ATT&CK for ICSを利用した攻撃者視点のOTセキュリティ評価

1．はじめに

サイバーセキュリティ対策を行う上で、サイバー攻撃に対する防御力を評価することは非常に有益です。自社のOT環境で発生する可能性のあるサイバー攻撃と、実際に攻撃を受けた場合の影響を分析し、現状の対策と照らし合わせることで、対策の有効性を評価したり、対策が不足している箇所を発見したりすることができます。本稿では、攻撃者の視点からOTセキュリティを評価することの必要性と、評価する際の留意点、ツールとしてのATT&CK for ICSについて紹介します。

2．攻撃者視点のOTセキュリティ評価の必要性

なぜ攻撃者視点でOTセキュリティを評価することが必要なのか、理由として以下の3点が挙げられます。

OT環境の制約から離れた視点の獲得

OT環境はOA（Office Automation）環境と比べて制約事項が多く、セキュリティ対策が制限される現実があります。例えば、設備の稼働に影響する可能性がある対策は実施できない、レガシーOSが残存しており最新のセキュリティ対策が適用できないなどのケースが考えられます。しかし、攻撃者は対策する側の事情を考慮してはくれず、対策に穴があれば攻撃に利用されてしまいます。

攻撃者の視点を持ち、OT環境の制約事項をいったん無視してOTセキュリティを評価することで、対策すべき脆弱な箇所を特定することができます。その上で、脆弱な箇所に対策を追加する、直接対策できない場合は攻撃の経路上で対策するなど、制約の範囲で有効な対策を取ることができれば、防御力の向上につながります。

対策の抜け漏れ防止

もしセキュリティ対策を行う際に想定するサイバー攻撃に抜け漏れがあれば、適切な対策を行うことはできません。自社のOT環境で発生する可能性のあるサイバー攻撃を網羅的に想定した上でOTセキュリティを評価することにより、対策の抜け漏れを防ぎ、有効な結果を得ることができます。

費用対効果の向上

セキュリティ対策は、スコープや効果の異なる複数の対策を組み合わせて実装されます。全てのサイバー攻撃に対して高いレベルの対策を取るには守りたい対象の全てに多くのセキュリティ対策を実装することとなり、費用や時間の制約などから現実的ではありません。そこで、攻撃者の視点で攻撃のしやすさ、攻撃による成果を考慮しながら対策を評価することで、より必要性の高い対策や重点的に守るべき攻撃経路を把握することができ、費用対効果を上げることが可能です。

3．評価における留意点

ここからは、攻撃者視点でのOTセキュリティ評価を行う上で留意しておくべきポイントを紹介します。

攻撃シナリオの網羅性の担保

何よりもまず、OT環境で起こり得るサイバー攻撃を網羅的に把握することが必要です。サイバーセキュリティに関する信頼に足る専門組織・機関が、OT環境におけるサイバー攻撃の一覧を公開しています。これを利用することにより、コストをかけずに網羅性を担保することができるでしょう（その代表例である「ATT&CK for ICS」について後述します）。

評価の正確性の担保

OT環境は個々に性質が異なるため、発生する可能性のあるサイバー攻撃も環境ごとに異なります。また、サイバー攻撃が発生した場合の影響についても環境によってさまざまです。したがって、正しい評価を得るためには、対象のOT環境の詳細を把握することが必要です。これによって、評価対象のOT環境で実際に起こり得るサイバー攻撃の発生可能性や攻撃による影響を、正しく見積もることができます。

把握すべきOT環境の詳細な内容としては、例えばネットワーク構成やUSBメモリの利用状況、各システムの役割と関係性、復旧の容易性、それらを踏まえた上での守るべきもの（守りたいもの）の優先順位付けなどが挙げられます。

継続的な評価の実施と対策の改善

サイバー攻撃の手法は常に進化しています。したがって、定期的に評価を行い、最新の攻撃手法に対してセキュリティ対策が十分かどうかを把握することが必要です。また、自社のOT環境の変化によって発生する可能性のあるサイバー攻撃が変わり、結果として必要なセキュリティ対策が変化することも考えられます。ネットワーク構成を変更したり、新たな技術の利用を開始したりする場合は、その前にセキュリティ評価を実施し、セキュリティ対策の変更要否についても検討するべきでしょう。継続的な評価の実施と、評価結果に基づく対策の改善によって、対策の有効性を維持・向上することができます。

