インダストリアルIoTソリューションにおける10のセキュリティゴールデンルール

産業用デジタルトランスフォーメーションは、オペレーショナルテクノロジー（OT）の状況に変化をもたらし、インターネット、ITシステム、およびソリューションとの接続性を高めています。オペレーショナルテクノロジーとは、ハードウェアとソフトウェアを使用して、物理的な資産と生産オペレーションを監視および制御することです。OTの要素である産業用制御システム（ICS）は、産業でプロセス制御に使用されるいくつかの種類の制御システムと関連する計器類を含む一般的な用語です。これらの環境が進化し続けるにつれて、OT環境はより多くのITソリューションを活用して、生産オペレーションにおける生産性と効率を向上させています。このITとOTシステムの融合により、厳しい条件のネットワーク環境に耐えるように設計された技術とそうでない技術が混在しており、リスク管理の課題が生じています。産業用機器のインターネット（IIoT）は、産業用制御システムと業務システム、インターネット、ビジネスプロセス、分析を接続および統合するシステムであり、スマートマニュファクチャリングおよびインダストリー4.0の重要な要素です。これは、産業環境で使用可能な技術の範囲を大幅に拡大しました。本記事では、このOT/ITの融合について説明し、産業分野のお客様が適切に管理しなければならない新しいセキュリティリスクと課題を紹介します。

企業が産業デジタルトランスフォーメーションを安全かつセキュアに進められるよう、AWSはICS/OTやIIoT、さらにクラウド環境を保護するための多層の手段を推奨しています。これは、次の10のゴールデンルールで捉えられています。

1. 共通のフレームワーク（MITRE ATT&CKなど）を使用してサイバーセキュリティリスクを評価し、それをシステム設計に活用する

• OT環境でIT技術を活用する前に、サイバーセキュリティリスクを評価し、リスク・ギャップ・脆弱性を完全に理解し積極的に管理します。また最新の脅威モデルを作成し、維持します。
• 産業非武装地帯（IDMZ）の設立およびゾーン間のトラフィックの制御（Purdueモデルなど）を含む、事前に定義された区域モデルに基づいて、産業プラントネットワークをセグメント化します。
• マイクロセグメンテーションの手法に従います。つまり、コンポーネント毎に小さな島を構築することで相互にのみ通信し、セグメント間のネットワークトラフィックを制御します。
• ファイアウォールと単方向ゲートウェイを使用して、ネットワークセグメント間の情報フローを制御します。
• プロトコル変換により、安全でないプロトコルを安全なプロトコルに変換します。
• 可能であれば、セーフティクリティカルなネットワークをビジネスネットワークおよび制御ネットワークから分離します。
• 安全でない資産を保護できない場合は、ネットワークから切り離すか切断します。
• さらに、安全なネットワーク基盤をクラウドで維持管理します。

AWSリソース

AWSは、適切なネットワークセグメンテーションの作成と維持、またAWSクラウドへのトラフィックを安全に制御するために、次のサービスを提供しています。

1. AWS Virtual Private Network (VPN) ソリューションは、産業プラントとAWSグローバルネットワーク間の安全な接続を確立します。
2. AWS Direct Connectは、お客様の施設からAWSへの専用ネットワーク接続を簡単に確立できるクラウドサービスソリューションです。
3. AWS Transit Gatewayは、中央のハブを介してVPCとオンプレミスネットワークを接続できます。
4. AWS Network Firewallは、すべてのAmazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイ可能なマネージド型サービスです。
5. Amazon Virtual Private Cloudは、ユーザーが定義した論理的に分離された仮想ネットワークでAWSリソースを起動できるサービスです。

2. すべての接続機器の資産一覧とネットワーク構成を最新に維持する

• 優れたセキュリティプログラムを利用する重要なことは、OT/IIoTシステム全体を可視化し、公開ネットワークと最新のセキュリティ制御に対応していないシステムを把握することです。
• すべてのOT/IIoT資産の一覧を作成し維持管理します。これは製造元、モデル、場所、ハードウェアおよびソフトウェア構成などの主要な特性とともに製造現場にある接続機器の記録システムと単一の情報源として役立ちます。
• 機能（セーフティクリティカル、制御、エッジなど）、ソフトウェア更新（パッチ適用）の適用可否、ネットワーク設計（オープンネットワークまたはクローズドネットワーク用に設計）に基づいて分類し、その重要性と最新のセキュリティ制御に対応しているか認識できるようにします。補完統制は、必要に応じてリスクを軽減するために取り入れられます。
• これらの資産とそれらの関係（資産の階層）がどのように相互接続されているかを示す最新のネットワーク構成図を作成し、維持管理し、ネットワークセキュリティ構成を評価します。
• OT/IIoT資産情報を業務資産管理システムに統合することを検討してください。

