すべての基本事項

サイバー フィジカルシステム(CPS)セキュリティ

現実世界のシステムのデジタル相互接続を確保することの重要性。

プラットフォームを探索

サイバー フィジカルシステムとは?

サイバー フィジカルシステム(CPS)は、計算と物理プロセスを緊密に統合するシステムです。言い換えれば、デジタル世界と物理世界が出会う場所です。これらのシステムは、機械やセンサーなどの現実世界の物理要素を監視し、制御し、対話します。サイバー フィジカルシステムは、自動ブレーキを備えた現代の車両や、治療をリアルタイムで監視・調整する医療機器など、私たちの周りに広がっています。

CPS は医療、エネルギー、輸送、製造などの最重要分野でよく見られ、日常生活や国家インフラにおいて重要な役割を果たしています。こうした背景から、CPS はサイバー脅威にとって高価値の標的となります。AI に関して、 米国国立科学財団 は、「人工知能とCPS の統合、特にリアルタイム操作は、社会的に大きな影響を与える新しい研究機会を生み出す」と述べています。

CPS の主要コンポーネント

サイバー フィジカルシステムがどのように機能するか(そしてどのように保護できるか)を理解するには、システムをコアコンポーネントに分解することが役立ちます。

  • センサーは、物理的な世界(温度、速度、圧力、動きなど)からデータを収集し、システムが処理できるデジタル信号に変換します。CPS の「目と耳」といえます。
  • アクチュエーターはシステムからコマンドを受け取り、バルブの調整、車両の操縦、機械のスピードの変更など、物理的な動きや変化を引き起こします。センサーが感覚だとすれば、アクチュエーターは手です。

  • 組み込みシステム/コントローラーは運用の「頭脳」です。組み込みコンピューターは、センサーデータのプロセスを行い、決定を下し、アクチュエーターにコマンドを送信するソフトウェアを実行します。多くの場合、特定のタスク向けに構築されるため、信頼性と安全性の両方が求められます。

  • ネットワークと通信システムは、CPS コンポーネントの相互通信を可能にし、多くの場合、リアルタイムで通信します。通信システムは、センサー、コントローラー、アクチュエーター、そして場合によっては外部システム間でデータ交換を可能にします。通信チャネルが侵害されると深刻な混乱につながる可能性があるため、ここではサイバーセキュリティが不可欠です。

  • ヒューマンマシンインターフェース(HMI)は、ダッシュボード、コントロールパネル、モバイルアプリなどを通じて、ユーザーがCPS と対話する方法です。安全で直感的なインターフェースは、オペレーターがシステムの状態を監視し、必要に応じて介入するのに役立ちます。

これらの要素を組み合わせることで、CPS はインテリジェントで応答性が高く、相互接続されたものとなりますが、同時に脆弱性が生じる可能性のある複数のポイントも導入されます。

CPS のセキュリティが重要な理由

サイバー フィジカルシステムは単なるハイテク業界のトピックではなく、現代の業界やインフラストラクチャの機能の基盤です。継続的な照明の点灯から安全な移動の確保まで、私たちが毎日頼りにしている最も重要なセッションの多くをCPS が支えています。

サイバー攻撃の現実世界への影響

従来のIT システムでは、侵害がデータの盗難やセッションの停止につながる可能性がありますが、CPS への攻撃は物理的な危害を引き起こす可能性があります。ハッキングされた水処理施設から危険な水が放出されることや、自動車のブレーキシステムが侵害されて事故が発生すること、あるいは脅威アクターマルウェアを展開して最終的に病院の緊急設備を無効にすることを想像してみてください。

CPS は現実世界のプロセスを制御しているため、サイバー攻撃が成功すると、傷害、環境破壊、インフラストラクチャの障害、さらにはそれ以上の事態につながる可能性があります。このようなリスクの高まりにより、 CPS におけるセキュリティは、ビジネスの継続性だけでなく、パブリックセーフティの問題にもなります。

相互接続性の増加によりエクスポージャーが増加

産業界がデジタル トランスフォーメーションを採用するにつれ、CPS は相互に、企業ネットワークに、さらにはインターネットへと、より接続性を高めています。この接続性により効率性と革新性がもたらされる一方で、攻撃可能領域も拡大します。

