製造業におけるレジリエンスの構築: OTサイバーセキュリティの重要性

サイバーセキュリティの状況は年々大きく進化しており、洗練されたランサムウェアは製造業における最も顕著なサイバー脅威の1つとなっています。ランサムウェアの進化は、情報技術(IT)システムを迂回して制御技術(OT)システムにも及んでおり、これらの重要なインフラへの攻撃は金銭的損失だけでなく、はるかに重大な影響をもたらす可能性があるため、製造業者の間で懸念が高まっています。

ロックウェル･オートメーションのライフサイクルサービス、アジア太平洋地域担当バイスプレジデントのインババナン･ラティナムと、ドラゴス社のOT-CERT (Operational Technology - Cyber Emergency Readiness Team)ディレクターであるドーン･カッペリ氏に、ランサムウェアがもたらす脅威と、特に今日のデジタル社会において製造業向けのサイバーセキュリティプログラムの構築が必要不可欠となった理由についてお話をうかがいました。

インババナンは、今日の製造業者はサイバー犯罪に関して以前よりもはるかに大きなリスクを抱えていると語ります。ランサムウェアがOTプラットフォームに影響を及ぼすと、企業は金銭的損失以上の問題に直面する可能性があります。

「OT資産は多くの場合、重要インフラの一部です。そのため、金銭的な損失とは別に、OTシステム上のランサムウェアは工場の従業員の安全を損ない、風評被害を引き起こす可能性もあります」と、彼は語ります。

Pipedreamは、OTプロトコルを標的とした産業制御システム(ICS)マルウェアとして初めて知られるものの1つです。Pipedreamは、何百もの機械装置メーカが何千ものデバイスで使用している5つのOTプロトコルを悪用するように設計されています。Pipedreamは、あらゆる分野の多くのデバイスに対してグローバルに展開できる、汎用性の高い万能型マルウェアです。従来のパッチ適用アプローチに対する耐性があるため、軽減は複雑であり、企業がこのマルウェアの一歩先を行く唯一の方法は、包括的なOTサイバーセキュリティプログラムを持つこととなります。

進化し続ける状況への対応

Pipedreamのようなマルウェアは氷山の一角にすぎません。

テクノロジが進化し続けるにつれて、サイバー脅威の状況も進化しています。この進化の一例として、以前はハクティビストが単純なDDoS攻撃を行なっていましたが、現在では国家権力者と連携してより高度な攻撃を行なうようになっています。企業は、無防備になりたくないのであれば、適切なセキュリティ対策を確実に講じることで、先手を打つ必要があります。

カッペリ氏は、急速に変化するOTのサイバー脅威環境は、オペレーションのリスクとレジリエンシ(回復力)に大きな影響を与えると話しています。企業がOTセキュリティの計画を策定しても、脅威環境の変化とリスク管理戦略への影響への警戒を怠っているケースがあまりにも多く存在します。

Risk management for cyber threats and security assessment, malware and computer virus detection.

ITとOTの融合がもたらす新たな次元

「データは新しい石油である」というイギリスの数学者クライブ･ハンビーの言葉は、テクノロジ主導のこの世界でも通用します。しかし、タダで手に入るものは何もありません。企業がデータを通じて多くの利益を得ることができるのと同様に、そのデータを保護し、オペレーションの信頼性と安全に影響を与えるような盗用や操作ができないようにする責任も大きくなっていきます。

多くの業界関係者が抱いている大きな誤解は、オペレーションをITシステムから切り離しさえすれば、マルウェアから守られているという考えです。

残念ながら、テクノロジの進化に伴い、ITとOTの融合は避けられないものとなっています。「ERPシステムから、分析のためのクラウドの利用、生産性のための高度な製造まで、企業は競争上の理由から、もはやそれぞれのプラットフォームを切り離すことはできません」と、カッペリ氏は語ります。

さらに、リスクと規制遵守の問題もある、とインババナンは付け加えます。かつて、データ収集は手作業で行なわれていました。しかし、今日の企業は、クラウドとデジタルシステムの利便性とビジネス上の利点を活用する一方で、セキュリティチームがクラウド環境に関連する進化する脅威と脆弱性を常に把握しておく必要があります。チームは常に最新のセキュリティツールの情報を入手し、リスクを軽減し、潜在的な攻撃に効果的に対応するためのベストプラクティスを知っておく必要があります。

