変化する環境でOTを保護するには

米国時間2020年6月8日に掲載されたフォーティネットセキュリティブログの抄訳です。

デジタル市場での競争力強化に取り組む組織において、産業用制御システム、SCADA、IIoTといったOT（オペレーショナルテクノロジー）ネットワークは、非常に大きなデジタルトランスフォーメーションの渦中にあります。エアギャップという保護はなくなり、これまで手つかずだったOT環境には、ITベースのソリューションやIoTデバイスが押し寄せています。

今日の企業や消費者で求められるリアルタイムのニーズや、短い開発サイクルに対応しようとする組織にとって、この変革は非常に重要です。ところが、多くのOTネットワークは長年の間隔離されてきたため、ネットワークを標的にするマルウェアや攻撃に対して非常に脆弱です。古いハードウェア、パッチが適用されていない / パッチを適用できないオペレーティングシステムやアプリケーション、繊細なデバイスや機器、生来の信頼という概念に基づく処理環境は、OTネットワーク、組織、そして多くの重要なインフラストラクチャにとって課題となり、従業員の生命や周辺のコミュニティを危険にさらしてしまいます。

このような課題や、OTのパフォーマンスと柔軟性を損なうことなくセキュアなOT環境を構築する方法について、3人のフォーティネットフィールドCISOにオンラインでインタビューを行いました。脅威がますます進化する今日の環境におけるOTネットワークをセキュリティ保護する方法について、Rick Peters、Joe Robertson、Alain Sanchezの3人が解説します。

質問：デジタルの統合が加速し続けていますが、昨年はOTセキュリティに関心が集まりました。このトピックを考えたとき、CISOの頭には真っ先に何が浮かぶのでしょうか。

Alain - まず、OTとITの愛憎関係は終わろうとしています。OTは常にIT環境の外で運用されてきました。これには正当な理由がありましたが、いくつかの誤解も生まれています。その原因は、ITとOTの優先順位が非常に異なることにあります。そして、間もなくやって来る「200億個の未知なる物」を軽視しているセキュリティ担当者はいないでしょう。特に課題となるのは、膨大な産業プロセスの制御に使用される基本的なデバイスです。このようなデバイスは、長らくセキュリティ担当者の管轄外にあり、口の固いプロセスエンジニアチームに用心深く保護されてきました。

当初、OTデバイスは、パフォーマンスと信頼性を高めるために設計された閉鎖環境の一部でした。この閉ざされた環境では、公衆IPという無法地帯に重要な心臓部を接続する必要がなかったため、最も基本的なセキュリティルールのみが必要なときにだけ適用されました。現在、状況は一変し、CFOからの圧倒的な圧力もあることから、この2つの環境はいや応なく統合されつつあります。幸運にも、NIH（独自技術）症候群は寛容さへと変化し、製造サイトの接続が財務的および技術的に非常に大きなメリットを生み出すことが明らかになり、相互理解が進んでいます。セキュリティベンダーにとっては、統合された単一のセキュリティプラットフォームへと防御メカニズムを移行することで、OT環境に欠落している処理能力やセキュリティ機能を補完する理想的なタイミングだと言えます。

Joe - ITとOT環境の統合は加速し続けていますが、CISOの期待通りにはいかないでしょう。CISOはIT環境に長年取り組んできましたから、IT環境をよく理解しています。ある日突然OTネットワークポートフォリオのセキュリティを担当する、という課題に挑戦したがるCISOはほとんどいないはずです。CISOの懸念の1つが、OTリスクをほとんど可視化できない点にあります。もちろんCISOは、統合には危険が伴うことを理解していますが、財務上や運用上のさまざまな理由にかかわらず、この統合は必ず起こるという現実を認識しています。ここで課題となるのは、ITとOTの世界を1つに統合する方法です。

個人的には、IT環境とOT環境を統合する問題は、生態系の問題に例えることができると考えています。ほとんどではないものの、多くのOT環境は、長年隔絶された孤島のようなものです。海によって隔てられた孤島では、生態系が保護されています。これと同様に、OTネットワーク間にはエアギャップが存在し、他のIT環境から保護されているため、隔離された環境で「生態系」が独自の方法で成長してきました。その結果、過去数十年にわたって多くのOTシステムが「進化」を遂げてきたのです。非常に古いテクノロジーを使用し、セキュリティはほぼまたはまったく組み込まれていないため、非常に脆弱です。やがて、孤島の1つにヨーロッパの船が上陸し、ネズミが持ち込まれます。島の動物は、どう猛な捕食動物に対抗できるように進化していないため、壊滅的な被害を受けます。同様に、ITネットワークとOTを相互接続すると、OTはサイバー攻撃やマルウェアが存在する危険な世界につながることになります。ところが、OTにはこのような攻撃に対抗できる準備はできていません。このようなOTシステムを保護しながら、重要なデータ、テレメトリ、HMI（ヒューマンマシンインタフェース）トラフィックを宛先に送信することこそ、CISOが直面している難題です。

