撃に触発されたものかもしれない。さらに、1月には、ジハード主義ネットワーク内のイスラム国支持者による、米中央軍、Twitter、YouTubeへのハッキング活動があった。 7 ホーム・デポ、JPモルガン・チェース、アンセムも最近ハッキング事件に遭った。
大統領の主要顧問は、3つの新しいサイバーセキュリティグループが設立されたことを明らかにした。これは、民間部門と政府間の情報収集能力を強化する新しい大統領令に従ったものである。最初の組織には、サイバーレスポンスグループ、サイバー脅威情報統合センター、および国家サイバーセキュリティおよび通信統合センターが含まれる。今後は、サイバーセキュリティと通信の統合センターの継続的な開発も見込まれる。 ISAOの (情報分析共有組織)は、重要なサイバーセキュリティ情報の集約を大幅に促進するはずです。
NERCコンプライアンスの主な推進要因
NERC CIP
NERC CIP コンプライアンスは、重要なインフラ資産をサイバー攻撃やサービス中断から守るためのセキュリティ アジェンダとプロトコルの開発において公益事業会社を支援します。 重要インフラ保護 (CIP) 標準はコンプライアンスの必須要件を定義し、大規模電力システムの信頼性の維持を保証します。急速な技術進歩とサイバー攻撃者の能力の増大により、コンプライアンスはますます困難かつ重要になっています。現在、5 回目の統合 (バージョン 5) では、CIP 標準は企業の重要な資産の識別に役立ち、それらの資産に接続しているユーザーと、それらにアクセスできるエンティティの識別に役立ちます。NERC CIP には、論理的保護、物理的セキュリティ、およびセキュリティ管理制御が含まれます。手順 8 と 9 では、効果的なサイバーセキュリティ対応と災害復旧について説明します。
これらの基準や規制にもかかわらず、十分な対策が講じられていないと感じる人もいる。疑問が湧いてくる。単純なコンプライアンスだけで十分なのか?21世紀に不可欠な電力インフラに必要なセキュリティと保護を本当に提供できるのか?st 21 世紀はどうなるのでしょうか? この論文では引き続きその問題を取り上げます。
NISTフレームワーク
NIST 特別出版物 800-53 改訂 4 は、主にサイバー攻撃の高度化と敵対者の活動テンポ (つまり、攻撃の頻度、攻撃者の専門性、攻撃者による標的の執拗さ) の増大を特徴とする脅威空間の拡大を動機とするフレームワークの更新版です。8 800-53 は、アプリケーション セキュリティ、モバイル/クラウド コンピューティング、サプライ チェーン防御に直接関連するセキュリティ制御の開発を促進します。
NIST フレームワークは、私たちの重要なエネルギー インフラストラクチャのサイバー セキュリティを向上させるための重要な要素です。このフレームワークには、脅威の基盤をより深く理解し、サイバー脅威が高度で持続的な脅威であるか、日常的なハッカーの仕業であるかにかかわらず、業界の専門家がそれらのサイバー脅威に最善の対応をする方法を理解するために必要な対話を生み出す可能性があります。
遵守への動機
電力部門やその他の業界が前進するにつれ、コンプライアンス自体が、進化したサイバーセキュリティ対策の導入に関する変化の主たる動機と推進力となってきました。石油・ガス業界の最大手組織だけが、多国籍パイプライン事業の一部であることが多く、世界規模でのサイバー攻撃の魅力的なターゲットと見なされています。これらの企業は、自主的にサイバーセキュリティ基準の遵守を進めています。この標的と認識されていることは、確かに推進力となります。小規模な企業は、標的とされていると感じる傾向が低いため、主にコンプライアンス要件自体が動機となります。
経営幹部の影響力
多くの組織は、NERC コンプライアンスに関しては、主に C-Suite の決定によって動かされています。影響を受ける組織内では、誰が何を管理し、特定の企業内で物事を実現する権限と推進力を持っているかについて、多くの権力闘争があります。多くの場合、IT 担当者と OT 担当者の間に断絶があり、有益なコラボレーションが欠如しています。規制は無視できませんし、組織が義務付けられた方法で運営するインセンティブを提供しますが、コンプライアンスはセキュリティとは異なります。真のセキュリティを構成するもの、またはコンプライアンスだけで十分かどうかについては、企業ごとに大きなばらつきがあります。単なるコンプライアンスで満足する企業は、ハッキングやサイバー攻撃に対して脆弱になる可能性があります。
ステークホルダーと株主の満足
政府と民間業界は、NERC基準の実施において他の事項も考慮する必要がある。サイバーセキュリティの取り組みに関しては、ロビイストとその代表者、そして民間セクターの株主が大きな利害関係を持っている。両者が満足する必要があり、それを達成するのは簡単なことではない。政府はコンプライアンス基準を低く抑えるよう圧力を受けており、電力部門が真の基準を達成するのは困難である。 本物 サイバー攻撃に対するセキュリティ。公益事業業界では、規制監督にはコストがかかり、それが最終利益となり、株主に影響を及ぼします。意味のある情報交換には、協力的な取り組みが必要です。オバマ大統領が最近のサイバーセキュリティサミットで述べたように、 「政府だけではこれを行うことはできません。しかし、新たな脅威に関する最新情報を持っているのは政府であることが多いため、民間部門も単独でこれを行うことはできません。」9
ベンダーの影響
ベンダーは、エネルギー分野でのサイバーセキュリティ対策の継続的な実施に独自の影響力を及ぼそうとしています。国際的な制御システムを持つ企業のほとんどは、さまざまなベンダーの機器を利用しています。 これらのベンダーは、独自のセキュリティと可視性を自社製品に組み込んでいます。「さまざまなデータベース管理システムをすべて統合し、ユーザーに単一の統一されたクエリ インターフェイスを提供する HDB (異種データベース システム) を作成している単一の組織は存在しないようです。」 10 これには、標準化団体がメーカーとコミュニケーションをとるだけでなく、メーカー同士が協議してコンソーシアムを形成することも必要です。すべてを考慮すると、NERC 準拠の推進力となるのは 1 つの団体ではありません。エンド ユーザー、標準化団体、および国際的な制御システム ベンダーは、実装を成功させるために努力を統一する必要があります。
エネルギー部門のセキュリティにおける主要な影響力
連邦政府内に組織が存在しない限り、NERC CIP に準拠する必要があります。TVA や Bonneville Power などの連邦政府側の特定の発電所には、追加の作業があります。これらの発電所は、NERC CIP コンプライアンス基準を満たす必要があり、さらに FISMA (連邦情報セキュリティ管理法) および NIST (米国国立標準技術研究所) の要件とガイドラインも満たす必要があります。これらの発電所は、CIP ターゲットと NIST 管理ターゲットを確実に満たし、プロセスの重複や不要な作業を避けたいと考えています。
SPICA の インドのチャンディーガルにある情報技術推進協会は、スマートグリッドの業界標準化の発展に影響を与えてきました。ヨーロッパでは、国際電気標準会議(IEC)が (IEC)「企業、業界、政府機関が、必要な国際標準について協議し、開発するためのプラットフォームを提供します。業界、商業、政府、試験・研究機関、学術機関、消費者団体から 10,000 人を超える専門家が IEC 標準化作業に参加しています。」11 IECは国際標準化機構と連携して活動している。 (ISO) および国際電気通信連合 (ITU) 世界的な基準を統合・統一し、世界中の業界の専門家の知識を融合すること。
将来は NERC 基準にどのような影響を与えるでしょうか?
