石油・ガス会社は、現代において最も差し迫ったサイバー・セキュリティ・インフラストラクチャの課題に直面しています。「ストラタス社の石油・ガス業界のグローバルリーダーであるコリー・アレマンドは、「この業界には、ハッキングされたことのある企業と、ハッキングされたことを知っている企業の2種類がある」と述べています。
10 年前の悪名高い Stuxnet ハッキングから最近のコロニアル・パイプラインの侵害まで、あらゆるシステムのサイバー攻撃に対する脆弱性は、数え切れないほどの例によって検証されています。さらに、規制要件がますます厳しくなり、レガシーな産業用オートメーション・アーキテクチャや従来のOTネットワークでは、すぐに手に負えなくなる可能性があります。Xage Securityとの最近のウェビナーでは、当社の専門家が、O&Gにおけるサイバーセキュリティインフラに関する新しいDHS指令、オペレータに対するその現実的な影響、およびデジタル変換の旅をほとんど簡単に見せるハイレベルなエッジ コンピューティング コンセプトを解説しています。
どうやってここまで来たのか-Stuxnet Wormからの学び
10 年前、Stuxnet は産業用オートメーションシステムへの初のハッキングであり、OT ネットワークと Web の間にエアギャップがあるにもかかわらず、ハッカーが IA システムにアクセスして制御したり、システム内のデータを偽装したりできることを世界に知らしめました。当時、このエアギャップアプローチは、内部からのみ脆弱で、外部のインターネットからはアクセスできない信頼できるネットワークを構築できると考えられていました。しかし残念ながら、この仮説は間違っていました。
2015年に出版されたEric D. KnappとJoel Thomas Langillの著書「Industrial Network Security」によると、”Stuxnetは、産業界のサイバー脅威に関する多くの想定が間違っていることを証明し、これまでのものよりはるかに洗練されたマルウェアを使ってそれを実現した “とあります。6年後、石油・ガス会社がデジタル化の旅にさらに乗り出している今、この言葉は真実味を帯びています。
Stuxnetウイルスは、当時、世界中のOT専門家が信頼していた、いわゆる保護されたネットワークに侵入しました。ハッカーたちの目的は、ある組織の環境にアクセスして、ある犯罪的なミッションを遂行することでしたが、それは達成されたものの、彼らの作ったものは世界を震撼させ、各国の重要なインフラを次々と変異させ、破壊していきました。「ウィルスという言葉は非常に正確です」とアルマンドは最近のウェビナーで述べています。
Stuxnetは、ワールドワイドウェブからどんなに離れていても、信頼できるネットワークはないということを業界に証明しました。この事実は、産業オートメーションの流れを変え、O&Gを含む多くのセクターのデジタル化を促進しました。このようなデジタルトランスフォーメーションの旅は現在も続いており、特に石油・ガス会社にとっては、組織のリスクプロファイルを高めると同時に、セキュリティ態勢を強化することができるため、正しい方法で行うことが重要です。
オイル&ガス会社のデジタル化の二面性
産業オートメーション環境にさらなるデジタル化を導入することは、いくつかの点で困難が伴います。エッジ コンピューティング のような新しいテクノロジーは、意思決定を改善し、オペレータとデータの安全性を保護する新しいツールと機能を導入する一方で、サイバーセキュリティインフラの緊急の要求を提示します。Allemandは、「これらの新しい技術をこれらの新しいシステムで活用する際には、セキュリティを最優先させる必要があります」と述べています。
このことを念頭に置き、O&G組織はデジタルトランスフォーメーションを敬遠すべきではありません。最近行われたウェビナーでは、ストラタス社の専門家であるルディ・デアンダ氏が、「競争力を高めるためには、データを接続して活用する必要がある」と述べています。このことを正しく理解している企業は、サイバーセキュリティインフラを強化するだけでなく、市場シェアの拡大やビジネス目標の推進につながるメリットを享受しており、数え切れないほどの成功事例があります。Xage社とStratus社の専門家は、石油・ガス会社が、法規制を遵守しながら、レガシーハードウェアを交換することなく、デジタル化のメリットを享受する方法を明らかにしています。
パイプラインのサイバーセキュリティインフラに関するDHSガイドラインの内容
ワシントン・ポスト紙によると、DHSは7月、「大規模な燃料不足とガソリンパニックを引き起こしたコロニアル・パイプラインの閉鎖の再発を防止するために」パイプラインのサイバーセキュリティ指令を出しました。これらの要求は、この分野で標準化されたサイバー・セキュリティ・プレイブックを求める緊急のニーズに応えるものですが、同時に、事業者やITスタッフを悩ませる負担の大きい課題でもあります。
XageとStratusの専門家がウェビナーで説明しているDHSの要件には、以下のようなものがあります。
- あらゆるネットワークの暗黙の信頼を避けるゼロトラスト手法
- ユーザークレデンシャルローテーションと資産アクセス管理の緩和策
- ソフトウェアのアップデートとパッチ適用のためのプロトコル
