NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復：製造業のためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、【プロジェクト概要】サイバー攻撃への対応と回復：製造業のためのサイバーセキュリティについての白書の最終版を公開していますね。。。

想定している、システム概要

出典：White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector, Figure 1 High level architecture of the experimentation lab

 

シナリオ例：

1. 未承認のコマンドメッセージ
2. プロセスまたはコントローラのパラメータの変更
3. ヒューマンマシンインターフェース（HMI）またはオペレーターコンソールの危殆化
4. データヒストリアンの危殆化
5. 未承認デバイスの検出
6. 不正な接続の検出

 

● NIST - ITL

・2022.11.03 White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector

White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector	ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復：製造業のためのサイバーセキュリティ
Abstract	概要
The Operational Technology (OT) that runs manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber attacks, presenting a real threat to safety and production, and economic impact to a manufacturing organization. Though defense-in-depth security architecture helps to mitigate cyber risks, it cannot guarantee elimination of all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore operations should a cyber incident impact operations. The goal of this project is to demonstrate means to recover equipment from a cyber incident and restore operations. The NCCoE, part of NIST’s Information Technology Laboratory, in conjunction with the NIST Communications Technology Laboratory (CTL) and industry collaborators, will demonstrate an approach for responding to and recovering from an OT attack within the manufacturing sector by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response.  The NCCoE will map the security characteristics to the NIST Cybersecurity Framework and NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations and will provide commercial off the shelf (COTS) based modular security controls for manufacturers. NCCoE will implement each of the listed capabilities in a discrete-based manufacturing work-cell that emulates a typical manufacturing process. This project will result in a freely available NIST Cybersecurity Practice Guide.	製造環境を動かす運用技術（OT）は、サプライチェーンにおいて重要な役割を担っている。製造業は、一般消費者向けの製品を生産する物理プロセスの監視と制御にOTを利用している。これらのシステムは、増加するサイバー攻撃に直面しており、製造業の安全性と生産性、そして経済的な影響に対する真の脅威となっている。深層防護のセキュリティ構造はサイバーリスクを軽減するのに役立つが、すべてのサイバーリスクを排除することを保証するものではない。このプロジェクトの目的は、サイバーインシデントから機器を復旧し、オペレーションを回復する手段を実証することである。NISTの情報技術研究所に属するNCCoEは、NIST通信技術研究所（CTL）および業界の協力者とともに、イベントレポート、ログレビュー、イベント分析、インシデント処理および対応というサイバーセキュリティ機能を活用して、製造業におけるOT攻撃への対応と回復のためのアプローチを実証する予定である。  NCCoEは、セキュリティ特性をNISTサイバーセキュリティフレームワークとNIST Special Publication 800-53「連邦情報システムおよび組織のためのセキュリティおよびプライバシー制御」にマッピングし、製造業者向けに商用汎用品（COTS）ベースのモジュール式セキュリティ制御を提供する。NCCoEは、典型的な製造プロセスをエミュレートするディスクリートベースの製造ワークセルに、記載された各機能を実装する。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Project Description
 

・[DOCX] 仮訳

 

目次...

1 Executive Summary	1 エグゼクティブサマリー
Purpose	目的
Scope	対象範囲
Assumptions	前提条件
Challenges	課題
Background	背景
2 Cybersecurity Capabilities to be Demonstrated	2 サイバーセキュリティ能力
Event Reporting	イベントレポート
Log Review	ログレビュー
Event Analysis	イベント分析
Incident Handling and Response	インシデント対応とレスポンス
Eradication and Recovery	撲滅と復興
3 Cyber Attack Scenarios	3 サイバー攻撃シナリオ
Scenario 1 - Unauthorized Command Message	シナリオ1 - 未承認のコマンドメッセージ
Scenario 2 – Modification of Process or Controller Parameters	シナリオ2 - プロセスまたはコントローラのパラメータの変更
Scenario 3 – Compromise Human Machine Interface (HMI) or Operator Console	シナリオ3 - ヒューマンマシンインターフェース（HMI）またはオペレーターコンソールの危殆化
Scenario 4 – Data Historian Compromise	シナリオ4 - データヒストリアンの危殆化
Scenario 5 – Unauthorized Device Detected	シナリオ5 - 未承認デバイスの検出
Scenario 6 – Unauthorized Connection Detected	シナリオ6 - 不正な接続の検出
4 Architecture and Capabilities of Lab Environment	4 ラボ環境のアーキテクチャと機能
Testbed Architecture	テストベッド・アーキテクチャ
Manufacturing Process	製造工程
Key Control System Components	キーコントロールシステムの構成要素
5 Solution Capabilities and Components	5. ソリューション機能およびコンポーネント
6 Relevant Standards and Guidance	6 関連標準・指針
7 Security Control Map	8. セキュリティコントロールマップ

 

エグゼクティブサマリー...

