フレームワークを選択 - 資産の可視性は、OT サイバーセキュリティの基礎です。IEC 62443、NIST SP 800-82r3、またはSANS Five Critical Controls for ICS のいずれに準拠する場合でも、資産のインベントリから始めます。周知のように、見えないものを管理することはできません。リスクを評価し、ネットワークをセグメント化し、脆弱性を管理し、効果的なインシデント対応計画を実施する前に、ネットワーク上に何があり、何と通信しているかを知る必要があります。
これほど基本的なことでありながら、ベンダーによって資産インベントリ管理の意味するところは大きく異なります。この基本的なステップで手を抜くと、サイバーセキュリティ・プログラムの実用的な基盤ではなく、IP アドレスの見栄えの良いデータベースで終わることになりかねません。
この記事では、デバイスの動作と通信に関する深い洞察を提供するOT資産管理ソリューションに何を求めるべきかを説明する。覚えておくべき5つの柱は、センサーの種類、データ収集方法、DPIとプロトコルのカバレッジ、動作のベースライン化、asset intelligenceだ。これらのどれかを犠牲にすれば、完全な可視性は得られません。
1.端点対Air センサー
環境内のあらゆる資産を発見し識別するには、従来のネットワーク・センサーだけでなく、さまざまなセンサーが必要です。これらのセンサーの種類はそれぞれ、産業用プロトコルを読み取り、無停止で動作するよう、OT環境向けに設計されている必要があります。
パッシブ・ディスカバリ技術に頼るだけでは、サイバーと運用の両面で高度化・頻度化する産業界の脅威に対応することはできない。完全な可視性が回復力の基礎であるとの理解が深まるにつれ、産業用ネットワークでは能動的な発見が標準になりつつある。
ネットワーク・センサーとリモート・コレクター
ネットワークセンサーとリモートコレクターは、継続的な監視と脅威・異常検知のためにネットワークデータを受動的に収集、分析、可視化します。Guardian ネットワークセンサーは、デバイスを特定し活動を監視するために、エージェントや問い合わせなしでローカルトラフィックを監視します。小型で低リソースのリモートコレクターは、Guardian センサーと連携し、ネットワークセンサーがコスト効率や実用的でない、荒野や海上、その他の遠隔地や分散した場所(変電所など)など、到達が困難な場所や無人の場所からデータを収集します。これらのセンサーは、ラックマウントハードウェア、頑丈なハードウェア、バーチャル、ポータブル、コンテナ型など、様々なフォームファクターがあります。
ワイヤレスセンサー
産業および重要インフラ環境における無線接続デバイスの爆発的増加により、攻撃対象が大幅に増加している。多くの無線デバイスは安全でないプロトコルを使用しているが、Nozomi Networks Labsの研究者は最近、無線ネットワークの大半が認証解除攻撃にさらされていることを発見した。
Wi-FiとBluetoothに加えて、プロセス制御ネットワークは、低消費電力でセンサーとコントローラ間の信頼性の高い通信を促進するように設計された特殊な無線プロトコルに依存しています。これらのプロトコルは、システムの運用と監視の両方を可能にするデータの収集、連結、送信において重要な役割を果たします。 Nozomi Guardian Airは、Wi-FiやBluetoothだけでなく、Zigbee、LoRaWAN、Drone RFなど、OTIoT OT環境で頻繁に使用される無線プロトコルを検出するように設計された初の無線センサーです。
エンドポイントセンサー
ITセキュリティにおいて、エンドポイントエージェントは、アンチウイルス保護とパッチ適用のためにどこにでもある。残念なことに、ITに特化したエージェントをOT デバイスに導入した否定的な経験から、産業環境において必要とされるエンドポイント・モニタリングの導入はほとんど行われていない。これは同様に危険である。従来のICSネットワーク・モニタリング・ソリューションは、パデュー・レベルやファイアウォール間の南北トラフィックを監視していたが、ゾーン内のデバイス間、特にパデュー・レベルの低いデバイス間の東西通信は、長い間盲点となっていた。さらに、エンドポイント・モニタリングは、内部脅威を検出するためにユーザーのアクティビティとイベントを関連付ける唯一の方法です。
Nozomi Arcは、IoT OTプロトコルを理解し、ホストオペレーティングシステムのカーネルレベルで動作しない、Windows、Linux、MacOS用の軽量で無停止のセキュリティエージェントです。
エンドポイント組み込みセンサー
前述のように、パデューのレベル1と0における東西トラフィックの可視性は、PLCとそのバックプレーン通信を含め、通常ブラックホールとなっている。しかし、パデューの下位レベルで障害が発生すれば、生産に直接影響を与える可能性がある。三菱電機と共同で開発されたArc Embeddedの最初のバージョンは、MELSECiQファミリーのPLCで利用可能で、さらに多くのOEMデバイスが開発中です。これらのPLCと、それらが制御するフィールド資産に対して、パデューレベル0に至るまで、これまでにない可視性を提供します。
資産データ収集の3つのアプローチ
パッシブディスカバリー技術に頼るだけでは、サイバーと運用の両面で高度化・頻度化する産業界の脅威に対応することはできません。Nozomi Networks 、パッシブとアクティブの検知技術を組み合わせ、セキュリティスタックの他の部分に保存されているデータを統合する能力を備えています。
パッシブ・ディスカバリーネットワーク・センサーとリモート・コレクター
ネットワーク・センサーによるパッシブ・ディスカバリーは、アクティブ・スキャンやプロービング技術が不適切なOT資産ディスカバリーの標準として長い間使われてきた。これは、デバイスと直接やり取りすることなく、ネットワーク・トラフィックを監視することで機能します。ネットワークスイッチがトラフィックパターンを観察することを想像してみてください。Guardian ネットワークセンサーは、リモートコレクターと共にパッシブディスカバリーの主力となります。ネットワークを継続的に監視し、新たに接続された資産を発見します。
アクティブ・ディスカバリー、またはSmart Polling
パッシブ・ディスカバリーは試行錯誤の末に確立されたものだが、限界がある。サイレント・デバイスやアクティブにデータを送信していないデバイスを検出することはできません。これは、ネットワーク・トラフィックを生成していないにもかかわらず、セキュリティ上の脅威となる休止状態のデバイス、不正な資産、または誤った設定のエンドポイントなど、隠れたリスクが検出されない可能性があることを意味します。
アクティブ・ディスカバリーは、こうした盲点を埋めるものである。完全な可視性がレジリエンスの基礎であるとの理解が深まるにつれ、産業用ネットワークにおいても、可視性が標準となりつつある。
と呼ばれる Smart PollingNozomi Networks プラットフォームでは、アクティブディスカバリーはネットワークをプローブし、ネットワークpingやプロトコル固有のリクエストなど、慎重に作成されたクエリーをデバイスに送信します。これは、システム管理者が接続された資産を積極的にポーリングするようなものだ。「どんなサービスを実行しているか?積極的なクエリによって、通信していないデバイスの詳細も明らかになるが、重要なオペレーションを中断させないよう、慎重に行う必要がある。
サードパーティ・インテグレーション(カタログ・コネクター)
ほとんどのOT環境は数十のテクノロジーソリューションに依存しており、その多くは資産インベントリを充実させるために利用できる貴重なデータを取得している。Nozomi Networks プラットフォームは、Microsoft Active Directory、Microsoft Defender、Ciscoルーターやスイッチ、CrowdStrike、ServiceNow、その他の主要なITセキュリティソリューションなど、既に存在するところから構造化された資産データを引き出すことができるサードパーティコネクターのライブラリーを増やしています。
DPIとプロトコルの適用範囲
データのためのデータは、オペレータやセキュリティ・アナリストに実用的なコンテキストを与えるのではなく、干し草の山に針を深く埋める良い方法です。OTIoT 環境のトラブルシューティングには、ディープ・パケット・インスペクション(DPI)と包括的なプロトコル・カバレッジの組み合わせが必要です。
ディープ・パケット・インスペクション