接続性が向上することで、システムの一部にある脆弱性(例えば、リモートアクセスポイントの設定ミス)が、攻撃者が水平移動して最重要業務に侵入するためのゲートウェイとなる可能性があります。CPS のセキュリティを確保するには、サイバーと物理の両方のドメインを深く理解し、ますます相互接続が進む環境全体でリスクを軽減するための積極的な防御が必要です。

一般的なCPS セキュリティの脅威と脆弱性

従来のIT システムと同様に、サイバー フィジカルシステムもさまざまなセキュリティリスクに直面していますが、独特の特徴があります。それは、こうしたリスクがデジタル世界の境界を越えて物理的な世界にまで及ぶ可能性があるということです。CPS を効果的に保護するには、脅威と脆弱性の両方を理解することが重要です。

一般的なCPS セキュリティの脅威

  • 政府の支援を受けた国家主体のアクターが、重要インフラや防衛におけるCPS を諜報活動、妨害、破壊の標的にする可能性があります。これらの攻撃は多くの場合、ステルス性が高く、十分なリソースが投入され、特定のシステムに合わせて高度にカスタマイズされています。
  • サイバー犯罪者とランサムウェアグループは、特にダウンタイムが危険となる製造業や医療などの分野で、ランサムウェアや恐喝の手口を用いてCPS 環境を標的にしています。
  • 従業員、請負業者、または正当なアクセス権を持つその他の内部の脅威により、意図的または意図せずにCPS が侵害される可能性があります。要因が過失、トレーニング不足、または悪意のある意図のいずれであっても、内部関係者は多くのセキュリティ制御を回避できる独自の立場にあります。
  • ハクティビストとテロリストは、政治的な声明を出したり危害を加えたりするためにCPS を妨害または損傷しようとするイデオロギー的な動機を持つ攻撃者です。これらのグループは、広くデプロイされているシステムの既知の脆弱性を悪用する可能性があります。
  • 意図せぬ脅威は、実際には悪意のあるものではありません。誤設定されたデバイス、古いファームウェア、または人為的ミスがセキュリティインシデントを引き起こしたり、最重要の障害を招いたりする可能性があります。

一般的なCPS の脆弱性

  • レガシーシステムと古いソフトウェアは、CPS システムが構築される基盤ですが、最新のセキュリティを念頭に置いて設計されていません。これらのシステムには、データ暗号化や認証といった基本的な保護が欠けていることが多いです。
  • 脆弱な認証情報またはデフォルトの認証情報がデバイスや制御システムのデフォルト設定となる場合もあります。意外なことに、これらの認証情報が変更されることはほとんどありません。攻撃者はこれを知っており、このような簡単な標的を頻繁にスキャンします。
  • 安全でない通信チャネルは、センサー、コントローラー、アクチュエーター間でやり取りされる脆弱なデータを、攻撃者が転送中の情報を傍受または操作できるようにします。
  • ネットワークのセグメンテーションの欠如は、物理システムの保護に不可欠です。CPS ネットワークが適切なセグメンテーションなしで企業のIT ネットワークやインターネットに直接接続されている場合、攻撃者は安全性の低いシステムから最重要の運用領域に侵入することができます。
  • 監視とログ管理が不十分な場合、システム全体で何が起こっているかの可視性に影響します。この場合、侵入や不審な行動を検知することは困難です。多くのCPS 環境には、効果的な監視のためのツールと対応が不足しています。
  • CPS システムには現実世界の物理的なコンポーネントが含まれているため、物理的アクセスのリスクが内在します。このため、攻撃者は特にリモートまたはセキュリティが不十分な環境で、デバイスを物理的に改ざんしたりアクセスしたりすることができる可能性があります。

CPS と従来のIT システムの違い

サイバー フィジカルシステムには、ネットワーク、ソフトウェア、オペレーティングシステムなどの馴染みのある技術が含まれることがありますが、いくつかの重要な点で従来のIT システムとは根本的に異なります。

障害の物理的影響

従来のIT システムでは、障害は通常、データの損失、アクセス不能なファイル、セッションの中断など、デジタル資産に影響を及ぼします。CPS では、障害が発生すると、機器の損傷、環境への危険、または人の安全への脅威など、物理的な被害を引き起こす可能性があります。

例えば、オフィスのメールサーバーのソフトウェアの不具合によって一時的な通信の不具合が発生することがあります。工場のロボットアーム コントローラーに同様の不具合があると、生産が停止したり、労働者が負傷する恐れがあります。