Rick - CISOは、イノベーションとテクノロジー主導の変革は不可避であり、運用率向上に向けた取り組みの影響を受けるという点において、OTも例外でないことを認識しています。攻撃対象領域が急速に拡大する今、高度なソフトウェアによる産業ビジネスプラクティスの最適化に経営陣がコミットし、高機能センサーが急増しており、大量のデータと分析を活用したいというニーズが存在することを考えると、セキュリティ強化の先頭に立つCISOの能力が問われます。また、各業種のOT領域専門家はレガシー構成に基づいたセキュリティプラクティスを好むため、この急務への取り組みはさらに複雑になります。

同様に、CISOは、OT特有のビジネス価値に直面することとなります。継続的で安全な可用性は、OTの絶対的な要件です。OTに「変革の風」が吹いていると気付いたCISOは、テクノロジーの進化が、OTで起こっているサイバー世界と物理世界の統合を保護する新たな考え方をもたらすことも理解しています。従来のITセキュリティプラクティスにもある程度の効果（境界防御など）があるものの、企業の差別化をもたらす価値の高いOT資産と知的財産を保護するには、ファイアウォールを配置するだけでは不十分です。OTを標的にするサイバー攻撃者の行動や目的を考えれば、CISOは「内から外」の保護機能を備えた高度なソリューションを開発するセキュリティ業界の取り組みに、常に意識を向ける必要があります。

質問：最近収集されたインサイトの中に、OTにおける事業またはミッションの継続性という点で、CISOが知っておくべきことはありますか。

Alain - ロックダウンの期間、自動化とセグメンテーションのおかげで、多くのOTアーキテクチャは攻撃や誤動作を免れることができました。自動化によって、リモートワーカーに対応できるようにネットワークセキュリティは拡張され、セグメンテーションによって、産業インフラストラクチャを標的にしたサイバー攻撃の影響は大幅に軽減されています。ただし、OTの変化の波は非常に大きいため、オーケストレーションに向けた自動化の拡張が急務です。担当チームは、機械学習アルゴリズムを活用し、攻撃のスピードと拡大に対処しなければなりません。その結果、手間のかかる監視作業や、ネットワーク / セキュリティイベントを手動で関連付ける作業が軽減されるだけでなく、人間が得意とする作業に専念できます。たとえば、ログの収集よりも、対抗戦略の検討に取り組むことができるのです。

Joe - 先ほど説明したように、OTの保護とは、外来種の侵略から在来種を保護することとは違います。まず、侵略的外来種をすべて排除し、侵入を阻害する壁を作り、隙間から侵入してこないように常に監視しなければなりません。これは、孤島とネットワークのいずれにおいても、決して容易な作業ではなく、時間もかかります。

ところが、世界的なパンデミックやロックダウンが発生し、製造チームは突然、多くのシステムの稼働や停止をリモートで行うことを余儀なくされました。これは、工場やプロセスを遠隔地から監視することを意味します。使用されていない工場でさえ、予期しない事態や損害を防ぐために、安全な方法でシャットダウンし、監視する必要があります。制御と監視をリモートへと急遽切り替えた結果、犯罪者の攻撃対象範囲はさらに広がっています。CISOには、素早い行動と確実な保護が求められています。そして、多くの場合、CISOはOTの管理を任されたばかりなのです。

Rick - CISOは、社会的および世界的な混乱期にはサイバー攻撃が増加しやすい、ということを実感していることでしょう。ストレスが高まるときには人為的ミスが急増することが知られているため、最近発生しているハッキングではあまり複雑な手法は使われていません。また、リモートワークプレースの拡充を目的にしたビジネスプラクティスが実施された結果、攻撃対象領域はさらに拡大しています。業務を停止に追い込むサイバー攻撃の効果を弱めるには、さまざまな側面で注意喚起し、状況に応じた対応への意識をエッジで高めると伴に、OTネットワークインフラストラクチャ内の動きを制御するマイクロセグメンテーションのような手法も必要です。悪意のある行為や破壊的行為の世界規模での増加を背景に、CISOは、プロアクティブなサイバーセキュリティプラクティスの必要性を認識しています。防御戦略を実装することでOT環境のセキュリティを強化することは、現実的な目標です。

質問：OT環境の長期的な保護という点で、特に重要または差別化を図れるOTセキュリティ戦略を1つ挙げてください。

Alain - 最近、重要な3つのステップが黄金律になっています。まず、あらゆるセキュリティ対策の準備として、重要な資産をすべて識別します。重要な資産の識別に加えて、優先順位を付ける作業は、効果的なセグメンテーション計画において極めて重要な役割を果たします。次に、ITの優先順位に合わせてOT目標を設定します。この手順を省略した場合や不完全な場合、ダウンタイムが長引くことになります。生産能力を最大限に高める上で、ダウンタイムは製造ラインで最も回避すべきことです。最後に、生産計画の設計に、ITとOT両方の具体的な要件を盛り込みます。各環境の類似点と相違点の両方を検討しなければなりません。サイバーセキュリティの最大の課題は、生産ラインのパフォーマンスを低下させずに、統合された環境を保護することにあります。

Joe - 私も同感です。OT環境を保護できる万能策はありません。どの環境も個々に異なっているためです。ただし、状況によって具体的な戦術は異なるものの、高レベルの戦略が1つ存在します。これは、包括的でオープンなセキュリティ態勢を整える戦略です。各種デバイス（およびベンダー）から脅威情報を収集して管理し、そこから抽出したインテリジェンスをIT環境とOT環境にあるすべてのセキュリティデバイスに提供するのです。

これはつまり、1）OTネットワークを可視化する、2）デバイスとアプリケーションのインベントリを把握する、3）ロールベースのネットワークアクセス機能を備えた高機能ゲートウェイの設置により、OTネットワークへのアクセスを承認されたユーザーとツールに制限する、4）デバイスを包括的に管理および監視することを意味します。このような機能を備えたITネットワーク向けのツールが存在しており、ゲートウェイなど、OTネットワークでも容易に活用できるものもあります。また、OT固有のネットワークプロトコル、ICS、SCADA実装、PLCなどに関する専門知識を要するものもあります。CISOは、ITとOTツールがインタラクションできるオープンなエコシステムを模索すべきです。その1つが、フォーティネット セキュリティ ファブリックです。多数のIT / OTハードウェアおよびソフトウェアベンダーが提供する製品と接続 / リンクできる実証済みAPIが公開されており、ITとOT両方の環境の可視化、監視、管理を包括的に実行できます。

Rick - 私が最も重要な戦略を1つ挙げるとすれば、IT / OTインフラストラクチャの統合によって発生した脆弱性をすべて認識することです。攻撃対象領域の拡大によってサイバー攻撃のチャンスも大きく広がっているため、標的となるOTに侵入し、複数の足場を確立することが可能です。

境界での検知と保護を超えた最善のサイバーセキュリティプラクティスを実装し、未知の脅威や異常なアクティビティの識別 / 認識に特化した機能が不可欠です。その出発点となるのが、OTインフラストラクチャ内にあるすべてのデバイスを完全に可視化し、信頼を設定する作業です。承認されたアクセスとロールを厳格に識別し、一貫した方法で全体にコントロールを適用することで、環境内での移動を制限することも重要です。

デジタルトランスフォーメーションが進む今日のOT環境では、過去と現在の両方において、セキュリティ侵害が発生する可能性を認識し、生産性の脅威となるイベントを検知することが重要です。OT保護に向けたエコシステム戦略は、インサイダーによる攻撃の検知につながるセキュリティを組み込むことができる点で、さらに実用的なアプローチだと言えます。このようなエコシステム戦略の実装は、安全なオペレーション継続に欠かせないセキュリティサービスの提供と、透明性、規模、スピードの認識において不可欠な役割を果たします。

フォーティネットは、あらゆるICS / SCADA接続環境のセキュリティ強化とコンプライアンス維持をサポートします。

フォーティネットのOTセキュリティソリューションを使用して、分散ネットワークと重要なインフラストラクチャを保護するEchoenergiaと大手石油 / ガス会社の事例をご覧ください。