NIST ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティ
こんにちは、丸山満彦です。
NISTが、ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティを公表し、意見募集をしていますね。。。
ちょうどトヨタ系のTier1会社がサイバー攻撃をうけたことにより、トヨタ系列の工場が1日止まったこともありますし、経済的な問題として、これは重要なテーマですね。。。
実験環境は次のような感じですね。。。
● NIST- ITL
White Paper (Draft) [Project Description] Responding to and Recovering from a Cyberattack: Cybersecurity for the Manufacturing Sector | ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティ |
Announcement | 発表内容 |
The release of this draft project description (from NIST's National Cybersecurity Center of Excellence [NCCoE]) begins a process to further identify project requirements, scope, hardware, and software components for use in a laboratory demonstration environment. | このプロジェクト説明書ドラフト(NISTのNational Cybersecurity Center of Excellence [NCCoE]による)の公開により、実験室の実証環境で使用するためのプロジェクトの要件、範囲、ハードウェア、ソフトウェアコンポーネントをさらに特定するプロセスが開始されました。 |
We would like your feedback on this draft to help refine the project scope. The comment period is now open and will close on April 14, 2022. | このドラフトについて、プロジェクトの範囲を絞り込むために、皆様からのご意見をお待ちしています。意見募集は現在行われており、2022年4月14日に締め切られる予定です。 |
In the laboratory, the NCCoE will build an example solution using commercially available technology that demonstrates an approach for responding to and recovering from a cyber attack within a manufacturing environment by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response. The project will result in a freely available NIST Cybersecurity Practice Guide. | NCCoEは、実験室において、以下のサイバーセキュリティ機能(イベントレポート、ログレビュー、イベント分析、インシデント処理と対応)を活用し、製造環境内でサイバー攻撃への対応と復旧のためのアプローチを実証する、市販の技術を用いたソリューション例を構築する予定である。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドとして結実する予定です。 |
Abstract | 概要 |
Industrial control systems (ICS) and devices that run manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on ICS to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber attacks, presenting a real threat to safety and production, and economic impact to a manufacturing organization. Though defense-in-depth security architecture helps to mitigate cyber risks to some extent, it cannot guarantee elimination of all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore manufacturing operations should a cyber attack impact the plant operation. The goal of this project is to demonstrate a means to recover equipment from cyber attacks and restore operations. The NCCoE, part of NIST’s Information Technology Laboratory, in conjunction with the NIST Communications Technology Laboratory (CTL) and industry collaborators, will demonstrate an approach for responding to and recovering from an ICS attack within the manufacturing sector by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response. The NCCoE and the CTL will map the security characteristics to the NIST Cybersecurity Framework; the National Initiative for Cybersecurity Education Framework; and NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations, and will provide commercial off the shelf (COTS) based modular security controls for manufacturers. NCCoE will implement each of the listed capabilities in a discrete-based manufacturing work-cell that emulates a typical manufacturing process. This project will result in a freely available NIST Cybersecurity Practice Guide. | 製造環境を動かす産業用制御システム(ICS)と装置は、サプライチェーンにおいて重要な役割を担っています。