出典: David Mabe via Alamy Stock Photo
米国のエネルギー産業の規制当局とアナリストは、同じメッセージを繰り返し発信するようになっている。送電網オペレーターは、サイバーセキュリティと物理セキュリティの戦略を統合する必要がある、というものだ。
発電所や送配電システムのオペレーター(TSOおよびDSO)は長年にわたり、稼働時間の維持とサービスのレジリエンス向上に注力してきた。電気を消さないことが常に目標である。これは特に、ここ数年でOT/OTコンバージェンスが進んだことを踏まえると、なおさら当てはまる。重要インフラの物理プロセスを動かす、かつてはサイロ化されていた機器(OT:オペレーショナルテクノロジー)が、ITネットワークや場合によってはインターネットに接続されるようになり、より多くのサイバー脅威にさらされているのだ。今、別のタイプのコンバージェンスが、新たな議論を強いている。
一方で、サイバー脅威アクターは、現場で実際の運用障害を引き起こすことを狙うケースが増えている。これは厄介な状況だ。Black & Veatchのアナリストは本日公開された業界レポートの中で、「かつてはハードウェアと稼働時間のみに注力していた運用チームが、今やログのスキャン、コンプライアンス証跡の文書化、脅威評価を求められている」と記している。調査では、送電網オペレーターはランサムウェア、その他のマルウェア、クラウドの脆弱性について、同程度の懸念を抱いていることが分かった。
そしてサイバー脅威と同じくらいのスピードで増えているのが、送電網インフラに対する奇妙な物理攻撃のトレンドだ。Black & Veatchのレポートによると、2020年以降、発電所やシステムオペレーターは、無差別な銃撃から侵入、破壊行為に至るまで、数百件のインシデントに見舞われている。
この新たな世界において、Black & Veatchのような業界の規制当局やアナリストは、同じ主張をしている。かつて「電気を消さない」ことが、機器の保守や倒木の回避だけを意味していたかもしれないが、今日の送電網オペレーターには、継続的なサービスを維持するために、強固で統合された物理・サイバーセキュリティ戦略が必要だという点だ。
「ジュース」たっぷりの標的:米国電力網に高まる脅威
昨年、Check Point Research(CPR)は、米国の各産業における週次サイバー攻撃の変化率を追跡した。その結果、小売業者に対する脅威は大幅に減少し、インターネットサービスプロバイダーおよびマネージドサービスプロバイダー(ISPおよびMSP)に対する脅威も同様に減少していた。通信とヘルスケアへの攻撃は横ばいだった。週次攻撃の増加率が最も大きかったセクターは、他を大きく引き離して公益事業であり、2023年上半期の週平均689件から2024年上半期には1,162件へと、69%増加していた。
同様に、昨年1月、Trustwaveの研究者は、世界のエネルギーおよび公益事業組織に対するランサムウェア攻撃が前年比(YoY)で80%増加し、そのうちほぼ半数が米国に影響を及ぼしていたことを明らかにした。
関連記事:サイバーセキュリティにおけるAI実行ギャップの解消 ― CISOフレームワーク
物理攻撃の面では、2023年2月、電力情報共有分析センター(E-ISAC)が、電力網への物理攻撃が2022年に71%も増加した(2020年比では20%増)と公表した。2020年から2022年の間に、4,493件のインシデントが当局に報告されている。これら約4,500件のうち一部は、機械部品や銅の窃盗といった軽犯罪だったが、かなりの数が暴力的なものであり、政治的・人種的動機に基づく攻撃が含まれていた。
同センターがデータを共有したのと同じ月、2人のネオナチが5つの変電所への攻撃を計画したとして起訴されたことは、この問題を象徴している。多くの類似事例と同様に、その目的はボルチモア市を暗闇に陥れることであり、共謀者らは「この街全体を完全に破壊する」ことを望んでいたと、法廷文書で報告されている。Black & Veatchによると、変電所への攻撃全般はその年、50%増加した。
Black & Veatchでグローバル産業サイバーセキュリティ担当バイスプレジデントを務めるIan Bramson氏は、送電網インフラに対するサイバー・物理両面の脅威の高まりを、「さまざまな要因の収束」に起因するとしている。
同氏は、「送電網は常に標的であったものの、重要インフラへの攻撃の頻度と高度化は、2021年のColonial Pipeline事件以降、エスカレートしていると考えられる。この攻撃は、多様な脅威アクターに対し、不可欠なサービスを妨害することでどれほど大きな世界的影響を与えられるかを示し、送電網を標的とする関心と活動の高まりに火をつけた」と仮説を述べる。
関連記事:AIアプリ支出レポート:セキュリティツールはどこに?
