Purdueモデル
概要
Purdueモデルとは、産業用制御システム(ICS)用のセキュリティの構造モデルである。1992年に紹介されてから、これまでICSネットワークセグメンテーションにおいて主要なフレームワークと位置付けられてきた。Purdueモデルでは、IT・OTシステムを機能階層別にレベルで分け、それぞれのレベルに応じたセキュリティ対策を実施することをめざす。
背景
Purdueモデルの導入が求められる背景には、OTシステムに対するサイバー攻撃が激化していることが挙げられる。OTシステムは、製造プロセスやインフラの制御に使用されるため、安全性の確保が極めて重要だ。
また、ITシステムのセキュリティに関していえば、従来ITシステムと外部ネットワークを完全に分断して閉じた環境を作ることで、外部からの脅威を遮断する方式が採用されていた。しかし、昨今では外部からITシステムにアクセスする機会が増えたうえに、OTシステムは異なる特徴を有しているため、この方法では対応しきれないケースが増えている。
一方、Purdueモデルでは同じセキュリティレベルを持つセグメントごとにネットワークレイヤーが分離されている。そのため、仮に1つのセグメントが攻撃を受けたとしても他のセグメントにまで被害が拡大することはない。データについても、同じレイヤ間でやり取りすることを想定している。
さらに、Purdueモデルでは、各セグメントの特性に適した多様なセキュリティ製品や技術を併用するため、ICSに対する包括的なセキュリティ戦略の実行が可能となる。Purdueモデルにて使われる技術や製品には、ファイアウォール、セキュリティ情報およびイベント管理(SIEM:Security Information and Event Management)、侵入検知システム(IDS:Intrusion Detection System)、仮想専用ネットワーク(VPN)などが含まれる。
構成
Purdueモデルでは、ICSを大きく6つのゾーンに分割する。
レベル4~5はエンタープライズゾーンと呼ばれ、一般的なオフィスにて運用されるIT環境が展開される。企業資源の最適化などを担い、ここを攻撃されると主要インフラの機能停止による長期間のダウンタイムが発生するおそれがある。
ITシステムとその下層を支えるOTシステムの間に配置されるのがDMZ(Demilitarized Zone)だ。ITとOT間における脅威の拡大を防ぐために用意されている。ファイアウォールやプロキシといったセキュリティ製品が配置される。
レベル3は製造オペレーションシステムゾーンであり、生産プロセスを制御するOTデバイスが稼働している。制御システムゾーンと呼ばれるレベル2には、物理プロセスの管理・監視・制御に関わるOTシステムが入る。
レベル1はインテリジェントゾーンと呼ばれる。物理的なプロセスに直接関わるセンサー、アクチュエータといったデバイスが配置されるレベル0の物理プロセスゾーンにコマンドを送るための機器が、レベル1に配置される。
古くから存在するPurdueモデルだが、その有効性はいまだに大きいといわれている。Purdueモデルを導入することで、ICS全体のセキュリティを底上げしていただきたい。
