OT資産の脅威レベルを評価(ステップ3)

脅威(攻撃)を特定

機器(装置)に対する脅威通信経路(ネットワーク)に対する脅威 に分け、各項目を簡単に説明します。

機器(装置)に対する脅威(主なもの)

  1. 不正アクセス(リモートからの侵入)
    • 説明:ネットワーク経由で機器に侵入し、操作や情報取得を行う攻撃。
    • 具体例:盗まれたID/パスワードでログイン、未認証の機器へアクセス、ソフトの脆弱性を突く。
    • 対策:強い認証(パスワード管理・多要素認証)、不要なポートやサービスは無効化、定期的な脆弱性対応。
  2. 物理的侵入
    • 説明:サーバ室やラックなど、物理的に立ち入って機器を操作・持ち出す。
    • 具体例:敷地内への不正侵入、ラックの不正開放。
    • 対策:入退室管理(カード・監視カメラ)、鍵付きラック、資産管理。
  3. 不正操作(コンソールなどの直接操作)
    • 説明:機器に直接接続して操作することで不正を行う。
    • 具体例:盗用した資格情報で現地コンソールにログイン。
    • 対策:コンソールアクセス制限、ログ監査、現地アクセスの二重認証。
  4. 過失操作(ヒューマンミスを悪用)
    • 説明:内部関係者のミスや誘導により、意図せず攻撃が成立する。
    • 具体例:感染したUSBを接続、危険な添付ファイルを開く。
    • 対策:教育・訓練、メール添付の検査、接続媒体ポリシー。
  5. 不正媒体・機器接続
    • 説明:外部から持ち込まれたUSB等を使って攻撃を行う。
    • 具体例:不正USBを差し込んでマルウェアを展開。
    • 対策:USBポート無効化/制御、媒体検査、ホワイトリスト化。
  6. プロセス不正実行
    • 説明:正規のプログラムやサービスを不正に起動・利用して攻撃する。
    • 具体例:管理ツールを使って望ましくないコマンドを実行。
    • 対策:プロセス監視、実行ファイルの整合性チェック、最小権限。
  7. マルウェア感染
    • 説明:不正プログラムを機器に感染させて機能を損なわせたり情報を盗む。
    • 具体例:ランサムウェア、トロイの木馬。
    • 対策:エンドポイント保護、脆弱性対応、バックアップ。
  8. 情報窃取(データの盗み出し)
    • 説明:機器内の機密情報を外部へ持ち出す。
    • 具体例:認証情報や制御パラメータの持ち出し。
    • 対策:アクセス制御、データ暗号化、ログ監査。
  9. 情報改ざん
    • 説明:機器内のソフトや設定を改ざんして正常動作を阻害する。
    • 具体例:制御プログラムの書き換え。
    • 対策:署名付きファームウェア、整合性チェック、変更管理。
  10. 情報破壊
    • 説明:データを削除したり暗号化して使えなくする。
    • 具体例:制御データの削除、ランサム化。
    • 対策:定期バックアップ、復元手順、アクセス制限。
  11. 不正送信(悪意ある命令送出)
    • 説明:他機器に対し不正な制御コマンドやデータを送る。
    • 具体例:電源断コマンドの送信、改ざんした制御値の送信。
    • 対策:コマンド認証、通信の整合性チェック、送信元の検証。
  12. 機能停止(可用性の喪失)
    • 説明:機器の機能を停止させる攻撃。
    • 具体例:停止コマンドの不正実行、脆弱性を突いたクラッシュ。
    • 対策:冗長化、監視アラート、脆弱性修正。
  13. 制御不能・異常動作
    • 説明:機器が制御不能になったり誤動作する状態を作る。
    • 具体例:不正命令で異常動作を引き起こす。
    • 対策:安全フェール機構、入力検証、異常時の自動復旧策。
  14. 高負荷攻撃(DoS/DDoS)
    • 説明:大量処理要求で機器を過負荷にし正常動作を妨げる。
    • 具体例:大量データ送信、脆弱性を突くサービス例外の連続要求。
    • 対策:トラフィック制御、レート制限、ネットワークの分離。
  15. 窃盗(機器の持ち出し)
    • 説明:機器自体を盗んで利用や情報取得を行う。
    • 具体例:機器をネットワークから切り離して持ち出す、保守端末の盗難。
    • 対策:物理施錠、資産管理、端末の遠隔消去。
  16. 盗難・廃棄後の分解による情報窃取
    • 説明:盗難や廃棄後に機器が分解され内部のデータが盗まれる。
    • 具体例:リバースエンジニアリング、メディアからのデータ復旧。
    • 対策:廃棄前の安全消去、ディスク暗号化、資産追跡。

