Spotifyに包まれたトレンドと分析を振り返り、未知の未来を予言する季節がやってきた。IoT は世界を征服するのか?AI対応SBOMは特効薬なのか?OT 継続的ネットワーク監視は誇大広告に値するのか?産業用サイバーセキュリティは、オペレーショナル・リスク(接続されたプロセスや機能に対する視界の喪失や制御の喪失を引き起こす可能性があり、視界や制御が自動的または遠隔操作から回復できない状況)を軽減することに集約される。
昨年の産業用セキュリティの主要テーマは、「OT サイバーセキュリティのための信頼と検証は相互に排他的なものではない」というものだった。ハネウェルとロックウェル・オートメーションによる最近のSCADAfenceとVerve Industrialの買収は、このテーマをさらに強調している。それ以来、ガバナンスは新たな前例となり、情報共有はセキュリティプログラムの前座の役割を担うようになり、革新的な分析はOT サイバーセキュリティソリューションを際立たせ続けている。
しかし、プロセスや生産に影響を与える可能性のあるランサムウェアキャンペーンを除けば、産業用制御システム環境全体で同一の攻撃経路はまだほとんどありません。このことを念頭に置いて、2023年のSANS ICS/OT 調査では、OT/制御システムインシデントの最初のアクセスベクターの上位が残っていることを指摘しています:
- ITにおける妥協
- エンジニアリング・ワークステーションの妥協
- 外部リモートサービス
- 一般向けアプリケーションの悪用
- ドライブバイダによる侵害 スピアフィッシングによる添付ファイル
産業用制御システムを狙う敵は、「より安価に導入でき、成功率が高く、検知がより困難で、より迅速な産業界の対応を必要とし、安全性やエンジニアリングに直接的な影響を与える」、土地に住み着かない攻撃を展開し続けている。土地を離れて生活するためには、その土地を知る必要がある。その土地を守るためには、敵よりもその土地をよく知らなければならない。
このような現実を踏まえ、このブログでは、産業用サイバーセキュリティの3つの新たなトレンドを解明し、今後1年間の3つの予測を探る。
トレンド視認性は懐中電灯以上
可視性と継続的なモニタリングは、OT セキュリティ投資と意思決定をリードし続けている。ネットワークと資産の可視性とは、ネットワーク上のノードを識別する能力以上のものです。資産の仕様と構成を文書化し、レガシーデバイスとクラウンジュエル資産を区別し、運用リスクに基づいてリスクに優先順位をつけることが最も重要です。資産を数え、分類するだけでなく、産業用プロトコルとそのユースケースを理解することが非常に重要です。可視性はセキュリティの基盤となる。それがなければ、悪意があろうとなかろうと、あらゆる混乱の根本原因を調査することは難しいでしょう。
トレンドアタックサーフェス管理はフルコートプレス
ゼロ・トラスト、Defense in depth(深層防御)、Compensating Control(代償制御)などはすべて、境界を越えてセキュリティを拡張するものであり、防御者はネットワーク、システム、デバイス全体で敵対的な行動を予測し、カバーしなければならない。そのためには、防御可能なアーキテクチャの構築とそのアーキテクチャの防御、正確なネットワーク・セグメンテーション、可視化とモニタリング、強固なインシデントレスポンス計画が必要となる。同時に、防御者は「どこかですでに侵害が起きている」「特定の条件下ではいくつかのコントロールが機能しない」という2つの前提で活動しなければならない。
トレンドサプライチェーンの複雑さがリスクを悪化させる
設計から製造、流通、使用、メンテナンスに至るまで、各製品のライフサイクルは、組織のリスク許容度や最終的な平均復旧時間(MTTR)に影響を与える。IT/OT 相互運用性は、サプライチェーンの上流と下流の両方のリスクを悪化させる。ベンダーのシステムやサービスに対するハードウェアやソフトウェアの潜在的な妥協は、ダウンタイムをほとんど許容しない異種制御システムの複雑性を悪化させる。サプライチェーンの妥協は、システムまたはコンポーネントのユビキタスな使用、システムまたはコンポーネントへの重要な相互依存、またはジャストインタイムプロセスのいずれかにより、壊滅的なものとなる可能性がある。
予測クラウド導入の増加