プロセス変数やフローを可視化することは、異常の早期発見に不可欠です。これは、ModbusやProfibusのような独自の産業用プロトコルを注意深く分析するためにDPIを使用することで初めて実現できます。当社のパッシブセンサーは、DPIを使用してネットワークコンポーネント、接続、トポロジーを自動的に検出し、脅威を明らかにします。
データのためのデータは、オペレータやセキュリティ・アナリストが見ているものを理解するのを助けるどころか、干し草の山に針を深く埋める良い方法だ。
工業用プロトコルの適用範囲
ITシステムは標準プロトコルを使用して通信しますが、OT システムは幅広いプロトコルを使用します。ソリューションがネットワーク・トラフィックと資産間通信を分析できなければ、デバイス・プロファイルは常に不完全なものとなります。資産はプロトコルを介して通信するため、幅広いプロトコルに精通することが資産の挙動を理解する鍵となります。ツールがプロトコルをサポートしていない場合、そのような動作は見えません。
Nozomi Networks プラットフォームは、一般的なものからわかりにくいものまで、何百ものOT、IoT 、ITプロトコルを理解し、常に追加しています。当社のプロトコルソフトウェア開発キット(SDK)を使用することで、新しいプロトコルサポートをオンデマンドで迅速に作成することができます。
行動ベースライン
AIと機械学習は、アセットビヘイビアをベースライン化し、異常を検出するためにも不可欠である。導入後、Nozomi Networks プラットフォームは、プロセスレベルの変数に至るまで、「学習モード」でデバイス通信の監視を開始する。AIを使用して、プロセスの各段階における各デバイスの予想される動作の詳細なプロファイルを作成し、「正常な」動作のベースラインを確立する。保護」モードに切り替えると、プラットフォームは行動分析を使って環境を監視し、設定されたしきい値以下の良性の異常行動をフィルタリングしながら、ベースラインから逸脱した不審なイベントに対して警告を発する。このようにして、資産の挙動は各資産プロファイルの重要な一部となる。
AIを活用したAsset Intelligence
100%に近い精度で、常に最新のインベントリーを提供するためには、コミュニティ・ソーシングを活用する必要があります。サブスクリプションとして提供されるNozomi Networks Asset Intelligence フィードは、高度な行動推論を使用して、データベース内の類似データから不足しているデータを補います。これらの充実したプロファイルにより、チームはデジタル資産のメンテナンスとセキュリティについて、情報に基づいた意思決定を行うことができます。
その結果、資産分類の精度が最大50~70%向上し、脆弱性管理の簡素化と平均応答時間(MTTR)の短縮に貢献する。
当社のAIエンジンは、世界中のさまざまな業種の顧客環境で当社が監視している数百万の資産から学習します。このデータの宝庫は、MACアドレス、構成、プロトコル、販売終了日やサポート終了日などの属性に基づいて、環境間で同一のデバイスに関するギャップを埋めるために使用されます。一致するものが見つかると、それらの属性と動作がデバイス・プロファイルに追加されます。同じデータを使用して既知の挙動を判断し、「新しい」または「異なる」がリスクでない場合を把握することで、良性のアラートの数を減らします。その結果、資産分類の精度が最大50~70%向上し、脆弱性管理の簡素化と平均応答時間(MTTR)の短縮につながります。
サイバーセキュリティの基盤である資産の棚卸をサボらない
産業用および重要なインフラストラクチャー・ネットワークには通常、プロセスを監視・制御するIoT デバイスだけでなく、数百のベンダーによる数千のOT デバイスが含まれています。これらの資産の正確で最新のインベントリを作成し、重要なコンテキスト情報とともにそれらを追跡することは、サイバーと運用の回復力を維持するための基盤です。これを手作業で行うことはできません。
エンドポイント・ツー・エアセンサー、パッシブ/アクティブデータ収集、OTIoT プロトコルサポート、サードパーティIT資産データの組み合わせにより、Nozomi Networks プラットフォームは完全な資産インベントリを提供します。あなたの環境でオンにしてみてください。きっと驚くことでしょう。