製造業は、一般消費者向けの商品を生産する物理的なプロセスを監視・制御するためにICSに依存しています。これらのシステムは、増加するサイバー攻撃に直面しており、安全性、生産性、そして製造業への経済的影響に対する真の脅威となっています。深層防護のセキュリティアーキテクチャは、サイバーリスクをある程度軽減するのに役立ちますが、すべてのサイバーリスクを排除することを保証するものではありません。このプロジェクトの目標は、サイバー攻撃から機器を復旧し、操業を復旧する手段を実証することです。NISTの情報技術研究所に属するNCCoEは、NIST通信技術研究所(CTL)および業界の協力者とともに、イベント報告、ログ確認、イベント分析、インシデントレスポンスおよび対応というサイバーセキュリティ機能を活用して、製造部門におけるICS攻撃への対応と復旧のためのアプローチを実証します。 NCCoEとCTLは、セキュリティ特性をNISTサイバーセキュリティフレームワーク、サイバーセキュリティ教育フレームワークのための国家イニシアティブ、NIST SP 800-53 連邦政府システム及び職員のためのセキュリティとプライバシーコントロールにマッピングし、メーカー向けにCOTSベースのモジュール式セキュリティ制御を提供します。NCCoEは、典型的な製造プロセスをエミュレートするディスクリートベースの製造ワークセルに、記載された各機能を実装します。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定です。 |
・[PDF] Draft Project Description
TABLE OF CONTENTS | 目次 |
1 Executive Summary | 1 エグゼクティブサマリー |
Purpose | 目的 |
Scope | 対象範囲 |
Assumptions | 前提条件 |
Challenges | 課題 |
Background | 背景 |
2 Cybersecurity Capabilities to be Demonstrated | 2 実証されるべきサイバーセキュリティ能力 |
Event Reporting | イベント報告 |
Log Review | ログ確認 |
Event Analysis | イベント分析 |
Incident Handling and Response | インシデントハンドリングとレスポンス |
Eradication and Recovery | 根絶と復旧 |
3 Cyber Attack Scenarios+B3B23 | 3 サイバー攻撃シナリオ |
Scenario 1 - Unauthorized Command Message | シナリオ 1 - 無許可のコマンドメッセージ |
Scenario 2 – Modification of Process or Controller Parameters | シナリオ 2 - プロセスまたはコントローラパラメータの変更 |
Scenario 3 – Disabling or Encrypting HMI or Operator Console | シナリオ 3 - HMI またはオペレータ コンソールの無効化または暗号化 |
Scenario 4 – Data Historian Compromise | シナリオ 4 - データヒストリアの危殆化 |
Scenario 5 – Unauthorized Connection is Detected | シナリオ 5 - 不正な接続が検出された場合 |
Scenario 6 – Unauthorized Device is Detected | シナリオ 6 - 未承認のデバイスが検出される |
4 Architecture and Capabilities of Lab Environment | 4 実験室環境の構成と機能 |
Testbed Architecture | テストベッドアーキテクチャ |
The Process | プロセス |
Key Control System Components | 制御系主要コンポーネント |
Supporting Systems | サポートシステム |
Overview of Laboratory Capabilities | 実験室機能の概要 |
5 Solution Capabilities and Components | 5 ソリューション機能と構成要素 |
6 Relevant Standards and Guidance | 6 関連する規格とガイダンス |
7 Security Control Map | 7 セキュリティ・コントロール・マップ |
1 EXECUTIVE SUMMARY | 1 エグゼクティブサマリー |
Purpose | 目的 |
This document defines an NCCoE project focused on responding to and recovering from a cyber attack within an Industrial Control System (ICS) environment. Manufacturing organizations rely on ICS to monitor and control physical processes that produce goods for public consumption. | 本書は、産業用制御システム(ICS)環境におけるサイバー攻撃への対応と復旧に焦点を当てた NCCoE プロジェクトを定義するものです。製造業は、一般消費者向けの商品を生産する物理的なプロセスを監視・制御するために ICS に依存しています。 |
These same systems are facing an increasing number of cyber attacks resulting in a loss of production from destructive malware, malicious insider activity, or honest mistakes. This creates the imperative for organizations to be able to quickly, safely, and accurately recover from an event that corrupts or destroys data (such as database records, system files, configurations, user files, application code). | これらのシステムは、破壊的なマルウェア、悪意のあるインサイダーの活動、または単純なミスによって生産が失われるサイバー攻撃の増加に直面しています。このため、データ(データベース記録、システムファイル、設定、ユーザーファイル、アプリケーションコードなど)を破損または破壊する事象から、迅速、安全、かつ正確に復旧できることが組織にとって不可欠となっています。 |