サイバー攻撃、ハッキング、スパイ活動の脅威は常に存在し、エネルギー インフラストラクチャのセキュリティを確保するために設計された NERC 標準と関連業界対策の今後の進化を形作り、決定づけ続けるでしょう。他の国、政府、敵対的な政治/宗教派閥が、北米と米国の大規模電力システムを標的にする可能性があります。これは、米国および海外のサイバー セキュリティの将来を予測する際に、間違いなく動的な要因です。今後数年間は、知識に基づいた予測と傾向分析に頼る現在の状況とは対照的に、よりリアルタイムの検出機能が登場するでしょう。
エネルギー インフラストラクチャのセキュリティを強化するための業界全体の取り組みが最近行われているにもかかわらず、現在構築および導入されているシステムは高度なサイバー攻撃に耐えられないと考える人もいます。このため、NIST 特別出版物 800-160 では、「確立された国際標準ベースのシステムおよびソフトウェア エンジニアリング プロセスに密接に結合され、完全に統合されたシステム セキュリティ エンジニアリング プロセス」を定義しようとしています。12 「正しく構築し、継続的に監視する」というモットーの下、システム開発者やインテグレーターが NIST のセキュリティ対策を自社のソフトウェアやシステムに組み込めるようにする 4 段階のプロジェクトを開始しました。また、800-160 によって、サイバー攻撃の脅威を軽減するために、システム エンジニアとシステム セキュリティ エンジニア間の対話が改善されることも期待されています。
テクノロジー主導の変化
民間エネルギー部門のほとんどの大企業にとって、変化そのものが障害となっています。多くの場合、現在保有しているテクノロジーは長年運用されてきました。そのテクノロジーは、より新しく、より安全なセキュリティ製品と統合できるようには設計されていません。エンタープライズ セキュリティ ベンダーが提示する新しいアプローチは、しばしば抵抗に遭い、利用される新しい製品は、既存のシステムと統合するために調整が必要なさまざまなエンタープライズ ソリューションの寄せ集めです。
理想的には、大規模電力業界全体をカバーする保護技術セキュリティ ファブリックが必要ですが、これには初期投資が必要であり、それを行おうとする人はほとんどいません。IT グループと OT グループを統合して、実際に協力して新しいテクノロジーを導入できるようにするという議題を推進する人は誰もいません。HMI や運用に関連するマシンにパッチを適用するという基本的なプロセスでさえ、困難な課題です。 NERC バージョン 5 パッチ適用規制が導入されているが、たとえプロセスが自動化されていても、ベンダーがパッチを承認するまでに数か月かかることが多く、その間、発電所は保護されない。
セキュリティライフサイクルにおける主流の組織プロセス
セキュリティ管理をより包括的かつ効果的にするために、機関間のマッピングが緊急に必要です。NERC CIP、ISO 27000 管理など、企業がサイバーセキュリティの取り組みを強化するために採用するあらゆる製品は、NIST や ISO が行ったものと一致するでしょうか? これらの異なる標準と制御を克服するには、一連の「ベスト プラクティス」が必要になります。アクセス制御、識別、認証、システム暗号化を組み込むメーカーの場合、プロセスはさらに複雑になる可能性があります。多くの場合、開発者にとって重要なソース コードやその他の重要な設計要素はアクセスできず、アクセスできないシステムのハードウェア、ソフトウェア、ファームウェアに埋もれています。この状況を改善するには、NERC CIP、NIST、ISO の制御を、セキュリティ ライフサイクルの設計および開発プロセスの早い段階で統合する必要があります。結局のところ、サイバーセキュリティ防御はチーム スポーツです。重要なインフラストラクチャは、運用可能であるだけでなく、24 時間 365 日機能している必要があります。公共部門と民間部門には多くの主要なプレーヤーが関与しており、良い面としては、開発者は必要なことの多くをすでに実行しています。
サイバーセキュリティ保険
サイバーインシデント(データ盗難、ネットワーク破壊、商取引の混乱)による損失を最小限に抑えるために設計されたサイバーセキュリティ保険は、実装の初期段階にあります。これは、クレジットカード/決済業界ではすでに明らかです。保険会社は、サイバーセキュリティ保険がどのようなものであるかをモデル化するためのキャンペーンの初期段階にあります。 大きなリスク サイバーリスクに対する保険がどうなるか、また発電事業者がサイバーリスクに対して保険をかけられるとしたら保険はどうなるか。エネルギー部門では保険数理表を作成するためのサイバー犯罪データがまだ普及していないため、実現には時間がかかるかもしれない。「サイバー犯罪による侵害は平均して企業に$1~$3百万の損害をもたらし、中小企業の倒産、民事訴訟の誘発、罰金の徴収につながる可能性がある。」13
健全なサイバーセキュリティ保険市場の存在により、サイバー攻撃は潜在的に減少する可能性があります。
予防策や「ベストプラクティス」を導入しているエネルギー業界には、より多くの保険が提供される可能性がある。現在、多くの企業は、費用が法外に高いと考えていること、何がカバーされるかが不明確であること、サイバー攻撃の標的にならないリスクを負うことをいとわないことなどの理由で、利用可能な保険を辞退している。国土安全保障省(DHS)は最近、サイバーセキュリティ保険市場の現状を調査し、サイバーリスク管理の改善を促進するための能力を最も効果的に向上させる方法を検討するために、官民の幅広い利害関係者を集めた。。」14
サイバーセキュリティ実装の主な影響要因
NERC のセキュリティ基準は進化と改訂が続いており、FERC と公益事業会社は継続的な改善を促進するために重要な情報と建設的なコメントを提供しています。 ベンダーは間違いなく標準の開発を牽引し、ガイドラインの作成にも協力しています。各派閥がどの程度の影響力を持っているかは議論の余地があります。すべてのアイデアが歓迎され、有効であるという前提で運営されているため、標準に取り組む意思のある人は、最終的に標準が確定する前に影響を与えることができます。いったん標準が策定されると、次のバージョンが登場するのを待つ以外にできることは何もありません。最も大きな声で叫ぶ人が最良の結果を得ると考える人もいます。多くの優秀な個人がさまざまな委員会で貴重な意見を共有しており、その中で最も影響力のある人が本当に変化をもたらすことができます。
DOEと国土安全保障省
役立つガイドラインは提供されていますが、提案された標準に従うことは法律ではありません。公益企業とベンダーはいくつかの実用的な標準プラクティスを提案していますが、それらは強制ではないため、個々の企業がそれに従うかどうかを決定します。公益企業とベンダーが協力して標準とガイドラインを作成することがより積極的になることが重要です。 NERC と NIST は独自にこれを行うことはできませんが、NERC は影響を与え、最終的にデフォルトの基準を定義することができます。
電力会社の影響
発電所がサイバーセキュリティを強化する必要がある場合は、多額の投資が必要となり、誰かがその費用を負担することになります。サイバーセキュリティはビジネスの現実であり、満足すべき利害関係者が存在するため、企業の収益はサイバーセキュリティに関する議論の一部として考慮する必要があります。財務上の考慮により、セキュリティ制御を実施するかどうかが決まる場合があり、この事実は新しい基準や規制の採用に関する議論で強調される必要があります。 国家は絶対に権力を持たなければなりません。 これは、情報技術と同様に、重要なインフラ部門の中でも最も重要なものの一つです。 それはすべてを超越します。
