重要インフラの保護は、強固な脅威の検知にかかっています。ここでは、脅威を発見し、セキュリティインシデントが環境に影響を及ぼすのを防ぐ方法を説明します。
最悪の事態が発生していることをどのようにして知ることができるでしょうか。もしあなたのチームが、組織の運用技術や産業用制御システム(OT/ICS)をセキュアに保つことを任務としているなら、もうかなり良い考えがあるのではないでしょうか。
重要インフラの業界では、最近、警告のサインを見逃すことは難しくなっています。クラウドで加速するビジネスITとOTシステムの融合、データベース駆動型の「サービスとしてのランサムウェア(RaaS)」やフィッシングキャンペーンの急増、COVID-19の流行開始以来、重要産業におけるリモートワーカーとリモートアクセスの脆弱性を大規模にターゲットにしていることなどがその例です。
これらの兆候は、2021年5月にコロニアル・パイプライン社を停止させたDarkSideランサムウェア攻撃以前からありました。しかし、この事件によって、国の重要インフラ保護の強化に着手する業界と政府の取り組みが活性化されました。TSA (Transportation Security Administration: 運輸保安庁)は現在、パイプラインの所有者と運営者に、サイバーセキュリティに関するインシデントを報告するよう求めています。
また、公共事業(石油&ガス、上下水道、電気)、ヘルスケア、化学製造、食品加工工場などの重要インフラ分野も熱を帯びています。このような新しい機運の中で、OTセキュリティミッションはどのようなメリットを得ることができるのでしょうか?
OT/ICSのセキュリティ対策は何から始めればいいのでしょうか?
結局のところ、IT/OTチームが計画を準備することが期待されるようになったのです。これはあなただけではありません。ロックウェル・オートメーションのお客様の多くも同じ疑問を抱いています。何から手をつければいいのでしょうか?
重要インフラの保護戦略は、堅牢なサイバー脅威検出プログラムにかかっているというのが、ほとんどの専門家の意見です。ここでは、隠れた脅威を発見し、OT/ICS環境に影響を及ぼすサイバーセキュリティインシデントを防止するための5つの優先的なステップを紹介します。
1. OT/ICSインフラの物理的セキュリティと資産目録を評価する
マルウェアが仕込まれたUSBメモリを駐車場に置き、騙されやすい従業員がそれを見つけてOTエンドポイントに接続する(48%がその誘惑に抵抗しないことが調査で判明)ことから、物理デバイスは頻繁にセキュリティギャップとなり、脅威者にとって容易な侵入口となる可能性があります。また、意図せず開いたままになっているウェブカメラのポートを探すためにインターネットをスキャンする攻撃者も、その様子を観察している可能性があります。
さらに、犯罪カルテルやネット上の破壊工作員は、自動化に真剣に取り組んでいます。RaaSやフィッシングキャンペーンは、複雑なデータ駆動型ツールやエクスプロイトキットを活用してターゲットに照準を合わせています。
今日、あなたはすでに不正な資産やデバイスのホストになっているかもしれません。インストールされている資産のインベントリを定期的に確認することは、非常に重要です。実際、重要インフラの組織では、1時間に1回の頻度で資産インベントリスキャンを実行しているところもあります。
しかし、重要な分野のIT/OTチームの多くは、人員不足と過労のために、重要なOSやアプリケーションのアップデートやパッチ、インベントリ評価を遅らせたり、完全に見落としたりしています。さらに、IT部門とIT/OT部門の役割分担が明確でないため、従業員のスキル不足の問題を誰が解決するのかが曖昧なままになっていることもあります。また、OT側のパッチは特に複雑で、しばしば無視されることがあります。
聞いたことはありませんか?
