独立系調査会社のレポートにより、ITとOTのコンバージェンスを遅らせるOTセキュリティの課題が明らかに

米国時間2020年5月18日に掲載されたフォーティネットセキュリティブログの抄訳です。

複数の業種にわたって、重要インフラストラクチャ（CI）の所有者と運営者は、ビジネスのサイバー面と物理面の統合（コンバージェンス）を進めています。この融合によって、重要プロセスをより効率的かつ効果的に監視できます。さらに、有効なセンサー、産業用アプリケーション（ロボットを含む）、医療機器、ソフトウェア制御による生産プロセスから、データを仮想的に活用できるようになっています。IIoT（産業用IoT）として知られるこれらの機能は、リアルタイムの意思決定を可能にし、電力消費と従業員の効率の面で大幅なコスト削減を実現します。

以上のような利点がある一方で、IT部門とオペレーショナルテクノロジー（OT）部門、およびそれぞれのサポートシステムの統合によって、潜在的なセキュリティリスクに直面する可能性があることも理解する必要があります。効果的なOTセキュリティ計画を策定しなければ、ICS / SCADAシステムはサイバー攻撃のリスクにさらされ、金銭的な損失、評判の低下、そして消費者からの信頼の低下をもたらしかねません。さらには、市民の安全や国の安全保障を脅かす可能性すらあります。

レポートの所見：OTがホストするICS / SCADAシステムに新たな脅威が及んでいる

OTの事業と統合ICS / SCADAシステムを保護することの重要性は、いくら強調しても、しすぎることはないでしょう。製造業からエネルギー、公益事業、交通インフラストラクチャまで、あらゆる分野で安全かつ持続的なオペレーションは絶対的に必要とされます。OTが関係するこれらの業種は、全世界の人々の日常生活を支える多様なサービスを構成し、提供しています。デジタルトランスフォーメーション戦略に経営幹部レベルで取り組むようになるにつれて、オペレーションの効率が向上しています。これに伴い、従来はエアギャップにより保護されたシステムがサイバーリスクにさらされ、攻撃対象領域が拡大しており、サイバーセキュリティに対するさまざまな懸念が生じています。

OTシステムの効率性に対する取り組みによって、OTセキュリティの標準が引き上げられ、高価値のサイバー・物理資産の適切な保護がこれまで以上に困難になっています。この点を念頭に置き、OTインフラストラクチャの維持管理を担う業界リーダーを調査するために、フォーティネットとForresterは3度目の共同調査を実施しました。全体として、レポートの目的は、運用に影響を与え、セキュリティの戦略と投資を必要とするセキュリティの傾向とプラクティスを特定して明らかにすることです。

最新のレポートで明らかになった重要ポイントを以下に紹介します。

OTセキュリティ侵害は珍しいものではない

OTセキュリティ侵害は深刻な割合で発生しています。調査対象のうち、この種の脅威を経験したことがないと報告した割合は10%にとどまります。対照的に、58%の組織では過去12か月間に侵害が発生しています。そのため、今後2年間で規制圧力が高まると予想する組織は4分の3を超えています。さらに考慮対象の期間を過去24か月間に広げると、侵害が発生した組織の割合は80%に高まります。サイバー攻撃者がOTシステムを主要なターゲットとみなして関心を向けていることがわかります。

したがって、当然ながらセキュリティに投入するリソースを増大させる傾向が強まっており、調査対象の78%は今年のICS / SCADAセキュリティ予算を増やすことを計画しています。

組織はITとOTの統合へと意図的に移行している

エアギャップによって「強化」されたとみなされていたOTシステムは、往々にしてレガシーのソフトウェアに基づいて構築されており、ハードウェアの使用やライフサイクルが十年単位で測定されることもあります。 当然のことながら、ITネットワークとOTネットワークの統合に向けた動きに関する留意事項としては、攻撃対象領域が拡大することで、脆弱性が存在する環境へのアクセスが可能になることが挙げられます。実のところ、ITとOTの統合を通じたオペレーションの効率化を追求するからこそ、接続性の拡大とともに従来のIT脅威のリスクがもたらされているのです。接続性の実現によってリスクが高まるだけではありません。システムが分離されていたときには不可能だった方法で、サイバー犯罪者が侵入する機会が増えるのです。

