No12 制御システムのリスク分析ブログ(ICSSブログ) -セキュリティテスト
制御システムのリスク分析ガイド6章は、セキュリティテストについてです。
セキュリティテストは、システムのセキュリティ設定が確実になされているかの確認をするために行われます。
セキュリティテストといってもさまざまな種類がありますが(ガイド6.2 表6-1)、ここでは脆弱性検査、ペネトレーションテスト、パケットキャプチャテストについて説明をしています。
脆弱性検査
脆弱性検査では、資産の持つ脆弱性が無いか調査を行います。対象は制御ネットワークの境界のファイアウォールや、さまざまな脅威にさらされやすいDMZの資産、制御の中枢となる制御サーバなどが考えられます。この検査は稼働中の資産に実施すると負荷が高くなり問題が生じる場合があります。実稼働環境では操業に影響しないタイミングで、また模擬環境を使ってのテストのほうが安心です。
ペネトレーションテスト
ペネトレーションテストでは脆弱性や機器の設定不備を利用してシステム内部へ侵入できるかのテストです、このテストも脆弱性検査と同様テスト環境には注意が必要です。試験環境は攻撃ツリー(必要部分のみ)になります。
パケットキャプチャテスト
このテストは、ネットワーク内で既に侵入されていることによる不審な通信が無いかを確認するテストです。例えば制御ネットワークにキャプチャ用の機器を設置し、不正な通信や想定外の通信が行われていないか確認をします。
この環境は実稼働状態で行われる事を推奨します。模擬環境では稼働状況が実稼働環境とまったく異なるからです。
まとめ
セキュリティテストは時間もコストもかかります。前段階のリスク分析で効率的なテスト資産やテスト箇所の確定を行い効率的なテストができるようにするのが望ましいです。