AWSリソース

AWS は、接続された資産の一覧の作成と維持管理に役立つ次の資料とサービスを提供しています。

1. AWS IoT Device ManagementはAWS IoTに接続された機器のためのサービスです
2. AWS Systems Managerインベントリはクラウド上のインスタンスおよびオンプレミスコンピュータのために利用できます

3. 最新のIIoT機器とシステムに一意のIDと認証情報をプロビジョニングし、認証および権限制御の仕組みを用いる

• 最新のIIoT機器に一意のIDを割り当てて、機器が他の機器またはクラウドサービスに接続するときに、X.509証明書、セキュリティトークン、またはその他の認証情報などのプリンシパルを使用して認証することによって信頼を確立する必要があります。
• 認証情報の生成、配布、ローテーション、失効を容易にする仕組みを構築します。
• 機器で使用可能な場合は、トラステッド プラットフォーム モジュール（TPM）などのハードウェア保護されたモジュールを使用して、信頼のルートを確立します。
• ローカルおよびクラウドリソースにアクセスするOT/IIoT機器、エッジゲートウェイ、およびエージェントソフトウェアに対して最小権限のみ設定します。
• 認証情報と秘密鍵をハードコーディングやOT/IIoT機器でローカルに保存することを避けます。

AWSリソース

AWSは、モダンなIIoT資産のプロビジョニングと保護に役立つ次の資料とサービスを提供しています。

1. AWS IoTのセキュリティとアイデンティティ
2. Amazon Cognitoは、ウェブおよびモバイルアプリケーションの認証、承認、ユーザー管理を提供するサービスです。
3. AWS Identity and Access Management (IAM) は、AWSのサービスおよびリソースへのアクセスを安全に管理できるようにするサービスです。
4. AWS IoT Greengrassのデバイス認証と認可
5. AWS Secrets Managerは、秘密情報をクラウドに安全に保存および管理し、AWS KMSを使用して秘密情報を暗号化するために使用できるサービスです。
6. AWS Key Management Service (KMS)を使用すると、クラウドでの暗号化操作に使用される鍵を簡単に作成および制御できます。

4. OTおよびIIoT固有のパッチ管理を優先して実装し、ソフトウェアおよびファームウェアのための適切な更新の仕組みを定義する

• ソフトウェアの採用と複雑さが増すにつれて、欠陥の数も増え、その一部は悪用可能な脆弱性になります。脆弱性を排除しながら、最も重要な資産に最初にパッチを適用して、重要度（CVSSスコアなど）で優先順位を付けます。
• セキュリティ上の脆弱性にパッチを当てたり、機器の機能を向上させたりするために、現場の機器にソフトウェアやファームウェアをプッシュする仕組みを用意します。
• ソフトウェアの実行を開始する前に、ソフトウェアの完全性を検証し、信頼できる情報源（ベンダーが署名したもの）からのものであること、およびソフトウェアが安全な方法で取得されていることを確認します。
• ソフトウェア配布用のリポジトリとその配信システムで、認証とアクセス制御を採用します。
• バージョンやパッチの適応状況など、OT/IIoTシステム全体で配布されたソフトウェアの資産一覧を維持管理します。
• OT/IIoTシステム全体の導入状況を監視し、失敗または停止した導入を調査します。
• 通知の仕組みを維持管理して、インフラストラクチャが機器群にセキュリティ更新を配信できない場合に、利害関係者に直ちに警報を送信します。
• 更新を受信できない古い機器およびIIoTシステムを特定し、ネットワーク分離、または置き換える仕組みを構築します。
• OT/IIoT機器のパッチの配布は、実稼働環境に実装する前にテスト環境でパッチを検証した後にのみ実行します。