調査では、ITシステムとOTシステムの統合による複雑化に対する懸念も提示されています。ほぼすべての回答者（96%）は統合への移行で課題が生じると予測し、セキュリティの懸念を軸とする計画的で慎重な取り組みを推進しています。3分の1を超える回答者は、以下のOTセキュリティの課題について懸念を報告しています。

1. サードパーティは、統合テクノロジーやIoTを支援するために必要なセキュリティの専門知識が不足している
2. 機密データが漏洩するリスクがある
3. 社内のセキュリティチームは、統合されたテクノロジーとIoTののセキュリティを確保するために必要な専門知識が不足している
4. 接続されたスマートデバイスが侵害を引き起こすリスクがある
5. 組織が最新のセキュリティ戦術とプロトコルに後れをとらないようにすることが困難である
6. 侵害が発生した場合に、組織が隔離または封じ込めを実現できない
7. 組織がICS / SCADAに関する規制圧力の高まりに直面している

最後に、OTシステムを管理する人々にとっては、コンプライアンスがますます大きな関心事となっています。7割の回答者は、過去1年間でコンプライアンスの圧力が高まっていると報告しており、78%はこの傾向が今後2年間続くと考えています。レポートによると、以下の規制が最も大きな影響を与えています。

1. EU一般データ保護規制（GDPR：General Data Protection Regulation）
2. 国際計測制御学会（ISA）の標準
3. 連邦情報セキュリティマネジメント法（FISMA）

パートナーの重要性

ビジネスパートナーからインフラストラクチャへのアクセスを拡大することは、ITとOTに関連するリスクを引き起こす要因の1つとなります。適切な担当者に適切な特権アクセスを許可することが非常に重要です。フォーティネットとForrester Researchによる今回の調査によると、環境の保護を最も成功させた組織では、ビジネスパートナーへのアクセスを厳しく制限（場合によっては拒否）する可能性が129%高いことが明らかになっています。

同様に、ITプロバイダーへのアクセスについても、必要以上の権限を付与しないように、より慎重に扱っています。最後に、最上クラスの組織では、特定のセキュリティ機能についてアウトソーシングではなく社内で担う可能性が45%高くなっています。その一方で、ネットワークの分析と可視化についてはアウトソーシングする可能性がより高くなっています。

これらの結果は、パートナーの役割、そして組織がパートナーとの間に築く関係の意義深さを示唆するものとなっています。デジタルトランスフォーメーションの中でOTシステムを保護するためには、適切なアクセスの付与、アウトソーシングについての最善の意思決定、そして状況に対応できる態勢を備えたパートナーの見極めが不可欠となります。

終わりに

産業用システムの進化に伴って、OTとサイバーセキュリティのリーダーは新たな課題に直面し、その中から新たな優先課題が浮上しています。ITとOTのコンバージェンスは複雑であることから、組織はデータ漏洩などの最新の脅威を回避するプロセスの採用に計画的に取り組んでいます。高価値のサイバー / 物理資産を適切に保護するため、重要インフラストラクチャの維持管理を担うリーダーは、最新のセキュリティトレンド、特にITとOTのコンバージェンスに関連するトレンドを常に把握していなければなりません。それとともに、デジタルトランスフォーメーションにより実現される、この一層広範な環境への移行をどのように保護すべきかについて、理解する必要があります。

ITとOTのコンバージェンスを遅らせるOTセキュリティリスクについて、独立系調査会社によるレポートで詳細をご確認ください。

データセンターからクラウド、さらには過酷なICS / SCADA環境のネットワーク境界まで、フォーティネットがセキュリティの拡張に役立ちます。その詳細をご確認ください。

Echoenergiaと大手石油ガス企業は、フォーティネットのOTセキュリティソリューションを活用して、分散ネットワークと重要インフラストラクチャを保護しました。その方法を、これらのお客様のユースケースでご確認ください。