1 EXECUTIVE SUMMARY	1 エグゼクティブサマリー
Purpose	目的
This document defines a National Cybersecurity Center of Excellence (NCCoE) project focused on responding to and recovering from a cyber incident within an Operational Technology (OT) environment. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber incidents resulting in a loss of production from destructive malware, malicious insider activity, or honest mistakes. This creates the imperative for organizations to be able to quickly, safely, and accurately recover from an event that corrupts or destroys data (e.g., database records, system files, configurations, user files, application code).	この文書は、運用技術（OT）環境におけるサイバーインシデントへの対応と復旧に焦点を当てた、国家サイバーセキュリティセンターオブエクセレンス（NCCoE）プロジェクトを定義するものである。製造業は、一般消費者向けの製品を生産する物理的なプロセスを監視・制御するために OT に依存している。これらのシステムは、破壊的なマルウェア、悪意のあるインサイダーの活動、または単純なミスによって生産が失われる、ますます多くのサイバーインシデントにさらされている。このため、データ（データベース記録、システムファイル、設定、ユーザーファイル、アプリケーションコードなど）を破損または破壊する事象から、迅速、安全、かつ正確に復旧することが組織にとって不可欠となっている。
The purpose of this NCCoE project is to demonstrate how to operationalize the NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categories. Multiple systems need to work together to recover equipment and restore operations when data integrity is compromised. This project explores methods to effectively restore data corruption in applications and software configurations as well as custom applications and data. The NCCoE—in collaboration with members of the business community and vendors of cybersecurity solutions—will identify standards-based, commercially available, and open-source hardware and software components to design a manufacturing lab environment to address the challenge of responding to and recovering from a cyber incident in an OT environment.	このNCCoEプロジェクトの目的は、NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categoriesをどのように運用するかを実証することである。データの完全性が損なわれた場合、複数のシステムが連携して機器を回復し、業務を復旧する必要がある。このプロジェクトでは、アプリケーションやソフトウェア構成、およびカスタムアプリケーションやデータの破損を効果的に修復する方法を探る。NCCoEは、ビジネス・コミュニティのメンバーやサイバーセキュリティ・ソリューションのベンダーと協力して、標準ベースの、市販の、そしてオープンソースのハードウェアとソフトウェアのコンポーネントを特定し、OT環境におけるサイバーインシデントへの対応と回復という課題に取り組む製造ラボ環境を設計する。
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.	このプロジェクトは、この課題に対処するサイバーセキュリティのリファレンスデザインを実装するために必要な実践的ステップの詳細な実装ガイドであるNISTサイバーセキュリティ実践ガイドを一般に公開する。
Scope	対象範囲
This project will demonstrate how to respond to and recover from a cyber incident within an OT environment. Once a cybersecurity event is detected, typically the following tasks take place before the event is satisfactorily resolved:	このプロジェクトでは、OT環境におけるサイバーインシデントへの対応と復旧の方法を実証する。サイバーセキュリティイベントが検出されると、イベントが満足に解決されるまで、通常、以下のタスクが行われる。
1. Event reporting	1. イベントレポート
2. Log review	2. ログレビュー
3. Event analysis	3. イベント分析
4. Incident handling and response	4. インシデントハンドリングとレスポンス
5. Eradication and Recovery	5. 根絶と復興
NIST Cybersecurity Framework (CSF) Respond and Recover functions and categories are used to guide this project. The objective of the NIST Cybersecurity Framework Respond function is to develop and implement the appropriate activities to take action regarding a detected cybersecurity event. The objective of the Recover function is to develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event.	NIST Cybersecurity Framework (CSF) の Respond と Recover の機能とカテゴリが、このプロジェクトのガイドとして使用されている。NIST サイバーセキュリティフレームワークの応答機能の目的は、検出されたサイバーセキュリティイベントに関して行動を起こすための適切な活動を開発し、実施することである。回復機能の目的は、回復力のための計画を維持し、サイバーセキュリティイベントのために損なわれた能力やサービスを回復するための適切な活動を開発し、実施することである。
Out of scope for this project are systems such as enterprise resource planning (ERP), manufacturing resource planning (MRP), and manufacturing execution systems (MES) that operate on traditional information technology (IT) infrastructures that run on Windows or Linux operating systems. These IT systems have well documented recovery tools available, including those documented in NIST Cybersecurity Practice Guide SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events.	このプロジェクトの対象外は、WindowsやLinuxオペレーティングシステム上で動作する従来の情報技術（IT）インフラ上で動作する企業資源計画（ERP）、製造資源計画（MRP）、製造実行システム（MES）などのシステムである。これらのITシステムには、NIST Cybersecurity Practice Guide SP 1800-11「データ完全性」に記載されているものを含め、よく知られた回復ツールが用意されている。ランサムウェアやその他の破壊的なイベントからの復旧」に記載されているものを含め、これらのITシステムには十分な復旧ツールが用意されている。