AWSリソース

AWSは、継続的な開発と配信のパイプラインの整理と維持管理に役立つ次の資料とサービスを提供しています。

1. FreeRTOSの無線 (OTA) 更新
2. AWS IoT GreengrassコアソフトウェアOTA更新
3. AWS IoTジョブはAWS IoTに接続された1つ以上の機器に送信して実行する一連の遠隔操作を定義できます。
4. AWS Systems Manager Patch Managerは、セキュリティ関連の更新と、オペレーティングシステムやアプリケーションなどの他のタイプの更新の両方を使用して、マネージドインスタンスにパッチを適用するプロセスを自動化します。

5. 保管中のデータを暗号化することにより、エッジおよびクラウド上にある製造データを保護し、安全なデータ共有、ガバナンスのための仕組みを構築する

• 先のリスク分析に基づいて、IIoTシステム全体で収集されたデータを特定し、分類します。
• 保管中の本番データを監視して、不正なデータ変更の可能性を特定します。
• 最小権限の原則を使用してアクセス制御を適用し、データアクセスを監視/監査します。
• アクセス制御は、ファイアウォール、単方向ネットワークデバイス、データダイオードなどのセキュリティ機器を使用して、接続レイヤでも適用する必要があります。
• 未使用データの収集を停止したり、データの粒度や保存期間を調整したりする機会を特定し、実行する。
• IoT機器とシステムを製造、配布、運用する管轄区域における顧客のプライバシーと透明性の期待と、対応する法的要件を考慮してください。

AWSリソース

AWSは、エッジおよびクラウドでの製造データの保護に役立つ次の資料とサービスを提供しています。

1. セキュリティとコンプライアンスに関するAWSの責任共有モデル。
2. AWSデータプライバシー
3. AWSコンプライアンスプログラムとサービス
4. AWSコンプライアンスソリューションガイド
5. AWS KMSを使用すると、クラウドでの暗号化操作に使用される鍵を簡単に作成および制御できます。
6. AWS IoT SiteWiseでのデータ保護
7. Amazon Macieは、機密なIIoTデータを大規模に検出して保護します。

6. センサー/機器データ、管理、プロビジョニング、配布などを含む送信中のすべてのデータを可能な限り暗号化し、安全でない産業用プロトコルを使用する場合は、データソースにできるだけ近い場所で標準化された安全なプロトコルに変換します

• 最新のインターネットネイティブな暗号化ネットワークプロトコルを選択することで、データ転送、監視、管理、プロビジョニング、および展開に使用するインバウンドおよびアウトバウンドのネットワーク通信チャネルの機密性と整合性を保護します。
• 可能であれば、所定の環境内に実装されるプロトコルの数を制限し、使用されていない既定のネットワークサービスを無効にします。
• セキュリティ機能を提供する新しいバージョンの産業用プロトコルを選択し、CIPセキュリティ、Modbusセキュア、OPC UAなどのICSプロトコルを使用する場合には利用できる最高レベルの暗号化を設定します。
• 安全な産業用プロトコルを使用できない場合には、プロトコル変換によって信頼境界を厳しくし、安全でないプロトコルをデータソースにできるだけ近い場所で安全なプロトコルに変換します。またはICS機器を機能領域にグループ化して、プラントネットワークをより小さなセル/エリアゾーンに分離し、安全でない通信の範囲とエリアを制限します。一方向データフロー用の単方向ゲートウェイとデータダイオード、およびICSプロトコルを理解し、セル/エリアゾーンに出入りするトラフィックを検査し、制御ネットワーク内の異常な動作を検出できる特殊なファイアウォールと検査製品を使用します。
• ネットワークセグメンテーション/分離が安全でない制御機器/プロトコルが選択できない場合、ネットワークはそれらの安全でないシステムをネットワークから隔離または切断します。
• PoC、プロトタイプなどの間にインストールされる脆弱な無線ネットワークを識別および無効化する仕組みを備えます。作業現場では必要なセキュリティ承認がされないことがよくあります。

AWSリソース

AWSは、安全なネットワーク通信を支援するために、次の資料とサービスを提供しています。

1. AWS IoT SDKを使用すると、デバイスをAWS IoTに安全かつ迅速に接続できます。
2. 組み込みアプリケーションの通信とセキュリティのためのFreeRTOSライブラリ
3. AWS IoT SiteWiseのセキュリティのベストプラクティス

