デジタル変電所を保護するための実用的な枠組み

デジタル変電所を保護する方法を最もよく理解するために、産業用制御システムのキルチェーンを使用して攻撃者の視点を見てみましょう。このキルチェーンは、攻撃者の行動を一連の操作にまとめ、連鎖の最後で意図した効果（ウクライナの例では電力の損失）を実現するために互いに連携します。ここでは、「準備」、「侵入」、「OTへのピボット」、「OTの実行」、「攻撃」というステップの概要を示したキルチェーンの要約版を使用します。

準備

攻撃者はまず、ターゲットに関する情報を収集することから始めます。公益事業の場合、変電所の場所の特定、SCADAアーキテクチャの理解、ベンダーの機器の調査、ネットワークインフラのマッピングなどが含まれます。2015年のウクライナの攻撃者は、ターゲットを調査するのに何ヶ月も費やしました。同様に、2021年のコロニアルパイプライン攻撃は、脆弱なVPN認証情報を特定する偵察から始まりました。

ディフェンスコントロール: 電力会社は、変電所の構成と制御システムに関する公開情報を制限して、デジタルフットプリントを最小限に抑える必要があります。従業員のセキュリティ意識向上training では、機密データの適切な取り扱いだけでなく、ソーシャルメディアや専門家ネットワークで業務の詳細を過剰に共有することのリスクを強調する必要があります。

侵入

攻撃者はターゲット環境に入ります。一般的な侵入方法には、スピアフィッシングメール、侵害されたソフトウェアアップデート、感染したUSBドライブ、インターネットに接続されたシステムの悪用などがあります。ウクライナの攻撃者は、悪意のあるMicrosoft Officeの添付ファイルを使ったスピアフィッシングを使用しました。これにより、BlackEnergyマルウェアをインストールし、その後の行動に必要な足がかりを得ることができました。

ディフェンスコントロール: 高度な脅威保護とサンドボックス機能を備えた堅牢なメールセキュリティソリューション、企業ワークステーション向けのウイルス対策/EDRソリューション、ネットワーク侵入検知システム、セキュリティオペレーションセンター（社内またはマネージドサービスの提供）など、企業のITサイバーセキュリティのベストプラクティスに従ってください。OTチームが企業のITサイバーセキュリティ戦略と連携し、最新の情報を把握していることを確認してください。

OTにピボット

企業のITネットワークにアクセスできるようになった攻撃者は、デジタル変電所にあるようなOTネットワークにまで攻撃範囲を広げようとします。これは通常、安全でないリモートアクセスソリューションを悪用したり、侵害されたITシステムから有効なユーザー認証情報を盗んだり、電話やラップトップなどの感染した一時的なデバイスを利用したりして行われます。Stuxnet攻撃で感染したUSBドライブが使用されることは、エアギャップネットワークでさえ危険にさらされる可能性がある一例です。ウクライナの攻撃では、攻撃者はITシステムから盗んだ認証情報を利用して、VPN接続を介してOTネットワークにアクセスしました。

ディフェンスコントロール: リムーバブルメディアと外部デバイスには厳しいポリシーを設定してください。すべてのソフトウェアとファームウェアの最新の資産インベントリを維持し、デジタル署名されたセキュリティパッチで資産を最新の状態に保ちます（運用が許す限り）。ネットワークアクセス制御（NAC）ソリューションは、許可されていないデバイスが変電所ネットワークに接続するのを防ぎますが、ITとOTネットワーク、および変電所ゾーンの間のネットワークはラテラルムーブメントを妨害します。OTプロトコルを理解し、異常な通信を識別できる産業用侵入検知システム（IDS）を導入してください。多要素認証を使用してリモートアクセスを保護し、サードパーティのリモートアクセス（通常はベンダーのメンテナンス用）も同様に保護されます。すべてのIED、リレー、ネットワークデバイスのデフォルトの認証情報を削除し、理想的には役割ベースのアクセス制御を実装してください。最後に、OTネットワークの定期的な脆弱性評価は、攻撃者より先に弱点を特定するのに役立ちます。

OT アタックを実行する

最終段階では、攻撃者はデータの盗難、システム操作、破壊的な操作など、目的を達成します。ウクライナでは、これは停電を引き起こすために（変電所のHMIを介して）ブレーカーを開くことを意味していました。ウクライナの攻撃者は、コールセンターへのサービス拒否攻撃を実行しながら、悪意のあるファームウェアのアップロードを利用してフィールドデバイスへの通信を遮断しました。その結果、復旧作業が遅れ、顧客が回答を得られずに不満を感じていました。

