テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

クラウドインフラの保護:強力な防御にはCVEの継ぎ接ぎでは不十分

Oakley Cox, Principal ICS Analyst | 2021年8月26日木曜日

水処理施設、パイプライン、その他の重要インフラ を狙ったサイバー攻撃は、国家および経済、そして公衆と環境の安全に対する深刻な脅威です。最近大きな注目を集めた攻撃を契機に、バイデン政権は米国の重要インフラを保護するためのいくつかの取り組みを主導しています。これには、National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems(重要インフラ制御システムのサイバーセキュリティ強化にかかる国家安全保障覚書)および、超党派のインフラ関連法案に対するサイバーセキュリティ予算 が含まれます。

公的なてこ入れと予算確保が早急に必要ですが、それらは重要インフラのセキュリティ強化の第一歩にすぎません。これらの取り組みを成功させるには、バイデン政権は最先端機能に重点を転換し、これらを達成できる高度なテクノロジーに予算を振り向ける必要があります。

適切なセキュリティ機能達成に集中

OT(Operational Technology)とICS(Industrial Control Systems)のセキュリティコミュニティは長年にわたり、共通脆弱性識別子(CVE)のマッピングと修正にかなりの重点を置いてきました。こうした脆弱性の追跡は多くのケースで必要となりますが、脆弱性のマッピングと修正だけでは組織の防御を攻撃に備えるための十分な戦略とは言えません。

まず、そもそも既知の脆弱性だけがすべてのリスクではなく、攻撃者はゼロデイと呼ばれる未知の脆弱性を頻繁に利用し、また悪意であると明らかに識別できないような、正当なオペレーションの悪用もします。これは制御システム環境においては特に顕著であり、ICSの不具合の3分の1 は開示された時点でゼロデイと分類されています。

さらに、既知の脆弱性が存在しない、または少数しかないデバイスも、より安全なのではなく詳しい調査がされていないだけという場合もあります。たとえば、建物システム(冷暖房含め)で使われている制御システムにおいて最近見つかった脆弱性 は、数百万のデバイスをリスクに晒しており、またこの脆弱性は製造およびエネルギー施設で幅広く使用されているPLCに影響することがわかっています。

バイデン政権の最近の国家安全保障覚書は、OTセキュリティの重点をCVEの追跡と修正だけではなく、適切な目標に再設定するものです。この覚書は、「見ることができない脅威に対応することはできない」ことを確認し、脆弱性追跡やその他の従来のセキュリティアプローチの問題点を率直に指摘しています。

適切なセキュリティテクノロジーへの投資

この覚書は特にICSとOTに対して「脅威の可視化、表示、検知、警告を提供し、対処能力を円滑化するテクノロジーおよびシステムの導入を推進」することに重点を置いています。これらの目標を達成する上で次なるステップはこれらの能力を提供できるテクノロジーを特定することです。

あらゆる人間、デバイス、そして組織エコシステム全体の「自己」についての認識を一から学習することにより、自己学習型AIはマシンスピードの検知、調査、対処を自律的に実現します。このソリューションは特に、オペレーションの中断が起こる前にランサムウェアを遮断するのに効果的です。こうしたソリューションがあればColonial Pipeline社も手動でのシャットダウンを行わずに済んだと思われます。

AIは内部関係者からの脅威を阻止する独自の能力も備えています。AIであればフロリダの水処理施設インシデントにおいて脅威を即座に特定していたことでしょう。AIが持つあらゆるユーザー、デバイスおよびそれらの間のすべての接続の「生活パターン」に対する理解により、わずかに通常と異なる内部関係者の動作にも光を当てていたはずです。

重要インフラの機密性や必要不可欠性を考慮すれば、最も高度なテクノロジーによる堅牢なサイバー防御が強く要求されます。幸い、自己学習型AIテクノロジーが既に存在し、CISAの定める16の重要インフラセクターすべてにおいて現在使用されています。脅威が引き続き拡大し、バイデン政権の取り組みが強化されるなかで、自己学習型AIは私達の社会を支えるシステムの安全を守る準備ができています。

国家安全保障覚書の定める目標Darktraceの機能
脅威に対する可視性すべてのPurdueレベル、DMZ内および周囲を含むエコシステム全体に対する可視性。

プロトコルやテクノロジーを問わず、それぞれ独自の環境に適応。
表示事前に定義されたIoCと一致しない場合でも、脅威となる活動をハイライト。

人間およびマシン間の内容に加えて、コンテキストを理解。
検知自己学習型AIは、ルールやシグネチャではなく、異常な振る舞いを理解。

AIによる検知結果は重大度に応じてランク付けされ、最も脅威となる動作が前面に表示される。
警告AIによる調査は、事象を攻撃のフェーズに応じたインシデントレポートにまとめる。

インシデントレポートは、セキュリティインシデントの範囲と深刻度を明らかにし、潜在的影響の説明や修正のアドバイスも含まれる。
対処の促進自動遮断技術により、脅威を最も初期段階からピンポイントで無害化。

対処の方法は細かく設定でき、自動または人間による確認モードで運用可能。

Oakley Cox

Oakley Cox is Analyst Technical Director for the Asia-Pacific region, and oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.