ポリシー

OT Security に含まれているポリシーは、ネットワークで発生する疑わしいイベント、認証されていないイベント、異常なイベント、またはその他の特筆すべき特定のタイプのイベントを定義するために使用されます。特定のポリシーのすべてのポリシー定義条件を満たすイベントが発生すると、システムでイベントが生成されます。システムはイベントをログに記録し、ポリシーで設定されているポリシーアクションに従って通知が送信されます。

ポリシーベースの検出 — 一連のイベント記述子で定義されたポリシーの条件が正確に満たされた場合にイベントをトリガーします。
異常検出 — OT Security によってネットワークで異常または不審なアクティビティが識別されたときにイベントをトリガーします。

OT Security は、事前定義された一連のポリシーを備えています (標準装備)。さらに、事前定義ポリシーを編集したり、新しいカスタムポリシーを定義したりできます。

注意: デフォルトでは、ほとんどのポリシーがオンになっています。ポリシーのオン / オフについては、ポリシーの有効化または無効化を参照してください。

ポリシー設定

各ポリシーは、ネットワーク内における特定のタイプの動作を定義する一連の条件で構成されています。これには、アクティビティ、関連する資産、イベントのタイミングなどの考慮事項が含まれます。ポリシーで設定されたすべてのパラメーターに適合するイベントのみが、そのポリシーのイベントをトリガーします。各ポリシーには、イベントの深刻度、通知方法、ログ記録を定義する指定されたポリシーアクション設定があります。

グループ

OT Security のポリシーの定義で重要な要素は、グループの使用です。ポリシーを設定する場合、各ポリシーパラメーターは個々のエンティティではなくグループに属しています。これにより、ポリシー設定プロセスが効率化されます。たとえば、ファームウェアの更新というアクティビティが 1 日の特定の時間 (勤務時間中など) にコントローラーで実行されたときに疑わしいアクティビティと見なされる場合、ネットワーク内のコントローラーごとに個別のポリシーを作成する代わりに、資産グループコントローラーに適用される単一のポリシーを作成できます。

次のタイプのグループがポリシー設定で使用されます。

資産グループ — システムには、資産タイプに基づいた事前定義の資産グループがあります。場所、部門、重大度などの他の要素に基づいてカスタムグループを追加できます。
ネットワークセグメント — システムは、資産タイプと IP 範囲に基づいて自動生成されるネットワークセグメントを作成します。同様の通信パターンを持つ資産グループを定義する、カスタムのネットワークセグメントを作成することもできます。
E メールグループ — 特定のイベントのメール通知を受信する複数のメールアカウントをグループ化できます。たとえば、職務別、部門別でグループ化します。
ポートグループ — 似たような方法で使用されるポートをグループ化します。たとえば、Rockwell コントローラーで開いているポートなどです。
プロトコルグループ — 通信プロトコルを、プロトコルのタイプ別 (Modbus など)、製造元別 (Rockwell 使用可能プロトコルなど) でグループ化します。
スケジュールグループ — いくつかの時間範囲を、特定の共通の特性を持つスケジュールグループとしてグループ化します。たとえば、勤務時間、週末です。
タググループ — さまざまなコントローラーで類似の操作データを含むタグをグループ化します。たとえば、ファーネスの温度を制御するタグです。
ルールグループ — Suricata Signature ID (SID) で識別される関連ルールをグループ化します。これらのグループは、侵入検知ポリシーを定義するためのポリシー条件として使用されます。

ポリシーの定義で使用できるのは、システムで設定されたグループのみです。システムには、事前定義グループのセットがあります、これらのグループを編集したり、独自のグループを追加したりできます。グループを参照してください。

注意: ポリシーパラメーターはグループを使用してのみ設定できます。ポリシーを個々のエンティティに適用する場合でも、そのエンティティのみを含むグループを設定する必要があります。