通信経路(ネットワーク)に対する脅威

  1. 経路遮断(物理的切断)
    • 説明:ケーブル切断や抜去で通信を止める。
    • 対策:二重化、物理保護。
  2. 通信輻輳(過負荷)
    • 説明:容量を超えるトラフィックで通信を遅く/止める(DoSの一形態)。
    • 対策:帯域制御、ネットワーク分離。
  3. 無線妨害
    • 説明:電波を妨害して無線通信を阻害する。
    • 対策:干渉検知、周波数の冗長化、有線化検討。
  4. 盗聴(パケットの傍受)
    • 説明:ネットワーク上のデータを盗み見る。
    • 対策:通信の暗号化(TLS、VPN)、ネットワークセグメンテーション。
  5. 通信データ改ざん
    • 説明:送受信中のデータを書き換える。
    • 対策:メッセージ認証(MAC)、TLSや署名で整合性保護。
  6. 不正機器接続(ネットワークへの勝手な参加)
    • 説明:無許可の端末や不正な無線中継器を接続してネットワークに侵入・拡大する。
    • 対策:ネットワークアクセス制御(NAC)、MACフィルタリング、無線の管理と監視。

まず押さえるべきポイント

  • 「機器」と「通信」の両方」が狙われる。片方だけ守っても不十分。
  • 認証・アクセス制御・暗号化・監視 が基本の柱。これらを組み合わせること。
  • 物理対策(入退室、施錠、廃棄処理)もサイバー対策の重要な一部。
  • 人的要因(過失) が入り口になることが多い → 教育と運用ルールを整える。
  • 冗長化とバックアップ は情報破壊や機能停止に対する有効策。

ワンポイント実践

  • パスワードは複雑に、可能なら多要素認証を導入。
  • 不要なサービス・ポートは停止。
  • 重要データは暗号化して保存・送信。
  • USB等の外部媒体は制限またはスキャン。
  • 機器・ソフトの更新(パッチ)を定期的に実施。
  • 入退室と資産を記録・監査。
  • ネットワークはセグメント分け(制御系と汎用系は分離)。
  • 監視ログを保存し、異常を検知したら即対応できる手順を用意

脅威レベルを評価

資産ごとに重要度を決めた後は、その資産に対して脅威(攻撃や事故)がどの程度発生しやすいかを評価します。これを 脅威レベル と呼びます。

脅威レベルの評価の基本

  • 脅威レベルは、「攻撃者が侵入口から侵入し、攻撃拠点に到達し、最終攻撃を実行する可能性」を数値化したもの 。
  • 1~3段階で評価するのが一般的。
    • 3(高):脅威が発生する可能性が高い
    • 2(中):発生可能性が中程度
    • 1(低):発生可能性が低い

評価の観点

  1. 攻撃者のタイプ
    • 想定する攻撃者を「悪意ある第三者」または「内部犯行者」とする制御システムのセキュリティリスク分析ガイド第2版 。
    • 動機や知識レベルによって脅威レベルは変動。
  2. 資産の物理的・論理的配置
    • 複数の認証が必要なサーバルーム内資産 → 脅威レベル低
    • インターネット直結資産や境界防御が弱い資産 → 脅威レベル高
  3. セキュリティ対策の有無
    • 入退管理なし → 脅威レベル3
    • 一般的なアクセス制限あり → 脅威レベル2
    • 生体認証や多層防御あり → 脅威レベル1

実務での使い方

  • 資産ごとに脅威(攻撃手法)を列挙し、該当しないものは対象外にする。
  • 該当する脅威は上記基準をもとに 1~3 のレベルを記入する。
  • 判定に迷った場合は「高め(厳しめ)」に設定し、備考に根拠を残すことが推奨されている。

簡易評価法(例)

  • 物理侵入
    • 入退管理なし → レベル3
    • 鍵やICカードのみ → レベル2
    • 生体認証+監視カメラあり → レベル1
  • ネットワーク侵入
    • インターネット直結 → レベル3
    • 単一のファイアウォールあり → レベル2
    • 異種ファイアウォール多層防御 → レベル1 。

コメント