石油・ガス企業は、現代のサイバー・セキュリティ・インフラに関する最も差し迫った課題に直面しています。Stratus O&GのグローバルリーダーであるCorie Allemand氏は、「この業界には、ハッキングされた企業と、ハッキングされたことを知っている企業の2種類があります」と述べています。
サイバー攻撃に対するすべてのシステムの脆弱性は、10年前の悪名高いStuxnetハッキングから最近のコロニアルパイプラインの侵害まで、数え切れないほどの例によって裏付けられています。サイバーセキュリティインフラの無数の課題に取り組むことは至難の業です。従来の産業オートメーションアーキテクチャや従来のOTネットワークでは、規制要件がますます厳しくなり、すぐに管理できなくなる可能性があります。Xage Securityとの最近のウェビナーでは、当社の専門家が、O&Gのサイバーセキュリティインフラストラクチャに関する新しい国土安全保障省指令、事業者に対する実際の影響、およびデジタル変革の旅をほとんど簡単に思わせる高レベルのエッジコンピューティングの概念について明らかにしました。
ここにたどり着いた経緯 — Stuxnet ワームからの学び
10年前、Stuxnetは産業用オートメーションシステムの最初のハッキングであり、OTネットワークとWebの間に隔たりがないにもかかわらず、ハッカーがIAシステムにアクセスして制御し、その中のデータを偽装する方法に世界の目が向けられました。当時、このエアギャップアプローチは、内部からのみ脆弱で、外部からはアクセスできない信頼できるネットワークを構築すると考えられていました。残念ながら、この仮定はこれ以上間違っていなかったでしょう。
エリック・D・ナップとジョエル・トーマス・ランギルによる2015年の著書「産業用ネットワーク・セキュリティ」によると、「Stuxnetは次のような多くの仮定を証明しました。 産業サイバー脅威 間違っています。これまでに見たものよりもはるかに高度なマルウェアを使用していました。」6年経った今も、石油・ガス会社がデジタル化への取り組みをさらに進める中、この声明は引き続き真実です。
Stuxnetウイルスは、当時世界中のOT専門家が信頼していた、いわゆる保護されたネットワークに侵入しました。ハッカーは、ある組織の環境にアクセスして1つの犯罪任務を遂行し、それを達成しようとしていたにもかかわらず、ハッカーの創造は世界を揺るがし、各国の重要なインフラを一つずつ変化させ、壊滅させました。アレマンド氏は最近のウェビナーで、「言葉遣いウイルスは非常に正確です」と述べています。「言葉遣いウイルスは世界中に広がっています。」
Stuxnetは、ワールドワイドウェブから遠く離れていても、どのネットワークも信頼できないことを業界に証明しました。この認識は産業オートメーションの流れを変え、石油・ガス会社を含む多くのセクターのデジタル化を加速させました。このデジタル変革の取り組みは継続中であり、組織のリスクプロファイルを高め、セキュリティ体制を強化できるため、石油・ガス会社が正しく取り組むためには特に重要です。
石油・ガス会社のデジタル化の両面
産業オートメーション環境へのデジタル化をさらに進めることは、いくつかの点で落とし穴です。エッジコンピューティングのような新しいテクノロジーは、意思決定を改善し、オペレーターとデータの安全を保護する新しいツールや機能を導入する一方で、サイバーセキュリティインフラストラクチャの差し迫った要求も抱えています。「これらの新しいテクノロジーをこれらの新しいシステムに導入する際には、セキュリティを最優先に考える必要があります」と Allemand 氏は言います。
これを念頭に置いて、O&G組織はデジタル変革をためらうべきではありません。Stratus エキスパートであるルディ・デ・アンダは、先日のウェビナーで「競争力を高めるには、データをつなげて活用する必要がある」と振り返っています。これを正しく理解した組織が、サイバーセキュリティインフラストラクチャを強化するだけでなく、市場シェアを拡大し、ビジネス目標を推進するメリットを得た成功事例は数え切れないほどあります。XageとStratus の専門家が、石油・ガス会社が規制コンプライアンスを確保しながら、レガシーハードウェアをリッピングしたり交換したりすることなく、デジタル化の可能性をどのように享受できるかを明らかにしました。
パイプラインサイバーセキュリティインフラストラクチャに関するDHSガイドラインの内部
7月、国土安全保障省はパイプラインに関するサイバーセキュリティ指令を発表しました。「パイプラインの再発を防ぐため」 コロニアルパイプラインの閉鎖 それが大規模な燃料不足とガソリンパニック買いを引き起こした」とワシントンポスト紙は述べている。これらの要件は、このセクターにおける標準化されたサイバーセキュリティプレイブックの緊急ニーズに応えるものですが、オペレーターとITスタッフの両方を悩ませる厄介な課題でもあります。
XageとSStratus の専門家がウェビナーで議論しているDHS要件のほんの一部は次のとおりです。
- あらゆるネットワークの暗黙的な信頼を回避するゼロトラスト手法
- ユーザー資格情報のローテーションと資産アクセス管理に関する緩和策
