SANS ICS Security Summit 2021 を振り返る:動き出した産業界

SANS Instituteはこの3月に第16回ICS Security Summitを開催し、重大インシデントがもみ消され、情報が公開されないことが多い、産業用サイバーセキュリティの不透明な状況に光を当てました。APAC、EMEA、そして米国で、世界同時に開催されたこのバーチャルイベントでは、産業用ネットワークの異常検知とインシデント対応には良好な可視性とネットワークに対するしっかりとした理解を持つことの重要性が強調されました。また、講演者達は産業用セキュリティで自動化を活用することにより限られた予算やスキルを持った人材の不足にどう対応できるかを強調しました。
さらに、このサミットでは産業用テクノロジーとそれを取り巻く脅威環境の双方における開発の方向性について詳しく解説がされました。これには産業用制御システム(ICS)へのクラウドテクノロジーの採用、脅威アクターの範囲の広がり、そしてパッチ適用と脆弱性管理に内在する限界についての議論も含まれていました。
このブログでは、サミットの主要なポイントを概説するとともに、プログラムの最も重要なポイント、つまりICSエコシステムの「自己」についての深い理解を構築することが押し寄せる脅威アクターの波を押し返すと同時に、リスクを考慮しつつ新しいテクノロジーを導入することを可能にする点に的を絞って説明したいと思います。究極的には「己を知る」ことにより組織は外部の脅威と戦うと同時に組織の産業用環境が進化するのに伴って出現する新たな脆弱性領域への可視性を獲得することができます。
SANS Summit 2021:概要
以下の表にSANSサミットで議論された主なトピックの概要をまとめました:
テーマ | 脅威の傾向 | 業界の課題 | 推奨策 | 業界の傾向 |
攻撃のTTP | MITRE ATT&CK for ICSが既知の攻撃手法の詳細を提供。 | これまで、コミュニティ内での教訓の共有の欠如がみられた。 | 攻撃のTTPを理解し、これらのテクニックに合わせて防御を整備する。 | MITRE ATT&CK for ICSはコミュニティが過去の攻撃から学習する大きな一歩となる。 |
可視性 | SolarWinds攻撃ではICSの脆弱性(BMS内のSNMP通信の悪用など)が明るみに出た。 | ログとイベント管理の欠如がCNI内のSolarWinds調査を妨げた。 | アクティブなネットワーク監視をログ生成に使用し、ネットワークとホストの可視性を高める。 | SolarWinds攻撃はCNIに対するサイバーセキュリティの重要性をバイデン政権に対して強調する結果となった。 |
防御をテストする | よくあるTTP — 有効なアカウントの不正使用、リモートサービスの濫用、フィッシング/スピアフィッシングなど | 脆弱性のトラッキングだけではICSネットワークの防御には不十分 — 脆弱性レポートは包括的というには程遠く、また攻撃者達は正当なツールを使ってアクセスを獲得している。 | ラボ環境、外部のペネトレーションテスト、アドバイザなどを活用して防御システムと防御担当者をテストする。 | ICS環境のペネトレーションテストはロックダウンなどの制約によりリモートで実施されている。 |
己を知る | ICSに対するハッキングの障壁は低くなっている — 国家によるものからサイバー犯罪者(EKANSなど)まで、脅威アクターは拡大している。 | OTセキュリティチームはスキルを持った人材の不足と予算の制約に苦しんでいる。 | 防御側の「ホーム」アドバンテージを生かす — 深い防御、「正常な」ネットワーク動作の理解、内部通信に対する可視性の獲得。 | クラウドや可視化など、デジタルソリューションが多くのICS課題の解決に利用されている。 |
新たなソリューション伴う新たなリスク | OEMやリモートアクセスポイントなど、サードパーティリスクがICS環境への直接アクセスを獲得するために悪用されている。 | 新たなデジタルソリューションは新たな課題をもたらす — サプライチェーンリスク、IT/OT統合、コンプライアンス義務、ベンダーロックインなど。 | ネットワークが見えなければ、ネットワークを防御できない — 可視性の強化、最重要箇所の認識、インシデント対処能力の向上、ネットワークセグメンテーションの検証など。 | 再生可能エネルギー産業は、クラウドやリモートマネジメント、ICSaaSなど、革新的なICSソリューションを積極的に取り入れている。これらのソリューションへの移行の決断は、次第に「移行するか否か」ではなく「いつ移行するか」になりつつある。 |
「己を知る」:「自己」の学習による新たな脅威の識別
