ミトスやその他のフロンティアAIの兵器化は、IoT 新たな問題を生み出すわけではない。それは、悪用における経済的要因とタイムラインを変えるものである。
攻撃者はかねてより、自動化、エクスプロイトキット、脆弱性情報を活用して攻撃を加速させてきました。現在変化しているのは、最先端のAIモデルが、攻撃者が弱点を発見し、見慣れないコードを理解し、エクスプロイトロジックを生成し、脆弱性を連鎖させ、ツールを適応させ、情報開示から悪用へと移行するのを支援するスピードと規模です。
OT、IoT、ICS、および産業環境を統括するCISOにとって、核心となる課題は単に「AIリスク」だけではありません。それは「時間」なのです。
従来のITガイダンスでは、多くの場合、スキャンを迅速化すること、パッチ適用を迅速化すること、そして自動化をさらに進めることが当然視されています。これらの取り組みは重要ですが、IoT OT そのまま適用できるわけではありません。産業用システム、組み込みデバイス、遠隔地の資産、運用ネットワーク、および重要インフラは、稼働時間の要件、安全上の配慮、OEMへの依存、レガシープロトコル、資産のライフサイクルが長いこと、そして未検証の変更に対する許容度が低いことといった制約に縛られています。
CISOにとっての戦略的優先事項は、単に迅速に行動することだけではありません。それは、攻撃者が新たに発見された脆弱性を実際の業務への影響へと結びつける能力を低減することにあります。ここでは、それを実現するための10の提言と、IoT それらが不可欠である理由について解説します。
提言 1:IoT 現在、必須となっている
CISOは、OT IoT にわたる継続的な可視性を、単なる「基本対策」ではなく、戦略的な統制措置IoT 扱うべきである。
大企業は、どのような資産が存在するか、それらでどのようなソフトウェアやファームウェアが動作しているか、どのように通信しているか、どのシステムが外部にさらされているか、どのベンダーがサポートを行っているか、そしてどのプロセスに影響を及ぼしているかを把握する必要があります。こうした可視性は、産業用コントローラ、HMI、エンジニアリングワークステーション、ネットワーク機器、リモートアクセスシステム、組み込み機器、無線資産、ビルシステム、IoT またがって確保されるべきです。
運用テストの手順は単純です。新たな脆弱性、攻撃手法、またはベンダーからのアドバイザリが公表された際、組織は数時間以内に、自社が影響を受けるかどうか、どの部分が影響を受けるか、当該資産にアクセス可能かどうか、そしてどの業務プロセスがリスクにさらされているかを特定できるでしょうか?
IoT :IT分野において、未知の資産は可視性の欠如を意味します。一方、IoTでは、未知の資産は安全性、稼働時間、および事業継続性の欠如につながる可能性があります。多くの運用機器は標準的なITプロトコルに対応しておらず、積極的なスキャンに耐えられず、従来のIT資産管理ツールでは検出できない場合があります。
提言 2:技術的な深刻度のみではなく、物理的および運用上の影響に基づいて優先順位を付ける
CISOは、優先順位付けの主要なモデルとして、一般的な脆弱性の深刻度だけに頼ることをやめるべきである。
IoT においては、リスクは運用上の影響(安全性への影響、環境への影響、生産の停滞、設備の損傷、サービスの中断、規制上のリスク、事業継続性)に基づいて優先順位付けされるべきである。技術的な深刻度も依然として重要であるが、それは悪用可能性、到達可能性、資産の重要度、補完的統制、および物理的な影響という観点から検討されるべきである。
すべての大企業は、自社の業務における「至宝」を特定すべきです。それは、その安全性が損なわれた場合に、ビジネス上あるいは物理的に壊滅的な影響をもたらすプロセス、システム、拠点、資産のことです。こうした「至宝」には、単に脆弱性の記録だけでなく、明確なレジリエンス計画が必要です。
IoT :ITでは、データの機密性、IDの漏洩、CVSSスコアなどを基準に優先順位を決定することが多い。一方、IoT 、生産を停止させたり、重要なサービスを妨害したり、機器に損害を与えたり、安全上のリスクを引き起こしたりする可能性のあるものを基準に優先順位をIoT 。