7. 接続されているすべてのリソース、特にインターネットに接続されたリソースを強化し、クラウドサービスへの安全な接続とオンプレミスリソースへの安全な遠隔アクセスを確立します

• IIoT機器やエッジゲートウェイなどのインターネット接続ネットワークリソースは、NISTガイドラインに従って強化する必要があります。
• 長期認証情報の代わりにデバイス証明書と一時的な認証情報を使用して、AWSクラウドサービスにアクセスし、専用のセキュアエレメントやセキュアフラッシュなどの仕組みを使用して、保管中の機器の認証情報を保護します。
• オンプレミスのマネージドインフラストラクチャソリューションを使用して、管理と監視を簡素化します。
• 安全な接続を介して遠隔機器と双方向通信するための仕組みを構築します。
• クラウドサービスへの安全な接続を確立し、これらの接続を監視します。
• お客様のIIoTシステムを改善したタイミングが、攻撃対象領域が最小化されているか定期的に見直し特定する機会です。
• OT/IIoT資産を物理的に囲い、保護します。

AWSリソース

AWSは、クラウドに接続されたネットワークリソースを保護し、オンプレミスのコンピューティングリソースを安全に管理するために、次の資料とサービスを提供しています。

1. 一般的なサーバセキュリティのためのNISTガイド
2. AWS IoT Greengrassのハードウェアセキュリティ
3. エッジでシークレットを操作する
4. AWS Systems Managerは、運用上のインサイトを収集し、日常的な管理タスクを実行するための一元化され一貫した方法を提供します。
5. AWS Outpostsは、AWSクラウドをオンプレミス環境に拡張し、AWSクラウドと同様のAWSインフラストラクチャ、サービス、API、管理ツール、サポート、運用モデルを提供する完全マネージド型のハイブリッドソリューションです。
6. AWS Snow Familyは、エッジでデータを収集して処理するための安全性の高いポータブル機器を提供します。
7. AWS IoT Device Managementのセキュアトンネリングにより、遠隔地の制限付きファイアウォールの裏にあるIIoT機器に安全にアクセスし、トラブルシューティング、設定の更新、およびその他の運用タスクを実行できます。
8. プラントネットワークからAmazon VPCへの接続の選択肢
9. 追加のセキュリティ対策として、AWS IoT Greengrassは443ポートを使用するか、ネットワークプロキシを介してAWS IoT Coreに接続できます

8. OTとIIoTにセキュリティ監査・監視の仕組みを導入し、OT/IIoTとクラウド全体でセキュリティ通知を一元的に管理

• 監査・監視の仕組みを導入し、OT/IIoTシステム全体から統計情報とログを継続的に収集およびレポートします。
• OTおよびIIoT環境に監視ソリューションを実装して、産業用ネットワークトラフィックの基準値を作成し、異常と基準値への順守を監視します。
• ネットワークログ、アクセス制御特権、資産構成を定期的に確認します。
• セキュリティ・オペレーション・センター（SOC）内などのセキュリティ情報およびイベント管理（SIEM）クラスのソリューションなど、専用のツールを使用して、セキュリティログを収集し、リアルタイムに分析します。
• セキュリティ制御とシステムを明示的に検査して、セキュリティ制御とシステムがに欠陥がないか継続的に確認します。

AWSリソース

AWSは、様々なレベルでセキュリティを監視するのに役立つ次の資料とサービスを提供しています。

1. AWS IoT Device Defenderは、IoT機器群を監視および監査します。
2. CloudWatch LogsでAWS IoTを監視し、使用しているすべてのシステム、アプリケーション、AWSサービスのログを、高度にスケーラブルなサービスで一元管理します。
3. AWS IoTのAPI呼び出しをAWS CloudTrailで記録し、ユーザー、ロール、またはAWSサービスによるAWS IoTでの操作を記録できます。
4. AWS IoT Greengrassのログによる監視
5. AWS ConfigはAWSリソースの設定を評価、監査、評価します。
6. Amazon GuardDutyは、悪意のある操作や不正な動作を継続的に監視し、AWSアカウントとワークロードを保護します。
7. AWS Security HubはAWSセキュリティ監査を自動化し、セキュリティ通知を一元化します。

