カジノサイト よりスマートな構造、より安全な空間
インターネット大手の Google は、従業員のために印象的なキャンパスとオフィススペースを建設することで知られています。オーストラリアのニューサウスウェールズ州にあるワーフ 7 オフィスも例外ではなく、2012 年に同社が急成長を遂げた際に多くの従業員を移転しました。
インテリア デザイン賞プログラムである IDEA Awards は、この建物は「Google が促進するイノベーションの鍵となる交流とコラボレーションを促進する」ために建設されたとウェブサイトで述べています。ゲームルーム、カフェ、橋、歩道はすべて、建物の協調的な外観と雰囲気に貢献しています。
Google の埠頭 7 のインテリア デザインは印象的ですが、2 人のセキュリティ脆弱性研究者は、建物の機能の多くを制御するシステムがそれほど注目されていないことを発見しました。
セキュリティ会社サイランスのビリー・リオスとテリー・マッコークルは、両方とも企業のビル管理システム、施設内の電気的および機械的機能を制御するコンピュータベースのシステムにアクセスしました。彼らはパッチが適用されていない脆弱性を悪用することでこの侵害を達成しました。言い換えれば、Google がこれらのプラットフォームの一部でセキュリティ アップデートを実行していなかったために、HVAC、照明、防火および生命安全システムなどを制御するネットワークにアクセスしたのです。
「彼らがアクセスしたデータの中には、床と屋根の設計図を示すコントロール パネル、建物全体に蛇行する水道管の鮮明な図、パイプ内の水の温度とキッチンの水漏れの場所を示す表記が含まれていた」と 2013 年 5 月の情報有線記事。
Google は彼らの研究を知るとすぐにシステムにパッチを適用し、ホワイトハッカーの警告に感謝しました。学んだ教訓は、施設およびセキュリティの専門家が建物の複雑な自動化および制御システム環境を操作する際に広範囲に影響を及ぼします。
インテリジェントなビル管理システム
インテリジェント ビル管理システム (IBMS) は、ほとんどの現代の建物に組み込まれています。収益インテリジェンス会社MarketsandMarketsのレポートによると、IBMSは毎年15〜34パーセントの成長を続けています。このような成長は、運営コストの削減、情報の流れの改善、持続可能性の向上、そして建物の所有権と運営における増加する政府規制への対応に対する需要によるものです。
Transparency Market Research の調査によると、2022 年までに IBMS 業界の価値は約 1,040 億ドルになると推定されています。ただし、この技術強化には、多くの施設およびセキュリティの専門家が考慮していない一連の実質的なセキュリティ脆弱性が伴います。 Google の例が示すように、IBMS のセキュリティが考慮されていない場合、組織は引き続き凶悪な行為者による危害にさらされることになります。
脆弱性。IBMS に関連するセキュリティの脆弱性は、構築された環境全体に IBMS が組み込まれたことに起因します。 IBMS は、HVAC、照明、生命安全システムなどの建物の運用管理システムを統合します。また、侵入者検知、アクセス制御、監視システムなどのセキュリティ システムにも統合されています。
カジノサイト 国際財団、建物所有管理者協会 (BOMA)、およびセキュリティ産業協会 (SIA) の資金提供を受けた詳細な研究プロジェクトでは、最近、脆弱性と緩和戦略、施設管理者の理解と実践を含む IBMS のセキュリティーが調査されました。
以下は、最新の構築環境における IBMS に関連するセキュリティ問題についての説明です。研究プロジェクトのより重要な成果の 1 つは次のとおりです。インテリジェントなビル管理システム: 組織を保護するためのガイダンス。このガイダンス文書は、セキュリティ管理者および施設管理者の意思決定を支援するための相談ツールとして開発され、また、建物をさまざまな脅威やリスクから保護するためのガイダンスを提供するために開発されました。
IBMS の説明
IBMS の規模は、小型の自動化家庭用暖房システムから、HVAC、照明、エレベーター、視聴覚、セキュリティ、生命安全システムを含むすべての機能と、メンテナンス、管理、ビジネス機能を一元的に自動化する大規模で複雑な高層インテリジェント ビルディングまでさまざまです。
モノのインターネット (IoT) の出現と、スマートフォン、自動車、キャッシュレス自動販売機などのあらゆる電子機器の接続により、IBM は日常生活のより多様な領域に拡大し続けるでしょう。言い換えれば、建物に向かって車を運転するとき、IoT により到着と同時にガレージのドアが自動的に開き、携帯電話でドアを開けて建物の照明と暖房をオンにすることができます。
IBMS との接続、自動化、構築環境の制御は、標準化された技術アーキテクチャを通じて実現されます。このアーキテクチャは、管理、自動化、フィールド デバイスという 3 つの定義されたコンポーネント レベルに基づいています。
管理レベルは、マネージャーが IBMS の日常管理を容易にするインターフェースです。自動化レベルは IBMS の中核であり、専用のデータ ネットワークを介して接続されたコントローラーを備えた主要な自動化および制御デバイスを提供します。自動化レベルは、管理レベルで設定された定義済みのルールを実装します。フィールド デバイス レベルには、構築環境を監視および制御するためにプラントおよび機器に接続された物理的な入力センサーと出力アクティベーターが含まれます。
セキュリティ上のリスク。多くの IBMS デバイスが共通の通信プロトコルを通じてリンクされているという事実により、セキュリティ リスクが生じます。これらの結果は、損失、否認、操作のカテゴリに分類できます。これらの潜在的な危険はすべて、占有率の維持、運用の管理、データの保護を行う組織の能力を脅かします。このようなリスクは、重大な経済的損失や風評被害だけでなく、生命の安全を脅かす可能性があります。
When IBMS are compromised, consequences may range from denial of service attacks to manipulation of building systems.たとえば、HVAC をオフにすることは制御の拒否であり、温度の変化に応じて建物の居住者にとって不快になる可能性がありますが、コンピュータ ネットワーク サーバーが過熱するとシャットダウンする可能性もあります。
IBMS 内の脆弱性は、現場レベルのデバイスへの物理的アクセスから高度な技術的なリモート サイバー攻撃に至るまで、大きく異なります。オートメーション レベル コントローラーへの不正アクセスにより、攻撃者がフィールド デバイスのローカル制御を操作したり、オートメーション ネットワーク上でサイバー攻撃を開始したりする可能性があります。この攻撃により、攻撃者は建物の使用方法を計画し、自動化プログラムや制御プログラムを変更してドアのロックを解除したり警報装置を隔離したり、さらに秘密裏にネットワークにアクセスしたりできる可能性があります。
IBMS 攻撃が公にされることはほとんどありませんが、注目すべき例は数多くあります。たとえば、2013 年の Target 侵害では、ハッカーがサードパーティの HVAC 保守者から内部ネットワーク アクセス資格情報を盗み、4,100 万人を超えるペイメント カード ユーザーが危険にさらされました。フィンランドでは、企業のネットワークに対するサービス拒否攻撃により、2 つの建物の暖房が停止されました。 Shodan などの人気のあるハッカー検索エンジンは、簡単にアクセスできる IBMS 脆弱性のリストを公開しています。
IBMS の脆弱性を理解して適切に対応しないと、セキュリティ リスクにさらされることになります。 IBMS の脆弱性はその抽象的な性質と、高度に技術的な方法で表現されることが多いため、専門家が理解して軽減するのが難しい場合があります。
プロジェクトの調査結果
IBMS にはセキュリティー機能が含まれていますが、ほとんどの IBMS はセキュリティー専門家ではなく施設管理者によって管理および運用されています。ただし、これらの施設運営者は、セキュリティよりも広範な組織機能とコスト管理に重点を置く傾向があるため、セキュリティ専門家がこれらの脆弱性に細心の注意を払うことが重要です。
このプロジェクトでは、IBMS のセキュリティに関する知識の体系がさまざまな文献にまたがっていることがわかりました。現在のところ、セキュリティ専門家がこのセキュリティ上の懸念の重要性を理解し、脅威を軽減するための指針となる単一のソース文書はありません。
さらに、このプロジェクトでは、IBMS のセキュリティーにおけるいくつかの重要な問題を特定しました。それは、専門職の責任とサイロ化の影響、脆弱性の認識と理解、IBMS セキュリティーの専門家とは誰なのか、セキュリティー・システムの統合、IBMS のセキュリティーにおける共通言語の欠如です。
責任。調査によると、施設の専門家がIBMSを管理、運営しており、参加している建物の所有者と運営者の36パーセントが、そのような責任があると回答しています。