研究機関の影響
EPRI、サイバー セキュリティ センター オブ エクセレンス、NSCO などの研究機関は、高度な専門知識により、NERC CIP セキュリティ標準の開発に影響力を持っています。さまざまな組織の関係者が、次世代の標準を作成するために合意してテーブルに着きます。もちろん、各組織には独自の推進計画があり、これが最終的に標準の良し悪しを決定します。公開審査プロセスとサブ標準も、新しい NERC CIP 改訂の詳細を決定する役割を果たします。
NERC準拠の難しさ
NERC CIP 規制と基準が改訂され、合意に達すると、エネルギー部門で実施されます。残念ながら、コンプライアンス チーム、法務チーム、および管理者は、これらの推奨事項と要件を正確に解釈する方法に苦労しています。どのような行動を取るべきかについて、しばしば確信が持てません。ほとんどの人は順守する意志と準備がありますが、中には規制用語の正式な意味を理解するのが難しい人もいます。これにより、NERC 基準と規制の気まぐれで曖昧な解釈に頼らざるを得ないコンプライアンス担当者に混乱が生じる可能性があります。
の ISA (計測、システム、自動化) は、NERC の規定をどのように実装するかについてのガイドラインと手順の包括的なリファレンスを提供しており、全員が同じ方向に向かっていることを確実にするのに役立ちます。ISA の 2014 年サイバーセキュリティ カンファレンスは、「サイバー脅威による深刻で壊滅的な被害から産業ネットワークと制御システムを保護するために何ができるかを明らかにしました。」16
NERC CIP の不明確さに対処するため、多くの企業は、要件を満たす、緩和する、または遵守する意図を積極的に文書化し、監査人がこの入念な記録保持に価値を見出すことを期待しています。現在、非常に多くの解釈が行われていることから、監査人は、企業が NERC CIP の遵守に関して意図したとおりに行動したかどうかしか記録できません。一部の発電所は、そのような遵守を可能にする電子製品やデバイス (セイマンスや GE が製造したものなど) がないため、基準や規制の遵守に苦労しています。
NISTとIr7628の影響
米国国立標準技術研究所(NIST)は最近、スマートグリッドのサイバーセキュリティに関するガイドライン「NISTIR 7628 改訂版 1」を発行した。 「組織がスマートグリッド関連の特性、リスク、脆弱性の特定の組み合わせに合わせて調整された効果的なサイバーセキュリティ戦略を開発するために使用できる包括的なフレームワーク」を提供するためです。17 NIST ガイドラインは NERC CIP の規制監督を課していませんが、エネルギー分野には依然として影響を及ぼしています。
NERC の方がおそらくより真剣に受け止められているが、NIST 標準は多くのサイバーセキュリティ プラットフォームに定期的に統合されており、重要なインフラストラクチャ保護の方向性を示している可能性がある。NIST の重要性については意見が分かれている。NIST ガイドラインへの準拠は任意であるため、企業がそれに従う義務はない。さらに、エネルギー市場は極めて細分化されており、多くの企業は、サイバーセキュリティに関連して NIST が提案する多くの対策を実施するための十分な人員や必要な資金を持っていない。
企業がNISTやNERCに従うかどうかの最大の要因はおそらくお金だろう。エネルギー企業が抱える何百もの優先事項を考慮すると、サイバーセキュリティの導入による予算への影響は、より差し迫った当面の懸念事項に後回しにされることが多い。 流行語フレームワークの統合にはコストがかかり、そのような費用を賄う予算がないこともよくあります。さらに、産業用制御システム ベンダーが他のベンダーの製品と連携して機能するソリューションを提供できるかどうか疑問視する声も多く、第三者を巻き込むことにも慎重です。セキュリティ専門家は何をすべきかは分かっていますが、予算をどこから捻出すればよいのか分からず、NERC と NIST が提案する優れたアイデアを実装するためにどのテクノロジを使用すればよいのか確信が持てません。
パブリックコメントは本当に影響力があるのでしょうか?
NIST は、航空宇宙関連の連邦政府出資研究開発センターや防衛分析研究所と契約を結び、最初の草案作成の支援を受けることもあります。草案が完成すると、ウェブサイトに掲載され、公的および私的関係者が閲覧してコメントすることができます。NERC は受け取ったコメントを要約して公開し、人々が提案された標準に対する反応を自分で評価できるようにします。NIST は裁定プロセスを採用しており、業界の専門家チームが個々のコメントをレビューして回答します。最終的に、コメントは NIST が各コメントの最終裁定を下すのに役立ちます。これは徹底的なプロセスです。NIST が目指すのは、サイバーセキュリティについて人々が議論する際に行われる対話の標準化です。これにより、さまざまな分野のアイデア、概念、原則を融合でき、フレームワークの実装方法についてさまざまな選択肢が提示されます。
NISTの将来
今後数年間は、承認されたフレームワークの 5 つの改訂版の継続的な実施が行われます。バージョン 6 と 7 が進行中で、明確化のためにいくつかの言語が変更されます。ワシントンで衝撃的な大混乱が起こらない限り、NERC CIP は進化を続け、NIST 標準とデータを組み込み、実装ガイドラインにさらに詳細を追加します。NIST 標準は、電力システム内で外部からの攻撃や侵入を防ぎ、エネルギー グリッドの制御を維持するために存在します。災害復旧に関しては、大規模電力システムのすべての側面が考慮されます。
NERC CIP と同様に、NIST ガイドラインには曖昧さがあり、実装には多くの解釈の余地があります。現在、NIST は企業に多くのサードパーティ ドキュメントを参照させていますが、詳細が不足しているようです。NIST ドキュメント 「IEC 62443-2-1:2010(E) は、産業オートメーションおよび制御システム (IACS) 用のサイバーセキュリティ管理システム (CSMS) を確立するために必要な要素を定義し、それらの要素を開発する方法に関するガイダンスを提供します。」19
技術の進歩は、近い将来も生活のあらゆる側面に影響を与え続けるでしょう。その進化の核となるのは、コンピュータのハードウェアとソフトウェアです。物事がますます複雑になるにつれ、サイバーセキュリティ製品とシステムの構築に関して、より多くの考察が必要になります。科学者や技術者が、ソフトウェアに組み込んだものを完全に理解できない状態に陥る可能性もあります。ソフトウェアが複雑になりすぎて、保護方法がわからなくなることもあります。業界は既にその状態を超えていると感じる人もいます。今日と明日のサイバー攻撃からオペレーティングシステムを守るには、システムレベルと製品レベルで IT インフラストラクチャを大幅に再設計する必要があるかもしれません。
これには、高度な信頼性を備えたコンポーネントとシステムを構築するための技術原理、概念、および方法論への信頼が必要です。最大の課題は、将来のオペレーティング システムのサイズを管理可能かつ理解可能なものに維持し、ベスト プラクティスを適用できるようにすることです。侵入に対する耐性がより高いシステムが開発されることが期待されています。攻撃が成功し、外周に侵入した場合、エネルギー部門は、マルウェアが発電所全体またはグリッド全体をダウンさせないようにするテクノロジの開発に取り組む必要があります。
リアルタイムセキュリティの未来