リアルタイムかつ決定論的な要件

CPS はしばしば厳しいタイミングとパフォーマンスの制約の下で動作するため、入力やイベントにリアルタイムで対応する必要があります。多くのCPS は決定論的な行動を考慮して設計されており、動作は遅延や変動がなく、予測可能で反復可能である必要があります。

これは、ウェブページの読み込みに数秒の遅れがあっても大した問題ではない従来のIT 環境とは大きく異なります。CPS ではわずかな遅延であっても誤った対応や安全でない状態につながる可能性があるため、セキュリティ制御が時間的制約のある操作を妨げてはなりません。

長寿命と更新性の制限

CPS は、産業プラント、エネルギーグリッド、輸送インフラストラクチャなど、システムが数年または数十年にわたって信頼性を持って稼働することが期待される環境に頻繁に展開されます。定期的に更新される消費者向けIT システムとは異なり、多くのCPS は、一度更新すると更新が困難、またはリスクを伴います。

これにより、パッチ管理が大きな課題となります。セキュリティソリューションは、多くの場合、レガシーハードウェア、サポートされていないソフトウェア、そして数週間ではなく数年単位で測定される更新サイクルの制約内で動作する必要があります。

CPS とIoT:類似点と主な相違点

CPS とモノのインターネット(IoT)デバイスは混同されやすく、一部重複している部分もありますが、同じではありません。IoT デバイスは通常、接続性と利便性に重点を置いています。スマート サーモスタットやフィットネス トラッカーを考えてみてください。これらはデータを収集し、リモート制御を可能にすることもありますが、独立して動作することが多いか、疎結合ネットワークで動作することが多いです。

一方、CPS は、センシング、計算、アクチュエーションがリアルタイムで連携して物理プロセスを制御する、緊密に統合されたシステムです。まとめると以下のようになります。

  • IoT は多くの場合、データとユーザーエクスペリエンスに関するものです。
  • CPS は、現実世界の環境における制御、調整、安全性に関するものです。

セキュリティ フレームワークを適用する際には、これらの違いを認識することが鍵となります。スマートフォンアプリのセキュリティ対策を医療用ロボットやスマートタービンに適用できるとは限りません。

最重要インフラストラクチャにおけるCPS のセキュリティ

最重要インフラストラクチャ システムは、電力供給から緊急医療機器まであらゆるものを制御します。これらが作動している際に気づく人はほとんどいませんが、特にサイバー攻撃で障害が発生すると、その結果は広範囲に及び、深刻なものになる可能性があります。

最重要インフラストラクチャ内でのCPS のセキュリティにおける主要な課題

最重要インフラストラクチャ環境でCPS を保護するのは簡単な作業ではありません。これらのシステムは、従来のサイバーセキュリティ ソリューションを直接適用することを困難にする独自の技術的・運用上の課題に直面しています。最も差し迫った障害のいくつかを分析してみましょう。

パッチや更新を行う能力の制限

多くの最重要インフラストラクチャ システムは数十年にわたって使用されるように構築されており、頻繁なソフトウェア更新を考慮して設計されていません。例えば、変電所の制御システムは、何年も更新されていない独自のソフトウェアで動作しているかもしれません。なぜなら、パッチを適用することが、システムをオフラインにして主要なサービスを中断させる可能性があるからです。

IT とOT ネットワークの統合

従来、物理プロセスを監視および制御するために使用されるハードウェアとソフトウェアである運用技術(OT)はITネットワークから分離されていました。デジタル トランスフォーメーションによって状況は変化しており、OT システムは監視、分析、リモートアクセスのため、IT インフラストラクチャに接続されるようになっています。

この収束により効率性と可視性がもたらされる一方で、新たな攻撃経路も導入され、OT セキュリティの必要性が浮き彫りになっています。攻撃者は企業の電子メールシステムを侵害し、鉄道の信号システムを制御するOT ネットワークに侵入する可能性があります。厳格なセグメンテーションとアクセス制御がなければ、事業運営と重要な物理プロセス間の扉が大きく開かれることになります。

運用の稼働時間要件

多くの最重要インフラストラクチャ システムは、ダウンタイムがほとんどないか、まったくない状態で、24時間365日稼働することが期待されています。これにより、重要なセッションに影響を与えずにセキュリティ変更を実装するのが難しい環境が生まれます。例えば、セキュリティ監査のために電力網の一部を停止すると、停電が発生する可能性があります。