カッペリ氏は、信頼できる第三者からリスクが生じることもあると付け加えます。例えば、企業はプラントの新規および継続的な運用にサービスプロバイダやシステムインテグレータを利用しています。残念ながら、これらの信頼できるサードパーティの中には、OTサイバーセキュリティを理解していない場合が多く、オペレーションを危険にさらす可能性があります。例えば、マルウェアがUSBドライブを介してプラントに転送されたり、セキュアでないメカニズムを使用してプラントとリモート接続されたりする可能性があります。実際、プラントへのリモートアクセスを実施するのは彼らであることが多く、アクセスがセキュアに設定されていることを保証していません。このような事例は、サイバーセキュリティのリスクを拡大する可能性があります。

従来のITセキュリティ慣行がOT環境に適用されない理由

接続性の向上は業務効率を高めると同時に、サイバー攻撃者がOTや産業制御システム(ICS)に侵入する新たな経路を開くことになります。産業界は、日々の運用の信頼性と効率性と、壊滅的な結果をもたらす可能性のあるサイバー攻撃の脅威とのバランスを取るという課題に直面しています。

ソフトウェアやハードウェアが定期的に更新され、セキュリティの脅威に対処しているITシステムとは異なり、OTシステムには独自の課題があり、インフラセキュリティに対する独自のアプローチが必要です。これは主に、プラントの継続的な稼働を維持する必要性、旧式の機器の限界、OT環境の複雑さによるものです。その結果、OT機器やオペレーティングシステムは時間の経過とともに古くなる傾向があり、重要なインフラにサイバー犯罪者が悪用できる脆弱性が生じます。

カッペリ氏は、予防的なサイバーセキュリティプログラムのために、産業用制御システムに対するSANSの「5つのサイバーセキュリティ重要制御」を検討すべきであると提案しています。彼女によれば、5つのICSコントロールは、あらゆる産業組織にとって重要です。

ICS固有のインシデント対応計画
防御可能なアーキテクチャ
ICSネットワーク･セキュリティ･モニタ
セキュアなリモートアクセス/MFA
リスクベースの脆弱性管理プログラム

これらの管理は、企業がAIや機械学習テクノロジと統合するにつれて、さらに重要になる。重要インフラを保護した後、サイバー攻撃をさらに強化･軽減するために、ゼロ･トラスト･アーキテクチャの導入を検討すべきです。

従業員向けセキュリティトレーニングのヒント:

対象を絞ったトレーニングを実施: すべてのセッションを、従業員の特定の役割に合わせてカスタマイズします。オフィスワーカーと工場労働者が同じ一般的なトレーニングを受けるべきではありません。
セキュリティ意識向上を促すニュースレターのハードコピーを作成: 情報にアクセスするために誰もがコンピュータを使うわけではありません。組織内の共有スペースにセキュリティ意識向上を促すニュースレターを置いておくことは、情報を伝達するための効果的な方法であり、従業員同士の食事中の会話を弾ませることもできます。
魅力的で楽しいコンテンツを作成: 印刷物には、親しみやすい例を用いて、楽しくタイムリーなコンテンツを盛り込みます。例えば、サイバーセキュリティの概念を休日のショッピングのヒントに組み込むことで、サイバーセキュリティをより身近なものに感じられるようにします。

長期的な成功のためにリーダシップの支持を確保

サイバーセキュリティは予防がすべてであり、先行コストによって利害関係者の連携が困難になる可能性があります。しかし、すべてのサイバーセキュリティプログラムは継続的な旅であることに注意する必要があります。インババナンは、企業はサイバーセキュリティを単に金額的な観点だけで捉えることはできず、潜在的なリスクのコストを測定して適切なバランスを見つける必要があると述べています。

ロックウェル･オートメーションやドラゴス社のようなパートナの存在は、複雑なOTサイバーセキュリティの問題を解決する上で非常に重要です。多くの組織がサイバー犯罪に対処するためのリソースや専門知識の不足に悩んでいることを理解しているドラゴス社は、企業がサイバーセキュリティの道を歩み始めるのに役立つ60以上の無料リソースを備えたOT-CERTプログラムを開発しました。これらのリソースは、SANSの「ICSの5つの重要なコントロール」とも一致しています。

サイバー犯罪は、組織が最も予期していないときに発生します。だからこそ、企業はサイバーセキュリティ対策の開発と実装を遅らせてはならないのです。OTおよびICSに合わせたサイバーセキュリティソリューションについては、こちらをご覧ください。