サイバー セキュリティ デバイスの保守は比較的新しい分野です。電力会社は過去 50 年間、送電システムを稼働させ続ける方法を知っていました。設計、保護、電力の搬送、送電システムへの接続、配電の方法を知っていました。現在、これらの企業は新しいテクノロジーに適応しており、学習曲線は劇的です。ファイル、サーバー、ネットワークの専門家など、より細分化された技術者が必要です。現在のすべての防御策がすでに導入されているにもかかわらず、スペクトル全体にわたる攻撃を検出して阻止できるインフラストラクチャはまだ存在しない可能性があります。積極的な防御策を策定するには、より多くの監視機能が必要です。電力会社がクラウド サービスを使用するようになると、スマート グリッドの普及が今後も増加するため、リスクについてより認識する必要があります。
セキュリティ分野では、5年後、10年後に何が起こるかを予測するのは困難です。 確かに、人々はこれから何が起こるのかを知りたいので、よりリアルタイムな検出が活用されるでしょう。 攻撃にはさまざまな戦略や種類があります。ファイアウォールやアンチウイルスプログラムなどの古い技術は、コードシーケンスを発見することでマルウェアを検出しようとします。今日の最新のソフトウェアは、破壊的な「キルチェーン」活動を検出するためにコードを調べますが、この情報を取得して2つのことを結び付けるには依然として人間が必要です。残念ながら、これには時間がかかります。現代のサイバーセキュリティ製品は、完全なマルウェアを検出することはできません。 鎖 イベント。マルウェアは検出できるかもしれませんが、侵入はほんの一瞬で発生し、有効な反撃対策を講じるには遅すぎることがよくあります。
将来の優れたリアルタイム防御システムは、受信したデータを分析し、キル チェーンに沿って悪意のある攻撃が進行する前に、それを直ちに検出して隔離できるようになります。この時点で、自動化されたシステムまたは人間が介入して保護措置を講じることができます。
アイデンティティとアクセス管理
エネルギー分野では、ID の認証は依然として、効果的なセキュリティ対策を維持する上で重要な要素です。「情報と情報技術のセキュリティ確保、そしてサイバー脅威の防止という課題において、強力な ID の欠如は、全体的な防御メカニズムの最も弱い点の 1 つとなることがよくあります。 既存の認証情報が悪用されたり、適切に実装または管理されなかったりして、重大な脆弱性やインシデントにつながることが多々あります。。」20
組織は、従業員を信頼していないからではなく、偶発的または悪意のある出来事の影響を局所化するために、共有ログオンの高信頼モデルから離れつつあります。長期的には、技術的制約を克服しようと努力し続けるでしょう。公益事業会社は、次のような標準的なITツールを採用し続けます。 シスコ そして ジュニパーしかし、他の運用面 (リレー、RTU、PLC) には同じ保護システムがありません。ベンダーから購入できるようになるまでは、ローカル ファイアウォールで脅威を軽減する必要があるかもしれません。 ネットワーク時間、コントロール センターの場所、IP アドレス、さらにはインフラストラクチャを実行するために選択されたベンダーなど、一見無害な情報でさえ、サイバー攻撃を企む悪意のある者にとっては重要な場合があります。
インシデントの予防と軽減の不測の事態
「パシフィック・ガス・アンド・エレクトリック社は、天然ガス輸送ラインの特性を追跡するためのコンピュータシステムの開発に20年近く苦労し、その結果、パイプの潜在的な弱点を理解するために重要な情報を欠くことになった。…記録やインタビューによると、システム開発時に漏れやデータ入力ミスがあり、それが修正されなかったことが、9月9日にサンブルーノで爆発し8人が死亡した1956年製のパイプラインが継ぎ目ありで建設されていたことをPG&E社が知らなかった理由かもしれない。…専門家は、パイプに継ぎ目溶接があったという事実は、まともなパイプラインデータベースであればマウスをクリックするだけで入手できるはずの基本的な情報だと述べている。」21
電力施設の脆弱性にもかかわらず、セキュリティ担当者は緊急時対応計画の重要性を理解しているようです。電力網は全体的に非常に信頼性が高いですが、インシデントが発生した場合、マルウェアが足場を築き、重要なオペレーティング システムに損害を与える前に、対応計画を実行する必要があります。特定の状況でどのように対応するかを人々が正確に把握することが不可欠です。発電所の緊急時対応計画には、代替処理サイト、代替通信機能、代替貯蔵施設が含まれる場合があります。これらは、通常重点が置かれる 3 つの層です。 最終的な目標は、攻撃を回避し、弱体化または劣化した状態でも運用を継続することです。緊急時対応計画は、自然災害、構造的故障、サイバー攻撃、過失または作為の過失など、4 つの主要な脅威の種類に対して存在します。
ブラックホールと未知の脅威
エネルギー インフラストラクチャに対する既知の脅威に対処するために、サイバー セキュリティ対策が継続的に実施されていますが、将来は革新的な防御および対応能力を必要とする未知の危険や「ブラック ホール」が確実に増えるでしょう。幸いなことに、ES-ISAC と現在導入されているすべての共同通信ネットワークにより、グリッドを安全かつ効果的に維持する見通しが向上しています。脅威は 24 時間 365 日監視され、ES-ISAC は継続的に更新されます。
国際的な制御システムの多くは、国内に設置されているものとは異なりますが、グローバルなサイバーセキュリティ ネットワークに接続されています。もちろん、エアギャップ、原始的な保護、ユニコーンに関する懸念は依然として多くあります。エネルギー部門は、既存のセキュリティ問題に対処するための革新的なソリューションを考案している先進的な企業に依存しています。サイバー犯罪者は優れた攻撃スキルを持っており、ハッキング ツールを利用できるため、特に産業用制御システムの古い機器に関しては、新しい攻撃ベンチャーを簡単に見つけることができます。
未知の脅威とは、セキュリティ システムの境界に侵入できるあらゆるものを指します。新しいシステムは非常に複雑で、メーカーが理解できないような方法で接続されています。エンド ユーザーは、自分が操作する制御システムのインターフェイスがインターネット上で公開されていることに気付いていない可能性があります。サイバー犯罪者は、特定の地理的な場所や特定のベンダーを検索し、その制御システムのユーザー インターフェイス (HMI) に侵入することができます。エンド ユーザーがベンダーの標準パスワードとユーザー名を変更していない場合、サイバー攻撃者は実際に操作を開始できます。
ゼロデイズ
未知の脆弱性を体現するゼロデイに関しては、多くの研究が行われてきました。「… 「ゼロデイエクスプロイト」… は、ソフトウェアの作成者を含む他者がまだ発見していないソフトウェアの脆弱性を悪用するウイルスまたはワームです。ソフトウェアの作成者は、そのような脆弱性のないプログラムをリリースするよう努力しているため、ゼロデイ攻撃はまれです。 …マルウェア内で発見された場合、それはクレジットカード番号を吸い上げようとするサイバー犯罪者以上の、より高度な目的があることを示唆しています。」22
もう一つの深刻な脅威は、発電所や連邦政府機関などの組織やシステム内で生み出される「内部犯行」です。 サイバー攻撃を受けた後、犯人は実際にシステムを制御して新たな脆弱性を構築し、後で戻ってきてそれを悪用することができます。エネルギー部門はこれまでにないほど基本的なテクノロジーに依存しており、脆弱です。
監視カメラとログインデータだけで十分でしょうか?