地理的および物理的なセキュリティギャップ

パイプライン、ポンプ場、鉄道ネットワークなどのインフラストラクチャは、多くの場合、広大な遠隔地にまたがります。デバイスは物理的に露出している可能性があり、特にセキュリティポリシーがデジタルリスクのみに重点を置いている場合は、サイバー脅威だけでなく、物理的な改ざんや破壊行為に対しても脆弱になります。

重要インフラにおけるCPS の保護には、安全性、稼働時間、サイバーセキュリティのバランスを取った、特化した戦略が必要です。システムを保護するだけでなく、それらのシステムが実現する現実世界の機能を保護することも重要です。

CPS 環境を保護するためのベストプラクティス

サイバーフィジカルシステムの保護には、画一的なソリューションを適用することではなく、システムのサイバー面と物理面の両方を考慮した、階層的で思慮深いアプローチが必要です。CPS は安全上最重要であることが多く、レガシーなインフラストラクチャに接続され、継続的な運用を前提に設計されているため、セキュリティは慎重かつ戦略的に組み込む必要があります。

ネットワーク セグメンテーションとアクセス制御

攻撃の拡散を制限する最も効果的な方法の一つは、ネットワーク セグメンテーション、すなわちIT ネットワークとOT ネットワークを分離し、それらの間のトラフィックを制限することです。これにより、脅威を封じ込め、攻撃者の水平展開を防ぎます。

ロールベースのアクセス制御(RBAC) などの強力なアクセス制御ポリシーを使用して、ユーザーとデバイスが必要なものだけにアクセスできるようにし、それ以上のアクセスを防ぎます。可能な限り、 最小権限アクセス(LPA) の原則を適用します。

定期的なリスクアセスメントと脅威モデリング

CPS 環境は複雑で相互に接続されているため、弱点、高価値資産、潜在的な脅威ベクトルを特定するために定期的にリスクアセスメントを行うことが重要です。これを脅威モデリングと組み合わせることで、さまざまな種類の攻撃者がどのようにシステムを標的にするのか、また、それらの攻撃が安全性と運用にどのような影響を与えるのかを予測できます。

安全な設定と強化

多くのCPS デバイスには、開いているポート、使用されていないサービス、デフォルトの認証情報など、セキュリティが脆弱なデフォルト設定が付属しており、悪用される可能性があります。デバイスの強化とは、不要な機能を無効にし、デフォルトのパスワードを変更し、攻撃可能領域を減らすための設定ベースラインを適用することを指します。

監視、ログ記録、アノマリ検知

可視性が重要です。デバイスのアクティビティ、ネットワークトラフィックユーザーの行動を監視するために、継続的なモニタリングと集中ロギングを実施します。多くのCPS 環境ではダウンタイムを許容できないため、被害が発生する前に攻撃を阻止するには、疑わしい動作を早期に検出することが重要です。

フィジカルプロセスの期待される行動を認識し、何かが通常から逸脱した場合にオペレーターに警告するように訓練されたアノマリ検知システムの導入を検討してください。

パッチ適用と更新の計画(可能な場合)

CPS 環境ではパッチをすぐに適用することが常に可能であるとは限りませんが、組織は更新戦略を維持するべきです。これには、デプロイされたシステムの脆弱性を追跡し、ベンダーと調整し、低リスク期間中にパッチウィンドウをスケジュールすることが含まれます。

物理的なセキュリティ対策

CPS の物理的な側面を忘れず、ロック、フェンス、監視、バッジ制御のエントリーなどの物理的な保護を用いて、フィールドデバイス、制御室、アクセス地点を保護します。多くの攻撃は、特にリモート インフラストラクチャにおける物理的な改ざんや不正アクセスから始まります。

従業員トレーニングとインシデント対応計画

CPS 環境においては、人為的エラーが依然として最大のリスクです。安全な運用、ソーシャルエンジニアリングの認識、システムにアクセスするための適切な手順に重点を置いて、スタッフと請負業者にセキュリティ意識向上トレーニングを提供します。

同様に重要なのは、安全な物理操作を中断せずに影響を受けるコンポーネントを隔離するなど、CPS に固有の手順を含む、テスト済みのインシデント対応計画を用意することです。

サイバーセキュリティにおけるエクスポージャー管理:完全ガイド

トピックを読む

サイバーセキュリティにおけるアタックサーフェスとは何ですか?

トピックを読む

ダークウェブガイド

トピックを読む