防御を自動化する時です。人工知能(AI)を搭載したIT/OTツールは、資産のインベントリや脅威の自動検出を行ない、IIoT (産業用モノのインターネット)デバイスなど、ネットワークに追加されたデバイスを常に把握することができます。最新のサイバーセキュリティツールとサービスでは、自動化が進んでいるため、重要な業務をより確実に保護し、チームを重要な業務に振り向けることができるようになりました。
2. アクセスポリシーを強化する
最新のアイデンティティとアクセスのアプローチを導入することは、サイバーセキュリティを向上させるという点で、多くの場合、比較的迅速に成果を上げることができます。また、IDを決して前提とせず、特定のアクセス権やポリシー、使用時間などに紐付けるゼロ・トラスト・アプローチの基礎となるものです。
重要インフラ業界の多くのOT組織では、多要素認証(MFA)などの最新規格が適用されていません。この他にも、パスワードの共有や適切な管理が行なわれていないリモートアクセスなど、違反しやすいセキュリティギャップがありますが、この問題はパンデミックによって明らかに悪化しています。
工場での効率的なオペレーションは、より強力なアイデンティティとアクセス制御と共存することができます。必要な情報を入手し、行動を起こしましょう。
専門家がよく言うように、ハッカーは常に技術革新を行なっていますが、ほとんどの深刻な何か新しいハッキングの発明によるものではありません。攻撃は通常、対処法が知られているセキュリティの欠陥によって引き起こされています。
3. 年中無休24時間体制で監視する
産業用ネットワークへの脅威を検知するためには、継続的な監視が重要です。IT/OT環境に最適化された脅威検知、計算基盤、ファイアウォール、ネットワーク、ソフトウェアアプリケーションのリアルタイム・モニタ・サービスは、まずネットワークの基本動作を確認し、予想されるパターンに合致しない異常な動作を警告し、脅威警告を解決することでアプリケーションの復元をサポートします。
産業用サイバーセキュリティ・モニタ・ツールは、OT環境のすべてのレベルをリアルタイムで可視化することができます。セキュリティチームは、アラームとイベントを関連付けて、検出された不審な行動をより深く洞察し、適切な対応を取ることができます。
社内でサイバーセキュリティの運用を行なうための十分な人員や専門知識がない場合はどうすればいいのでしょうか。その場合は、既存のマネージド・サービス・プロバイダをご利用ください。適切なパートナは、世界的な規模で迅速に展開し、多くのお客様との取引から得たセキュリティに関する洞察を活用して、脅威要因や新しいエクスプロイトを先取りし、脅威インシデントの検出、ブロック、必要に応じて回復に必要な実地経験を提供することができます。
4. サイバー脅威インテリジェンス(CTI)を活用する
現実を直視しましょう。ほとんどのIT/OTセキュリティチームは、攻撃の可能性を示す早期警告のサインを拾う準備ができていません。ダークネットフォーラムであなたの工場に関する話題が突然増えたり、産業用制御システムの一部に影響を与えるゼロデイ・エクスプロイトのアンダーグラウンド・マーケット・オークションが思い浮かびます。
CTIにより、OTセキュリティの専門家は、常に時代の最先端を行き、準備を整えることができます。幸いなことに、高価な内部脅威ハンティング機能を構築する必要はありません。ロックウェル・オートメーションのお客様は、サイバーセキュリティ・オペレーション・センター、脅威ハンター、オープン・ソース・インテリジェンス(OSINT)の研究者およびアナリストのグローバルネットワークに支えられた脅威インテリジェンスサービスを利用できます。
CISAアラート、情報共有分析センター(ISAC)、およびCISOネットワークでは、ICS/OTセキュリティの実務家やリーダの仲間から、さらなる洞察や視点が共有されています。
5. セキュリティマインドを身につける
サイバーハイジーンには、人、プロセス、テクノロジが重要な役割を果たします。ポッドキャストシリーズで、NISTフレームワークとサイバー成熟度について語った際、ロックウェル・オートメーションのグローバル・サイバーセキュリティ・コマーシャル・マネージャであるカミール・カルマリがチームと人についての考えを述べました。
カルマリは経営幹部に対してセキュリティファーストの文化の重要性を強調するとともに、クライアントに対しては「チームとして集まり、役割と責任を明確にすること」という指針を示しました。「セキュリティに関して自分がどのような役割を担っているのか、誰もが知っています。企業のITチームとOTチームの境界線も明確でなければならなりません。1つのサイズですべてに対応できるわけではありませんし、唯一の解決策もありません。」
役割と責任の分担を明確にし、境界線を確保することが重要です。卓上演習やIR (インシデント対応)計画などの戦術を実施することで、例えばランサムウェア攻撃の際に、どの重要な手順で、どのような一連の人間の意思決定が行なわれるかを決定することができます。
このような演習は訓練することができます。十分な防御のために、定期的かつ頻繁にインシデント対応訓練を計画し、優先順位をつけることは、IT/OTチームに課せられた責務です。セキュリティ意識向上および導入トレーニングを支援するサービスは数多く存在し、これらはマネージド・サービス・プログラムの一部として提供されることも少なくありません。
どんな一歩でも、良い一歩に
コロニアル・パイプライン社のテロ事件後、テレビやソーシャルメディアでは、パニックに陥った運転手たちがガソリンスタンドに長蛇の列を作る様子が映し出されました。映像の力とはこういうものです。
このような事態が公になり、深刻な業務上の損害や訴訟にまで発展する可能性があるため、経営陣はこの脅威を深刻に受け止めているのです。このリストで紹介するサイバー脅威の検出方法は、OTに対する隠れた脅威を、組織に害を及ぼす前に可視化することができます。
準備はできていますか? 産業用サイバーセキュリティ・サービス・チームに連絡し、貴社の産業用オペレーションのためのこれらのような積極的なセキュリティ保護について相談してください。