新しいサイバーセキュリティ部門の維持には費用がかかり、これらの部門が長期的には費用対効果が高いことを経営陣や株主に納得させることは難しい場合があります。この事実に焦点を合わせるには、高額なインシデントが必要になることもあります。
自動プラットフォーム? 半自動?
IT プラットフォーム システムの自動化が進む一方で、ほとんどの関係者は、今後もヒューマン インターフェイスは必要だと考えています。とはいえ、大規模な公共事業体が数百の資産を監視している場合、2 ~ 3 人のセキュリティ オペレーターがその空間で視覚的なセキュリティを維持するのは現実的ではありません。異常が発生していないか確認するために、個人が物理的にデータ ストリームを継続的に監視することは不可能であるため、視覚分析と自動アラート システムがますます多く採用されるようになります。将来的には、インシデントを検出するために、より多くのリアルタイム分析が採用されるでしょう。 起こっていることとして、 あるいは、事前に検出する。ここでも、データを分析して侵入や脅威の発生源を認識したり、複数の警報、天候、野生動物の問題に対処したりするには、ヒューマン インターフェースが必要になる可能性が高い。
サイバー攻撃について知る必要があるのは誰ですか?
セキュリティ チームの最大限の努力にもかかわらず、結局はインシデントが発生します。エネルギー セクターのサイバー犯罪に関する情報を公開すべきかどうかについては議論があります。業界関係者の多くは、そのような情報は知る必要のない人に公開されるべきではないと考えています。ほとんどの人は、攻撃が組織化された場合に集団で防御できるように、情報は公益事業会社間で非公開で共有されることを望んでいるようです。電力会社は、さまざまなグループ間で発生する脅威やセキュリティ イベントに関する情報をうまく共有しています。米国には 8 つの地域があり、それぞれに ES-ISAC から派生した規制監督および理事会グループがあります。
公益事業業界が情報を共有するのは理にかなっていますが、現時点ではそのプロセスを促進するための手段は多くありません。ほとんどの場合、エンド ユーザーは、そのような出来事を取り巻く悪評のため、選択の余地がないときにサイバー犯罪に関連する情報を開示します。一部のセキュリティ ベンダーの間では、情報共有を目的としたコンソーシアムが結成されています。さらに、シマンテックやその他の大手企業が互いに情報を配布していると報じられています。この情報共有モデルの ICS バージョンの作成を求める声もありますが、その目標が実現するまでには、まだ数年かかる可能性があります。「制御システムへの脅威は、敵対的な政府、テロリスト グループ、不満を抱く従業員、悪意のある侵入者など、さまざまなソースから発生する可能性があります。これらの脅威から保護するには、産業用制御システム (ICS) の周囲に安全なサイバー バリアを構築する必要があります。」23
サイバーセキュリティの問題に対して総合的なアプローチを好む人もいます。 これには、可能な限り防御力の高い製品やシステムを構築し、継続的に監視することが必要になります。すべてが可能な限り最高の仕様で構築されていても、少量の攻撃は避けられません。さまざまな種類のサイバー攻撃を理解し、これらのイベントに関する関連情報を共有することは非常に有益ですが、繰り返しになりますが、ほとんどの企業は、そうすることで評判に悪影響を与える可能性があるため、情報を共有することに消極的です。結局のところ、これはチームスポーツです。発電所に特定の脆弱性があり、共通のベンダーによって開発された同じ商用コンポーネントが業界全体で使用されている場合、迅速に配布された情報は、他の企業が次の被害者になる前に、それらの脆弱性に迅速に対処するのに役立ちます。
エネルギー業界の大半は、サイバー攻撃事件に関して一般市民が知る必要のある情報は限られていると考えているようです。将来の事件を防ぐために、選ばれた機関、技術コミュニティ、ベンダーが重要な情報を受け取ることの方が重要だと考えられています。そうでなければ、サイバー犯罪のパターン分析を確立したり、侵害された可能性のある製品についてベンダーに通知したりすることは困難です。
潜在的な攻撃
エネルギー業界の企業向けにサイバーセキュリティに関する情報のセンターを設立することについては、多くの議論がなされてきました。国土安全保障省の情報ネットワークは、事実上、まさにそのセンターになろうとしています。電力会社は、潜在的なフィッシングやマルウェア攻撃について知っておく必要があります。そうすれば、意識を高め、これらの潜在的な脅威を軽減する取り組みを行えるようになります。
他国との情報共有
海外ベンダーの余地はありますか?
エネルギー分野の公益企業間の情報共有や、国家間での脅威アラートの共有に対する懸念から、不安が広がっている。サイバー攻撃を防ぐためのセキュリティシステムの開発を海外のベンダーに委託するのは安全だろうか。海外企業が時折直面する抵抗には、外国人嫌悪や根拠のない恐怖の要素が見られるのだろうか。それとも、ある程度の慎重さが求められるのだろうか。
サイバーセキュリティの脅威は世界中で普遍的に経験されているため、こうした不安の多くは必要に迫られて克服されたものです。最終的には、グローバルな情報共有が不可欠です。それでも、海外のベンダーが米国市場に侵入できる可能性は非常に低いと考える人もいます。業界は定着しており、ビジネス関係は長年続いています。エネルギーグリッドは、安心感と信頼のレベルで運営されています。北米のエネルギー市場に溶け込み、そこで好意を得るには、独自の技術と能力を備えた海外の第三者が必要です。
イスラエルはサイバー セキュリティの分野で強力なニッチ市場と市場ポジショニングを確立しました。同国は新しいスタートアップ企業の立ち上げと優秀なサイバー セキュリティ専門家の育成に多額の投資を行ってきました。同国は毎年、大規模な世界規模のサイバー セキュリティ カンファレンスを主催し、バグを特定して「バグ報奨金」で報酬を得る「フレンドリー ハッカー」のコミュニティを構築してきました。
ICセキュリティ市場におけるNerc
重要な産業インフラが引き続き脅威にさらされているため、 フレイム、スタックスネット、ナイトドラゴン、 そして ドゥク 攻撃の増加に伴い、ICS セキュリティ市場は拡大を続けるでしょう。TechNavio のアナリストは、世界の産業用制御システム市場は 2013 年から 2018 年にかけて 8.15% の CAGR で成長すると予測しています。24 NERC は、50,000 を超える変電所と数百の公益事業会社を擁し、業界に大きな足跡を残し続けています。米国西部では、NERC には NERC 基準に準拠する登録公益事業会社が約 500 社あります。
ICSサイバーセキュリティ市場は、年間$3から$40億と推定されています。コンサルティング会社とエンタープライズセキュリティベンダーがこの分野で主要なプレーヤーです。NERCは規制権限を持ち、電力会社、石油、ガス部門に大きな影響力を持っています。、しかしそれは 適切なセグメンテーションを行う方法がないため、セキュリティ ソリューション市場における NERC の比率や市場規模を測定することは困難です。 NERC CIP 評価の一定レベルを達成するために使用される製品の多くは、製造業などの他の業界で可視性を提供し、セキュリティ管理機能を提供するためにも使用できます。
サイバーセキュリティの脅威に対処するための課題
現在インフラに導入されている技術をアップグレードし、次世代の進化するシステムと統合できるようにすることが不可欠です。一部の企業は非常に優れた製品を作っていますが、それらは他の製品と互換性がありません。類似例として、iPhone について考えてみましょう。iPhone は何台、充電器は何台あったでしょうか。サイバーセキュリティでも同様の状況です。最新の製品のセキュリティを確保するために数十億ドルが費やされていますが、製品に互換性がないため、再構成が必要になることがよくあります。一方、サイバー攻撃者は常に一歩先を行くことに長けているため、セキュリティチームはサイバーセキュリティの技術競争でトップに立つために最善を尽くさなければなりません。これは決して簡単な仕事ではありません。大多数の公益事業会社は、適切にアップグレードするための投資を優先しています。残念ながら、小規模な協同組合には、同じことを行うための資金がない場合がよくあります。