Xage Security社のセールス&ビジネスディベロップメントリーダーであるJoe Blazeck氏は、「組織が境界で一度だけ検証するトラステッドネットワークのコンセプトから、組織がすべてのユーザー、すべてのデバイス、アプリケーション、およびトランザクションを継続的に検証するセキュリティアプローチへと移行しています。デバイスやネットワークに対する暗黙の信頼を避け、最小特権という新しい原則に移行しているのです」と述べています。
これらの指示は、一見当たり前のように見えますが、現場では頭痛の種となっています。例えば、ソフトウェアのアップデートでは、予定外のダウンタイムが日常的に発生します。これは、パイプラインが稼働する地域が非常に広範囲に及ぶことと、これらの広大な地域で断片的にパイプラインにパッチを当てるITコントラクターのグループがバラバラであることが原因です。コンピュータベースの導入は、プラットフォームもソフトウェアも簡単な作業のように見えますが、そのプラットフォームが北米に広がっていることを考えると、この種のアップデートの課題の大きさが分かります。ソフトウェアのパッチ適用、資産管理、膨大な数の個人の認証情報の管理など、重要なインフラのセキュリティを担当するオペレータにとっては、頭の痛い問題ばかりです。
StratusとXageは、DX for Pipelinesの痛みを和らげ、ゲームを変える可能性を引き出します。
ゼロトラスト手法やその他の必要な緩和策を導入することは、適切なエッジ コンピューティング 、サイバーセキュリティ・ソリューション・プロバイダーを利用すれば簡単で容易です。Blazeckによれば、「ゼロトラストの基本的な考え方は、セキュリティ境界の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼しないということです。その代わり、これらの組織は、アクセスを許可する前に、あらゆるシステムへの接続要求を検証します。ゼロトラスト・モデルのセキュリティ・ツールは、デバイスやユーザーが悪意を持っていることを想定しており、すでに侵害が発生していることをほとんど想定していると考えてよいでしょう」。このことが実質的に意味するのは、管理者は、ネットワーク内のすべてのトランザクションを検証するための成功したルールセットをどのように実装するかという問題に答えなければならないということです。この課題は、粒度の細かい1対1のルールセットに依存する従来のOTネットワークではすぐに手に負えなくなる可能性があります。
そこで登場したのが、XageとStratusです。Blazeck は次のように続けます。「私たちは、これらの異なる要素すべてについてアイデンティティを構築することでアプローチしています。すべてのユーザー、デバイス、アプリケーションのアイデンティティを構築し、それをデータポイントに拡張します。そして、ファイアウォールのポートを開閉するのとは対照的に、グループ化やポリシーによって、これらのアイデンティティが互いにどのように相互作用することを許可するかを制御するのです。ユーザーであれモノであれ、それぞれのアイデンティティは独自の境界を持ち、すべてのアイデンティティは、中央のXageシステムで管理されるポリシーに基づいて他のアイデンティティと相互作用することができます。このアイデンティティ中心のゼロトラストアプローチにより、オペレーターはすべてのリモートエンドポイントとの信頼できる接続を維持することができます。”これらは、Xageソリューションが提供する機能のほんの一例です。Stratus ztC Edgeのような耐障害性サーバーでこの種の最先端のエッジ サイバーセキュリティソフトウェアを実行することで、組織は停電があっても安全に運用することができるようになります。
XageとStratusのソリューションの優れた点は、主にソフトウェアベースで、レガシーハードウェアの上に置くことができ、セキュリティセンスのない古いPLCのオンサイトアクセスフィルタリングなどの機能を実現できることです。「Allemand氏は、「少し簡単で、少し単純に見えますが、デジタル化が約束するすべてのことを行うことができるのです」と述べています。このサーバーは、エッジ で動作し、エッジ でセキュリティを含むこれらの重いタスクを実行することができます。そして、ネットワークを拡張して新しい要件を満たすことができます。
安全な産業用コンピューティングソリューションを採用することの重要性は、決して過小評価できるものではありません。結局のところ、組織がより良いビジネス上の意思決定を行うためにエッジ コンピューティング デバイスからのデータを使用する場合、そのデータの信頼性、正確性、およびプライバシーを確保することが不可欠となり、従来の IA アーキテクチャではハッカーになりすまされる傾向が証明されています。
しかし、デジタルトランスフォーメーションの旅が効率的に確保された場合、そのチャンスは無限に広がります。ストラタスのエキスパートであるルディ・デ・アンダは、次のように述べています。「私たちが発見したのは、これらの技術を導入し、効率的に展開すれば、データを活用しながらセキュリティ体制を弱めるのではなく、むしろ強化する、非常に強力な接続ツールやエッジ を展開するための帯域を得るチャンスになる、ということです」。
詳しくは、ウェビナー「Actionable Insights to DHS Cybersecurity Requirements in Oil and Gas」の全文をご覧ください。