The purpose of this NCCoE Project is to demonstrate how to operationalize the NIST Framework for Improving Critical Infrastructure Cybersecurity (CSF) Functions and Categories in a scaled-down version of targeted manufacturing industrial environments. Multiple systems need to work together to recover when data integrity is compromised. This project explores methods to effectively restore data corruption in commodity components (applications and software configurations) as well as custom applications and data. The NCCoE—in collaboration with members of the business community and vendors of cybersecurity solutions—will identify standards-based, commercially available and open-source hardware and software components to design a manufacturing lab environment to address the challenge of responding to and recovering from a cyber attack of an ICS environment. | この NCCoE プロジェクトの目的は、NIST 重要インフラのサイバーセキュリティ向上のためのフレームワーク(CSF) 機能とカテゴリー を、対象とする製造業の産業環境を縮小して運用する方法を実証することです。データの完全性が損なわれた場合、複数のシステムが連携して復旧する必要があります。このプロジェクトでは、コモディティコンポーネント(アプリケーションとソフトウェア構成)だけでなく、カスタムアプリケーションやデータの破損を効果的に修復する方法を探ります。NCCoEは、ビジネス・コミュニティのメンバーやサイバーセキュリティ・ソリューションのベンダーと協力し、標準ベースの、市販およびオープンソースのハードウェアとソフトウェアのコンポーネントを特定し、ICS環境に対するサイバー攻撃への対応と復旧という課題に対応する製造実験室環境を設計します。 |
This project will result in a publicly available NIST Cybersecurity Practice Guide; a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge. | このプロジェクトは、一般に利用可能なNISTサイバーセキュリティ実践ガイド、すなわちこの課題に対処するサイバーセキュリティ参照設計を実装するために必要な実践的ステップの詳細な実装ガイドを作成することになる。 |
Scope | 対象範囲 |
This project will demonstrate how to respond to and recover from a cyber attack within an ICS environment. Once a cybersecurity event is detected, typically the following tasks take place before the event is satisfactorily resolved. | このプロジェクトは、ICS環境におけるサイバー攻撃への対応と復旧の方法を示すものである。サイバーセキュリティイベントが検出されると、イベントが満足に解決されるまでに、通常、次のタスクが行われます。 |
1. Event reporting | 1. イベント報告 |
2. Log review | 2. ログ確認 |
3. Event analysis | 3. イベント分析 |
4. Incident handling and response | 4. インシデントハンドリングと対応 |
5. Eradication and Recovery | 5. 根絶と復旧 |
NIST Cybersecurity Framework Respond and Recover functions and categories are used to guide this project. The objective of NIST Cybersecurity Framework Respond function is to develop and implement the appropriate activities to take action regarding a detected cybersecurity event. | NIST サイバーセキュリティ・フレームワークの対応と復旧の機能とカテゴリがこのプロジェクトの指針として使用されています。NIST サイバーセキュリティ・フレームワークの対応機能の目的は、検出されたサイバーセキュリティイベントに関して行動を起こすための適切な活動を開発し、実施することである。 |
The objective of Recover function is to develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event. | 復旧機能の目的は、復旧のための計画を維持し、サイバーセキュリティイベントによって損なわれた能力やサービスを復旧するための適切な活動を開発し、実施することである。 |
Out of scope for this project is systems such as enterprise resource planning (ERP), manufacturing resource planning (MRP), manufacturing execution systems (MES) that operate on traditional IT infrastructures that runs on Windows or Linux OS. These IT systems have well documented recovery tools available including those documented in NIST Cybersecurity Practice Guide SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events. | このプロジェクトの対象外は、WindowsやLinux OSで動作する従来のITインフラで動作する企業資源計画(ERP)、製造資源計画(MRP)、製造実行システム(MES)などのシステムである。これらのITシステムには、NIST サイバーセキュリティ実践ガイド SP 1800-11「データ完全性」に記載されているものを含め、よく知られた復旧ツールが用意されています。ランサムウェアやその他の破壊的なイベントからの復旧」に記載されているものを含む、十分に文書化された復旧ツールがあります。 |
Assumptions | 前提条件 |