さらに同氏は、「この勢いは、継続する世界的な紛争の中で一層強まり、敵対者の動機と能力の両方を増幅させている。送電網の近代化、デジタル化、リモート運用の取り組みによって攻撃対象領域が拡大していることも相まって、攻撃の頻度と深刻度を高め続ける、動機と機会の絶妙な組み合わせが生まれている」と付け加える。こうしたトレンドは2026年まで続くと見込んでいると指摘する。
今日の重要インフラにおけるIT・OT・物理のコンバージェンス
運動エネルギーを伴う攻撃とインターネット経由の攻撃が増加する中、Black & Veatchは送電網オペレーターに対し、物理セキュリティとサイバーセキュリティの対策およびチームをどの程度統合しているかを尋ねた。参加者の3分の1は、その答えが分からないとした。残りはほぼ均等に分かれ、一部は単一のチームで物理とサイバーの両方の脅威を管理・監視し、一部はそれぞれに専門チームを設け、また一部はチームは分かれているものの、単一のインシデント対応戦略の下で管理していた。
レポートの著者らは、これらの結果に異議を唱えている。彼らは、サイバーと物理のセキュリティ運用が重なっているかどうかを把握していない3分の1の回答者について、「物理リスクとサイバーリスクがどのように交差するかを十分に理解していない」とし、物理とサイバーを完全には統合していない回答者は「危険なギャップ」に直面していると記している。
Bramson氏はDark Readingに対し、「ギャップは、サイバーセキュリティを複数のチームが所管していること、そしてシステムのある側面について『反対側』がカバーしているだろうという思い込みが生じ得ることから生まれる」と語る。ITとOTは異なる機器を扱うかもしれないが、2000年代後半や2010年代にサイバー・フィジカル攻撃が注目されるようになって以来、それぞれの考慮事項は双方に影響を及ぼしてきた。
例えば、ITオペレーションは主にファイアウォールやネットワーク監視に関心を持つかもしれない。しかし「多くの場合、サイバー攻撃には、悪意ある内部者や、意図せず攻撃を助長してしまう従業員・契約業者による現場への物理的アクセスが関与する可能性がある。誰が、いつ、なぜ現場にいるのかを把握することは、運用への攻撃を調査し、軽減するうえで極めて重要だ」とBramson氏は説明する。
同じ指摘は、業界全体でますます繰り返されるようになっている。昨年、エネルギー省がエネルギーセクターのセキュリティ向上のため4,500万ドルの資金提供を発表した際、その一部を、ゼロトラスト認証を用いて分散型エネルギーリソース(DER)へのサイバー・フィジカル脅威を防止することに焦点を当てた研究プロジェクトに配分することを選んだ。北米電力信頼性協議会(NERC)の重要インフラ保護(CIP)標準003‑11(CIP‑003‑11)は、送電系統(BES)がサイバーセキュリティ計画にサイバーと物理の両方のセキュリティコントロールを組み込まなければならないことを、繰り返し明確に規定している。そして6月、連邦エネルギー規制委員会(FERC)がサイバーセキュリティ監視に特化した標準であるCIP‑015‑1を承認した際にも、NERCに対し、「物理的コントロールを含むように」内部ネットワークセキュリティ監視を拡張するよう文書の修正を指示した。
ITとOTがより密接になるにつれ、Bramson氏は、脅威戦略を統合することで、組織面で明確なメリットが生まれ、導入の後押しになるだろうと述べる。そうしたメリットは組織によって異なるものの、重要なのは「各チームが持つ組織的知見が互いに利益をもたらし、組織全体のサイバーおよび物理の両面にわたるセキュリティに対する“目”を増やすことになる」と結論づけている点だ。
著者について
Nate Nelsonはニューヨーク市在住のライター。以前はThreatpostの記者として勤務し、AppleとSpotifyでトップ20入りした受賞歴のあるテック系ポッドキャスト「Malicious Life」を執筆した。Dark Reading以外では、「The Industrial Security Podcast」の共同ホストも務めている。
