ネット経由の破壊活動やデータ改ざんを行うサイバー攻撃は複雑になっており、企業にとって、検出と対応が困難になっています。
サイバーセキュリティのための体系的かつ網羅的なセキュリティ対策が、喫緊の課題となってきています。ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うサイバー攻撃は複雑さが増して規模も大きくなっており、検出と防御がより困難になり、企業は対策に追われています。ヒューレット・パッカード社の2014年の調査によると、石油・ガスセクターを含むエネルギー業界では、サイバー犯罪による 年間平均損失がサンプリングされた組織あたり13.2百万米ドルとなっています。この数字は、2013年の調査結果より 24%高く、IT企業の調査に含まれるすべての業界で最も高い数値です。ノルウェーにおいても2014年に未知のハッカー によるたった1件の事故がきっかけで、ノルウェー国内300社ほどのエネルギー企業は緊急の対策を迫られるなど、大きな 衝撃を与えるものでした。
エネルギー業界の反応
世界各国のキーマンから構成される国際石油・ガス生産者協会(IOGP)の安全委員会のポール・ライター副議長は、 「サイバー攻撃がこれまでになく重要かつ深刻になっている」とし、さらに、コンピュータシステムに対する攻撃は、看過 できない物理的な結果を生み出す可能性がある、と述べました。IOGPは3つの主要な脅威を定義しています
1.コア知的財産の盗難
2.物理プラントの崩壊または破壊、およびその他の設備投資のポイント
3.重要なビジネス上の意思決定に関する経営幹部のコミュニケーションの妥協
「サイバー犯罪の対策は今や業界全体のセキュリティに対策の大きな課題となっている」とReither氏はコメントしました。
直接的な脅威として、例えば、マルウェアとハ??ッカーツールの組合わせた組織的犯罪、不正な国家および/またはテロリスト集団 からの攻撃などが挙げられるとしました。
手法として「ソーシャルエンジニアリング」と呼ばれる、機密情報の入手などが含まれる可能性がある行動を誘発するための心理的 な操作を含む」と付け加えました。IT技術それ自体が脅威ではなく、危険で有害な行動を実行するために効果的な手段と 考えるべき」とも語りました。
ISO、IEC、NISTなどの国際標準で策定された原則は、IT業界全体のリスクに対処し、業界全体のIT /サイバー脅威から保護するのに十分なものでなければならないと提唱されている。しかし、IOGPは、標準の調整と 学習を改善する努力を支援する」と付け加えました。 「メンバー企業は、リスク評価に基づいて緩和策を策定し、脅威のレ ベルに沿って国際基準を採用すべきである」
IOGPは、大規模なサイバー攻撃が生産や精製、流通インフラを無効にする確率が非常に低いと考えています。 「2012年にShamoonマルウェアによってサウジアラムコが攻撃されましたが、十分効果をあげることは困難でした。」[3] Reitherは続けて 「これはかなり広い範囲のアプリケーションを実行するように設計された多くの均質なコンピュータシステム を損なうものだった。それでも幸いにも、それは石油とガスの生産に関わるコンピューターには渡らなかった」
とは言え一方では、悪質なハッカーたちが2008年にトルコのバクー・トビリシ・セイハンのパイプラインの制御ネットワークに悪質なソフトウェアを侵入させ、爆発を引き起こした事例も起こっています。
接続可能性がリスクを高める
致命的な事例はまれですが、多くの弱い攻撃は検出されず、また報告されません。 DNV GL - Oil&Gasの主要コンサルタント、ポール・ボレ・クリストファーセン(PalBorreKristoffersen)は、「多くの組織は、誰かがシステムに 侵入したことを知らない。 「攻撃の第一線は、多くの場合、事務所、ビジネス、または企業のIT環境であり、ハッカーがより重要な生産ネットワーク、プロセス制御および安全システムにアクセスするのに役立ちます。
オフィスのITは産業システムから分離されていますが、社内ネットワーク間の分離メカニズムは外部ネットワークよりもしばしば弱いと同氏は説明しています。
また、ハッカーはオフィスドメイン上のソーシャルエンジニアリングの試行を使用して、パスワードを取得したり、運用ネットワークにアクセスする他の方法を使用することもできます。
DNV GLのノルウェーの海上・石油・ガスセクター分析(図1)によると、重要なシステムの外部ネットワークへの露出が増加したことは、デジタル脆弱性が高まっている主な理由です。
これは、リモート操作とメンテナンス、および大量のプロセスデータをオフィスドメインに転送する管理システムの傾向を反映しています。ファイバ容量と冗長性が限られているため、ネットワークが共有され、脆弱性が導入されます。オンショア施設からオフショア電力を供給することは、電力網がデジタル 的に脆弱であるため、リスクをもたらす。
DNV GLは、ノルウェーの海上および海上の石油・ガス企業が、洗練された攻撃や偶発的な違反を問わず、サイバーセキュリティの課題を予防、検出、保護するための体系的なアプローチを採用していないことを発見しました。
