テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

リモートワーク下でのOTのセキュリティ確保

David Masson, Director of Enterprise Security | 2020年3月25日水曜日

多くの組織が急激にリモートワークに移行するなかで、重要インフラおよびOTシステムの保護を担当するセキュリティプロフェッショナル達は幅広い課題に直面することになりました。新しいビジネスの手段の多くはごく短期間で導入され、セーフティクリティカルなOT環境にさまざまなリスクをもたらしました。本ブログ記事では新たな脆弱性についてまとめ、こうした変化するダイナミックなビジネス環境下でのセキュリティ確保についてOTセキュリティプロフェッショナルの方々へのアドバイスを提案します。

リモートアクセス

ビジネスからの新しいプレッシャーの下、オペレータとエンジニアにはこれまで許容できないリスクと考えられていたレベルのリモートアクセスが付与されつつあります。OTネットワークに対するリモートアクセスは、意図されるユーザーが社内のスタッフであってもサードパーティの請負業者やベンダーであっても、これまで常に深刻な脅威ベクトルでした。リモートアクセスが侵害されることにより、その他多くの悪意あるまたは危険な間違ったアクティビティの起点となります。これは最近発表されたMITRE ATT&CK for ICS matrix の‘Initial Access’および‘Lateral Movement’セクションで多く言及されていることです。これは特に、作業慣行に突然の大幅な変化が発生している現在に当てはまることです。スタッフが事前のトレーニングを受けておらず、また静的なサイバー防御システムは短期間に調整しなければならない状況が発生します。新たな見落としや間違いが発生する可能性はかつてなく高まっているのです。

多くのOTセキュリティアーキテクチャは、コアOT機能の外部に複数の防御レイヤを構築する‘defense-in-depth’アプローチに大きく依存しています。この手法はこれまでもOT専門の攻撃者や効果的なワームマルウェアに対して常に脆弱でした。しかし、最近では最も危険な形のリモートアクセスが急速に進んでいます。これは前述の防御レイヤのほとんどにおいて、通常準備のために行われる長い計画プロセス無しに発生すると思われます。

これらの変化は、産業環境が既に深刻なオペレーターリソース不足を経験している中で新たな脆弱性の可能性を開くことになります。リモートアクセスは効率的なものではなく、このことはこれらの組織が既に苦労していることを意味します。それらの組織に対してさらに新しいセキュリティ業務(導入および活用まで時間がかかる)を課さなければならないことは、問題を著しく深刻化させています。 

従来のITとの統合

このリモートアクセスへの移行により、産業用環境を管理するチームが直面するいくつかのより長期的なセキュリティ課題も露呈しました。これには、可用性が第一(そのため最新状態へのパッチを維持することが困難)であるOT環境に適していないITハードウェア、オペレーティングシステムおよびサービスが、経済効率性を理由としてOTネットワークに侵入してくるというこれまでの傾向が含まれています。

OTとITの相互接続の拡大は、OTを狙ったものか巻き添え被害かに関係なく、OT側への攻撃を防御することがきわめて重要となったことを意味します。脆弱なOT装置はしばしばネットワークへのより悪質な攻撃へのゲートウェイとして使われますが、同様に、ITネットワークで始まった攻撃により物理的な操業が停止に追い込まれ、生産に壊滅的な損失が発生することもあります。

サプライチェーンのリスク

現在の状況においてはテスト環境を物理的に用意することは不可能に近い一方で、実運用環境は稼働させ続けなければなりません。このことも、テストのレベルがこれまでより低くなることにつながると同時に、サプライチェーンという新たな攻撃ベクトルに道を開きます。既に感染しているハードウェアやマルウェアが実運用環境に直接持ち込まれる可能性があるのです。

こうした状況下では、すべてのベンダーおよび彼らが購入しているすべての製品に対してリスクおよびセキュリティのレビューを行うことはかつてなく重要になっています。アウトソーシングあるいはオープンソースのコンポーネントに追加レビューや監視を行うことはサプライチェーンリスクを低減する上できわめて重要となります。しかし、現在のビジネス環境およびポリシー下においてこうした事前の注意はなおざりにされていることがあります。

一夜にして変化

作業慣行の突然のシフトはスタッフトレーニングの限界も露呈させます。たとえば、リモートアクセス時に行うべきこと、行ってはならないことについてのトレーニングです。物理的な本部ロケーションに支えられたセキュアな環境から離されたセキュリティプロフェッショナルやOTエンジニアは、間違いなく仕事場よりセキュリティレベルの劣る自宅のネットワークから作業しなければならなくなります。しかし短い期間で必要なレベルのトレーニングを実施することは困難です。従業員は業務上の障害を善意で急ぎ解決しようとしますが、そこでどうしてもプロトコルへの違反が発生します。

さらに、ファイアウォールのような静的なセキュリティに対する突然の変化は不安定化要因となり、エラーや望ましくない権限付与が起こりがちです。OTシステムに対する変更、特にセーフティクリティカルなプロセスへの変更には膨大な事前計画が必要であり、突然の根本的変化によって変更を余儀なくされることはきわめて稀です。

リスクの緩和

リモートワークへの移行は、OTセキュリティチームがオンサイトでなくてもセキュリティインシデントをきちんと調査できなくてはならないことを意味します。これは、可視性とフォレンジック能力の大幅な改善が必要であることを意味します。

現在の状況下においては、ルールや以前に見つかった脅威のシグネチャに依存する従来のセキュリティツールの限界が明るみに出ることになります。組織はこれに代えて、突然のビジネスの変化にも適応できる、より柔軟なセキュリティプラットフォームへ移行する必要が生じるでしょう。こうしたOTの課題と対決するための防御戦略を強化するため、何百もの組織がCyber AIを選択しています。AIは次の3つの主要な特徴により、これらの動的な新しい状況においてセキュリティチームを支援するのに適しています:

  • 検知機能がOTとITテクノロジーの両方に渡って一貫していること。実際のOT環境ではこれらは常に絡み合っていますが、リモートアクセスの増加は、より従来型のITサービスおよびリスクのプレゼンスを拡大することになります。

  • 教師なし機械学習コアは人手による大掛かりな設定や管理を必要としないこと。これは、作業慣行が全体としてより効率の低い方法に変化し、人的リソースが貴重となった現在、特に重要な特徴です。

  • Cyber AI Analyst はエキスパートのITおよびOT分析スキルを自動的に適用することにより、トリアージと調査において人間のアナリストの時間を大幅に節約し、前述の特徴をさらに強化します。

Industrial Immune Systemはほんの1時間でインストールでき、組織はこうした突然の変化にも必要とされる期間内に適応することができます。急速かつ突然の変化が起こっている今、Darktraceはお客様を差し迫ったサイバーセキュリティニーズへの対応を支援することをお約束します。

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.