デジタル時代における産業制御システムのセキュリティ
相互接続された産業制御システムの安全性を確保することは、サイバー脅威が増加している中でめっちゃ重要だよ。
― 1 分で読む
目次
スマート製造が進化して、産業制御システム(ICS)がインターネットに接続されるようになってきたから、これらのシステムのセキュリティを確保することがめっちゃ重要になってきたんだ。ICSネットワークが複雑になるにつれて、サイバー攻撃のリスクも増してる。最近もいろんな研究がICSネットワークのセキュリティを調べてるけど、使われているプロトコルの多様性やその脆弱性のせいで課題は残ってる。
ICSにおけるネットワークセキュリティの重要性
ICSは発電、水処理、製造といった重要なプロセスを制御してるから、セキュリティがめちゃ大事。従来のITシステムとは違って、ICSは異なる通信プロトコルに依存してるから、攻撃に対してもっと脆弱なんだ。報告によると、ICSの脆弱性の大部分がリモートで悪用される可能性があるから、ネットワークセキュリティの重要性が強調されてるよ。
ICSのセキュリティを維持するには、通信の機密性、完全性、可用性を確保する必要がある。いろんな組織がICSのセキュリティ向上のためのガイドラインや基準を提供してて、NISTやIECなんかが有名だね。これらのガイドラインは、産業システムを潜在的な脅威から守るためのベストプラクティスを示してる。
ICSネットワークの特徴
ICSネットワークは、プログラマブルロジックコントローラー(PLC)、リモートターミナルユニット(RTU)、インテリジェント電子デバイス(IED)、ヒューマンマシンインターフェース(HMI)といったいろんなデバイスを使って構築されてる。それぞれのデバイスはシステムの機能において特定の役割を果たしてる。
ネットワークの構造はアプリケーションの特定のニーズによって異なることがある。たとえば、デバイスはその機能に基づいてグループ化されたりゾーニングされたりする。セキュリティを確保するためには、適切なネットワーク設計が必要なんだ。
ICSでよく使われるプロトコル
プロトコルはICS内の通信に欠かせないけど、多くのプロトコルにはセキュリティ対策が欠けてて、システムがリスクにさらされてる。広く使われてるプロトコルのいくつかを紹介するね:
Profinet: コントローラーとデバイス間の通信に使われることが多い。速い通信が可能だけど、元のバージョンには認証がないから攻撃に弱い。
DNP3: 広く使われてるけど、セキュリティが弱い。認証や暗号化の対策がないから、不正アクセスのリスクがある。
Modbus: 1979年から使われてる古いプロトコルだけど、内蔵されたセキュリティ機能がない。セキュリティ向上のためのいくつかの改善案が提案されてる。
IEC 60870-5104: 国際標準だけど、セキュリティがほとんどないからいろんな攻撃に弱い。
IEC 61850: 変電所での効果的な通信のために設計されたけど、セキュリティより機能に重点が置かれてるから大きなセキュリティ課題がある。
深層防御
深層防御(DiD)は、複数の保護層を提供するセキュリティ戦略だ。ICSでは、このアプローチがリスクを効果的に管理するために必要なんだ。DiDにはいくつかの対策が含まれるよ:
データ暗号化
データ暗号化は情報をコード化したバージョンに変換して、不正アクセスから守る方法だ。データの機密性と完全性を確保するためには重要なんだ。暗号化には主に3つのタイプがある:
- 対称暗号: 暗号化と復号に同じキーを使う。
- 非対称暗号: 公開鍵と秘密鍵のペアを使う。
- ハッシュベースの暗号: 主にデータの完全性チェックに使われる。
セキュリティ、パフォーマンス、コストに応じて異なる暗号化方法が適用される。
アクセス制御ポリシー
このポリシーは、システムやデータへの不正アクセスを防ぐために重要だ。ファイアウォール、ネットワークアドレス変換、その他の対策を実装することが含まれる。一般的な方法は、ホワイトリストを使って知られている信頼できるデバイスだけがネットワークにアクセスできるようにすることだ。アクセス制御は、変化する脅威に適応するために定期的に見直して更新する必要があるよ。
セキュリティゾーン
ICSネットワークを信頼レベルに基づいて異なるゾーンに分けるのは、セキュリティを管理する効果的な方法だ。敏感なエリアをあまり安全でないセクションから隔離することで、リスクを最小限に抑えられる。基準は特に高いセキュリティ要求のある産業向けにいろんなゾーニング戦略を提案してる。
侵入検知システム(IDS)
IDSはネットワークトラフィックを監視して疑わしいアクティビティを検出する重要な役割を果たす。主に2つのアプローチに分けられる:
- 誤用ベースの検知: 知られている攻撃シグネチャを探す。
- 異常ベースの検知: 期待される行動からの逸脱を特定する。
機械学習を使うことで、IDSの能力を向上させて、既知および未知の脅威をより良く検出できるようになるよ。
脆弱性検出
ICS内の脆弱性を特定して対処することが重要だ。脆弱性はソフトウェア、ファームウェア、ハードウェアコンポーネントに存在する可能性がある。攻撃者が不正アクセスやオペレーションの中断を引き起こすために悪用することができる。システムを安全に保つためには、定期的な評価や更新が必要なんだ。
マルウェア検出
マルウェアはICSのオペレーションに対して重大な脅威をもたらす。ウイルスやトロイの木馬など、いろんな有害なソフトウェアの種類が含まれる。マルウェアを検出するために、組織は一般的に異常ベースとシグネチャベースの検出方法を組み合わせて使う。特に重要な生産時期にはリアルタイム監視が不可欠なんだ。
異常トラフィック検出
異常トラフィックは、ネットワーク通信における異常なパターンを指していて、潜在的な侵入を示すことがある。こうした異常を検出するには、 robustな監視メカニズムが必要なんだ。侵入検知は、いくつかの方法を使って実現できるよ:
- 誤用ベースの検知: 知られているパターンに基づいて攻撃を検出する。
- 異常ベースの検知: 普通の操作パターンに合わない異常なアクティビティを特定する。
- ハイブリッドアプローチ: 両方の方法を組み合わせて検出率を向上させる。
機械学習アルゴリズムを使うことで、さらに検出性能を向上させることができるよ。
ソフトウェア定義ネットワーク(SDN)
SDNはICS環境におけるネットワークセキュリティを強化する新しい解決策だ。ネットワークトラフィックの管理において、柔軟性やプログラマビリティを高めることができる。いろんなSDNベースのソリューションがICSネットワークを守るために役立つ。仮想ファイアウォールとして働いたり、侵入検知システムを組み込んだりすることができるよ。
結論
つまり、産業制御システムのネットワークセキュリティを確保することがめちゃ大事になってきてる。ICSで使われるさまざまなプロトコルには、悪用される可能性のある脆弱性があるから、深刻な結果を招くこともある。深層防御の戦略を実施することで、データ暗号化、アクセス制御ポリシー、侵入検知、定期的な脆弱性評価など、複数の保護層を使って問題に対処できる。セキュリティ技術や戦略の進展を継続することが、進化する脅威からICSネットワークを守るために重要だよ。
タイトル: Network Security in the Industrial Control System: A Survey
概要: Along with the development of intelligent manufacturing, especially with the high connectivity of the industrial control system (ICS), the network security of ICS becomes more important. And in recent years, there has been much research on the security of the ICS network. However, in practical usage, there are many types of protocols, which means a high vulnerability in protocols. Therefore, in this paper, we give a complete review of the protocols that are usually used in ICS. Then, we give a comprehensive review on network security in terms of Defence in Depth (DiD), including data encryption, access control policy, intrusion detection system, software-defined network, etc. Through these works, we try to provide a new perspective on the exciting new developments in this field.
著者: Yang Li, Shihao Wu, Quan Pan
最終更新: 2023-08-07 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2308.03478
ソースPDF: https://arxiv.org/pdf/2308.03478
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable
- https://www.isa.org/training-and-certification/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs
- https://modbus.org/
- https://www.profibus.com/technology/profinet/
- https://www.dnp.org/About/Overview-of-DNP3-Protocol
- https://en.Wikipedia.org/wiki/High-Level
- https://www.snort.org/
- https://ics.cnvd.org.cn/
- https://cve.mitre.org/
- https://osvdb.org/
- https://nvd.nist.gov/
- https://cirdb.cerias.purdue.edu/coopvdb/public/
- https://www.securityfocus.com/vulnerabilities
- https://oval.mitre.org/index.html
- https://www.mitre.org/
- https://www.deserec.eu/
- https://www-arc.com/sara/
- https://www.saintcorporation.com/
- https://www.nessus.org
- https://www.google.com
- https://www.shodan.io/
- https://www.ll.mit.edu/r-d/datasets/1998-darpa-intrusion-detection-evaluation-dataset
- https://www.ll.mit.edu/r-d/datasets/1999-darpa-intrusion-detection-evaluation-dataset