産業用IoTおよびOTにおけるサイバーセキュリティリスクへの対処

最高情報セキュリティ責任者(CISO)だけでなく、情報セキュリティに精通したメンバーを集め組織立って対策を取らなければ、とても防ぎ切れる物ではないと感じる。

https://www.microsoft.com/security/blog/2020/10/21/addressing-cybersecurity-risk-in-industrial-iot-and-ot/

Microsoft Jonathan Trull General Manager, Security Solutions Area

産業用モノのインターネット(IIoT)とオペレーショナルテクノロジー(OT)が進化し、成長し続けるにつれて、最高情報セキュリティ責任者(CISO)の責任も高まっている。 CISOは、クラウドに接続された機械、倉庫システム、および数百台のワークステーションに散在するスマートデバイスからのリスクを軽減する必要がある。これらのセキュリティリスクの管理には、製造、石油およびガス施設、公益事業、輸送、市民インフラストラクチャなどの安全を確保する必要性が含まれる。
アナリストは、2025年には世界中で約215億のIoTデバイスが接続され、アタックサーフェスが大幅に増加すると予測している。組み込みデバイスはパッチが適用されないことが多いため、CISOは、情報技術(IT)で見られるものとは決定的に異なるIIoT / OTリスクを軽減するための新しい戦略を必要としている。その違いを取締役会(BoD)とリーダーシップチームは理解する必要がある。コストのかかる生産停止、怪我や人命の損失を伴う安全上の障害、責任につながる環境損傷など、すべてがIIoTとOTをサイバー脅威管理のシナリオとして想定される。

進化する脅威

IIoTとOTはどちらも、サイバーフィジカルシステム(CPS)と見なされる。つまり、デジタルと物理の両方の世界を網羅している。これにより、CPSは、環境汚染や運用の中断を引き起こそうとしている敵にとっての目ぼしいターゲットになる。最近の事例が示すように、そのような攻撃はすでに進行中である。例としては、中東の化学施設に対するTRITON攻撃(重大な事故を引き起こすことを目的としていた)やウクライナの電力網攻撃などがある。 2017年、NotPetyaと名付けられたランサムウェアは、AP.モラー・マースク海運を麻痺させ、世界の輸送能力のほぼ5分の1が停止した。それはまた、製薬大手のメルク、フェデックス、および多くのヨーロッパの企業に広がり、その後ロシアに戻り国営石油会社ロスネフチを攻撃した。
2019年、マイクロソフトは、IoTスマートデバイス(VOIP電話、オフィスプリンター、ビデオデコーダー)を企業ネットワークへのエントリポイントとして使用するロシアが支援するハッカーを確認している、彼らは企業のネットワークに進入するために分散型サービス拒否(DDoS)攻撃を使用してコンピューターを麻痺させ、建物のアクセス制御システムが危険な状態にさらされていた。

現在のモデル

1990年代以降、Purdue Enterprise Reference Architecture(PERA)、別名Purdue Modelは、エンタープライズおよび産業用制御システム(ICS)ネットワーク機能を編成(および分離)するための標準モデルだった。 PERAは、企業をさまざまな「レベル」に分割し、それぞれがシステムのサブセットを表している。各レベル間のセキュリティ制御の代表的なものは「非武装地帯」(DMZ)とファイアウォールがある。
従来のアプローチでは、レベル4、5(およびインターネット)からレベル3へのダウンアクセスが制限されている。上に向かって、レイヤー2または3のみがレイヤー4および5と通信でき、最下位の2つのレベル(機械とプロセス)は、組織のOT内でデータと通信を維持する必要がある。
しかし、私たちのIIoT時代では、データはもはやPurdueモデルで規定されている階層的な方法で流れていない。エッジコンピューティングの台頭に伴い、スマートセンサー、およびコントローラー(レベルO、1)はファイアウォールをバイパスし、クラウドと直接通信するようになり、システムに新たなリスクが生じている。
レベル4および5でゼロトラストの原則を使用してこのモデルを最新化すると、組織のIIoT / OTをクラウド時代に相応しく準拠させることができる。

新しい戦略

結果駆動型サイバーインフォームドエンジニアリング(CCE)は、IIoT / OTによってもたらされる固有のリスクに対処するために、アイダホ国立研究所(INL)によって設計された新しい方法論である。サイバーセキュリティへの従来のアプローチとは異なり、CCEは結果をリスク管理の最初の側面と見なし、潜在的な影響について積極的に設計する。 CCEに基づいて、組織(パブリックまたはプライベート)が優先すべき4つのステップがある。