提言 3:重要なプロセスは、フェイルセーフで、段階的に機能を低下させつつ、復旧できるように設計する — ある程度の攻撃は成功すると想定する
CISOは、最先端のAIによって情報漏洩から悪用までの時間が短縮されるにつれ、予防や検知がどれほど強力であっても、時には突破されてしまうことがあると想定すべきである。戦略的な目標は、侵害される確率を低減するだけでなく、重要なシステムが侵害された場合でも、物理的なプロセスが安全に保たれ、事業が継続されるか、あるいは安全に停止され、迅速かつ事前の訓練に基づいた復旧が行われることを確保することにある。
組織にとって最も重要な業務資産については、安全な状態の定義と検証、侵害されたデジタル層に依存しない手動またはローカルのフォールバックモード、正常性が確認済みのファームウェアおよび構成のベースライン、そして検証済みの復旧パスの確立が必要となります。 重要なのは、「インシデント対応マニュアルはあるか?」ということではなく、「侵害されたと見なされるシステムを信頼することなく、このプロセスを安全な状態に維持し、機能低下状態で実行し、あるいは復旧できることを実証できているか?」という点です。
これは、検知と対をなす自然な要素です。検知は攻撃が進行中であることを知らせてくれますが、レジリエンスはそれによって生じるコストを決定づけます。どちらも、どのプロセスが最も重要かを把握すること(推奨事項 2)と、異常な挙動を早期に検知して対応すること(推奨事項 6)という、同じ基盤に依存しています。
IoT :IT分野において、レジリエンスとは通常、許容可能なダウンタイムの範囲内でバックアップからデータを復元することを意味します。一方、IoT、「バックアップからの復元」という手法では、回転中のタービン、進行中の化学反応、あるいは加圧された配管といった状況には対応できません。OT/IoTにおけるレジリエンスとは、物理的なプロセスを安全に維持し、設備の損傷や人的被害を回避し、生産を維持または安全に停止させることを意味します。これらは、インシデント発生中にその場しのぎで対応するのではなく、事前に設計・訓練しておく必要がある能力です。
提言 4:可能な箇所にはパッチを適用する。それが不可能な箇所では、リスクへのさらされ方を軽減する
CISOは、脆弱性の数が今後増加し、攻撃者が弱点を有効な攻撃経路へと転換するスピードがさらに速くなることを想定すべきである。
IoT に関しては、「すべてを迅速にパッチ適用する」という答えでは不十分です。パッチ適用は依然として重要ですが、多くの資産については、迅速かつ安全に、あるいはそもそもパッチを適用することが不可能な場合があります。 より現実的な目標は、攻撃への露出を低減することです。具体的には、不要な接続を排除し、アクセス経路を制限し、リモートアクセスを強化し、未使用のサービスを停止し、ID管理を徹底し、ファイアウォールポリシーを検証し、OT 削減し、横方向の移動を防止することです。パッチ適用が可能な場合は、リスクベースのアプローチを採用してください。つまり、今日においてエッジデバイスの迅速なパッチ適用は極めて重要ですが、プラントの奥深くにあるPLCへのパッチ適用はそうではありません。
重要な問いは、「我々は脆弱性を持っているか?」ということだけでなく、「攻撃者がその脆弱なシステムに到達し、それを悪用し、そこから別のシステムへ移動したり、あるいはそれを利用して業務に影響を与えたりすることができるか?」ということでもあります。
IoT :IT分野では、脆弱性管理は多くの場合、スキャンやパッチ適用に関するSLAから始まります。一方、IoTでは、まず、脆弱性のある資産にアクセス可能かどうか、それが重要なプロセスを支えているかどうか、そしてパッチ適用が遅れた場合に安全な代替対策が存在するかどうかが検討されます。
提言 5:パッチを適用できないものへのアクセスを制限する
最先端のAIによって脆弱性の発見やエクスプロイトの開発が加速するにつれ、CISOは、パッチが利用できない、テストされていない、提供が遅れている、あるいは運用上のリスクを伴うといった状況がさらに増えることを想定しておくべきである。
勧告4の帰結として、セグメンテーションと隔離は、単なる予備策ではなく、主要な対策として扱われるべきである。これには、産業用DMZ、ゾーンおよびコンデュイット、マイクロセグメンテーション、厳格に管理されたリモートアクセスパス、ファイアウォールポリシーの検証、厳格なアウトバウンド制御、および影響度が最も高い環境における一方向通信パターンなどが含まれる。
セグメンテーションにより、時間を稼ぎ、影響範囲を限定し、脆弱性が企業全体やサイト全体に及ぶ事態になるのを防ぐことができます。
IoT :IT分野では、セグメンテーションは多くの場合、パッチが適用されるまでの時間を稼ぐ手段として用いられます。一方、IoTでは、セグメンテーションは、数か月、数年、あるいは永久にパッチを適用できないシステムに対する、持続的なリスク対策となる場合があります。
提言 6:行動分析およびプロトコル認識型検知を、IoT の中核に据える
AIを活用した攻撃者は、シグネチャベースの防御が対応できる速度を上回るペースで、ツールを適応させ、ペイロードを改変し、行動を加速させていくことになるだろう。
CISOは、産業用プロトコル、デバイスの動作、エンジニアリングのワークフロー、通常の通信パターン、リモートアクセスの動作、ファームウェアの変更、コマンドシーケンス、ラテラルムーブメント、およびワイヤレス通信を把握できる、IoT検知機能に投資すべきである。
これは、組織が迅速にパッチを適用できない場合に特に重要です。防御担当者が脆弱性を直ちに解消できない場合、運用上の影響が生じる前に、その脆弱性を悪用しようとする試みを検知し、攻撃の連鎖を断ち切ることができなければなりません。
IoT :IT分野では、多くの場合、エンドポイントエージェント、EDRのテレメトリ、ID信号、クラウドログを活用できます。一方、IoT 、そのデバイス専用に設計されたものでない限りエージェントを実行できず、また、変更を加えることも、エンドポイント制御を受け入れることもできません。ネットワークベースでプロトコルを認識する監視は、どのコードに脆弱性があるかに関わらず機能する、唯一の実用的な制御手段であることがよくあります。
提言 7:リモートアクセス、ID、およびサードパーティとの接続を厳重に管理し、デフォルトの認証情報を変更する
最先端AIの兵器化により、OT IoT へのあらゆる脆弱な侵入経路の価値が高まる。
CISOは、ベンダーのアクセス権、リモートメンテナンス、VPN、ジャンプホスト、共有認証情報、休眠アカウント、エンジニア用ワークステーション、外部委託業者のアクセス権、サービスアカウント、クラウド接続デバイス、管理対象外のノートPC、公開されている管理インターフェース、およびデフォルトの認証情報を再評価すべきである。
その目的は、単にユーザーを認証することだけではありません。ユーザーがアクセスできる対象、実行できる操作、その実行可能なタイミング、セッションの監視方法、そしてその活動が運用上の状況に適しているかどうかを管理することにあります。
IoT :IT分野では、アイデンティティはしばしば「新たな境界」と表現されます。一方、IoTにおいては、アイデンティティは必要条件ではありますが、それだけでは不十分です。アクセスは、運用ゾーン、デバイスの役割、ベンダーの目的、エンジニアリングのワークフロー、およびプロセスのリスクによって制限されなければなりません。
提言 8:IoT 管理を、OEMへの依存関係、停止可能期間、および運用リスクに組み込む
CISOは、産業用およびネットワーク接続された運用環境の現実を反映した、OT脆弱性対応体制を構築すべきである。
これは、一度に大規模な組織変革を行う必要はありません。セキュリティ、OT 、インフラ、エンジニアリング、調達、および主要サプライヤーにわたる恒常的な運用リズムとして開始することができます。その目的は、悪用可能性、到達可能性、物理的な影響、パッチの入手可能性、OEMによる検証、停止可能期間、および代替対策に基づいて、新たな脆弱性を優先順位付けすることです。
また、この機能では、OEMやサプライヤーとの明確なエスカレーション手順を確立すべきである。企業は、重大な脆弱性が運用環境に影響を及ぼした場合、適時の情報開示、ソフトウェアおよびファームウェアの透明性、セキュアな開発への取り組み、パッチ適用に関するガイダンス、代替対策に関するガイダンス、および明確なサポート義務を要求すべきである。