This project assumes that the attack is discovered after impact has occurred or immediately prior to impact occurring. It is assumed that the adversary has done preliminary work to gain access, perform discovery, and lateral movement as needed to setup for each scenario. A comprehensive security architecture should be designed to catch an adversary during all steps of the kill chain including initial access, discovery, and lateral movement. However, a comprehensive defense should also be prepared to restore and recover in the event that an adversary is not detected until it is too late. This guide focuses on the, hopefully rare, event of an adversary causing an impact. | このプロジェクトでは、影響が発生した後、または影響が発生する直前に攻撃が発見されることを想定しています。敵対者は、各シナリオのセットアップに必要なアクセス権獲得、発見、横移動のための事前作業を行っているものと想定しています。包括的なセキュリティアーキテクチャは、最初のアクセス、発見、横方向への移動を含むキルチェーンのすべてのステップで敵対者を捕らえるように設計されるべきです。しかし、包括的な防御は、敵対者が手遅れになるまで発見されなかった場合の復元と復旧の準備も必要です。このガイドでは、敵対者が影響を及ぼすという、できれば稀なケースに焦点を当てます。 |
This project assumes: | このプロジェクトは以下を想定しています。 |
• The effectiveness of the example solutions are independent of the scale of the manufacturing environment. | ・例示したソリューションの有効性は製造環境の規模に依存しない。 |
• The lab infrastructure this project will be executed in has a relatively small number of robotic and manufacturing process nodes, but it is assumed that the example solutions will be effective if the number of ICS components increases to levels that are realistic for actual production environments. | ・このプロジェクトが実施される実験室のインフラストラクチャは、ロボットや製造プロセスのノード数が比較的少ないが、ICSコンポーネントの数が実際の生産環境に近いレベルまで増加すれば、例の解決策は有効であると想定されている。 |
• This project focuses on the Respond and Recover portions of the NIST Cybersecurity Framework. It is assumed that the Identify, Detect, and Protect functions have been implemented to some maturity level, and the following capabilities are operationalized including the necessary technologies: | ・このプロジェクトは、NISTサイバーセキュリティフレームワークのうち、「対応」と「復旧」の部分に焦点をあてている。 識別、保護、検知の各機能がある程度の成熟度まで実装され、必要な技術を含め、以下の機能が運用されていることを想定している。 |
o Physical access to the site is managed and protected. o ICS assets are segmented from IT assets via an industrial DMZ. | o ICS資産は、産業用DMZを介してIT資産からセグメント化されている。 |
o Authentication and Authorization mechanisms for accessing ICS assets are in place. | o ICS資産にアクセスするための認証と認可の仕組みが整備されている。 |
o Remote access to the ICS environment and ICS assets is fully managed. o Asset and vulnerability management tool is operationalized. o Behavior analysis detection tool is operationalized. | o ICS環境及びICS資産へのリモートアクセスが完全に管理されている o 資産及び脆弱性管理ツールが運用されている o 行動分析検出ツールが運用されている |
o IT Network protection measures (such as firewalls, segmentation, intrusion detection, etc.) are in place. | o ITネットワークの保護対策(ファイアウォール、セグメンテーション、侵入検知など)が実施されている。 |
o Vulnerabilities associates with the supply chain and vendor access have been addressed. | o サプライチェーンやベンダーのアクセスに関連する脆弱性に対処している。 |
o People and processes that support back up and overall enterprise incident response plans are in place. | o バックアップと企業全体のインシデント対応計画をサポートする人材とプロセスが整備されている。 |
Challenges | 課題 |
Implementations that provide recovery solutions and procedures need to acknowledge that restoration procedures that involve the use of backups are designed to restore the system to some previous state, but the ‘last known good state’ may not necessarily be free of vulnerabilities. | 復旧ソリューションと手順を提供する実装では、バックアップを使用する復旧手順は、システムを以前の状態に戻すように設計されていますが、「最後に確認された良好な状態」は、必ずしも脆弱性がないとは限らないことを認識する必要があります。 |
• Vulnerabilities may exist in backup data. | ・バックアップデータには脆弱性が存在する可能性があります。 |