運用セキュリティにおける人員構成
電力会社の人員配置や運用セキュリティに関する社内フロアチャートに関しては、通常、最高情報セキュリティ責任者 (CISO) と最高情報責任者 (CIO) がいます。「CIO は、ICT フレームワークの使用を通じて利益を増やす方法を計算するだけでなく、制御の設定と起こりうる災害への計画によって支出を削減し、損害を制限するという重要な役割においてますます重要になっています。」26
エネルギー分野の大規模投資公益事業には、IT のシニア ディレクター レベルから数段階離れた CIO がいます。小規模な企業では、万能の状況になる傾向があります。つまり、サイバー セキュリティ分野で多面的なスキル セットを持つ人物または少人数のグループがトップにいます。電気技師や専門のメンテナンス チームがその役目を務めることもあります。組織によっては、産業 IT または運用 OT 技術グループを雇用または開発し、複数のメンバーからなるチームを編成して問題に取り組んでいます。80 年代には、企業に IT 部門はありませんでしたが、現在ではそれが当たり前になっています。公益事業は、コントロール グループと IT 組織の中間に位置する集合体を構築しており、両方の長所と問題点を理解できることを期待しています。
セキュリティ ソリューション ベンダーと「外部の思考」
電力会社は、セキュリティ ソリューション ベンダーの「外部からの考え方」に大きく依存しています。これらのベンダーはライフサイクル管理サービスを提供しており、互換性の問題やセキュリティ製品の導入方法を理解している人々と良好な関係を築いています。公益事業会社はテクノロジー企業ではないため、必要な技術的専門知識の提供をセキュリティ ベンダーに頼っています。とはいえ、エネルギー分野の企業は、過去に協力関係にあり、信頼しているベンダーと引き続き協力関係を維持する傾向があります。 この忠誠心は、個人的な長期にわたる関係に基づいている可能性があります。新しいテクノロジーを導入するためのトレーニングには費用がかかるため、公益事業会社は従業員が使い慣れている製品を使い続ける傾向があります。
最も影響力のあるベンダー
業界内のほとんどの人は、特に影響力のあるベンダーを特定するとなると名前を挙げたがりませんが、多くの公益事業会社は、EPC (設計、調達、建設) または Flur などのエンジニアリング会社を探しています。このようなベンダーは、コンクリート、金属加工、電気回路図に至るまで、プラントの設計を担当します。制御システムは、多くの場合、外部のベンダーに入札にかけられます。公益事業会社は、機能と接続するデバイスの種類を扱う仕様を準備します。その後、ベンダーはプロジェクトに入札し、他のセキュリティ ソリューション ベンダーと競争して、最良の価格で仕様を提供します。エネルギー分野の企業はコンプライアンスの問題に対処する必要があるため、調達ガイドラインと契約を調整して、仕様にサイバー セキュリティを含めています。
将来のセキュリティソリューションと製品
今後は、エネルギー インフラストラクチャをサイバー攻撃から守るという課題に対応するために設計された多くの新しいセキュリティ ソリューションと製品が、引き続き急速に進化していくでしょう。電力業界の多くの人々が望んでいるのは、企業のポリシー手順を統合したセキュリティ ソリューションの統合プラットフォームです。すでにいくつかのプラットフォームが運用されており、改良が続けられています。
制御システムのアップグレードは、古いコード ベースまたはレガシー コード ベースを使用している機関や組織で必要です。特に、発電所の制御システムが 10 年以上運用されている場合はなおさらです。これらのシステムの一部には、20 年前のコード ベースが含まれている可能性があります。これらの組織は、コードを 1 行ずつ書き直すような退行は行いません。代わりに、コード ベース全体が安全であることを示すために、新しい安全な方法を開発します。もちろん、新しい認証基準は必然的に登場し、それに準拠する必要があります。これにより、グリッドのセキュリティ向上に向けた継続的な進化が加速されます。
セキュリティ ソリューション ベンダーは、今日の公共事業体が直面している技術不足のギャップを埋めるために必要な、オペレーティング システムの異常や異常を検出する機能を備えたデバイスを持っています。これらのベンダーは、アンプのログ記録、パッチ適用、変更管理、MOC (認証の維持)、リモート アクセスのセキュリティも提供できます。これらの技術不足によって生じる特定のニーズを満たすには、さまざまなベンダーが必要になる場合があります。成功するベンダーは、OT 環境の仕様を満たし、可能な限り自給自足のセキュリティ製品を作成します。理想的には、他の多くのセキュリティ製品を合わせたよりも優れた運用セキュリティを実現する必要があります。もちろん、このタスクは想像するほど簡単ではありませんが、実行するのは難しいものです。
電力業界には、大手 ICS ベンダーの多くはイノベーションに優れていないと感じる人もいます。将来がどうなるか想像しにくいかもしれません。大手ベンダーは、より優れた、より安全な製品を作ることに注力していますが、エンド ユーザーが多くのベンダーの製品を採用していることに気付いていないことがよくあります。公益事業会社は、ネットワーク全体をより広い視野で見ることができ、単一のベンダーの機器に依存しない異種ソリューションを強く求めています。「スマート グリッドを構築する際の主な課題の 1 つは、適用する技術の異種特性に対処することです。製品のライフサイクルは数十年に及ぶ可能性があるため、さまざまなプロトコルや技術ソリューションの適用により、今後数年間でシステム全体の複雑さが大幅に増大します。この異種性により、最終的にはスマート グリッドへの攻撃対象領域が増加し、脆弱性の増大にもつながる可能性があります。」27
ICS ベンダーは、伝統的に、業務方法が確立された大企業です。現在、市場スペースには、ベンダー側にまで及ぶある程度の混乱があります。Bedrock Automation という新しい会社は、産業用制御システムをゼロから設計しています。同社は、サイバーセキュリティの現在の課題の多くに対処し、革新的になることを試みていますが、これは、本質的に取り組みが集中していないため、大手ベンダーが躊躇するものです。
公益事業向けのサイバー防御に携わるセキュリティソリューションベンダーは数多くあるが、 高度に専門化された ICS システムで使用されるコンポーネントの構築に重点を置いています。これは、業界ベンダーの製造の方向性に影響を与えたいと考えている人にとっては有利かもしれません。
現在、世界中から新しい製品が ICS 分野に参入していますが、それらは非常に複雑で、購入する企業でさえ完全に理解できないこともあります。これにより、攻撃者が製品に情報を隠し、オペレーティング システムやコード構造に深刻な損害を与えることが容易になります。この脅威により、以前は孤立していた企業が集まり、より信頼性の高いソリューションを作成することを目的としたコンソーシアムを結成するようになりました。
スマート メーター、分析製品、キー管理インフラストラクチャ、および高度化または拡大するサイバー脅威の検出に役立つあらゆる商品。これらはすべて、革新の余地があるセキュリティの追加領域であり、先見性のあるベンダーがニッチ市場を見つけたり、新しい有望な市場に進出したりできる可能性があります。
IDアクセスと認証の未来