Assumptions	前提条件
This project assumes that the cyber incident is discovered after some impact has occurred or  prior to impact occurring. A cyber incident can be caused by a variety of factors including but not limited to a well-intentioned insider making a change without proper testing, a malicious insider, or an outside adversary. A comprehensive security architecture should be designed to detect cyber incidents prior to impact including detection of initial access, discovery, and lateral movement. However, a comprehensive defense should also be prepared to restore and recover in the event that a cyber incident is not detected until it is too late. This guide focuses on the hopefully rare event of a cyber incident causing an impact.	このプロジェクトでは、何らかの影響が発生した後、または影響が発生する前にサイバーインシデントが発見されることを想定している。サイバーインシデントは、善意の内部関係者が適切なテストを行わずに変更した場合、悪意のある内部関係者、外部の敵対者など、さまざまな要因で発生する可能性がある。包括的なセキュリティ・アーキテクチャは、初期アクセス、発見、横方向の動きの検出など、影響を及ぼす前にサイバーインシデントを検出するように設計されるべきである。しかし、包括的な防御は、サイバーインシデントが手遅れになるまで検出されなかった場合の復旧と回復の準備も必要である。このガイドでは、サイバーインシデントが影響を及ぼすという、できれば稀なケースに焦点を当てる。
A cyber incident is any compromise to systems or data confidentiality, integrity, or availability.	サイバーインシデントとは、システムやデータの機密性、完全性、可用性に対するあらゆる侵害のことである。
This could be caused by a malicious outsider gaining access and making changes or stealing data. But this could just as easily, and possibly more likely, be caused by someone just doing their job and making a mistake or failing to fully test changes prior to implementation. For this reason, this project addresses cyber incidents generically without concern of what or who caused the incident. However, some scenarios in this project would only happen due to malicious actions and have, therefore, been described as such.	これは、悪意のある部外者がアクセスし、変更を加えたり、データを盗んだりすることによって引き起こされる可能性がある。しかし、同じように簡単に、そしておそらくもっと可能性が高いのは、誰かが自分の仕事をしていてミスをしたり、実装前に変更を十分にテストしなかったりしたことが原因である可能性である。このため、このプロジェクトでは、サイバーインシデントを一般的に扱い、何が、誰が、インシデントを引き起こしたかは考慮しないことにしている。しかし、このプロジェクトで扱うシナリオの中には、悪意ある行為によってのみ発生するものもあるため、そのように記述している。
To make the rest of the document more readable, the term "malicious actor" will be used to encompass everything from a malicious insider, who already has access, to an advanced persistent threat actor, who conducts a long-term targeted campaign against a system. This also includes lower-level outside malicious actors performing attacks such as widespread ransomware campaigns for profit.	本書の他の部分を読みやすくするため、「悪意のある行為者」という用語は、すでにアクセス権を持つ悪意のある内部関係者から、システムに対して長期的な標的型キャンペーンを行う高度持続的脅威行為者までを包含するものとして使用される。また、利益を得るために広範なランサムウェアキャンペーンなどの攻撃を行う、外部の低レベルの悪意ある行為者も含まれる。
The term "non-malicious actor" will be used to indicate an actor who does not have malicious intent but causes a cyber incident. The cyber incident could be a mistake, a change that has unintended consequences or an untested update that causes disruption to normal operations.	悪意のない行為者」という用語は、悪意はないがサイバーインシデントを引き起こす行為者を示すために使用される予定である。サイバーインシデントは、ミス、意図しない結果をもたらす変更、または通常業務に支障をきたす未試験のアップデートである可能性がある。
This project assumes:	このプロジェクトは想定している。
§  The lab infrastructure for this project has a relatively small number of robotic and manufacturing process nodes which are representative of a larger manufacturing facility.	§  このプロジェクトのラボのインフラは、大規模な製造施設を代表するような、比較的少数のロボットや製造プロセスのノードを備えている。
§  The effectiveness of the example solutions is independent of the scale of the manufacturing environment.	§  ソリューション例の効果は、製造環境の規模に依存しない。
§  This project focuses on the Respond and Recover portions of the NIST Cybersecurity Framework. It is assumed that the Identify, Detect, and Protect functions have been implemented to some maturity level, and the following capabilities are operationalized including the necessary technologies:	§  このプロジェクトは、NIST サイバーセキュリティフレームワークの「対応」と「復旧」の部分に焦点を当てる。識別、検知、保護の各機能はある程度の成熟度まで実装されており、以下の機能は必要な技術を含めて運用されていると想定している。
o   Managed and protected physical access to the site	o   物理的アクセスの管理と保護
o   Segmentation of OT assets from IT assets	o   IT資産からOT資産の分離
