スマート工場のセキュリティを取り巻くガイドライン(5) CIS Controls
本連載は、ICSやOTセキュリティの汎用的なガイドラインの代表例を解説し、スマート工場のセキュリティに求められる考え方を理解することを目的としています。第5回では第4回で紹介したNIST SP800-53のサブセットとして、実践的なガイドに該当するCIS Controlsを解説します。
本連載は、ICSやOTセキュリティの汎用的なガイドラインの代表例を解説し、スマート工場のセキュリティに求められる考え方を理解することを目的としています。第5回では第4回で紹介したNIST SP800-53のサブセットとして、実践的なガイドに該当するCIS Controlsを解説します。
第1回はこちら
CIS ControlsとはCIS controlsは、組織がサイバーセキュリティのために最初に取るべき基本的な対策に重点を置いたフレームワークです。前述のNIST SP800-53のサブセットとして位置づけられます。元々は、SANS institute(ITセキュリティの教育を目的とした非営利組織)が2008年に取りまとめ、SANS Top20 Critical Security Controlsと呼ばれていたものが、2013年にCIS(The Center for Internet Security:サイバーセキュリティのベストプラクティスを提供するコミュニティ)に移管されました。
CIS Controlsは様々なセキュリティ対策における「膨大な選択肢による混沌(Fog of More)」の解決を目的としており、組織の大小を問わず、まずは最低限の対策で最大の効果を上げるための実践的なガイドを目指しています。
6つのBasic要件として、20のControls(管理策)とトータル171のSub-Controlsで構成されており、1-6のControlsはBasicとして位置づけられ、まずはこの6つのカテゴリから始めるように推奨されています。
1. Inventory and Control of Hardware Assets
ハードウェア資産の棚卸と管理
2. Inventory and Control of Software Assets
ソフトウェア資産の棚卸と管理
3. Continuous Vulnerability Management
継続的な脆弱性マネジメント
4. Controlled Use of Administrative Privileges
管理者権限のコントロール
5. Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
ハードウェア、ソフトウェア、モバイル、ノートPC、ワークステーション、サーバのセキュアな設定
6. Maintenance, Monitoring, and Analysis of Audit Logs
監査ログのメンテナンス、監視と分析
/smart-factory-guideline-ciscontrols/IoT200618-1.jpg)
コンセプトまた、CIS controlsは5つのコンセプトを基本として開発されています。
●Offense informs defense
攻撃から防御を学ぶ
●Prioritization
優先順位付け
●Measurements and Metrics
測定とメトリクス
●Continuous diagnostics and mitigation
継続的な診断とリスクの低減
●Automation
自動化
ここでの特徴は、「優先順位付け」と「自動化」でしょう。
優先順位は、これを利用する組織として「Implementation group」が定義されており、組織のリソースの小・中・大で、Sub-Controlのどこまでの対策が推奨されるかを提示しています。
また、自動化については、例えば
3.1 自動化された脆弱性スキャンツールの実行
5.5 自動化された設定のモニタリングシステム
という具体策が示されており、組織における信頼性や拡張性、継続的な測定を助けるものとして位置づけられています。
ICSへの適応さらに、ICS環境への適応ガイド(Implementation Guide for Industrial Control Systems)が提供されています。この文書では、Controlsごとに、ICS環境へのApplicability(適応の可能性)とConsideration(検討事項)が記載されています。
例えば、3の脆弱性マネジメントにおいて、CIS controlsのSub-Controlsで推奨されている脆弱性スキャンとパッチ適用の自動化はICS環境では適さないことがあるとされています。自動化を避け、定期メンテナンスや計画的なシャットダウン時のみに実行することで、可用性への影響を及ぼさないことへの注意がなされています。
CIS Controlsの肝はBasicの6項目であり、これはICS環境においても同様です。技術的な知識や経験が豊富ではない方や初めてセキュリティに取り組み始める場合には、まずこの6項目のチェックから始めてみるとよいでしょう。
〇参考:
●CIS Controls
●CIS Controls ICS Companion Guide
連載の総括連載5回の中で解説してきたガイドラインを分類すると、IEC62443はポリシーや組織作りからシステム、デバイスのサプライチェーンまで含めた業界全体を包括したものであると同時に、インシデントの発生を防ぐことを起点に体系化されたものと言えるでしょう。一方、NIST CSFは、インシデントの発生を前提にして、コンセプトと実践を分離して開発・改訂されています。
/smart-factory-guideline-ciscontrols/IoT200618-2.jpg)
ガイドラインはあくまで汎用的な基準や目安として開発されています。大切なことは、これらの本質を理解した上で、自組織の現実を正確に把握し、それと向き合うことなのではないでしょうか。
トレンドマイクロでは、スマート工場に向けたソリューションを提供しているだけではなく、多くの組織がリスクを評価・分析する上で、他にはないスマート工場に特化した先進的かつ現実的な脅威のリサーチを行い、研究成果を広く公開しています。このような情報も合わせて利用し、各組織におけるセキュリティ計画と実践にお役立ていただければ幸いです。
関連リンク:
●サイバー攻撃おとり調査(前編)~工場環境を模倣したシステムの構築~
●スマートファクトリーのセキュリティ(ソリューション)