ディフェンスコントロール: 制御システムから独立して動作する安全計装システム（SIS）を導入してください。構成のオフラインバックアップを維持し、復元手順を確認してください。サイバーセキュリティ統制が失敗した場合でも迅速に対応できるように、OT環境に特化した卓上演習やインシデント対応訓練を定期的に実施してください。

デジタル変電所を守る場合、セキュリティ統制を実施することは戦いの半分に過ぎず、電力会社も確立された規制や業界の枠組みに合わせて統制を調整し、防御策をNERC CIP要件とNISTCybersecurity フレームワーク（CSF）の両方に合わせる必要があります。

NERC CIPアライメント

北米エレクトリック・リライアビリティ・コーポレーションの重要インフラ保護（CIP）基準は、バルクパワーシステムのサイバーセキュリティに必須の要件を定めています。デジタル変電所に関連する主な基準は次のとおりです。

CIP-004（人事およびトレーニング）: サイバーセキュリティの最も重要な要素である人間に焦点を当てています。採用、training、オンボーディング/オフボーディングの要件を示しています。

CIP-005（電子Security ペリメーター）: 侵入からの防御とOTへの転換で説明したネットワークのセグメンテーションとアクセス制御の対策について説明しています。

CIP-007（システムSecurity 管理）： パッチ管理、マルウェア防止、セキュリティイベントの監視、アカウント管理など、サイバーセキュリティの日々の「ブロックと取り組み」をカバーしています。これには、早期発見に不可欠なエンドポイント保護、ロギング、脆弱性管理の実践が含まれます。

CIP-008（インシデント対応計画）： 組織が攻撃に対応する能力を開発、維持、実践することを保証します。

CIP-009（リカバリプランニング）： 攻撃後に「正常」に戻すことに重点を置いています。バックアップ手順が導入され、検証され、復元の速度と正確性が定期的にテストされていることを確認します。

CIP-010（設定変更管理）： 資産のベースライン構成を定義し、それらのベースラインの構造化された変更管理プロセスを確立します。これには、運用の整合性に関するパッチテストも含まれます。定期的な脆弱性評価の要件も含まれています。

CIP-015（内部ネットワークSecurity 監視）： 2025年の夏に承認され、2028年10月から施行される最新のCIP基準。CIP-015は、OTネットワークの監視、異常なアクティビティの検出、情報に基づいた対応決定など、「ネットワーク上で」何が起こっているかを知ることがすべてです。

NIST CSFインテグレーション

NISTCybersecurity フレームワークは、包括的なサイバーセキュリティ戦略を表す6つの中核機能を中心に構成された、柔軟でリスクベースのアプローチを提供します。

ガバナンス: 組織のサイバーセキュリティリスク管理戦略、期待、ポリシーを確立し、監視してください。

識別: システム、資産、データ、人を対象としたサイバーセキュリティリスクについて共通の理解を深めましょう。現在のセキュリティ体制とそれに関連するリスクを可視化してください。

保護します: ネットワークのセグメンテーション、アクセス制御、エンドポイント保護など、前述の技術的管理を実施します。攻撃者がネットワークに足を踏み入れるために悪用できる全体的な攻撃対象領域を減らすことを目的としています。

検出します: 悪意のあるサイバーセキュリティイベントの発生をタイムリーに正確に特定する機能を導入してください。さまざまな資産から集約されたデータを活用して、コンテキストを可視化します。

返信してください: サイバー攻撃を検知したら、攻撃者の進行を鈍らせ、影響を軽減し、最終的には攻撃者をネットワークから追放するための措置を講じてください。

回復します: 脅威を無力化したら、インシデントによって損なわれた機能やサービスを回復してください。学んだ教訓を将来のセキュリティ戦略に役立ててください。

NERC CIP、NIST CSF、ディフェンシブコントロールを組み合わせて

結論

2015年のウクライナの攻撃は、デジタル変電所がサイバー脆弱性が物理的な被害に直接つながる重大な標的であることを示しました。ただし、攻撃者のキルチェーンを理解し、多層防御を実装することで、公益事業者は攻撃者のリスクプロファイルを大幅に減らすことができます。ITチームとOTチームの両方からの賛同と、戦略の慎重な適用により、デジタル変電所を非常に強力なセキュリティ基盤に置き、攻撃者が次に試みる可能性のある事態に備えることができます。