o   Authentication and authorization mechanisms for accessing OT assets	o   OT資産にアクセスするための認証・認可の仕組み
o   Fully managed remote access to the OT environment and OT assets	o   OT環境とOT資産へのフルマネージド・リモートアクセス
o   Asset and vulnerability management	o   資産・脆弱性管理
o   Continuous monitoring and detection	o   継続的な監視と検出
o   IT Network protection measures (such as firewalls, segmentation, intrusion detection, etc.)	o   ITネットワークの保護対策（ファイアウォール、セグメンテーション、侵入検知など）
o   Addressed vulnerabilities associated with the supply chain and vendor access	o   サプライチェーンやベンダーのアクセスに関する脆弱性に対処した
o   People and processes that support back-up and overall enterprise incident response plans.	o   バックアップと企業全体のインシデント対応計画をサポートする人とプロセス。
Challenges	課題
Implementations that provide recovery solutions and procedures need to acknowledge that restoration procedures that involve the use of backups are designed to restore the system to some previous state, but the "last known good state" may not necessarily be free of vulnerabilities. The following challenges associated with backups are acknowledged:	復旧ソリューションと手順を提供する実装は、バックアップを使用する復旧手順は、システムを以前のある状態に復元するように設計されているが、「最後に知られた良好な状態」は、必ずしも脆弱性がないとは限らないことを認識する必要がある。バックアップに関連する以下の課題が認識されている。
§  Vulnerabilities may exist in backup data.	§  バックアップデータに脆弱性が存在する可能性がある。
§  Backup data may be compromised while in storage.	§  バックアップデータは、保管中に漏洩する可能性がある。
§  Dormant or inactive malware may exist in backup data.	§  バックアップデータには、休眠状態や非稼働状態のマルウェアが存在する場合がある。
Background	背景
Manufacturing systems are essential to the nation’s economic security. It is critical for manufacturers to consider how cyber incidents could affect plant operations and the safety of people and property. The NCCoE recognizes this concern and is working with industry through consortia under Cooperative Research and Development Agreements with technology partners from Fortune 500 market leaders to smaller companies specializing in OT security. The aim is to address these challenges by demonstrating practical applications of cybersecurity technologies in a scaled-down version of a manufacturing environment.	製造業のシステムは、国の経済的安全保障に不可欠である。製造業にとって、サイバーインシデントが工場の操業や人々や財産の安全にどのような影響を及ぼすかを考慮することは非常に重要である。NCCoEはこの懸念を認識しており、フォーチュン500のマーケットリーダーからOTセキュリティを専門とする中小企業まで、技術パートナーとの共同研究開発契約に基づくコンソーシアムを通じて、産業界と連携して取り組んでいる。その目的は、製造環境の縮小版でサイバーセキュリティ技術の実用化を実証することで、これらの課題に対処することである。
Considering the current era of Industry 4.0, enterprises are connecting business systems and IT networks to OT networks to improve business agility and operational efficiency. However, recent attacks on OT have shown that malicious actors are pivoting into the OT environment from business systems and IT networks. Most OT systems have been historically isolated from business systems and IT networks, and therefore, were not designed to withstand cyber attacks. The cyber risk mitigation technologies used in IT networks are often not suitable for OT networks because of the real-time and deterministic nature of the OT. These lead to the increasing likelihood that organizations may have to respond or recover from an OT cyber incident. This project will provide guidance to manufacturing organizations for designing mitigations into an OT environment to address cyber incidents.	インダストリー4.0の時代を考慮し、企業は業務システムやITネットワークをOTネットワークに接続し、ビジネスの俊敏性や業務効率の向上を図っている。しかし、最近のOTに対する攻撃は、悪意のあるアクターが業務システムやITネットワークからOT環境に軸足を移していることを示している。ほとんどのOTシステムは、歴史的に業務システムやITネットワークから分離されていたため、サイバー攻撃に耐えられるように設計されていませんでした。また、ITネットワークで使用されているサイバーリスク軽減技術は、OTのリアルタイム性と決定論的な性質から、OTネットワークには適さないことが多い。これらのことから、組織がOTのサイバーインシデントに対応または回復しなければならない可能性が高まっている。このプロジェクトは、サイバーインシデントに対処するために、OT環境に緩和策を設計するためのガイダンスを製造企業に提供するものである。
This project will build upon NIST Special Publication 1800-10: Protecting Information and System	このプロジェクトは、NIST Special Publication 1800-10: 情報とシステムの保護をベースに構築される。
Integrity in Industrial Control System Environments by identifying and demonstrating capabilities to improve response to and recovery from cyber incidents in the OT environment.	OT環境におけるサイバーインシデントへの対応と復旧を改善するための能力を特定し、実証することにより、産業用制御システム環境におけるインテグリティを実現する。