近年、いくつかの著名なサイバー攻撃により、自動車産業におけるサイバーセキュリティリスクのレベルが高まっていることにスポットライトが当てられています。この業界では、工場内の機械やデバイスを含むネットワーク資産の設置ベースを通じて行なわれることが多い現在の攻撃対象領域に対する認識を早急に高めることが必要です。
リスク
攻撃が成功すると、ランサムウェアの停止、データ損失、高価な復旧プロセスなどの金銭的リスクだけでなく、自動車工場のフロアの物理的な安全リスク、長時間のサプライチェーンの混乱、さらには訴訟も発生する可能性があります。
幸いなことに、すべての自動車メーカが、一般的なサイバーセキュリティのギャップを埋めるために講じることができる措置があります。そして、優先順位が高く、解決可能なギャップを未解決のまま放置するよりも、前もってサイバー攻撃への耐性を強化しておく方がはるかにコスト効率がよいのです。
この記事では、今日の脅威者が標的とする、頻繁に見られる設置ベースの脆弱性について概説します。
OT/ICSネットワークとアセットセキュリティ
過去10年間、自動車メーカは通信プロトコルを開放し、センサやアクチュエータのIoTエコシステムで工場現場のデータ収集を可能にしました。OTからITへのデータ共有は、企業システム内でこれらのデータを詳細に分析することで、工場現場の効率化とコスト削減を大きく促進しました。
しかし、OT/ITの境界を超えた接続性の向上によるデータに基づく洞察の爆発的な増加は、洗練された脅威者の台頭によりリスクを増大させています。効果的なサイバーセキュリティは、ネットワーク上に何があるかを正確に把握することから始まり、合法なものはプロアクティブに保護し、そうでないものは削除してブロックすることが可能になります。
適切なセキュリティがなければ、脅威者は、身代金のためにコントローラをロックしたり、機械の物理的な動作を制御したり、レシピデータを改ざんしたり、さらには作業員の安全上の危険を生じさせる可能性のあるシステムに侵入できる可能性があります。
自動車メーカは、既知または未知の脆弱性を可視化し、すべての設置ベース資産を最新に理解し、OT/IT境界を横断するデータフローの増加に伴うセキュリティ脆弱性を理解し緩和するために、OT環境内で徹底したリスク評価手法を必要としています。このリスクアセスメントでは、IDMZのインシデント検出機能の欠如、通信プロトコルのリスク(Modbus、PROFINETなど)、セキュアではない(または未承認の) IoTデバイスなどのサイバー衛生が不十分であることを指摘することができます。
パッチ管理の不備
自動車関連企業の71%が、パッチ管理が不十分であると回答しています。工場内のPCからPLCに至るまで、古いバージョンのOSやソフトウェアが動作している機器は、サイバー攻撃を受けやすい状態にあります。パッチはソフトウェアの重要なセキュリティ脆弱性に対応することが多く、期限内に適用されないと、悪意のある行為者が既知のセキュリティ欠陥を持つ古いバージョンを悪用することが比較的容易になり、高いサイバーセキュリティリスクを伴います。
パッチ管理の不備は、自動車のサイバーセキュリティ上のリスクをもたらしますが、生産に不可欠な工場内の機器という文脈では理解できることでもあります。ITの世界では、サーバやワークステーションにパッチを適用する手順を確立することは簡単で、ビジネスの中断を最小限に抑えることができます。
工場現場では、パッチを当てるということは、生産機械を停止させる可能性があるということであり、OT環境の責任者は当然ながら、いかなるレベルのダウンタイムも嫌がる。統計によると、工場現場での生産が1分間停止するだけで、自動車メーカのコストは2万2,000ドルに上ります。物理サーバで運用されている生産環境が、年中無休24時間体制で監視と管理を行なう仮想コンピューティングインフラに移行されていない場合、リスクは増大します。
OTのパッチ管理に対応するには、生産中断を最小限に抑えた体系的な戦略が必要です。このプロセスでは、すべての工場現場にあるデバイスの概要、それらのデバイス上で実行されているソフトウェアのバージョン、およびパッチが適用されていない脆弱性を提供する資産目録が重要です。また、一般的な落とし穴を回避し、効果的なセキュリティと生産稼働時間の適切なバランスを迅速に達成するために、生産オペレーションに精通したサイバーセキュリティアドバイザも有効です。
OTセキュリティの知識格差
OTセキュリティの知識格差が脆弱性のもう1つの原因です。なぜなら、知らないものは保護できないからです。
例えば、電気自動車分野のスタートアップは、ITサイバーセキュリティについては非常に高度にカバーしていますが、OTの脆弱性については軽視している場合があります。オートメーションレベルのウイルス、ワーム、脆弱性は、ネットワークを通じて伝播し、物理的な機器に脅威を与える可能性があります。最も悪名高い例は、WindowsエクスプロイトによってPLCを標的にしたStuxnetです。
OTセキュリティの向上は、CPwE (Converged Plantwide Ethernet)のような、テストされ検証されたリファレンスアーキテクチャから始まります。CPwEは、自動車工場のセキュリティを確保するための強固な基盤を提供します。このようなアーキテクチャの専門家の支援により、ファイアウォールをスマートに配備し、産業用IDMZを確立して、工場現場のセキュリティを強化することができます。
さらに、NISTフレームワークの5つの柱(識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover))に沿ったサイバーセキュリティソリューションを採用することで、ITとOTの両方のサイバーセキュリティを大きく成熟させることができます。
クレデンシャル侵害
最近のサイバーセキュリティソリューションは複雑化し、悪意ある行為者が巧妙な手口を用いているにもかかわらず、多くの攻撃が最初は驚くほど単純な脆弱性を突いています。この事件では、侵入者が以前のダークウェブでの情報漏えい事件から盗んだパスワードを使用して、VPNアカウントにアクセスし、ネットワークに侵入しています。最近で、最も有名な例は、2021年のコロニアルパイプラインのハッキング事件です。この事件では、侵入者が以前のダークウェブでのデータ流出から盗んだパスワードを使って、VPNアカウントにアクセスし、ネットワークにアクセスしたのです。
自動車の設置ベースでは、認証情報の漏洩により、悪意のある者が工場内のコンピュータやデバイスに、デフォルトまたは脆弱なユーザ名とパスワードのペアでアクセスする可能性があります。Covid-19時代により一般的になった共有パスワードとリモートアクセスは、攻撃者がマシンや機密データをコントロールするような危害をもたらす可能性があります。
ゼロトラストは、優先順位の高いデータ、資産、アプリケーション、およびサービス(DAAS) から過剰または想定される信頼を取り除くことによってサイバーセキュリティを強化するアプローチで、重要な保護として強力なアイデンティティとアクセス制御を強調します。多要素認証、定期的なパスワードの変更、最小特権アクセス、その他の技術を使用して、許可されたユーザに、許可された理由で、許可された時間だけアクセスを許可することができます。
始めましょう
ロックウェル・オートメーションでは、一般的なサイバーセキュリティの脆弱性からお客様のネットワーク、設置ベース、そして最終的にはお客様の業務を保護する、幅広いOTサイバーセキュリティソリューションを提供しています。これらのソリューションには、リスクアセスメントと資産の在庫管理サービスが含まれ、脆弱性を理解し、より高い回復力を得るための適切な計画を構築するのに役立ちます。
自動車用OTネットワークと設置ベースのセキュリティについては、当社の白書(Securing Automotive Networks Against Cyber Attack)をダウンロードしてください。また、自動車業界のサイバーセキュリティの専門家にご相談いただくことも可能です。