多くのサイバー攻撃は、認証情報の漏洩や脆弱なパスワードの悪用によって開始されます。ID 認証管理は、より信頼性の高いシステムの重要なコンポーネントです。公開、運用、管理レベルの制御とは異なり、技術制御は、公益事業会社が運用能力を向上させるために採用する製品です。したがって、アクセス制御、ログオン時の認証、システムへの不要なエージェントの侵入防止に関しては、これらはベンダー レベルの製品にのみ組み込むことができる制御であり、ベンダーの焦点となります。
2要素認証 ユーザー名とパスワードを入力するだけで個人が OS にアクセスするのを防ぐことができます。現代の ICS システムでは、ベンダーは将来メンテナンスが必要になることを承知の上で製品を構築することがよくあります。メンテナンス担当者が使用するログイン機能は本質的に脆弱で、おそらく 4 文字だけを使用するものもあります。これらのパスワードは製品と一緒に配布されることがあり、エンド ユーザーが変更することはないため、一般に知られているパスワードとユーザー名を知っているサイバー攻撃者はシステムに簡単に侵入できます。これは、サイバー攻撃を阻止するのに役立つ、基本的で修正可能でコストがかからない方法の例です。ワンタイム パスワードとセキュリティ トークンも、ログイン時にシステム ユーザーを認証する便利な手段です。
2要素認証の時代が終わりに近づいていることは明らかです。サイバー空間がますますつながる世界では、より安全な本人確認手段を開発する必要があります。「生体認証は、身元確認方法の根本的な変化です。覚えておくか持ち歩く必要がある従来の身分証明書とは異なり、生体認証は は 音声分析、虹彩パターン、静脈マッチング、歩行分析などで構成されるあなたの特徴。これらの特徴は個人に固有のものであり、偽造することは非常に困難です。。」29 生体認証や、さらに安全な認証方法が間もなく登場します。エネルギー業界は、サイバーセキュリティの脅威を無効化するという課題に対応するために適応し、進化していきますが、業界の敵対者は非常に賢く、新しいテクノロジーを活用するための同じ競争に参加しています。
主な購入要因 セキュリティベンダーの選択
電力会社は、ICS ベンダーやセキュリティ ソリューション ベンダーを慎重に選択します。ベンダーの履歴を調べて、過去にどのような調査を行ったかを把握し、製品の原産国とその影響も考慮します。もちろん、エネルギー分野では、長年にわたる関係と信頼関係が重要です。 大規模な公共事業体が、潜在的に破壊的な何かを提供している小規模なスタートアップ企業と直接販売を行うことはまずありません。ほとんどの場合、スタートアップ企業は、セキュリティ会社や ICS ベンダーなどのチャネル パートナーを経由し、それらのチャネルが提供できる承認と信頼性を得る必要があります。
多くの企業は、NERC 標準とコンプライアンス基準を満たすことに関心があります。優れたセキュリティの副産物は優れたコンプライアンスであると信じ、最終的にはセキュリティに重点を置く必要があると主張する人もいます。セキュリティを実現するにはコストがかかるため、コンプライアンスが優先されることが何度もあります。ベンダーが提供するセキュリティ製品は、さまざまな制御システム内で適切に機能し、従来の製品や運用と統合され、コスト効率と競争力に優れている必要があります。
障害にもかかわらず、 は 新興企業やイノベーターが参入する余地はあります。市場は現在安全ではなく、どこからであれ実行可能なソリューションを求めています。新しいシステムが常に登場しています。エネルギー会社は、システム能力を備え、迅速に対応できるベンダーを探しています。状況の変化に応じてすぐに更新できる実行可能なソリューションを提供するベンダーを求めています。「イノベーターの役割は、レガシーを持たず、問題を新しい方法で見る意欲のある企業に委ねられています… は 小規模ベンダーにとって資金を獲得し、セキュリティ分野に参入するチャンスとなる。」30
サイバーセキュリティにはあらゆるものが関わっており、電力会社にとってベンダーの評判は大きな考慮事項です。IT/OT および物理セキュリティ担当者は毎年いくつかの会議に出席しますが、ベンダーの評判は常に関心の高い話題です。どのベンダーが優れていて、どのベンダーが悪いかについては、一般的なコンセンサスが形成されています。セキュリティ担当者は、誰が過大な約束をし、誰が期待に応えられないかを非常によく知っているため、評判は最も重要です。
海外のベンダーはアメリカの安全保障を信頼できるのか?
グローバルな商取引の世界では、エネルギー会社はセキュリティ上のニーズから海外のベンダーを選択することがありますが、アウトソーシングの決定は難しい場合があり、出荷品にリモートアクセスできるベンダーの身元調査を実施する際には問題が生じる可能性があります。これを明らかな脆弱性と見なす人もいます。場合によっては、政治的な状況により、企業が特定のベンダーを選択できないことがあります (例: 特定のコンポーネントがイスラエル製であるため、北米の企業が中東で製品を販売できないなど)。小規模な企業は、仕事をこなす限り、製品の原産地についてはそれほどこだわらないようです。
現在、イタリア、フランス、オランダには、小規模な新興 ICS セキュリティ プロバイダーがいくつかあります。米国では、成熟したインシデント対応能力を備えた公益事業会社にサービスを提供しているプロバイダーはほとんどありません。 海外のベンダーが米国で成功するには、米国を拠点としたインシデント対応が必須となる。海外のベンダーは、米国内に重要な物理的な代表部を置くことで、地理的境界と国家安全保障上の利益を尊重することが有益であると認識するでしょう。
米国では、「アメリカ製品を買う」ことの重要性について多くの人が語っています。自動車業界は興味深い類似点を示しています。自動車は、世界各地で製造されたさまざまな部品で構成され、最終的にテネシー州で組み立てられます。それでは、それは本当にアメリカ車なのでしょうか?エネルギー会社はグローバル市場で事業を展開しており、外国メーカーは、米国企業が使用する必要がある製品をますます生産するようになります。長年、IT、コンピューター、ソフトウェアは米国で製造されていましたが、現在はアウトソーシングが増えており、ドイツのシーメンスなどの企業を代表例として、アウトソーシングは今後も増加し続けるでしょう。
近い将来、仕様通りに製造され、信頼できるものであれば、製品の出所は問題ではなくなるかもしれません。購入者は、特定のセキュリティ製品を 毎 システムは多様化していますが、多様な製品を組み込むことを選択する場合もあります。サイバー攻撃では、ネットワーク全体に広がる 1 種類の製品がインフラストラクチャ全体をダウンさせる可能性があります。コンポーネントの多様性は、オペレーティング システムの回復力の向上につながります。コンポーネントの出所がどこであろうと、セキュリティ ソリューション ベンダーは、製品に関する安心感と信頼性を顧客に提供することが不可欠です。
もちろん、米国は英国、カナダ、ニュージーランド、オーストラリアなど、多くの「フライバイ」諸国と緊密な関係を築いている。これらの国々は諜報機関とも密接な関係があり、情報のやり取りや共有に慣れている。
規制当局との関係
サイバーセキュリティ市場への進出を希望する海外ベンダーは、規制当局とのネットワーク構築や緊密な関係構築が有益であると考えるかもしれませんが、そうした交流には注意が必要です。規制当局が客観性を保つために、そうした関係を禁止するポリシーや指令があります。人員の多い大企業は、規制当局との交流を深め、さまざまな課題を推進するかもしれませんが、コアテクノロジーの作成に携わる者にとっては、これはそれほど重要ではありません。
理想的には、規制当局は争いの渦中に巻き込まれずに活動するはずです。規制当局にはやるべき仕事があり、規制すべき分野があり、それが彼らの仕事です。サイバーセキュリティの世界では、公平性、技術的な正確性、公的審査、全体的な透明性が最も重要です。これらが欠けていると、どちらの方向にも関係に悪影響を与える可能性があります。
新規ベンダーは足場を築けるか?