• Backup data may be compromised while in storage. | ・バックアップデータは保管中に危険にさらされる可能性があります。 |
• Dormant or inactive malware may exist in backup data. | ・バックアップデータには休眠状態や非活動状態のマルウェアが存在する可能性があります。 |
Background | 背景 |
Manufacturing systems are often interconnected and mutually dependent systems and are essential to the nation’s economic security. ICS that run in manufacturing environments are vital to the operation of the nation’s critical infrastructures and essential to the nation’s economic security. It is critical for the stakeholders of the enterprises in the manufacturing sector to consider how adversaries could affect the operations of their plant and safety of the people and property. The National Cybersecurity Center of Excellence (NCCoE) recognizes this concern and is working with industry through consortia under Cooperative Research and Development Agreements with technology partners from Fortune 500 market leaders to smaller companies specializing in ICS security. The aim is to solve these challenges by demonstrating practical 175 applications of cybersecurity technologies in a scaled-down version of a manufacturing environment. | 製造業のシステムは、相互に依存し合っていることが多く、国家の経済的安全保障に不可欠なシステムです。製造業の環境で稼働するICSは、国家の重要なインフラストラクチャの運用に不可欠であり、国家の経済的安全保障に欠かせないものです。製造業に属する企業の関係者は、敵対者が工場の操業や人々や財産の安全にどのような影響を及ぼすかを考慮することが重要です。National Cybersecurity Center of Excellence (NCCoE) はこの懸念を認識しており、フォーチュン500のマーケットリーダーからICSセキュリティを専門とする中小企業まで、技術パートナーとの協力研究開発契約に基づくコンソーシアムを通じて、産業界と連携しています。その目的は、製造環境の縮小版でサイバーセキュリティ技術の実用化を実証することで、これらの課題を解決することです。 |
Considering the current era of Industry 4.0, enterprises are connecting business systems and IT networks to ICS networks to improve business agility and operational efficiency. However, recent attacks on ICS have shown that the cyber criminals are pivoting into the ICS environment from the business systems and IT networks. Most ICS systems have been historically isolated from the business systems and IT networks, and therefore, were not designed to withstand cyber attacks. The cyber risk mitigation technologies used in the IT networks are often not suitable for ICS networks because of the real-time and deterministic nature of the ICS. This project will provide guidance for manufacturing organizations to design environments incorporating cyber attack risk mitigation appropriate for ICS cybersecurity concerns. | 現在のインダストリー4.0の時代を考慮すると、企業は業務システムやITネットワークをICSネットワークに接続し、ビジネスの俊敏性と業務効率を向上させようとしています。しかし、最近のICSに対する攻撃は、サイバー犯罪者が業務システムやITネットワークからICS環境に軸足を移していることを示しています。ほとんどのICSシステムは、歴史的に業務システムやITネットワークから分離されていたため、サイバー攻撃に耐えられるように設計されていませんでした。ITネットワークで使用されているサイバーリスク軽減技術は、ICSのリアルタイム性と決定論的な性質のため、ICSネットワークには適さないことが多いのです。このプロジェクトは、ICSのサイバーセキュリティの懸念に適したサイバー攻撃リスク軽減を組み込んだ環境を設計するためのガイダンスを製造業組織に提供するものです。 |
This project will build upon NIST Special Publication 1800-10: Protecting Information and System Integrity in Industrial Control System Environments by identifying and demonstrating capabilities to improve Response to and Recovery from cyber attacks in the ICS environment. | このプロジェクトは、NIST SP 1800-10:産業用制御システム環境における情報およびシステムの完全性の保護を基に、ICS環境におけるサイバー攻撃への対応と復旧を改善する能力を特定し実証するものです。 |
« 経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンター 「サイバーセキュリティ対策の強化について(注意喚起) | Main | 一般社団法人情報通信技術委員会 JT-X1060 - サイバーディフェンスセンターを構築・運用するためのフレームワーク (2022.02.24) »
Comments