セキュリティ・オペレーション・センター(SOC)はネットワークの中枢であり、トラフィック、デバイス、異常、およびアラートを監視して、アナリストがインシデントを調査、緩和し、問題を修復できるようにします。社内であれ、マネージド・セキュリティ・サービス・プロバイダ(MSSP)であれ、このチームはセキュリティ・アナリストとエンジニアで構成され、業界や政府の規制へのコンプライアンスを確保しながら、重要な資産と運用を保護します。
従来のSOCはITネットワークにのみ焦点を当てていました。CISOが企業リスクの管理責任を担うようになるにつれ、ICSセキュリティを既存のSOCに統合することが一般的になりつつある。SANS 2024OT Surveyによると、回答組織の62.7%がSOCを設置し、29.6%がITOT OT統合SOCを設置しています。社内にOTSOCがあるのは8.8%に過ぎない。
残念ながら、統合されたSOCというよりは、従来のIT SOCチームがOT 事業部という新たな顧客にサービスを提供するケースが多い。これは、サービス・プロバイダーが顧客を理解していないという教科書的な例であることが多い。大規模な知識移転が必要なのに、そうならないのだ。
ここでは、統合されたSOCを効率的かつ効果的にするための戦略をいくつか紹介する。簡単に言うとOT チームを早期に関与させ、重要なシステムを理解し、運用上の制約を尊重する。
統合ITOT OT SOCのメリット
コンバージドS OCが正しく行われれば、いくつかの利点がある。そのいくつかを紹介しよう:
- より強固なセキュリティITとOT 専門知識とリソースを1つの組織に統合することで、SOCは、両方の環境に固有の特性と脆弱性を考慮したセキュリティへの全体的なアプローチを提供します。
- 効率性の向上:統合されたITOT OT SOCは、ITチームとOT チームの間でインシデントを転送する必要性をなくし、問題解決にかかる時間を短縮することで、検知と対応のプロセスを合理化することができます。
- 可視性の向上:統合されたSOCは、脅威と脆弱性の統一されたビューを提供し、組織のビジネス面と産業面の両方を保護するために必要な完全な状況認識を提供します。
- より良いコラボレーション:ITとOT 専門家を1つのユニットにまとめることで、コンバージドSOCは2つのグループ間のコラボレーションとコミュニケーションを促進します。
異郷の外国人
統合されたSOCは通常、ITサイバーセキュリティに精通したアナリストによって構成されており、OT セキュリティの実践は未知の領域である。産業用サイバーセキュリティは、補償制御がすべてです。多くの場合、できることは、何かが起こったときにそれを検出するために環境を継続的に監視することだけで、すぐに修正したり、まったく修正したりすることはありません。これは従来のITSOCにとっては完全に異質な考え方だ。さらに、産業環境では、常に "最悪の日 "を想定している。何千人もの人々に影響を与えるような大惨事が起こり得るだろうか?平均的なSOCアナリストはそのように考える訓練を受けていない。
インシデントレスポンスに関して言えば、IT チームは、実用的であれば自動化を含む迅速なレスポンスで報われます。ほとんどのITセキュリティ・イベントに対するデフォルトの対応は、即座にブロックすることですが、OT 環境ではそれが正しい対応になることはほとんどありません。ICSネットワークのすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部です。1つのリンクを取り除くと、チェーン全体が壊れてしまう可能性があります。OT 対応は、物理的なプロセスや安全性への潜在的な影響だけでなく、重要性も考慮しなければならない。その結果、プレイブックにはしばしば手動介入が含まれる。
製造現場を歩く
IT/OT 統合SOCの構築は、産業環境のデータをセキュリティ情報イベント管理システム(SIEM)または同様のITセキュリティ・プラットフォームに送り込み、チームが問題を特定できるようにするだけでは十分ではありません。理想的には、SOC にOT サイバーセキュリティの専門家が必要ですが、そのようなスキルセットはまれです。多くのチームは、OT 担当者にITサイバーセキュリティ・スキルを教育するよりも、OT 繊細さについてIT担当者を教育する方が簡単だと考えています。
たとえディープ・パケット・インスペクション(DPI)やラテラル・ムーブメント、高度持続的脅威(APT)のことを知らなくても、ICSを熟知しているプラント・マネージャーやエンジニア、オペレーターと生産現場で時間をかけて話をすることに勝るものはない。その過程でアナリストは、設計上安全でない数十年前のレガシー・デバイスや、アップグレードやパッチを適用しなければならない年間メンテナンス枠の狭い、24時間365日稼動の産業プロセスを間近に見ることになる。
フロアで顔なじみになり、積極的に学ぼうとする姿勢は、ITとOT 文化的な溝を埋めるのに大いに役立つ。外国人旅行者がせめて母国語で「お願いします」「ありがとうございました」と言おうと努力し、時にはフレーズブックを開いてみるように、IT SOCのメンバーが業務環境を理解しようと純粋な関心を示せば、効果的なコラボレーションの扉が開かれる。
ノイズを抑える
アラートチューニングは、ITとOT 間の緊張を和らげ、 OT モニタリングと脅威検出プラットフォームから最大の価値を引き出す最善の方法の1つです。産業環境では、何十種類ものアラートと重大度レベルが存在します。IT SOCのアナリストの注意を引くアラートの多くは、その環境を知っているOT オペレータにとっては単なるノイズに過ぎません。迷惑なアラートを効果的にミュートするプロセス変数固有のしきい値を設定することで、SOCチームは多くの労力を節約できます。産業プロセスのデバイスが時間とともに10パケットをドロップし始めたとしても、それは大した問題ではない。同じプロセスが何百ものパケットをドロップし始めたら、それは調査すべきことだ。
単一のセキュリティ・リスク管理機能を確立する
OT システムを適切に保護するには、ITスキルとOT 知識の両方が必要だ。2017年の時点で、ガートナーは組織がITOT OT統合SOCに移行することを推奨していた:
「継続的に進化する脅威の状況において、単一のセキュリティ・リスク管理機能が確立されていれば、ITとOT両方にわたってこれらの脅威に対処することができる。また、この機能の単一のリーダーは、組織全体のデジタルリスクに対する責任を負うことができます。さらに、ITとOT両方に対応するために、乏しいセキュリティ・リソースを投入できるというメリットもあります。
Gartner, How to Organize Security and Risk Management in ConvergedOT Environment, 2017.
組織がこのアドバイスに耳を傾けるには時間がかかり、SOC統合のペースに関するデータはほとんどない。しかし、統合されたSOCは、企業リスクを管理するための事実上の実施メカニズムである。SOCが機能するためには、SOCスタッフはOTネットワークの機密性と重要性、およびその緩和制約について教育を受けていなければならない。また、ネットワークやデバイスを安全に監視し、なじみのないプロトコルを理解するOTソリューションや、OT threat intelligence、適切なツールを備えていなければなりません。さらに、重要な背景を説明し、安全なインシデント処理について協力できるOT 専門家に積極的に接触しなければなりません。