多種多様な脅威アクターがグローバルICS脅威環境に出現しつつあります。まず、国家を背景とした新たなAPT(Advanced Persistent Threat)グループが、毎年産業用エコシステムを標的としています。2020年には、EKANS.のような新種のランサムウェアを使って組織犯罪者グループがICSを標的とする事例が加わりました。
その結果、産業用システムに対するサイバー攻撃は国家の独壇場ではなくなりました。ますます多くのRaaS(Ransomware-as-a-service)がダークウェブで入手可能になるにつれ、重要インフラや製造施設に対する攻撃の参入障壁は明らかに下がっています。これを受けて、SANSカンファレンスに登壇したエキスパートたちは自社のネットワークに対する詳細な理解を構築することにより深い防御で防御側の「ホーム」アドバンテージを活用することを推奨しました。
攻撃が規模を拡大し、ますます巧妙になるなかで、組織の境界に配置され脅威を中に入れないようにする防御ではもはや不十分であるという認識が高まりつつあります。組織は違反が存在することを想定するモデルに移行し、サイバー脅威が中に入って来た時にそれを識別できるようなテクノロジーを取り入れる必要があります。これはあらゆるデバイスとコントローラに対するリアルタイムできめ細かな「正常」の理解によってしか実現できません。
あらゆるデバイス、ユーザーおよびピアグループの通常の「生活パターン」をゼロから学習することにより、DarktraceのIndustrial Immune System はICSエコシステム内に存在するすべてのもの、そしてデジタル環境全体に対する自己の認識を構築します。これにより、Darktraceは組織が静的なベースラインに依存するのではなく、正常に対する動的な理解を構築することを可能にし、「己を知る」ことを比類のないレベルで可能にします。
新たなソリューション伴う新たなリスク
サミット全体を通じて、多くの講演者がいかにクラウドや仮想化などのデジタルソリューションを使って問題を解決しコストを削減したかについて語りました。特に、再生可能エネルギーセクターはクラウドソリューション、“ICS as a Service” (ICSaaS) を積極的に導入していました。たとえば、カリフォルニア州の風力発電所が東海岸のエンジニアによってリモート制御されていたり、南米の水力発電所にある装置をベンダーがヨーロッパの本社から保守および運用していたりといった事例が紹介されました。
多くの企業がこのようなデジタルソリューションの導入を進めるなかで、そしてこれらの決定がエンジニアではなく役員会レベルで行われる傾向にあるなかで、 これらのテクノロジーがICSコミュニティにおいてより幅広く導入されることは、導入されるかどうかではなくいつ導入されるかの問題になりつつあるようです。
OTがクラウドのITと統合されると、それぞれのリスクもまた統合されます。これらの新しいリスクは変化に対する逆風となりますが、それにも関わらず一部のセクターではこれらの新しいソリューションを導入して大きな節約効果を生んでいます。このようにIT、OT、クラウド環境にわたる統一された可視性は、デジタル変革を加速しつつ、デジタル化によるリスクやますますダイナミックに分散したワークフォースも管理したい組織にとって必要不可欠なものとなっています。
変化する脅威環境
サイバー脅威の新たな時代に直面し、OTスペシャリストの焦点は受け身の対策ではなく、産業用システム、コーポレートネットワーク、クラウド環境およびその他に渡って変化する「正常」の理解を構築する、新しい自己学習型テクノロジーの利用に向けられるべきです。
デジタルインフラの変化に適応することにより、AIを使った防御はゼロデイ脅威を検知しこれに対処すると同時に、インシデント発生後の調査で必要となる人手による作業の多くを自動化することにより、セキュリティチームの付加を軽減することができます。また、さまざまなテクノロジー間で情報を一元化することにより、セキュリティに対するエンタープライズ全体に渡るアプローチのメリットを得ることができます。それぞれが個別のサイロ型の防御では正確な意思決定のためのコンテキストが欠如しています。
高度なサイバー犯罪者組織や国家を背景とした攻撃が多発する現在、重要インフラやその他の産業用環境は、サイバースパイやオペレーションの中断を狙った侵入の主要な標的となっています。SANS ICS Security Summitは、このような新しい環境に対し、既知か未知かを問わず脅威の初期兆候を阻止できる新しい適応型のテクノロジーによって備える必要性を示唆しています。
本記事の考察には DarktraceアナリストOakley Cox が協力しました。