OTにおける境界重視のセキュリティの限界
境界重視のセキュリティ(ペリメータセキュリティ)はM&Mのようなものです。ハッカーが殻を破ると、システムの重要なデータやコンポーネントを傍受できます。攻撃が境界に侵入する方法の例をいくつか示します。
- フィッシング: 従業員は、OT機器の重要なソフトウェアアップデートを提供する正規のベンダーを装ったメールを受取ります。従業員がそのメールをクリックすると、意図せずデバイスにマルウェアがインストールされ、攻撃者がOTネットワークにアクセスできるようになります。
- サプライチェーン攻撃: 製造工場は、侵害されたサプライヤから産業用制御システムとプログラマブル・ロジック・コントローラを購入します。その結果、悪意のあるファームウェアがシステムを侵害します。
- 内部脅威: 廃水処理施設のエンジニアが個人のウェブサイトを閲覧中に誤って職場のコンピュータにマルウェアをダウンロードし、それをOTネットワークに侵入させてしまいます。
エンドポイント管理 vs. ペリメータセキュリティ
残念ながら、多くの組織はOT環境内のエンドポイントを管理するために、堅牢なサイバーセキュリティのアプローチを採用していません。かわりに、境界またはネットワークベースのセキュリティ戦術を優先しますが、これはトランザクションに重点を置き、エンドポイントの構成を完全に無視しているため、エンドポイントは攻撃に対して脆弱なままです。
そのため、階層化されたセキュリティが重要です。複数の保護層により、攻撃者が組織の重要なデータに到達したり、重要なインフラにアクセスしたりすることが困難になります。
モニタツール vs. エンドポイントセキュリティ
OTセキュリティのためにパッシブ異常検出ツールを採用しようとする人は多くいます。これは、運用資産間の日常的なトラフィックをリスニングしてネットワーク内をモニタできるためです。このアプローチは、リスクに起因するエンドポイントの動作を視覚的に確認することに依存しています。その時点では、ネットワーク上ですでに危険なことが起こっているため、通常は手遅れになります。モニタツールでは、セキュリティを最も改善する必要があるエンドポイントのリスクは軽減されません。
良いニュースは、OT対応のエンドポイント管理ソリューションによって攻撃対象領域が大幅に削減され、マルウェア、ハッカー、その他のサイバー関連リスクのターゲットを保護するのに役立つことです。しかし、そのメリットを享受するには、考え方を変える必要があります。
OTセキュリティ管理: 包括的なアプローチ
OTセキュリティ管理は、組織のOT資産、システム、ネットワークの全体像を提供します。包括的なOTセキュリティ戦略には、インフラを保護するための多層アプローチが必要です。全体を構成する他のレイヤについて詳しく見ていきましょう。
- ネットワークセグメンテーションは、重要なシステムとネットワークを分離し、ファイアウォール、仮想ローカル・エリア・ネットワーク(VLAN)、エアギャップを介した潜在的なサイバー攻撃の影響を制限します。
- 脆弱性管理は、侵入テストなどの評価を通じて脅威を特定し、パッチ適用やソフトウェア更新を通じて脅威を軽減します。
- セキュリティポリシーは、ベストプラクティス、許容される使用、アクセス制御に関する組織のOTセキュリティの取り組みを概説します。
- インシデント対応計画(IRP)は、封じ込め、根絶、回復などの戦略を通じて検出と対応の手順を概説し、組織がサイバー攻撃に効果的に対処できるようにガイドします。
エンドポイントセキュリティは、産業用制御システムやプログラマブル・ロジック・コントローラをマルウェアやその他のサイバー脅威から保護するのに役立つため、OTセキュリティ管理に不可欠です。エンドポイントセキュリティが脅威に対処する方法には、ウイルス対策ソフトウェア、侵入検知システム(IDS)、ファイアウォールなどがあります。
エンドポイント保護がOTセキュリティ管理に不可欠な理由
エンドポイント保護は、OTセキュリティ管理の基礎です。OT環境内の個々のデバイスを保護すると、攻撃対象領域が大幅に減少し、全体的な防御が向上します。
エンドポイント保護によって攻撃対象領域を減らす方法はいくつかあります。
- 定期的なパッチ適用: セキュリティ更新とパッチを迅速に適用すると、マルウェアに悪用される既知の脆弱性が排除されます。
- アプリケーションのホワイトリスト: 許可されていないソフトウェアの実行を制限すると、悪意のあるコードの侵入を防ぐことができます。
- デバイス制御: リムーバブルメディア(USBドライブなど)やその他の外部デバイスへのアクセスを制御すると、マルウェアが侵入するリスクが最小限に抑えられます。
- システム構成の強化: セキュアなデフォルト構成を実装し、不要なサービスをオフにすると、悪用される可能性が減ります。
OT環境における攻撃対象領域の縮小
多くのOT所有者とオペレータは、エンドポイントでのエージェントの使用を躊躇しています。しかし、エンドポイントに直接接続してパッチ適用、調整(パッチ適用が実行できない場合)、およびエンドポイントの全般的な追跡と管理を実施することで、リスクプロファイルを大幅に削減できます。
このような堅牢なエンドポイント管理ソリューションを採用することで、OTセキュリティ担当者はリスクを大幅に削減し、時間とコストを大幅に節約できます。実際、最近のプロジェクト後の分析では、大手製薬会社がセキュリティ対策の労力を60万ドル以上削減しながら、セキュリティ成熟度の有効性を2倍に高める見込みであることが示されました。
