ダウンタイムを削減するOTサイバーセキュリティの実践

2022年2月、ある自動車部品メーカのシステム管理者が、予期せぬファイルエラーを解決するためにファイルサーバを再起動しました。管理者は通常の起動画面を見ることはなく、かわりに脅迫メッセージが表示され、活発なサイバー攻撃が進行中であることを示す最初の兆候となりました。

この攻撃は数日間、自動車のサプライチェーンに波及し続けました。攻撃の全容が判明するまでに、この世界的な大手自動車メーカは、14の工場にまたがる28の生産ラインの操業停止を余儀なくされ、世界全体の生産能力を3分の1に削減し、数億ドルの損失を被りました。

今日の産業用ネットワークはますます接続されるようになり、OTサイバーセキュリティの脅威に対して脆弱になっています。サイバー攻撃のコストは、失われたデータの復元、損傷した機器の修理や交換、被害者への補償、罰金や弁護士費用の支払いなど、さまざまな形で発生します。しかし、産業環境では、最大のコストは通常、運用のダウンタイムに起因します。

サイバー攻撃のリスクをダウンタイムのコストに結びつける

プラントの所有者にとって、サイバー攻撃に関連する計画外のダウンタイムコストは、あっという間に膨れ上がる可能性があります。中小企業では、1時間のダウンタイムごとに8,000ドルまたはそれ以上の損失が発生する可能性があり、大規模な産業組織では、1時間当たりの損失が100万ドル¹またはそれ以上になることもあります。

一方、産業運用に対するサイバー攻撃の頻度は増加しており、ITから始まりOTインフラに移行するフィッシングやスピアフィッシング、または産業環境に多く存在し、マルウェアを持ち込む可能性のあるリムーバブルデバイスがその大きな要因となっています。

より大きな危険も視野に入っている。脆弱性を発見し悪用するためのAIの利用は拡大しており、重要なインフラは、混乱させようとする敵対的な国家によってますます狙われるようになっています。

ダウンタイムの高いコストとサイバー攻撃の頻度の上昇を組み合わせると、産業組織にとってリスク計算が重要であることは明らかです。防御を改善することで、サイバー攻撃によるプラントのダウンタイムを文字通り削減することができるため、収益に大きな影響を与え、生産運用を管理する者にとって最優先事項となります。

NISTサイバーセキュリティフレームワークの5つのカテゴリを使用して、最新の産業用サイバーセキュリティの実践方法をいくつか探ってみましょう。これらのプラクティスは、サイバー攻撃時のリスクとダウンタイムの期間を削減するのに役立ちます。
 

NISTカテゴリ1: 識別

サイバー攻撃が発生すると、防御側は通常、答えよりも疑問の方が多くなります。しかし、インシデント対応者は、迅速な範囲特定と対応を行なうために、以下のような具体的な質問「何が影響を受けるのか」、「どこに脆弱性があるのか」に早い段階で答えることが重要です。

これらの重要な質問に答えるには、生産環境の運用に最も重要な資産の完全で最新のインベントリが必要です。一般的な産業組織では、資産の数は数千から数万にのぼります。例えば製造業では、生産ラインの機器やコントローラ、スマートデバイス、センサ、その他多数の接続された資産があります。

この量は頻繁に変化するため、資産目録の作成は困難です。また、攻撃後にこの情報を収集することは、大規模な遅延を引き起こし、ダウンタイムの延長につながります。アドホックな資産インベントリのスキャンは、さらなる混乱を避けるために、メンテナンスの時間枠を待つのに数時間から数日かかることもあります。さらに、多くの組織はそもそも資産分析を頻繁に行なわないため、サイバー攻撃の脆弱性を高める一因となっています。

サイバー攻撃によるダウンタイムを削減するための重要なステップは、強固な資産および脆弱性管理プログラムを導入することです。毎日、毎時間、場合によってはリアルタイムで、定期的に自動化された資産のインベントリを実行することで、防御者は常に状況を正確に把握できるようになります。このような可視性を得ることで、ネットワーク上に不正なアセットが出現していないかどうか、また正規のアセットが脅威行為者を示す行動を示していないかどうかを判断することができます。これにより、攻撃を防止し、対応するための取り組みに迅速な焦点が当てられ、最終的にサイバー攻撃時のダウンタイムを短縮することができます。

NISTカテゴリ 2: 保護

特定の積極的な対策を実施することで、被害が発生する前に脅威をブロックし、サイバー攻撃によるダウンタイムを最小限に抑えることもできます。

どのような組織にとっても、防御上の優先事項の1つはネットワークのセグメンテーションです。ネットワークのセグメンテーションは、システム間に厳格な境界を作り、トラフィックの流れを制御し、攻撃がネットワークの他の部分に広がるリスクを最小限に抑えます。

産業組織では、DMZ (非武装地帯)はITとOTネットワークの間のアーキテクチャ上の境界であり、重要なエアギャップを提供する。ほとんどの産業用攻撃はITから始まりOTに移行するため、DMZの配備は、IT攻撃がプラントの運用にアクセスするのを制限するための重要なネットワークセグメンテーション戦略です。(産業用サイバー攻撃については、「Anatomy of 100+ Cybersecurity Incidents in Industrial Operations」を参照してください。)

マイクロセグメンテーションは、防御のもう1つのレイヤを提供します。脅威アクターは、ランサムウェアや破壊工作の目標を達成するために、最も簡単な経路を悪用する傾向があります。マイクロセグメンテーションのアプローチでは、ファイアウォールと強力なアクセス制御を適用することで、重要なデータ、アプリケーション、資産、サービスの周囲に保護されたセグメントを構築します。さらに、これらの対策は、米国をはじめとする世界各地でコンプライアンス指令が出始めているゼロ･トラスト･アーキテクチャの重要な戦略でもあります。
 

NISTカテゴリ3: 検出

敵がデジタルインフラに侵入した時点で、競争は始まっています。攻撃者は、夜間や週末に最も対応が遅くなることを知っており、先手を打つためにこの手口を使います。

過去によく知られた多くの産業攻撃は、休日の週末に始まりました。例えば、悪意のある脅威アクターは母の日の週末にコロニアル･パイプラインに対してDarkSideランサムウェアを展開し、食品加工業者のJBSはメモリアルデーの週末にRevilランサムウェア攻撃を経験しました。

現代の産業界の脅威に対する防御は、「最初のシフト」だけの問題ではありません。ネットワーク･セキュリティ･モニタによって24時間体制の警戒を設計し、敵に決して先手を与えないようにする必要があります。幸いなことに、組織は、セキュリティチームが数分で行動を開始できる脅威検出システムを使用して、年中無休24時間体制のネットワーク･セキュリティ･モニタを導入することで、時間に打ち勝つことができます。継続的なネットワーク･セキュリティ･モニタは、サイバー攻撃によるダウンタイムを最小限に抑えたい企業にとって必要不可欠なものです。

多くの産業組織では、検知に必要な年中無休24時間体制のセキュリティ･オペレーション･チームの人員を確保することが困難です。このような場合、マネージドサービスを利用することで、コスト効率よくギャップを埋めることができ、防御者が常に配置され、迅速に脅威を検知して対応できるため、ダウンタイムを最小限に抑え、被害の拡大を防ぐことができます。

NISTカテゴリ4: 対応

高度な脅威への対応には、特定のスキルと経験が必要です。インシデント対応のフレームワークが役立ちます。ほとんどの組織は、OTインシデントレスポンス(IR)の専門家を導入して、定着した脅威に対処しています。これは、生産業務、作業員の安全、設備、サプライチェーンへの影響を考えると、産業組織では特に重要なプロセスです。

適切な専門知識を持つOTインシデント対応パートナを見つけるには、時間がかかることがあります。コンサルタントを吟味し、契約を交渉し、インシデント対応のフレームワークや計画を策定するには、特に石油&ガスのような規制の厳しい業界では、数週間を要することもあります。

サイバー攻撃によるダウンタイム長期化のリスクを回避するには、OTインシデント･レスポンス･プロバイダとの関係を事前に構築する必要があります。IRリテーナ契約により、攻撃が発覚した瞬間から強力な対応を開始できるため、サイバー攻撃による損害を最小限に抑え、ダウンタイムを短縮し、さらなる破壊を防ぐことができます。NISTインシデント対応フレームワークの取り組みに着手するロックウェル･オートメーションのお客様の多くは、OTインシデント対応リテーナ契約から開始し、ダウンタイムのリスクを低減するとともに、長期にわたってより優れたサイバーセキュリティ保護を実現しています。

NISTカテゴリ5: 復旧

例えばライフサイエンスなど、一部の産業分野では、ランサムウェアは計画外ダウンタイムの主要な原因の1つとなっています。

システムやデータの復旧は厳密なプロセスであり、完璧な状態であれば数時間から数日かかることもあります。残念ながら、完璧な状態というのはめったにありません。不完全なバックアップ、互換性のないソフトウェア、訓練を受けていないスタッフなどは、複雑化や遅延を引き起こし、復旧に数日から数週間を要することもあります。

復旧もまた、OTの深い経験がものを言う分野です。成熟した復旧プログラムの開発には、計画、バックアップステップ、定期的なテストが必要です。そして、どんな複雑なプロセスでもそうであるように、実践は完璧をもたらします。復旧プロセスの各関係者が、それぞれの役割と実行方法を理解することが重要です。そうすることで、復旧プロセスから数日から数週間のダウンタイムを削減することができます。

後のダウンタイムを防ぐために、今投資を

産業組織では、OTインフラへのサイバー攻撃によるダウンタイムの可能性が、オペレーション、安全性、収益性に重大なリスクをもたらします。基礎的なOTサイバーセキュリティ対策を実施することで、サイバー攻撃を特定、保護、検出、対応、回復する組織の能力を向上させることができ、ダウンタイムのリスクを低減し、脅威が高まる中で事業継続性を確保することができます。

ロックウェル･オートメーションは、産業用オートメーションと産業用サイバーセキュリティの世界的なリーダであり、100年以上にわたって企業が複雑な問題に対するソリューションを構築できるよう支援してきました。ロックウェル･オートメーションの専門家は、今日の高度な脅威に対する優れた保護を実現する産業用強度のOTサイバーセキュリティプログラムの開発を支援し、生産業務の継続を可能にします。

産業用サイバーセキュリティを強化するためのビジネスケースの構築を今すぐ始めましょう。無料のワークブック「Build the Right Business Case for Your Industrial Cybersecurity Program」をダウンロードしてください。また、産業現場におけるサイバー攻撃と対応のデモを見ることもできます。または、産業用サイバーセキュリティの専門家にご相談ください。

¹ https://www.pingdom.com/outages/average-cost-of-downtime-per-industry/