深刻度レベル

各ポリシーには、イベントをトリガーした状況によってもたらされるリスクの程度を示す特定の深刻度レベルが割り当てられています。次の表に、さまざまな深刻度レベルの説明を示します。

深刻度	説明
なし	このイベントは問題ありません。
低	現時点では心配はありませんが、都合の良いときに確認する必要があります。
中	潜在的に害のあるアクティビティが発生したことに対する中程度の深刻度レベルで、都合の良いときに対処する必要があります。
高	潜在的に害のあるアクティビティが発生したことに対する深刻度の高いレベルで、すぐに対処する必要があります。

イベント通知

ポリシー条件に一致するイベントが発生すると、イベントがトリガーされます。[イベント] セクションに [すべてのイベント] が表示されます。[ポリシー] ページには、イベントをトリガーしたポリシーの下にそのイベントが一覧表示され、[インベントリ] ページには、影響を受けている資産の下にイベントがリストされます。さらに、Syslog プロトコルを使用する外部 SIEM または指定された E メール受信者にイベントの通知を送信するように、ポリシーを設定できます。

Syslog 通知 — Syslog メッセージは、標準キーとカスタムキーの両方がある CEF プロトコルを使用します (これらは OT Security で使用するように設定されています)。Syslog 通知の解釈方法については、OT Security Syslog Integration Guide (OT Security Syslog 統合ガイド) を参照してください。
メール通知 — メールメッセージには、通知を生成したイベントの詳細と、脅威を軽減するための手順が含まれています。

ポリシーカテゴリとサブカテゴリ

OT Security はポリシーを次のカテゴリに分類しています。

設定イベント — これらのポリシーは、ネットワークで発生するアクティビティに関連しています。次の 2 つのサブカテゴリがあります。
- コントローラーの検証 — これらのポリシーは、ネットワークのコントローラーで発生する変更に関連しています。対象となるものには、コントローラーの状態の変化や、ファームウェア、資産プロパティ、コードブロックの変更などがあります。ポリシーは、特定のスケジュール (平日のファームウェアアップグレードなど) および/または特定のコントローラーに制限できます。
- コントローラーアクティビティ — これらのポリシーは、コントローラーの状態と設定に影響を与える特定のエンジニアリングコマンドに関連しています。イベントを必ず生成する特定のアクティビティの定義や、イベントを生成するための一連の基準の指定が可能です。たとえば、特定のアクティビティが特定の時間や特定のコントローラーで実行された場合などです。資産、アクティビティ、スケジュールのブロックリストと許可リストの両方がサポートされています。
ネットワークイベント — これらのポリシーは、ネットワーク内の資産および資産間の通信ストリームに関連しています。これには、ネットワークに追加された資産やネットワークから削除された資産が含まれます。また、ネットワークに異常なトラフィックパターンや、懸念要因を挙げるフラグが立てられたトラフィックパターンも含まれます。たとえば、エンジニアリングステーションが、事前に設定された一連のプロトコルの一部ではないプロトコル (特定のベンダーによって製造されたコントローラーが使用するプロトコルなど) を使用してコントローラーと通信する場合、ポリシーによってイベントがトリガーされます。これらのポリシーを、特定のスケジュールや特定の資産に制限できます。ベンダー固有のプロトコルは便宜上ベンターによってまとめられていますが、任意のプロトコルをポリシー定義で使用できます。
SCADA イベントポリシー — これらのポリシーは、産業プロセスに害を及ぼす可能性がある設定値の変更を検出します。この種の変更は、サイバー攻撃やヒューマンエラーに起因する場合があります。
ネットワーク脅威ポリシー — これらのポリシーは、署名ベースの OT/IT 脅威検出を使用して、侵入の脅威を示すネットワークトラフィックを識別します。検出は、Suricata の脅威エンジンでカタログ化されたルールに基づいています。

ポリシーのタイプ

各カテゴリおよびサブカテゴリ内には、一連の異なるタイプのポリシーがあります。OT Security には各タイプの事前定義ポリシーがあります。各タイプの独自のカスタムポリシーを作成することもできます。次の表は、カテゴリ別にグループ化されたさまざまなポリシータイプを説明しています。

設定イベント — コントローラーアクティビティのイベントタイプ

コントローラーアクティビティは、ネットワークで発生するアクティビティに関連しています。たとえば、ネットワーク内の資産間に実装された「コマンド」などです。コントローラーアクティビティイベントには、さまざまなタイプがあります。コントローラーアクティビティタイプは、アクティビティが実行されるコントローラーのタイプと、特定のアクティビティによって定義されます。たとえば、Rockwell PLC の停止、SIMATIC コードのダウンロード、Modicon オンラインセッションです。

コントローラーアクティビティイベントに適用されるポリシー定義パラメーター (ポリシー条件) は、ソース資産、デスティネーション資産、スケジュールです。

設定イベント — コントローラー検証イベントのタイプ

次の表では、さまざまなタイプのコントローラー検証イベントについて説明します。

注意: 影響を受ける資産、ソース、またはデスティネーションに関連するポリシー条件は、資産グループまたはネットワークセグメントのいずれかを選択することで指定できます。

イベントタイプ	ポリシー条件	説明
キースイッチの変更	影響を受ける資産、スケジュール	物理的なキーの位置を調整することで、コントローラーの状態が変更されました。現在 Rockwell コントローラーでのみサポートされています。
状態の変化	影響を受ける資産、スケジュール	コントローラーが、ある動作状態から別の状態に変化しました。たとえば、実行中、停止、テストです。
ファームウェアバージョンの変更	影響を受ける資産、スケジュール	コントローラーで実行しているファームウェアに対する変更です。
確認されないモジュール	影響を受ける資産、スケジュール	バックプレーンから取り外された、以前に識別されたモジュールを検出します。
検出された新しいモジュール	影響を受ける資産、スケジュール	既存のバックプレーンに追加された新しいモジュールを検出します。
スナップショットの不一致	影響を受ける資産、スケジュール	コントローラーの最新のスナップショット (コントローラーに展開されたプログラムの現在の状態をキャプチャしたもの) が、そのコントローラーの以前のスナップショットと同一ではありませんでした。