クラウドの導入は10年来のトレンドではあるが、かつての必然はここにある。特定のプロセスをクラウドシステムに移行することのリスクとリターンを分析すると、スケーラビリティ、柔軟なサービス、コストと時間の最適化、ストレージ容量など、ますますリターンの方が有利になっている。データ主権、規制上の制限、サードパーティの認証と証明、共有サービスといったハードルは、クラウドにおけるセキュリティの再構築がより理解されるにつれて小さくなっている。新たなアクセスや攻撃ベクトルが出現する可能性のあるクラウドの導入は、セキュリティ製品の動作分析がネットワークトラフィックを日常的に分析し、良性のネットワーク・イベントと重大なセキュリティ・インシデントを判断・分類することで一歩前進する。
予測:OT 労働力と人材の成長
政府の規制、標準的なコンプライアンス、戦略、ロードマップが網の目のように張り巡らされる中、人工知能は未来の再創造を約束している。AIは特定のセキュリティ対策を強化するものの、産業用サイバーセキュリティにおける労働力と人材のギャップを埋めることはできない。OT-セキュリティに特化した仕事は増えているが、プロトコルや標準に精通していることから、教育、認定、プログラミング言語、さらにはセキュリティ・クリアランス、出張、コミュニケーション・スキルまで、長年の経験が必要とされることが多い。役割としては、上級管理職、技術系システムエンジニアやアナリスト、ペンテスターやスペシャリストのような特定職がある。2024年は、アセット・オーナーやSOCにとって、この分野でのエントリー・レベルのポジションがようやく見られるようになる年になるだろう。
予測敵のエミュレーション活動の活発化
OT 、ICSに対する敵対者のエミュレーションは、従来、セキュリティ専門家やベンダーのテスト能力であった。ICSネットワークを持つ資産所有者や組織の中にはサンドボックス機能を持つものもあるが、侵入テストやパープルチーミングは産業環境にとってはまだ新しい概念である。MITREのGitHubプラットフォームであるCalderaのようなツールは、実務者が自律的な敵対者のエミュレーションと脅威検知のテストと評価を通じてセキュリティ評価を自動化することを可能にするものであり、OT の敵対者のエミュレーションの拡大における重要なマイルストーンである。インシデントレスポンス計画や卓上演習と組み合わせることで、エミュレーションは意味のあるリスク許容度や緩和策の決定につながる。
結論すべてに勝る指標
運用環境にまったく同じものはありません。したがって、2023年11月のガートナー社の「運用テクノロジー・セキュリティのマーケット・ガイド」によると、「運用環境のセキュリティは、キャッチオール市場を超えて、変化する脅威、セキュリティ慣行、ベンダーのダイナミクスをサポートする特定のカテゴリへと進化している」という。何がうまく機能し、何がそうでないかを知るための最良の指標はメトリクスであるにもかかわらず、セキュリティの特定のカテゴリは、おそらく各カテゴリごとに異なるメトリクスにつながる。
変化する脅威に対しては、インテリジェンス、情報共有、脆弱性開示の指標が最も重要である。CISA 勧告、業界組織とグローバル・パートナーシップ、MITRE ATT&CK フレームワーク、ICS Advisory Project、脆弱性スキャンとマッピング機能、セキュリティ研究チームはすべて、メトリクスと教訓を学び、適用する役割を担っている。
セキュリティ対策については、CISAのサイバー・パフォーマンス・ゴール(CPG)がNISTのサイバーセキュリティ・フレームワーク(CSF)にマッピングされ、組織が意図するサイバーセキュリティの成果に基づいて標準と対策を選択できるようになっている。外部フレームワークとして、組織が十分に成熟しており、技術的に十分な設備があり、余裕のある管理策を柔軟に選択できる。
ベンダーのダイナミクスについては、前述のSANS ICS/OT の調査によると、ほとんどのICS環境では資産の70~80%が非従来型のオペレーティングシステムを実行している一方、従来型のオペレーティングシステムを実行しているICS資産の20~30%でさえ、ICS脅威の検出、フォレンジックデータソース、および対応技術に関しては違いがあることが明らかになっている。いずれにせよ、資産レベルのICS脅威の検出、フォレンジックデータソース、対応技術は、産業サイバーセキュリティベンダー間で捕捉、分析、比較するための指標を提供する。
サプライチェーンの複雑さ、可視化の必要性、防衛上の優先事項の変化は、投資を相殺するためのクラウド対応技術やサービスの拡大、セキュリティプログラムを成熟させるためのより充実した人材、OT および ICS ネットワークにおける敵の戦術、技術、手順(TTP)をさらに理解するためのエミュレーションの優先事項の予測に効果的につながる。メトリックスを背景に、これからのミッションは、改善、協力、献身が熟したものとなるだろう。
