この記事は2022年12月28日に更新されました.
産業オートメーションにおけるサイバーセキュリティは、こうした環境での接続デバイスやシステムの利用が増えるにつれ、ますます懸念が高まっています。製造、エネルギー、運輸などで使用される産業用制御システムは、施設の運営や従業員の安全にとって極めて重要な役割を果たすことが多く、そのためサイバー攻撃の主要な標的となっています。近年、操業に支障をきたし、甚大な被害をもたらした、注目を集める産業向けサイバー攻撃がいくつか発生しています。
2017年、ウクライナの産業施設を標的とした「NotPetya」攻撃は広範囲にわたる被害をもたらし、その被害額は数十億ドルに上ると推定されています。2019年にサウジアラビアの石油化学施設を標的とした「Triton」攻撃は、同施設の安全システムを狙ったものであり、もし早期に発見されていなければ、壊滅的な事態を招いていた可能性があります。これらの攻撃は、潜在的な混乱や危険から身を守るために、産業用オートメーションのサイバーセキュリティがいかに重要であるかを浮き彫りにしています。
既存のOT やサイバーセキュリティインフラを補完する、産業用制御システム(ICS)のリアルタイム可視化と脅威検知は、サイバーレジリエンスを大幅に向上させることができます。産業オートメーションにおけるサイバーセキュリティの課題に対処する際に組み込むべき3つの重要な要素は、ICS環境の可視化、ハイブリッドな脅威検知、そしてIT、OT IoT シームレスなIoT です。
1.複雑な環境を可視化するOT
一般的なICS環境は、イーサネットTCP/IP、セルラー通信、LAN、シリアル制御、リモート/インテリジェントI/Oなど、さまざまなネットワーク技術から構成される異種混在システムによって構築されています。また、今日の産業用オートメーションシステムでは、効率の向上、予知保全の実施、コスト削減を目的として、非管理IoT 組み込まれています。OT IoT 、およびそれら間の通信は、従来のITネットワークやサイバーセキュリティツールでは特定・監視することができません。
この課題に対処するため、現在最先端のICSサイバーセキュリティソリューションは、IT環境の可視性をOT 拡大しています。これらのソリューションは、一般的に非侵襲的な方法で導入され、OT 隅々まで可視化と検知機能を提供します。
2.ハイブリッド・アプローチによるICS脅威の検知
新たな形態のマルウェアが絶えず出現する中,産業界のオペレータは,脅威検知に対する多面的なアプローチ,つまり,注意深く,迅速に対応し,プロアクティブなアプローチを検討する必要があります.ハイブリッド型脅威検知では,行動ベースの異常検知とルールベースの検知を使用して,攻撃のあらゆる段階でマルウェアを特定します.攻撃をタイムリーに検知するためには,この2つの手法を取り入れることが重要です.以下では,この2つの方法について詳しく説明します.
行動ベースの異常検知
産業用制御ネットワーク内のすべてのトラフィックの挙動を、システムに干渉することなく学習・監視できる機能により、従来のサイバーセキュリティ手法では通常見過ごされてしまうような潜在的なサイバー脅威を特定することが可能になります。地理的に分散した多層ネットワーク全体にわたる多数の異常の相関関係に基づく有用なコンテキスト分析により、挙動ベースの異常検知は従来のサイバーセキュリティとは一線を画すものとなります。 多くの場合、数千件ものサイバーインシデントの根本原因は共通していることが多いため、迅速なフォレンジック分析と是正措置を行うには、その根本原因を特定することが極めて重要です。
ルールに基づく分析
ルールベースの分析によって推進されるプロアクティブな脅威ハンティングにより,ディープパケットインスペクションを活用してネットワーク上のマルウェアサイバー攻撃を発見し,初期感染段階の前に対応を開始することができます.これは,Nozomi Networks のハイブリッド脅威検出アプローチの重要な要素であり,外部ルール(Yara ルールやパケットルールなど)とGuardian独自のカスタマイズ可能な解析ツールキットに固有の独自ルールの両方を使用します.どちらの形式のルールベース解析も,マルウェアの脅威を特定するのに効果的です.
豊富な分析エンジンと人工知能(AI)技術を活用する当社のソリューションは,プロセス・データの読み取りや重要な状態認識との相関関係を含め,プロセスと通信の両方の異常を特定します.検出される異常の例としては,ネットワーク内のデバイスの変更や追加,不規則な通信,帯域幅や遅延の変動などがあります.当社のコンテキスト相関を使用することで,ユーザーは脅威カテゴリ,リスクレベル,ネットワーク内の場所に応じて,異常を迅速に整理,集約,評価することができます.
3. IT、IoT OT の統合
成功のもう一つの要因は、ICSサイバーセキュリティソリューションが、監視制御と運用制御の複数の階層からなるネットワークを持つ、大規模で分散型の産業組織のニーズに合わせて、どの程度柔軟に拡張できるかという点です。最大限の効果を発揮するためには、そのソリューションは、ファイアウォール、SIEM、ユーザー認証システムなど、既存のITおよびICSセキュリティインフラとシームレスに統合される必要があります。
API(アプリケーション・プログラミング・インターフェース)の開放性、プロトコルのサポート機能、および製品のモジュール性は、効果的なICSサイバーセキュリティソリューションの統合性と拡張性を決定づける重要な要素です。以下に、考慮すべき点を挙げます。
- オープンAPIの有無は、ソリューションが既存のアプリケーションとどれほど容易かつ効果的に統合され、企業アーキテクチャ全体の将来的な方向性に適応できるかを左右します。例えば、APIが安全な双方向のデータフローをサポートする能力についてテストを行い、選定したICSサイバーセキュリティソリューションが、他のアプリケーションからのデータの共有や取り込みに対応できることを確認する必要があります。
- プロトコル用ソフトウェア開発キット(SDK)は、OT プロトコルの解析と分析をサポートし、独自仕様であり匿名性が求められるプロトコルにも対応できるソリューションを実現します。高度なリアルタイムのサイバーセキュリティ監視と運用可視性を提供しつつ、プロトコルのプライバシーを確保できるSDKをお選びください。
- ICSサイバーセキュリティソリューションは、コスト効率が高く安全な方法で、拡張をサポートし、将来的なエンタープライズアーキテクチャの追加や変更に対応できるものでなければなりません。調整や拡張への対応力を評価するには、ハードウェアからオペレーティングシステムに至るまでの技術スタック全体のうち、どの程度を自社が所有・管理しているかを確認してください。さらに、物理環境から仮想環境に至るまでのICSサイバーセキュリティソリューションの提供形態を調査し、帯域幅の要件が異なるさまざまなアプリケーションシナリオに対して、どの程度適切に対応できるかをより深く理解するようにしてください。
産業用制御システムの可視性を確保し、脅威の検知にハイブリッドなアプローチを採用し、産業用セキュリティソリューションを既存のインフラと統合することで、現在だけでなく将来にわたって保護を維持できる、将来を見据えたサイバーセキュリティ体制を構築できます。