ネットワークイベントのタイプ

次の表では、さまざまなタイプのネットワークイベントについて説明します。

イベントタイプ	ポリシー条件	説明
確認されない資産	確認されていない、影響を受ける資産、スケジュール	[影響を受ける資産グループ] で以前に特定された資産の中から、特定の時間範囲で特定の時間の長さの間ネットワークから削除されているものを検出します。
再発見された資産	非アクティブ、影響を受ける資産、スケジュール	一定期間オフラインになった後にオンラインになった資産または通信を再開した資産を検出します。
USB 設定の変更	影響を受ける資産、スケジュール	USB デバイスが Windows ベースのワークステーションに接続または取り外されたことを検出します。ポリシーは、指定された時間範囲内に影響を受ける資産グループの資産の変更に適用されます。
IP の競合	スケジュール	同じ IP アドレスを使用しているネットワーク内の複数の資産を検出します。これは、サイバー攻撃を示しているか、ネットワーク管理が不適切なために発生している可能性があります。ポリシーは、指定された時間範囲内に OT Security により検出された IP 競合に適用されます。
ネットワークベースラインの逸脱	ソース、デスティネーション、プロトコル、スケジュール	ネットワークベースラインのサンプリング中に、互いに通信しなかった資産間の新しい接続を検出します。このオプションは、システムにネットワークベースラインが設定された後にのみ利用可能です。初期ネットワークベースラインを設定したり、ネットワークベースラインを更新したりするには、ネットワークベースラインの設定を参照してください。ポリシーは、プロトコルグループからのプロトコルを使用して、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産への通信に適用されます。
検出された新しい資産	影響を受ける資産、スケジュール	指定された時間範囲内にネットワークに出現する、ソース資産グループの指定されたタイプの新しい資産を検出します。
オープンポート	影響を受ける資産、ポート	ネットワークで新しいオープンポートを検出します。未使用のオープンポートは、セキュリティリスクをもたらす可能性があります。このポリシーは、影響を受ける資産グループの資産およびポートグループのポートに適用されます。
ネットワークトラフィックの急激な上昇	時間枠、機密性レベル、スケジュール	ネットワークトラフィック量の異常な急増を検出します。このポリシーは、指定された時間枠に関連し、指定された機密性レベルに基づく急激な上昇に適用されます。また、指定された時間範囲に制限されます。
会話の急激な上昇	時間枠、機密性レベル、スケジュール	ネットワーク内の会話数の異常な急増を検出します。このポリシーは、指定された時間枠に関連し、指定された機密性レベルに基づく急激な上昇に適用されます。また、指定された時間範囲に制限されます。
RDP 接続 (認証済み)	ソース、デスティネーション、スケジュール	認証資格情報を使用してネットワークで RDP (リモートデスクトップ接続) が行われました。このポリシーは、指定された時間範囲内にデスティネーション資産グループの資産に接続する、ソース資産グループの資産に適用されます。
RDP 接続 (未認証)	ソース、デスティネーション、スケジュール	認証資格情報を使用せずに、ネットワークで行われた RDP (リモートデスクトップ接続)。このポリシーは、指定された時間範囲内にデスティネーション資産グループの資産に接続する、ソース資産グループの資産に適用されます。
認証されていない会話	ソース、デスティネーション、プロトコル、スケジュール	ネットワーク内の資産間で送信された通信を検出します。このポリシーは、プロトコルグループからのプロトコルを使用して、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産へ送信される通信に適用されます。
安全でない FTP ログインの成功	ソース、デスティネーション、スケジュール	OT Security では FTP は安全ではないプロトコルと見なされます。このポリシーは、FTP を使用したログインの成功を検出します。
安全でない FTP ログインの失敗	ソース、デスティネーション、スケジュール	OT Security では FTP は安全ではないプロトコルと見なされます。このポリシーは、FTP を使用して失敗したログイン試行を検出します。
安全でない Telnet ログインの成功	ソース、デスティネーション、スケジュール	OT Security では Telnet は安全ではないプロトコルと見なされます。このポリシーは、Telnet を使用したログインの成功を検出します。
安全でない Telnet ログインの失敗	ソース、デスティネーション、スケジュール	OT Security では Telnet は安全ではないプロトコルと見なされます。このポリシーは、Telnet を使用して失敗したログイン試行を検出します。
安全でない Telnet ログイン試行	ソース、デスティネーション、スケジュール	OT Security では Telnet は安全ではないプロトコルと見なされます。このポリシーは、Telnet を使用したログイン試行を検出します (結果ステータスが検出されなかったログイン)。

ネットワーク脅威イベントのタイプ

次の表では、さまざまなタイプのネットワーク脅威イベントについて説明します。

イベントタイプ	ポリシー条件	説明
侵入検知	ソース、影響を受ける資産、ルールグループ、スケジュール	侵入検出ポリシーポリシーは、署名ベースの OT/IT 脅威検出を使用して、侵入の脅威を示すネットワークトラフィックを識別します。検出は、Suricata の脅威エンジンでカタログ化されたルールに基づいています。このルールは、カテゴリ (ICS 攻撃、サービス拒否、マルウェア) とサブカテゴリ (ICS 攻撃 - Stuxnet、ICS 攻撃 - Black Energy) にグループ化されます。システムには、関連ルールの事前定義グループのセットがあります。さまざまなルールの独自のカスタムグループを設定することもできます。注意: 侵入検知システム (IDS) イベントのソースおよびデスティネーションの資産グループを編集することはできません。
ARP スキャン	影響を受ける資産、スケジュール	ネットワークで実行されている ARP スキャン (ネットワーク偵察アクティビティ) を検出します。このポリシーは、指定された時間範囲内に影響を受ける資産グループでブロードキャストされたスキャンに適用されます。
ポートスキャン	ソース資産、デスティネーション資産、スケジュール	オープン (脆弱) ポートを検出するためのネットワークで実行されている SYN スキャン (ネットワーク偵察アクティビティ) を検出します。このポリシーは、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産への通信に適用されます。

イベントタイプ

ポリシー条件

説明

侵入検知

ソース、影響を受ける資産、ルールグループ、スケジュール

侵入検出ポリシーポリシーは、署名ベースの OT/IT 脅威検出を使用して、侵入の脅威を示すネットワークトラフィックを識別します。検出は、Suricata の脅威エンジンでカタログ化されたルールに基づいています。このルールは、カテゴリ (ICS 攻撃、サービス拒否、マルウェア) とサブカテゴリ (ICS 攻撃 - Stuxnet、ICS 攻撃 - Black Energy) にグループ化されます。システムには、関連ルールの事前定義グループのセットがあります。さまざまなルールの独自のカスタムグループを設定することもできます。

注意: 侵入検知システム (IDS) イベントの ソース および デスティネーション の資産グループを編集することはできません。

ARP スキャン

影響を受ける資産、スケジュール

ネットワークで実行されている ARP スキャン (ネットワーク偵察アクティビティ) を検出します。このポリシーは、指定された時間範囲内に影響を受ける資産グループでブロードキャストされたスキャンに適用されます。

ポートスキャン

ソース資産、デスティネーション資産、スケジュール

オープン (脆弱) ポートを検出するためのネットワークで実行されている SYN スキャン (ネットワーク偵察アクティビティ) を検出します。このポリシーは、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産への通信に適用されます。

SCADA イベントのタイプ

次の表では、さまざまなタイプの SCADA イベントについて説明します。

イベントタイプ	ポリシー条件	説明
Modbus の不正なデータアドレス	ソース資産、デスティネーション資産、スケジュール	Modbus プロトコルの「不正なデータアドレス」エラーコードを検出します。このポリシーは、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産への通信に適用されます。
Modbus の不正なデータ値	ソース資産、デスティネーション資産、スケジュール	Modbus プロトコルの「不正なデータ値」エラーコードを検出します。このポリシーは、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産への通信に適用されます。
Modbus の不正な関数	ソース資産、デスティネーション資産、スケジュール	Modbus プロトコルの「不正な関数」エラーコードを検出します。このポリシーは、指定された時間範囲内のソース資産グループの資産からデスティネーション資産グループの資産への通信に適用されます。
承認されていない書き込み	ソース資産、タググループ、タグ値、スケジュール	指定のソース資産グループのコントローラー (現在 Rockwell および S7 コントローラーがサポートされています) 上の指定のタグへの承認されていないタグ書き込みを検出します。このポリシーは、新しい書き込み、指定値からの変更、または指定範囲外の値を検出するように設定できます。このポリシーは、指定された時間範囲にのみ適用されます。
ABB - 承認されていない書き込み	ソース資産、デスティネーション資産、スケジュール	MMS 経由で ABB 800xA コントローラーに送信される、許可された範囲外の書き込みコマンドを検出します。
IEC 60870-5-104 コマンド (データ転送の開始 / 停止、問い合わせコマンド、カウンター問い合わせコマンド、クロック同期コマンド、プロセスリセットコマンド、時間タグ付きテストコマンド)	ソース資産、デスティネーション資産、スケジュール	リスクがあると考えられる IEC-104 親ユニットまたは子ユニットに送信された特定のコマンドを検出します。
DNP3 コマンド	ソース資産、デスティネーション資産、スケジュール	DNP3 プロトコルを使用して送信されたすべてのメインコマンドを検出します。たとえば、選択、操作、ウォーム/コールド再起動です。また、サポートされていない関数コードやパラメーターエラーなどの内部インジケーターから発生しているエラーも検出します。