対照的に、セキュリティ専門家は主にセキュリティ システムの機能要素を管理および運用し、情報技術専門家はより広範な IBMS アーキテクチャを含むネットワーク システムの技術要素を管理および運用します。それにもかかわらず、各専門職は通常、自分の業務分野のみに焦点を当てており、その結果、責任がサイロ化されています。
認識。このプロジェクトでは、セキュリティーおよび施設の専門家の IBMMS の脅威とリスクに対する理解と、脆弱性の重要性に関する技術的知識の間に大きな乖離があることも判明しました。セキュリティーおよび施設の専門家の 75% が IBMS アーキテクチャーについて認識していると回答しましたが、参加者の半数はリスク管理文書で IBMS のリスクを取り上げていましたが、大多数は IBMS テクノロジーと脆弱性について限定的な理解を示していました。
セキュリティー専門家と設備専門家は両方とも、IBMS の脆弱性の重大度は比較的同等であると評価しました。このような調査結果は、多くの専門家が IBMS の脆弱性に対する技術的な理解を欠いているという想定を裏付けています。
専門知識。プロジェクト内で、IBMS 技術セキュリティの専門家グループが誕生しました。インテグレータ (ベンダー、設置業者、保守担当者) とサイバーセキュリティ専門家は、IBMS の脆弱性とその組織的重要性についてより正確な理解を示しました。このグループは、自動化レベルの機器とそのネットワークに対する攻撃をより高い重大度と評価しました。このような攻撃には、コントローラーの手動オーバーライド、自動ネットワーク トラフィック監視、ワークステーションへの不正アクセスが含まれます。
脆弱性をほぼ同じレベルで評価したセキュリティおよび施設の専門家とは異なり、専門家グループは最も重大な脆弱性と最も重大でない脆弱性の間に大きな違いがあることを特定しました。これは、組織がより堅牢な IBMS セキュリティを実現するために活用できる、より高いレベルの技術的理解を保持していることを示しています。
しかし、多くのインテグレータはベストプラクティスの運用やセキュリティに関するアドバイスではなく、サービスやメンテナンスを提供しています。参加者は、インテグレーターによって提供されるアドバイスは自社の製品やサービスを販売しようとしていると見なされる可能性があり、高レベルの IBM セキュリティーに関するアドバイスを提供する戦略的パートナーとして認識されない可能性があることに注意しました。
IBMS のセキュリティを効果的に管理するには、インテグレーターまたはサイバーセキュリティ専門家が施設およびセキュリティ部門と連携する必要があります。これらの専門家は、社内の情報技術やサイバーセキュリティの専門家、またはインテグレーターなどのサードパーティの請負業者である可能性があります。
プロジェクトの参加者の半数は、IBMS が自社のセキュリティ システムに統合されているため、これらのシステムが危険にさらされる可能性があると報告しました。使用されているセキュリティ システムの種類は回答者によって大きく異なりました。この調査では、セキュリティと施設の専門家のセキュリティ リスクと管轄責任についての理解の間に矛盾があることも明らかになりました。
言語。このプロジェクトでは、IBMS の「統合」という用語は広く理解されておらず、広範かつ未定義のままであり、人の職業上の役割に応じて意味の解釈がさまざまであることが判明しました。
その結果、IBMS の用語と慣行に関する理解と明確さが不足しています。統合が何を意味するかについてのセキュリティーおよび施設の専門家の考え方の違いは、IBMS の観点間の文化的な違いを示しています。この言語の不一致により、システムの整合性に対する脆弱性に対処できなくなる可能性があります。
IBMS ガイダンス
IBMS に対するセキュリティ上の障害を克服するために、プロジェクトはガイダンス文書を作成しました。インテリジェントなビル管理システム: 組織を保護するためのガイダンス。この文書は、すべての関連専門家が、多くの変化する IBMS の脅威とリスク、および占有と運用を維持する組織の能力に対処するための第一世代の出版物を提供します。このガイダンスは、IBMS の保護に関する意思決定を支援するだけでなく、IBMS の関係者間の共通言語の開発にも役立ちます。
このガイダンスでは、IBMS 関連のイベントにさらされた場合の組織の重要度、つまり影響レベルを特定するよう読者に指示しています。重要度は、運営、財務、安全、規制、情報、占有率などの 1 つまたは複数のカテゴリにわたって、マトリックスを使用してランク付けされます。
セキュリティに関する質問。以下は、階層的な重要度ベースの IBM セキュリティの質問に対応しています。これらのセキュリティの質問は、重要度マトリックスに沿って、低から重大までの 5 つの重要度レベルに分類されます。これらの質問に回答することで、コンプライアンスを実証したり、関連する専門家にさらに質問したりすることが容易になります。
セキュリティに関する質問は、管理、セキュリティ リスク管理、人的セキュリティ、物理的セキュリティ、サイバーセキュリティ、インシデント対応、継続計画、およびメンテナンスからなるサブセクションに分かれています。典型的な低レベル 1 のセキュリティの質問は、「文書化され承認されたセキュリティ ポリシーはありますか?」です。対照的に、レベル 5 のセキュリティに関する重要な質問は、「IBMS 固有の脅威評価を実施していますか?」と尋ねます。セキュリティに関する質問は合計 136 個あり、低レベルから重大レベルまでの影響レベルに分類されています。
先を見据えて。インテリジェントなビル管理システムは、運用効率の向上や増大する規制への対応の必要性など、さまざまな理由から新しいビルに組み込まれるようになってきています。すべての建築デバイスと設備は、セキュリティ システムを含め、ある程度の自動化レベルで IBMS に統合される可能性があります。
セキュリティー専門家が認識を持ち、現代の組織に適切に対応するには、専門レベルの IBMS の理解を持っている必要があります。意識を高めてガイダンスを提供するために、「インテリジェント ビル管理システム: 組織を保護するためのガイダンス」は、セキュリティーと施設の専門家の両方に、IBMS の脅威とリスクに対処するために必要な集約情報を提供します。研究プロジェクトの結果をよく理解することは、セキュリティ担当者が他の担当者と協力して施設に効果的なセキュリティを提供するのに役立ちます。
カジノサイト 国際財団 IBMS レポートの推奨事項
カジノサイト 国際財団の研究プロジェクトは、セキュリティと施設の専門家全体にわたって、いくつかの重要な推奨事項を特定しました。
IBMS とその脆弱性について一般的な認識を深めます。
この認識は、高度な技術的なサイバーセキュリティの理解である必要はありません。むしろ、IBMS が何を行うか、そしてビジネスおよび物理的な場所におけるその機能についての幅広い理解が必要です。脆弱性の多くは物理的または手順的なものであり、一般的なセキュリティ戦略により適切なレベルの保護が提供されます。
組織の関係者全体から IBMS セキュリティ ワーキング グループを結成します。このグループは、IBMS のサイロ化されたアプローチを打破し、セキュリティー、サイバーセキュリティー、施設、エンジニアリング、およびその他の関連する利害関係者のメンバーとの部門間の協力を改善するのに役立ちます。
建物の IBMS を監査します。コントローラーや通信ネットワークなどの物理的な IBMS デバイスが配置されている場所とその保護レベルを把握します。
セキュリティ リスク管理ドキュメントに IBMS が含まれていることを確認してください。たとえば、IBMS はドキュメントに重要なコンポーネントとしてリストされていますか?これらはインシデント対応にどのように役立ちますか?また、IBMS に障害が発生した場合、セキュリティ システムはどうなりますか?
IBMS の専門家と協力的なパートナーシップを構築します。特に情報技術とサイバーセキュリティの専門家、IBMS インテグレーターに。これらの専門家は社内またはサードパーティの請負業者である可能性がありますが、IBMS のセキュリティ問題を理解している必要があります。
のコピーを入手.このガイダンスでは、建物を評価するツールと、IBMS セキュリティへの対処を開始するために使用できるセキュリティの質問のリストを提供します。このガイドは、IBMS とその組織に対する数多くの変化する脅威とリスクに対処するための、すべての専門職向けの第一世代の文書を提供します。
Dave Brooks 博士、修士号、理学士は、西オーストラリア州のイーディス コーワン大学の大学院セキュリティ科学コーディネーターです。彼は カジノサイト インターナショナル西オーストラリア支部第 226 支部の会計責任者であり、支部の執行委員会のメンバーでもあります。 Michael Coole 博士、修士号、理学士は、西オーストラリア州のイーディス コーワン大学のセキュリティ科学コース コーディネーターです。彼は カジノサイト 国際財団研究評議会のメンバーです。