  1. 「クラウンジュエル」プロセスを特定する:障害が安全、運用、または環境の損傷を引き起こす可能性のある重要な「失敗してはならない」機能の保護に集中する。
  2. デジタル資産をマッピングする:敵が悪用する可能性のあるすべてのデジタル経路を調べる。接続されているすべての資産(IT、IoT、ビル管理システム(BMS)、OT、スマートパーソナルデバイス)を特定し、ベンダー、保守担当者、リモートワーカーなど、誰が何にアクセスできるかを把握する。
  3. 可能性のある攻撃パスにスポットライトを当てる:脆弱性を分析して、考えられるソーシャルエンジニアリングスキームや施設への物理的アクセスなど、クラウンジュエルプロセスにつながる攻撃ルートを特定する。
  4. 軽減と保護:最も高い結果をもたらすサイバーリスクを「設計」できるオプションに優先順位を付ける。ゼロトラストセグメンテーションポリシーを実装して、IIoTデバイスとOTデバイスを他のネットワークから分離する。インターネットにアクセス可能なエントリポイントの数を減らし、攻撃の可能性のあるパスの脆弱性にパッチを適用する。

リアルなケースを作る

あなたの取締役会(BoD)は、新しいソフトウェアまたはハードウェアの投資収益率(ROI)を確認する権利がある。彼らが望んでいるのは収益の増加である。ただし、セキュリティソフトウェアの収益は、四半期ごとのステートメントでは確認できないことがよくある。つまり、サイバーセキュリティの専門家は確固たる事例を提示する必要がある。役員会に持ち込むことができるIIoT / OTサイバーセキュリティソフトウェアに投資する利点は次のとおりである。

  • 安全性または環境コストの抑止:化学、鉱業、石油、輸送、またはその他の産業施設でのセキュリティトラブルは、通常のITトラブルより悲惨な結果を引き起こす可能性がある。例えば命が失われる可能性があるような、プラントから漏れ出た毒物の浄化作業、企業の法的責任、およびブランドの損傷から発生するコストは、数100億に達する可能性がある。
  • ダウンタイムの最小化:NotPetyaとLockerGogaの攻撃が示したように、ダウンタイムは、プラントの担当者から株主に至るまで、すべての人に影響を与える実際の経済的損失を招く。
  • IPの盗難を阻止する:製薬業界、エネルギー生産、防衛、ハイテクなどの企業は、研究開発に何百万ドルも費やしている。国民国家や競合他社に知的財産を盗まれたことによる損失も、数万単位で測定できない。
  • 規制上の罰金を回避する:製薬、石油/ガス、運輸、ヘルスケアなどの業界は厳しく規制されている。したがって、IIoT / OTのセキュリティ違反により環境への損害や人命の損失が発生した場合、多額の罰金が科せられる。

今後の対策

今日のCISOにとって、デジタル資産を保護するということは、IT、OT、IIoT、BMSなどのすべてのデジタルセキュリティに責任を持つことを意味する。これには、人、プロセス、テクノロジーを取り入れた統合アプローチが必要である。開始するためのチェックリストは次のとおりだ。

  • ITチームとOTチームが、組織をサポートするという共通の目標を受け入れることができるようにする。
  • ITセキュリティ担当者をオンサイトに連れて行き、OTプロセスがどのように機能するかを理解できるようにする。
  • 可視性がサイバーセキュリティチームの安全性と効率性の向上にどのように役立つかをOT担当者に示す。
  • OTとITを統合して、共有ソリューションを見つける。

攻撃者がIT環境とOT環境の両方でピボットするようになったため、MicrosoftはAzureSentinelおよびAzureSphereとシームレスに統合するIoT向けAzureDefenderを開発し、企業全体の脅威を簡単に追跡できるようにした。 Azure Defender for IoTは以下を利用する。

  • 新しいグリーンフィールドとレガシーのアンマネージドIoT / OTデバイスの両方の自動資産検出。
  • IIoT / OTリスクを特定し、不正な変更を検出し、軽減に優先順位を付けるための脆弱性管理。
  • IIoT / OT対応の行動分析により、高度な脅威をより迅速かつ正確に検出する。
  • Azure Sentinelと、他のSIEM、チケット、CMDBなどのサードパーティソリューションとの統合。

Azure Defender for IoTを使用すると、リスクを簡単に確認して軽減し、それらのリスクをBoDに提示。マイクロソフトはサイバーセキュリティの研究に年間10億米ドル以上を投資している。そのため、Azureは他のどのクラウドプロバイダーよりも多くのコンプライアンス認定を取得している。

IIoT / OTセキュリティソフトウェアを説明する場合、わかりやすい言葉と具体的な例が役立つ。組織は、オペレーショナルリスクとして許容できるものを定義する必要がある。

例:「人命や安全へのリスクを許容しない」; 「生態系への恒久的なダメージは許容しない」; 「仕事にコストがかかるダウンタイムは許容しない。」ダウンタイム、負傷、環境責任、またはブランドの損傷によって生じる可能性があることを考慮すると、IIoT / OT用のサイバーセキュリティソフトウェアへの投資は経済的および倫理的に大きな意味があるだろう。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 セキュリティコンサルタント、キャリア(個人事業主 PG→SE→PL→PM→ 会社員 ITコンサル 兼 情シス)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター