サイバーセキュリティ関連の警報やイベントに対処すべき人は一体誰なのか。
異常な状況、イベントに対する検出や、報告や、応答は、プロセス・オートメーション戦略を完結するうえで重要な機能的要素である。従来この情報は、警報の様式で運転員に向けて制御システムのコンソール上に示されている。運転員が警報の洪水や嵐に振り回される場合に、これらの警報の回数が特別な課題となることはよく知られている。このことが、ISA-18.2(IEC 62682)標準規格の策定へとつながり、同規格がプロセス業界における警報システムの開発、設計、設置、管理を取扱っている。
産業用制御システム(ICS)のサイバーセキュリティ管理における重要な要素のひとつは、攻撃やセキュリティ関連システムの故障を示唆するような異常な挙動の検出であり、この挙動はネットワーク・モニタ-、マルウエア・スキャナ、侵入検知システム(IDS)といったツールを用いることで検出されることになる。開発中のものも含めてこれらのツールが生み出すのは、セキュリティ・アラートと表現されるまったく新しい情報となる。
産業オートメーション・制御システム(IACS)セキュリティに関するISA/IEC 62443 標準シリーズは、セキュリティ関連のイベント、警報は分析のために収集され保持されなければならないと明確に示している。この情報収集と分析には十分な配慮と努力が払われてきているのは確かであるが、それは「セキュリティに特化した」文脈内での表現に留まっている。これは十分とも効果的ともいえないだろう。ひとたびこの情報が収集されれば、誰かがこれを解釈し、これに適応する行動をとるということが暗黙の了解としてあるからである。
このような行動をとることができる専門家を擁したセキュリティ運用センタ(SOC)に全ての情報を集めることを提案する向きもあるだろう。これは、極めて妥当な考えだが、そのような組織がいつでも対応できると想定するのは非現実的である。多くの企業は、そのような機能を支えるのに必要な体制や資源を持ち合わせていないからである。
異常事態に常時反応して対応可能なのは運転要員(つまりオペレータ、プラント・エンジニア等)であり、その異常事態がサイバー関連に起源を持つものであっても同様である。制御されたシステムの整合性に対して引き起こされうる影響を含めて、そのようなイベントの意味するものや起こりうる事象系列を理解しているのは、彼らである。とはいえ、彼らが対応できるのは、彼らが事態の本質を理解する限りにおいてである。もしこの情報が「サービス妨害(denial of service)」、「ワーム(worm)」、「トロイの木馬(Trojan)」などといったセキュリティやネットワーク関係者だけが理解する専門用語で表現されるならば、対応は不可能であろう。
この難問に対処するために、ソリューション提供企業は、情報の本質ばかりでなく、情報をどのように表現するか、さらに最も重要なこととして誰に対して表現するか、に留意しなけらばならない。時に難解なセキュリティの専門用語が、意味のあるプロセス関連用語に訳され、プロセス・オートメーションやその根底にあるプロセスの文脈内において表現されるかどうかは今後の課題である。この分野では、さらなる調査や開発努力が必要である。これは、ICS セキュリティ・ソリューション提供企業の避けて通れない課題である。(Eric Cosman)