9. セキュリティ事故対応マニュアルを作成し、事故を抑え良好な状態に戻すために、セキュリティ対応を成熟させ自動化の仕組み構築する

• 監視機能を検査するために、セキュリティ事故対応マニュアルを維持管理し、定期的に訓練する。
• 自動化されたツールを使用して、セキュリティログを収集し、リアルタイムで分析します。予期せぬ発見の対応マニュアルを構築します。
• 役割と責任を明確に整理したセキュリティ事故対応マニュアルを作成します。
• 事故対応の手順を定期的にテストします。
• 手順の安定性が高まるにつれて対応を自動化しますが、人間による対応も訓練しておきます。自動化された手順が検証されたら、その実行のトリガーを自動化します。

AWSリソース

AWSは、事故対応マニュアルの監視と作成に役立つ以下の資料とサービスを提供しています。

1. AWSのセキュリティ事故対応ガイド
2. AWS Systems Managerは、運用上の洞察を収集し、日常的な管理タスクを実行するための一元化され一貫した方法を提供します。

10. バックアップとサイバーセキュリティテストの計画を含む、事業継続性と復旧計画を作成する

• 事業継続計画と事故復旧計画を作成して、インダストリー4.0システムの耐障害性を確保することに重点を置きます。計画を定期的に検査し、テストと実際のセキュリティ事故から学んだ教訓に従って計画を調整します。
• 事業継続性と復旧計画には、第3者の意見を含めます。
• 目標復旧時間（RTO）、目標復旧時点（RPO）など、企業の事業継続性に関する重要な指標を定義します。
• エッジで復元機能を使用して、データの復元力とバックアップの需要に対応します。
• クラウドサービスを利用してバックアップと事業継続性を実現します。
• OTとIIoTのサイバーセキュリティテストを定期的に実施して、機器とOTシステム、エッジゲートウェイ、ネットワーク、通信、クラウドサービスを検査します。

AWSリソース

AWSは、バックアップ、復元、サイバーセキュリティテストに役立つ次の資料とサービスを提供しています。

• AWS Well Architected Framework IoT Lensを使用して、アーキテクチャのベストプラクティスに沿ったIIoTワークロードを設計、展開および構築します。
• AWS IoT Greengrassでは、データの復元力とバックアップに対応しています。
• AWSでのバックアップと復元のユースケース
• CloudEndureのディザスタリカバリにより、AWSへの高速かつ信頼性の高い復元を実現します。
• AWS Backupは、AWSのサービス全体のバックアップを一元的に管理および自動化します。

まとめ

本記事では、AWSの多層のセキュリティ手法と包括的なセキュリティサービスと機能を使用してIIoTインフラストラクチャを安全に保つためのベストプラクティスをいくつか紹介しました。AWSの産業IoTセキュリティは、業界標準としてよく知られているサイバーセキュリティフレームワークに基づいて構築されています。産業業界の企業では、AWSセキュリティサービスに関する多くの選択肢があり、AWSセキュリティコンピテンシー取得パートナーが提供するIIoTワークロード向けのセキュリティ重視のパートナーソリューションのネットワークから柔軟に選択できます。AWSは、包括的で継続的かつ弾力性の高いIIoTセキュリティ、コンプライアンス、ガバナンスのソリューションに向けて、より簡単で迅速で費用対効果の高い方法をお客様に提供します。詳細については、「AWSでの産業用モノのインターネット」および「製造OTのためのAWSセキュリティのベストプラクティス」を参照ください。

著者について

Ryan Dsouzaは、アマゾンウェブサービス (AWS) の産業IoT (IIoT) のグローバルソリューションアーキテクトです。ニューヨーク市に拠点を置くRyanは、測定可能な事業成果をもたらすAWSプラットフォームの幅広さと奥行きのある機能を使用して、安全でスケーラブルな非常に革新的なソリューションの設計、開発、運用を支援しています。Ryanは、デジタルプラットフォーム、スマートマニュファクチャリング、エネルギー管理、ビルおよび産業オートメーション、IIoTセキュリティにおいて、さまざまな業界で25年以上の経験を有しています。AWS入社前は、アクセンチュア、シーメンス、ゼネラル・エレクトリック、IBM、AECOMで勤務し、デジタルトランスフォーメーションのイニシアチブで顧客にサービスを提供していました。

本記事は、原文を飯塚が翻訳しました。