4．OTセキュリティ評価に役立つATT&CK for ICS

最後に、OTセキュリティ評価に有用であろう参考資料を紹介します。「ATT&CK」（アタック）は、米国の非営利団体が作成している、攻撃者の戦術・攻撃手法に関するナレッジベースです。2013年に発表されて以降、継続的にアップデートされています。2020年1月には、産業用制御システム（ICS： Industrial Control System）版である「ATT&CK for ICS」が新たに公開されました。OT環境に対するサイバー攻撃が網羅的・体系的にまとめられており、これを活用することで抜け漏れのないOTセキュリティ評価をすることが可能になるでしょう。以下にその特徴を簡単に記します。

4.1 機能レベルと資産

ATT&CKは従来、エンタープライズ向けとモバイル向けのそれぞれが存在していました。ATT&CK for ICSには、これらと異なるOT環境特有の要素が2点追加されています。

Levels（機能レベル）

ATT&CK for ICSが対象とする領域は、パデューモデル^*1の機能レベルによって示されています。基本的には、レベル0―2がATT&CK for ICSの範囲になります（レベル3・4はATT&CK for Enterpriseの範囲）。自社のOT環境をパデューモデルに沿って理解することで、ATT&CK for ICSの対象範囲を把握することができます。

Assets（資産）

OT環境には多様な資産が存在します。ATT&CK for ICSではそれらの資産を一般化してAssetsとしてリストアップしています。Assetsの内容を理解し、個々の攻撃手法が自社環境のどの資産に影響するかを把握することで、対策に役立てることができます。

4.2 Tactics（戦術）とTechniques（攻撃手法）

ATT&CK for ICSのもう一つの特徴として、Matrixという形で攻撃者の戦術と攻撃手法が整理されていることが挙げられます。

Matrixの横の軸はTactics（戦術）が並び、縦の軸にはそれぞれのTacticsで使用されるTechniques（攻撃手法）が一覧化されています。攻撃はTacticsの左から右に向かって行われます。起こり得る攻撃を段階ごとに網羅的に把握できる点で非常に有益と考えられますが、いくつかのステップがスキップされたり、Tacticsの右端のImpactに至る以前に攻撃者の目的が達成されたりするケースも考えられるので、必ずしも全ての手順が踏まれるわけではないことに注意する必要があります。

こうした資料をもとにすることで、効率的に対策を練ることができるようになるでしょう。攻撃手法の具体的な事例や緩和策を把握することもできる実用的な内容ですので、理解を深められてはいかがでしょうか。

*1：コンピュータ統合生産（CIM : Computer Integrated Manufacturing）のためのエンタープライズアーキテクチャの標準モデル。

執筆者

上村益永

パートナー, PwCコンサルティング合同会社

木佐森幸太

マネージャー, PwCコンサルティング合同会社

デジタル化する工場のサイバーセキュリティ

9 results

2022-11-08

重要インフラプラント業界におけるOTセキュリティ最前線（JGC）

大規模プラントの建設プロジェクトをグローバルで展開する日揮グローバル株式会社（JGC）のプリンシパルエンジニアである武藤恒司氏と竹内陽祐氏をお迎えし、プラントのエンジニアリング事業におけるOTサイバーセキュリティの「今」について伺いました。

2022-05-31

「デジタル化する工場のサイバーセキュリティ」OT環境を狙った高度なサイバー攻撃とその対策

OT環境を狙った高度なサイバー攻撃の特徴やイメージ、攻撃への備えについて解説します。

2021-07-07

医薬品の生産と研究を守るOTセキュリティ（アステラス製薬株式会社）

セキュリティ脅威が急速に高まる製薬業界。製造設備や研究・開発設備のセキュリティをどのように強化していくべきなのか。アステラス製薬株式会社の上杉麗子氏に、同社がOTセキュリティに注力する背景から目指す未来像までを伺いました。

2020-11-27

「デジタル化する工場のサイバーセキュリティ」ATT&CK for ICSを利用した攻撃者視点のOTセキュリティ評価

攻撃者の視点からOTセキュリティを評価することの必要性と、評価する際の留意点、評価に役立つ参考資料としてATT&CK for ICSを紹介します。

ATT&CK for ICSを利用した攻撃者視点のOTセキュリティ評価

1．はじめに