テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

SANS ICS Security Summit 2021 を振り返る:動き出した産業界

David Masson, Director of Enterprise Security | 2021年3月26日金曜日

SANS Instituteはこの3月に第16回ICS Security Summitを開催し、重大インシデントがもみ消され、情報が公開されないことが多い、産業用サイバーセキュリティの不透明な状況に光を当てました。APAC、EMEA、そして米国で、世界同時に開催されたこのバーチャルイベントでは、産業用ネットワークの異常検知とインシデント対応には良好な可視性とネットワークに対するしっかりとした理解を持つことの重要性が強調されました。また、講演者達は産業用セキュリティで自動化を活用することにより限られた予算やスキルを持った人材の不足にどう対応できるかを強調しました。

さらに、このサミットでは産業用テクノロジーとそれを取り巻く脅威環境の双方における開発の方向性について詳しく解説がされました。これには産業用制御システム(ICS)へのクラウドテクノロジーの採用、脅威アクターの範囲の広がり、そしてパッチ適用と脆弱性管理に内在する限界についての議論も含まれていました。

このブログでは、サミットの主要なポイントを概説するとともに、プログラムの最も重要なポイント、つまりICSエコシステムの「自己」についての深い理解を構築することが押し寄せる脅威アクターの波を押し返すと同時に、リスクを考慮しつつ新しいテクノロジーを導入することを可能にする点に的を絞って説明したいと思います。究極的には「己を知る」ことにより組織は外部の脅威と戦うと同時に組織の産業用環境が進化するのに伴って出現する新たな脆弱性領域への可視性を獲得することができます。

SANS Summit 2021:概要

以下の表にSANSサミットで議論された主なトピックの概要をまとめました:

「己を知る」:「自己」の学習による新たな脅威の識別

多種多様な脅威アクターがグローバルICS脅威環境に出現しつつあります。まず、国家を背景とした新たなAPT(Advanced Persistent Threat)グループが、毎年産業用エコシステムを標的としています。2020年には、EKANS.のような新種のランサムウェアを使って組織犯罪者グループがICSを標的とする事例が加わりました。

その結果、産業用システムに対するサイバー攻撃は国家の独壇場ではなくなりました。ますます多くのRaaS(Ransomware-as-a-service)がダークウェブで入手可能になるにつれ、重要インフラや製造施設に対する攻撃の参入障壁は明らかに下がっています。これを受けて、SANSカンファレンスに登壇したエキスパートたちは自社のネットワークに対する詳細な理解を構築することにより深い防御で防御側の「ホーム」アドバンテージを活用することを推奨しました。

攻撃が規模を拡大し、ますます巧妙になるなかで、組織の境界に配置され脅威を中に入れないようにする防御ではもはや不十分であるという認識が高まりつつあります。組織は違反が存在することを想定するモデルに移行し、サイバー脅威が中に入って来た時にそれを識別できるようなテクノロジーを取り入れる必要があります。これはあらゆるデバイスとコントローラに対するリアルタイムできめ細かな「正常」の理解によってしか実現できません。

あらゆるデバイス、ユーザーおよびピアグループの通常の「生活パターン」をゼロから学習することにより、DarktraceのIndustrial Immune System はICSエコシステム内に存在するすべてのもの、そしてデジタル環境全体に対する自己の認識を構築します。これにより、Darktraceは組織が静的なベースラインに依存するのではなく、正常に対する動的な理解を構築することを可能にし、「己を知る」ことを比類のないレベルで可能にします。

新たなソリューション伴う新たなリスク

サミット全体を通じて、多くの講演者がいかにクラウドや仮想化などのデジタルソリューションを使って問題を解決しコストを削減したかについて語りました。特に、再生可能エネルギーセクターはクラウドソリューション、“ICS as a Service” (ICSaaS) を積極的に導入していました。たとえば、カリフォルニア州の風力発電所が東海岸のエンジニアによってリモート制御されていたり、南米の水力発電所にある装置をベンダーがヨーロッパの本社から保守および運用していたりといった事例が紹介されました。

多くの企業がこのようなデジタルソリューションの導入を進めるなかで、そしてこれらの決定がエンジニアではなく役員会レベルで行われる傾向にあるなかで、 これらのテクノロジーがICSコミュニティにおいてより幅広く導入されることは、導入されるかどうかではなくいつ導入されるかの問題になりつつあるようです。

OTがクラウドのITと統合されると、それぞれのリスクもまた統合されます。これらの新しいリスクは変化に対する逆風となりますが、それにも関わらず一部のセクターではこれらの新しいソリューションを導入して大きな節約効果を生んでいます。このようにIT、OT、クラウド環境にわたる統一された可視性は、デジタル変革を加速しつつ、デジタル化によるリスクやますますダイナミックに分散したワークフォースも管理したい組織にとって必要不可欠なものとなっています。

変化する脅威環境

サイバー脅威の新たな時代に直面し、OTスペシャリストの焦点は受け身の対策ではなく、産業用システム、コーポレートネットワーク、クラウド環境およびその他に渡って変化する「正常」の理解を構築する、新しい自己学習型テクノロジーの利用に向けられるべきです。

デジタルインフラの変化に適応することにより、AIを使った防御はゼロデイ脅威を検知しこれに対処すると同時に、インシデント発生後の調査で必要となる人手による作業の多くを自動化することにより、セキュリティチームの付加を軽減することができます。また、さまざまなテクノロジー間で情報を一元化することにより、セキュリティに対するエンタープライズ全体に渡るアプローチのメリットを得ることができます。それぞれが個別のサイロ型の防御では正確な意思決定のためのコンテキストが欠如しています。

高度なサイバー犯罪者組織や国家を背景とした攻撃が多発する現在、重要インフラやその他の産業用環境は、サイバースパイやオペレーションの中断を狙った侵入の主要な標的となっています。SANS ICS Security Summitは、このような新しい環境に対し、既知か未知かを問わず脅威の初期兆候を阻止できる新しい適応型のテクノロジーによって備える必要性を示唆しています。

本記事の考察には DarktraceアナリストOakley Cox が協力しました。

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.