OTパッチ管理戦略: 7つのベストプラクティス

従来、そして長年にわたって、サイバー脅威はもっぱらIT部門によって処理されてきました。しかし、IT/OTコンバージェンスが普及するにつれて、これらの脅威はより複雑なOTの世界に広がりました。

これは、OT環境内に存在する既知の脆弱性を悪用しようとする脅威アクターに対処する準備が必要であることを意味します。パッチ管理は計画の一部でなければなりません。

組織は、包括的なOTパッチ管理計画の開発と使用の重要性を認識するのに時間がかかっています。残念ながら、これらの製造メーカがサイバー攻撃の最も大きな打撃を受けた犠牲者の一部であったことは偶然ではありません。

2017年の壊滅的なNotPetyaランサムウェアサイバー攻撃などの脅威により、メルク社は6億ドル以上、モンデリーズ社は1億ドルの費用がかかりました。これらは、正しくOTパッチを適用することの重要性を製造メーカに思い出させます。より堅牢なOTシステムセキュリティの必要性を無視する企業は、不必要なリスクにさらされています。

主要な利害関係者がパッチ適用とは何か、資金調達に値する理由を理解するのは困難ですが、この重要なプラクティスの認知度を高め、賛同を得る唯一の方法です。良いニュースは、ライフサイクル管理プロセス全体の一部として、製造メーカがパッチを積極的に適用することは簡単だということです。

Windows: 共通のゲートウェイ

どの企業にとっても最も一般的な攻撃ベクトル(Attack Vector: 攻撃元区分)はMicrosoft Windowsオペレーティングシステムであり、ほとんどすべてのソフトウェアがここで実行されています。会社から支給されたパーソナルコンピュータを使用している従業員は、ITによってスケジュールされた舞台裏のパッチの恩恵を受け、ソフトウェアやシステムを更新してバグを修正したり、改善を導入したりします。OTパッチは、メンテナンス関連のダウンタイム中にスケジュールする必要があるという点でわずかに異なりますが、それも同様に重要です。

パッチは、Microsoft社の「Patch Tuesdays」で毎週リリースされます。2019年5月に、同社は「Bluekeep」と呼ばれるWindowsの脆弱性を攻撃する潜在的な壊滅的な「ゼロデイ」エクスプロイトに関する警告に関連する重要なパッチをリリースしました。

2019年3月のLockerGogaや2017年のNotPetyaとWannaCryを含む最近の攻撃は、Windowsがすでにパッチをリリースした既知の脆弱性を利用したため成功しました。

つまり、修正は利用可能な状態でしたが、実装されていませんでした。悲しいことですが、これらの攻撃の犠牲者が積極的にパッチを適用していれば、彼らは資産を保護することができていたでしょう。特に利害関係が非常に高い場合、パッチ適用を行なわないことの良い言い訳はありません。

パッチ戦略の開発

パッチ戦略を開発するときに適用するベストプラクティスを次に示します。

1. 脆弱性の特定から始めます。これには、アイデンティティだけでなく、攻撃対象領域も、単一のサイトだけでなく、地域またはグローバルサプライチェーン全体の規模で、デバイスの完全なインベントリが含まれます。 既知の攻撃対象領域がどのように見えるかを理解するのに役立つツールを活用してください。
   
   
2. このインベントリを収集するには、積極的または受動的なアプローチが最適かどうかを判断します。受動的なアプローチにはリスクが伴います。環境全体をスキャンすると、OTネットワークにトラフィックが発生し、古いデバイスや旧式のデバイスがダウンする可能性があります。そのため、ほとんどの場合、最初に、より受動的なアプローチを使用して、どのデバイスが存在し、攻撃対象が何であるかを特定することが最善です。オペレーティングシステムを実行している仮想化されたコンピューティングデバイスと物理的なコンピューティングデバイスの両方を見つけることができます。仮想化などのテクノロジを活用して、コンピューティングとオペレーティングシステムの表面を単一の管理しやすい環境に統合し、パッチ適用プロセスを高速化できるようにすることを検討してください。
   
   
3. ベンダーと調査して、ソフトウェアがテストおよび検証されているかどうかを確認してください。Microsoft社がパッチをリリースするとき、それらそれらのパッチがシステムにインストールされたソフトウェアに対して承認または検証されているかどうかはユーザの責任において判断してください。例えば、ロックウェル･オートメーションはMicrosoft社のソフトウェアの毎週のパッチを検証し、それらを完全に適格であるか、部分的に適格であるか、または適格ではないと分類する通知をリリースしています。
   
   
4. パッチのステージングとデバイスをグループ化します。適格であると認定されたパッチは、必要な産業制御環境でステージングする必要があります。環境によって異なるバージョンまたは異なるベンダーのオートメーションソフトウェアを実行されている可能性があるため、これらの認定パッチの導入方法に応じてデバイスをグループ分けします。WSUS (Windows Server Update Services)やSCCM (Microsoft System Center Configuration Manager)などのツールは、運用環境専用のWindowsデバイス用に個別のグループを定義できます。これにより、特定の認定されたパッチを承認されたデバイスにのみ適用できるだけでなく、ダウンタイム要件を満たす特定のスケジュールを設定することもできます。
   
   
5. 適用する前にテストしてください。生産アプリケーションを模倣して実行するテスト環境への資金調達を検討してください。財政的に実行可能でない場合は、重大度の種類に基づいてデバイスのグループを作成することを検討してください。 継続的に実行されていない優先度の低い回線またはシステムがある場合は、テストケースとして最初にそれらにパッチを適用することを検討してください。また、環境へのパッチ適用の潜在的な影響がある可能性があるため、アプリケーションのカスタマイズに注意してください。
   
   
6. パッチの実施時期をスケジュールします。OT世界では、必要なときにパッチを実施できるほど簡単ではありません。 ダウンタイムスケジュールと合うように調整する必要があります。多くのパッチでは、長年リブートされていない可能性のあるシステムのリブートが必要になります。そのため、必要な時間と全体的なダウンタイムスケジュールのどこにその時間枠が収まるかを事前に計画してください。
   
   
7. 「ハイパーケア」を適用して実行します。パッチが適用され、デバイスが正常に再起動したら、「ハイパーケア」期間中に実行するテストシナリオを定義します。マシンが完全に利用可能になる要因となるものすべてを検討する必要がありますか? 通常通り実行され、アプリケーションが適切に機能していることを確認します。適切にテストしないと、予定外のダウンタイムが発生する可能性があります。

もちろん、プラント管理、運用管理、および上級管理者からのサポーがなければ、パッチ管理戦略の導入が成功することはでありません。リーダシップがパッチの適用を理解するのを助けることは、スケジュールされたダウンタイム中に優先されることが多い他の予防保守および安全活動と同じくらい重要です。また、組織のより大きなサイバーセキュリティ戦略も重要です。これは、攻撃の前、最中、および後に計画と保護を提供するために、連続するサイバー攻撃全体に対処する必要があります。

関連性があり、効率的で、適切に構成されたパッチ管理戦略は、製造メーカがOTパッチ管理の複雑さを克服するのに役立ちます。脆弱性を特定し、Windowsによってリリースされたパッチを最新の状態に保ち、パッチをテストおよび導入する計画を作成することにより、ハッカーやサイバー攻撃者の手による潜在的な災害から会社を保護することができます。