IoT :ITの脆弱性対策では、自動化やパッチ適用効率に重点が置かれることが多い。一方、IoT 対策では、安全性の審査、生産スケジュール、OEMへの依存関係、メンテナンス期間、および運用リスクを総合的に考慮しなければならない。
提言 9:AIを防御的に活用する一方で、OT安全策を講じる
防御担当者は、AIを活用して、アドバイザリの優先順位付け、エクスポージャー分析、脆弱性の相関分析、検知手法の構築、インシデントへの備え、設定レビュー、脅威ハンティング、およびレポート作成を迅速化すべきである。
組織が法的なアクセス権と技術的能力を有している場合、AIは、デジタルツインやステージング環境を対象としたファームウェア分析、バイナリ分析、ラボテスト、レッドチーム演習も支援することができます。これにより、防御側は、脆弱なコンポーネントがどこに存在する可能性があるか、また攻撃者がIT、IoT OTにわたってどのように脆弱性を連鎖させようとするかを把握するのに役立ちます。
しかし、CISOは、本番OT 自律的なAI駆動型の動作については慎重であるべきです。厳格なガバナンスが施されない限り、自動化された封じ込め措置、設定変更、パッチの適用、あるいは制御システムの動作は、安全性や可用性に関するリスクをもたらす可能性があります。
現実的なアプローチは、人間による監督下でのAI活用です。つまり、AIを活用して意思決定の支援、分析、準備を加速させるものであり、運用システムに対して人間の監督なしに変更を加えるためのものではありません。
IoT :IT分野では、自動化された反応は多くの場合、元に戻したり、影響を封じ込めたりすることができます。一方、IoTでは、誤った自動化された動作が生産を中断させたり、安全性に影響を与えたり、設備を損傷させたり、連鎖的な運用上の影響を引き起こしたりする可能性があります。
提言 10:事前に承認された封じ込め措置と意思決定権限を整備し、エクスプロイトの集中攻撃に備える
CISOは、最先端のAIによって、エクスプロイト・ストームが発生するシナリオがより頻繁になることを想定すべきである。具体的には、情報の急速な公開、エクスプロイトの迅速な生成、即時の標的化、そして防御措置のタイムラインの短縮などが挙げられる。
危機発生時にその場しのぎの対応は許されません。組織は、必要となる前に、封じ込め措置を事前に承認しておく必要があります。どのリモートアクセス経路を直ちに無効化できるか?どのゾーンを隔離できるか?どの通信経路を遮断できるか?どのシステムをオフラインにできるか?どの措置には運用上の承認が必要か?どの経営幹部に報告すべきか?どのサプライヤーに連絡しなければならないか?
CISOは、取締役会や経営陣に対しても、運用面からの説明を行うべきです。そのメッセージは、「すべてのパッチをより迅速に適用します」といったものであってはなりません。IoT 、次のようなものです。「何が最も重要かを把握しており、リスクの所在を理解しています。攻撃経路を縮小し、異常な動作を検知できる体制を整えています。また、事前に承認済みの封じ込め策を用意しており、最も重要なシステムに対する復旧計画も策定しています。」
IoT :ITインシデントへの対応では、多くの場合、迅速な封じ込めが前提となります。一方、IoT 、封じ込めと、安全性、稼働時間、プロセスの完全性、および物理的な影響とのバランスをとらなければなりません。そのため、インシデント発生前に意思決定権限を明確に定めておく必要があります。
CISO、CIO、および取締役会に向けた戦略的メッセージ
最先端AIの軍事利用は、サイバーリスクの展開の様相を一変させる。しかし、IoT の基本原則は変わらない。
この新しい時代に最も適した組織とは、AIを大々的に謳っている組織ではありません。それは、自社の運用資産を把握し、リスクを認識し、アクセス経路を管理し、重要な環境を区分し、異常な挙動を検知し、運用上の影響度に応じて優先順位を付け、OEMと効果的に連携し、パッチ適用が迅速に行えない状況でも回復力を維持できる組織です。
OT IoT において、成功への戦略は単に修復を迅速化することだけではありません。それは、状況の把握を迅速化し、リスクの露出を迅速に低減し、感染拡大を迅速に封じ込め、運用上のレジリエンスを高めることにあります。