このアプローチの約束は、現状を拡張して、対象資産にエージェントとエージェントレスプロファイリングを含める意欲にあります。資産インベントリの自動化を採用し、パッチを適用しない場合は、クリエイティブに補償制御を適用する必要があります。また、企業本部やリースクラウドの可視性を活用して、希少な熟練リソースをより広範な産業資産に拡張する必要があります。この資産中心のアプローチを採用することで、OTコンテキストが日常の意思決定に組み込まれ、リスク削減の取り組みを最も必要とする資産に正確に向けることができます。
OT環境での攻撃対象領域を削減するための推奨ベストプラクティスをいくつか紹介します。
- 階層型防御戦略を実装: エンドポイント保護を、ファイアウォール、侵入検知システム、ネットワークセグメンテーションなどのセキュリティ対策と組み合わせます。
- 定期的なセキュリティ評価を実施: エンドポイントセキュリティ対策の有効性を継続的に評価し、改善すべき領域を特定します。
- 最新の脅威に関する情報を常に把握: 攻撃ベクトルと脆弱性に関する最新情報を把握して、防御の有効性を維持します。
エンドポイント保護を優先し、OTセキュリティに対する包括的なアプローチを採用することで、組織はサイバー攻撃のリスクを大幅に軽減し、運用の安全と信頼性を維持できます。
OTエンドポイントセキュリティの実践: 成功事例
エンドポイントセキュリティの実際の例として、エンドポイント管理を優先することでサイバーセキュリティ体制を大幅に改善した製薬会社が挙げられます。資産固有の可視性と制御を実現することで、大規模なサイバー攻撃につながる可能性のある重大な脆弱性を発見しました。
エンドポイント管理によって、以下のことを実現できました。
- NotPetyaやWannaCryなどの重大な脆弱性に対するパッチが適用されていない資産が数百件あることを発見しました。
- 既知のエクスプロイトを含むファームウェアリビジョンを持つPLCを100台以上特定しました。
- 2週間以内に全体的なサイバーリスクを半減しました。
- 実際のリスク(重大な脆弱性が影響の大きい資産に与える影響)をほぼ3分の2削減しました。
エンドポイント管理を優先することで、同社はこれらの重大なリスクを悪用される前に特定し、対処しました。この積極的な先を見越したアプローチにより、セキュリティが大幅に向上し、壊滅的なサイバーイベントの防止に役立ちました。
例: トップエネルギー企業
北米のトップ5の石油&ガス生産会社が、幅広いICSおよびDCSベンダーシステムのセキュリティを確保するために当社に協力を求めました。上級管理職は自社の脆弱性を認識し、ベンダーに依存しないソリューションを必要としていました。
- OT環境の可視性を高める。
- 多様なベンダーシステムを管理する。
- 限られた人員でポリシーと手順を実装する。
包括的な360度評価と「Think Global: Act Local」アプローチを通じて、このエネルギー会社はエンドポイントセキュリティから以下の点で大きなメリットを得ました。
- OT環境の詳細な可視性を得る。
- 脆弱性を特定して軽減する。
- 脅威への迅速な対応を可能にする。
この強化された可視性と自動修復機能により、全体的なセキュリティ体制が改善され、運用リスクが軽減され、サイバー攻撃に対する防御が強化されました。
OT環境でのエンドポイント保護の開始
OTセキュリティ防御者の仕事は、頻度、期間、影響の面で中断を最小限に抑えることであり、それを実現する唯一の方法は、すべての資産の攻撃対象領域を最小限に抑えることです。
簡単に言えば、OTシステムを最小権限にロックダウンし、できるだけ頻繁にパッチを適用し、ウイルス対策や許可リストなどのクラス最高のサイバーセキュリティツールを追加し、バックアッププランを含める必要があります。
これらのアクションには、ユーザ/アカウント管理、監視、検出などの標準的なセキュリティプロセスも伴う必要があります。これらの5つの手順は、初期評価から継続的な管理までをガイドします。
- 資産インベントリを作成し、脆弱性とセキュリティギャップを特定します。
- 重要なシステムを優先する保護戦略を策定します。
- これらの環境に戦略を展開します。中断を最小限に抑えるために、段階的に実行します。
- これらの重要な資産を一貫して管理し、防御を最新かつ効果的な状態に保ちます。
- 従業員と担当者にベストプラクティスをトレーニングして、疑わしいアクティビティを識別できるようにします。
OTエンドポイントのパッチ適用および強化
新しいテクノロジーは刺激的で興味深いものですが、OTサイバーの世界には、エンドポイントのパッチ適用と強化を長年怠ってきたために大きな技術的負債があることを現実的に認識する必要があります。
資産を適切に保護する唯一の方法は、直接対処することです。エンドポイントを直接管理すると、最小権限に関するシステムレベルの詳細が報告され、エンドポイントをロックダウンして不要なソフトウェアや不要なソフトウェアを削除できるため、最も弱いリンクが大幅に強化されます。この方法でOT資産を保護すればするほど、重大な停止や影響が発生する可能性が低くなります。
結論
エンドポイントセキュリティは、総合的なOTセキュリティ管理計画の重要な要素です。OT環境内の個々のデバイスを保護することで、攻撃対象領域を大幅に削減し、全体的な防御を強化できます。
現在のエンドポイントセキュリティ体制を徹底的に評価し、脆弱性を特定し、適切な対策を実装することで、防御を強化します。