"オペレータは、サイバーセキュリティが技術的なデバイスのためであり、ファイアウォール保護、ウィルスセキュリティ、およびパスワードで十分であると考える 傾向があります。サイバーリスクを排除するためには、基本的な手段を超えて深い防御戦略が必要です」とKristoffersen氏は述べています。
"対策は、健康、安全、環境リスク管理に精通した障壁管理アプローチを用いて確立することができる。サイバーセキュリティは、HSEリスクのバリア 管理と同じ活力を必要とします。
ケーススタディ:Martin Linge
DNV GLは、Total社等3社が共同で保有するノルウェー領北海のMartin Linge油田でのサイバーセキュリティのリスク管理をサポートするTotal E&P Norge社を支援しています。 DNV GLの業務は、統合された制御システムと安全システムに重点を置いた、運用準備中のサイバーセキュリティの対応です。 また、サイバーセキュリティリスクに対する意識を高め、予防措置を取るためのスタッフのトレーニングも目的としています。「DNV GLの知見は、サイバーセキュリティのリスクを特定し、定義する上で重要な役割を担っています。」
Total E&P Norgeテクニカルマネージャー、Tor-Erik Hansen氏は述べています。
「監視制御およびデータ収集ソフトウェア - およびその他の制御システム - が主なターゲットです。これらは通常、ビジネスネットワークから外部から発信されるため、このルートを介した攻撃の防止と停止は同様に重要です。
ベンダー提供のソフトウェアに植え付けられたマルウェアによる内部攻撃は、このようなソフトウェアのすべてをチェックするための手順を必要とするもう1つの重要なリスクです。
Totalのアプローチは、ITシステムアーキテクチャとファイアウォールの実装に関する企業ルール遵守を保証することです。サイバーセキュリティの障壁の効果を実装し、監視するための体系的なアプローチが取られている。 Martin Lingeの場合、ハブである管理インターフェースへのアクセスが厳密に管理され、オペレーションセンターからのみリモートアクセスが許可されます。
ハンセン氏は、「私たちはノルウェーのフロントランナーであり、世界的にも、このプロジェクトの操業の初日から陸上管理室を持っていると感じている」と語った。 「私たちはMartin Lingeのためにすべてのネットワークを岸に引っ張るという大きな技術的なステップを踏んできました。これによりリスクが発生します。しかし、完了したら、他の人々を導く働き方を確立すると我々は信じている」
Total E&P Norgeは、パリのビジネス本部および産業サイバーセキュリティの問題について、フランスのサイバーセキュリティチームは、他のすべての大手石油会社と接触し、情報と警告を迅速に共有することができます。
別個の要員は、Total E&P Norgeの産業界およびビジネス分野のサイバーセキュリティーを担当し、カウンターパートとの直接コミュニケーションを維持する責任があります。ハンセン氏は、「ノルウェーのサイバーセキュリティ当局からのアラートをできるだけ迅速に受け取るシステムを構築するつもりだ」と述べた。
彼はTotalと同様に、石油・ガス業界がサイバーセキュリティの問題を真剣かつ体系的に扱うことを世界中の関係当局が主張することは、デフォルトの立場になると予想しています。
セキュリティ障壁
セキュリティ管理(図2)にボウタイモデルを使用することにより、企業は業務に対する脅威を特定し、インシデントを防止し、結果を軽減する障壁を計画できます。これには、性能評価基準で文書化された品質を維持する手順が含まれます。DNV GLは、世界中のお客様にサイバーセキュリティ対策の設計、実装、テスト、および保守を行う独自のリスクベースのアプローチを提供しています。 DNV GLのソフトウェアツールSynergi?Life-Risk ManagementModuleは、現在の資産とリスク登録を確立するために使用されます。このツールを使用すると、脆弱性および脅威の評価、および軽減のフォローアップが可能になります。
DNV GLのアプローチは、関連する国内および国際的なセキュリティ基準、ベストプラクティスおよびツールの実装における幅広い業界の専門知識と経験に基づいています。また、サイバーセキュリティの脅威を特定し、予防し、対応するための汎業界ベストプラクティスを開発するための指針開発に積極的に投資しています。
[1] 2014年サイバー犯罪の費用に関するグローバルレポート'、
Ponemon InstituteによるHPエンタープライズセキュリティの調査、2014年10月
[2] 「ノルウェーでハッキングされた300の石油会社」thelocal.no、2014年8月27日
[3] 「独占:サウジサイバー攻撃の疑いのある内部者」、ロイター、2012年9月7日
[4] 「神秘的な'08トルコのパイプライン爆発は新しいサイバーウォールを開けた」、ブルームバーグ、2014年12月10日