ほとんどの人はエネルギー業界の主要なベンダーをよく知っている。. 石油・ガス業界のリーダーは、シェル、エクソン、シェブロンです。DCS 制御システム ベンダーとしては、ハネウェルとシーメンスが他を圧倒しています。業界リーダーを明確に定義するのは難しいかもしれませんが、1 つ確かなことがあります。大企業にはより大きな利害関係があり、常に世論に関連した大きな問題に対処しているということです。
セキュリティ ソリューション市場に足がかりを得ようとしている新しいベンダーにとって、それは非常に困難なことです。これらの新興企業の多くは、最初の 2 年間で失敗します。サイバー攻撃の脅威があるにもかかわらず、ベンダーは依然として潜在顧客の心をつかむという課題に直面しています。多くのエネルギー企業が十分なセキュリティを提供するために必要な保護に多額の投資を行うには、説得力のある根拠が必要です。「ベンダーが、実際の問題があり、優れたソリューションが不足していることを認識できない場合、市場に参入するのはおそらく困難です... 新興企業のアプローチは有望で、組織の環境に合わせて調整できるものでなければなりません。また、ベンダーには、変化する市場状況や進化するセキュリティ トレンドに機敏に対応できる、まとまりのあるチームがあるという感覚も必要です。」31
ベンダー、エネルギー業界、そして社会全体にとって問題なのは、セキュリティデューデリジェンスが何であるかを明確に定義した基準が存在しないことです。一部の分野では、サイバーセキュリティ対策の実装と強化に関する必要な行動を定義する規制がありますが、業界は依然として「やらなければならないこととやればよいこと」のグレーゾーンに陥っており、まだ結論を出す必要があるかもしれません。 問題点 会話を変え、不合理に思えたことが突然合理的になるような大惨事が起こる場所です。
はい、できます!
一方で、機知に富んだ新しいベンダーはコンプライアンス分野で市場シェアを獲得できると信じている人もいます。結局のところ、世界は常に良いもの、つまり新しくて革新的なものを求めています。多くの小規模ベンダーは、率直で信頼でき、率直で透明性があるため、貴重な関係を築いています。大企業だからといって必ずしも最高というわけではありません。本当に役立つテクノロジー システムを備えた小規模企業でも成功できます。素晴らしい製品、ツール、GRC は数多くあります。 (ガバナンス、リスク管理、コンプライアンス) パッケージはありますが、それらを運用し、保守できる人材が依然として必要です。最終的に勝利するベンダーは、人間の介入や保守をあまり必要としない製品を提供する必要があります。この分野では改善が必要であり、大きなチャンスが存在します。
このような機会があるにもかかわらず、市場参入ステータスを達成するのは容易ではないという事実は否定できません。新しいベンダーは優れた製品を持っているかもしれませんが、IT と OT の融合を実現し、特定の組織の要求と課題に対応するのは困難なことです。新しいベンダーや小規模ベンダーにとっては、公益事業との新しい関係を実現するために、大企業との提携を試みることが有益な場合が多くあります。最終的に、ベンダーは自社のテクノロジーが真のセキュリティ ソリューションを提供する理由について説得力のあるケースを提示する必要があります。市場はそのようなタイプのイノベーションを待っています。ニッチなアプリケーションは、コンプライアンスの面で有望な機会のもう 1 つの領域です。非常に焦点を絞った小規模なソリューションも市場で存在感がありますが、ここでもベンダーはより大規模なプレーヤーと提携する必要があるかもしれません。
サイバーセキュリティ市場調査ソリューション
サイバーセキュリティは新しいフロンティアであり、エネルギー分野だけでなく、今後数年間でその重要性は高まる一方です。サイバーセキュリティにおける主要な成長分野は、暗号化、データ保護、ウイルス、AI、ブロックチェーンです。サイバー攻撃の真の脅威は常に存在し、混乱を引き起こしたり、違法に利益を得たり、政治的な利益を得たりしようとする者たちがスキルを磨き続け、急速に進化する技術をサイバー攻撃の武器に取り入れているため、脅威は増大しています。セキュリティソリューションベンダーは、重要なエネルギーインフラとそのサービスを受ける人々を保護する上で重要な役割を果たしています。真のイノベーターが繁栄し、自社の製品が機能し、我が国の電力網の全体的な機能と世界中のエネルギー供給の信頼性に貢献していることを示す者たちも繁栄するでしょう。
以下のリンクは、この論文の作成に使用された情報源に対応しています。
-
http://securityaffairs.co/wordpress/25240/hacking/critical-infrastructure-hackers-targeted-public-utility-scada.html
-
http://usnews.nbcnews.com/_news/2013/02/19/17019005-successful-hacker-attack-could-cripple-us-infrastructure-experts-say?lite
-
http://itlaw.wikia.com/wiki/Cybersecurity_Framework
-
http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609
-
http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800_53_r4_draft_fpd.pdf
-
http://en.wikipedia.org/wiki/Heterogeneous_database_system
-
-
http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf
-
http://phys.org/news/2014-06-breaches.html
-
http://www.dhs.gov/publication/cybersecurity-insurance
-
http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf
-
http://www.whitehouse.gov/blog/2013/10/29/seeking-comments-preliminary-cybersecurity-framework
-
http://www.leadersinsecurity.org/events/icalrepeat.detail/2015/01/29/84/-/-.html
-
-
http://www.marketwatch.com/story/global-industrial-control-systems-ics-security-market-2014-2018pdf-2014-08-28
-
http://news.yahoo.com/smart-technology-could-utilities-more-vulnerable-hackers-013153609–finance.html
-
http://www.jocm.us/uploadfile/2013/0827/20130827022712405.pdf
-
http://www.welivesecurity.com/2014/02/05/weak-passwords-and-ancient-software-left-u-s-government-data-vulnerable-dhs-report-finds/
-
http://www.pbs.org/wgbh/nova/next/tech/biometrics-and-the-future-of-identification/
-
http://www.darkreading.com/small-vendors-driving-innovation-in-security-venture-capitalists-say/d/d-id/1134669
JA 
EN 
AR 
ZH 
ZH_HK 
FR 
DE 
IT 
KO 
PT 
ES 
TH 
HI