- ソフトウェアの更新とパッチのプロトコル
Xage Securityのセールスおよび事業開発リーダーであるJoe Blazeck氏は次のように述べています。「私たちは、組織が境界で一度検証するという信頼できるネットワークの概念から、組織がすべてのユーザー、すべてのデバイス、アプリケーション、およびトランザクションを継続的に検証するセキュリティアプローチに移行しつつあります。私たちはデバイスとネットワークへの暗黙の信頼を避け、最小権限というこの新しい原則に移行しています。」
これらの指令は当たり前のように思えるかもしれませんが、現場では頭痛の種になります。その代表的な例としては、パイプラインが運用されている地域が広範囲に及び、IT請負業者のグループがこれらの広大な地域にわたってパイプラインにパッチを散在させていることが多いため、計画外のダウンタイムを日常的に引き起こすソフトウェアの更新があります。このようなコンピュータベースの導入は、プラットフォームにとってもソフトウェアにとっても簡単な作業のように思えるかもしれませんが、北米に広がっているプラットフォームについて考えると、この種の更新がもたらす課題の幅広さがわかります。今日の重要インフラのセキュリティ保護を担当する事業者にとって、ソフトウェアパッチの適用、資産管理管理、維持すべき個人の認証情報の多さといった大きな課題は、ほんの少しの頭痛の種に過ぎません。
Stratus XageはパイプラインのDXの負担を軽減し、ゲームを変える可能性を解き放つ
ゼロトラスト手法やその他の必要な緩和戦略の実装は、適切なエッジコンピューティングとサイバーセキュリティソリューションプロバイダーがいれば簡単かつ簡単です。Blazeck氏は次のように述べています。「ゼロトラストの基本理念は、セキュリティ境界の外部または内部で動作するアクター、システム、ネットワーク、またはサービスは信頼されないということです。代わりに、これらの組織は、アクセスを許可する前に、あらゆるシステムへの接続要求をすべて検証します。ゼロトラストモデルのセキュリティツールは、デバイスとユーザーが悪意を持っていることを前提としており、ほとんど侵害がすでに発生していると想定していることは想像に難くありません。」つまり、管理者はネットワーク内のすべてのトランザクションを検証するためのルールセットをどのように実装するかという質問に答える必要があります。この課題は、きめ細かな1対1のルールセットに依存する従来のOTネットワークではすぐに管理できなくなる可能性があります。
これがザージとStratus 出番です。Blazeckは続けます。「私たちは、これらすべての異なる作品のアイデンティティを構築することでこれに取り組んでいます。すべてのユーザー、デバイス、アプリケーションのIDを構築し、それをデータポイントにまで拡張します。次に、ファイアウォールポートを開閉するのではなく、グループ分けやポリシーによって、これらの ID が相互にどのように相互作用するかを制御します。ユーザーであれモノであれ、各IDには独自の境界があり、すべてのIDは中央のXageシステムで管理されているポリシーに基づいて他のIDと相互作用できます。このID中心のゼロトラストアプローチにより、オペレーターはすべてのリモートエンドポイントとの信頼できる接続を維持できます。」これらはXageソリューションが提供する機能のほんの一部です。このような最先端のサイバーセキュリティソフトウェアをSStratus ztC Edge のような耐障害性の高いサーバー上で実行することで、組織は停電時でも安全に運用できます。
XageとSStratus のソリューションの利点は、主にソフトウェアベースであり、レガシーハードウェアの上に置くことができるため、セキュリティ意識が組み込まれていない古いPLCのオンサイトアクセスフィルタリングなどの機能が可能になることです。Allemand 氏はこう言います。「しかし、デジタル化によって約束されるすべてのことを実行すれば、これを導入できます。エッジで稼働しているサーバがあれば、新しい要件を満たすためにネットワークを拡張する際に、セキュリティを含むこれらの重いタスクをエッジで実行できます。」
安全な産業用コンピューティングソリューションを採用することの重要性は、いくら強調してもしすぎることはありません。結局のところ、組織がエッジコンピューティングデバイスからのデータを使用してより適切なビジネス上の意思決定を行う場合、そのデータの信頼性、正確性、およびプライバシーを確保することが不可欠です。ハッカーは従来のIAアーキテクチャでこれを偽装する傾向があることが証明されています。
しかし、デジタルトランスフォーメーションの旅が効率的に確保されれば、チャンスは無限に広がります。Stratus 専門家であるルディ・デ・アンダ氏は、「これらのテクノロジーを導入し、効率的に導入すれば、データを活用しながら、セキュリティ体制を弱めるのではなく、強化する、これらの非常に強力なコネクテッドツールやエッジツールを導入するための帯域幅を獲得する機会が得られることがわかりました」と述べています。
詳細については、以下のウェビナー全文「石油・ガス産業における国土安全保障省のサイバーセキュリティ要件に関する実践的な洞察」をご覧ください。
