重要インフラ、産業部門、ハイパーコネクテッド施設など、物理的なダウンタイムをほとんど許容しないオペレーションは、サイバー攻撃の格好の標的であることが広く認識されるようになった。10年前、運用技術(OT )や産業制御システム(ICS)向けの侵入・異常検知ツールは黎明期にあった。今日、OT サイバーセキュリティ市場は新たな形で拡大し、成熟しつつある。
歴史的に、「概念実証」とは、産業およびプロセス制御環境に導入されたソフトウェアが、それが保護しようとするシステムやネットワークを破壊しないことを保証することを意味した。今日、「概念実証」とは、OT/ICSシステムおよびITとIoT の統合、効率的なパートナーシップと市場投入戦略、多くの部門にまたがる水平的なアプリケーションについて、より深く、より徹底的な理解を実証するための、ビジネスにおけるベスト同士の模擬試験であることが多い。ITとOT は実質的に異なる分野であり、優先順位も異なっているにもかかわらず、従来ITにサービスを提供してきたいくつかのサイバーセキュリティ企業が、すでにOT サイバーセキュリティ市場に参入している。市場分析では大きなブームが予測されており、市場のリーダーたちは 2023年にはさらに混雑したテーブルにつくことになるだろう。検知、デジタルトランスフォーメーション、運用信頼性、相互運用性、ガバナンス、標準が引き続き需要を牽引する。
2022年から浮かび上がったテーマがあるとすれば、OT サイバーセキュリティのための信頼と検証は相互に排他的なものではないということだ。
2022年、INCONTROLLERは、産業オペレーションを標的としたサイバー攻撃の潜在的な深刻さを実証した。幸いなことに、この攻撃はインシデントの運用が開始される前に発見されたため、産業オペレーションに特化したサイバーセキュリティソリューションの潜在的な投資対効果を実証することができました。産業用制御システムを標的としたマルウェアによる攻撃は4件目であり、このインシデントでは、ICSベンダーとセキュリティ研究チームの信頼と検証が要求される、非常に機密性の高い対応が行われました。
米国では、Cybersecurity and Infrastructure Security Agency (CISA)が、セクター別のガイドラインを発行すると同時に、産業界との信頼関係を構築し、2022年重要インフラ向けサイバー事故報告法(CIRCIA)のルール策定プロセスなどに関する所有者や事業者の意見を強化している。欧州連合(EU)は、「重要インフラの物理的およびサイバー耐性の両方を強化するための最新かつ包括的な法的枠組み」を提供する2つの新たな義務化を進めている。
イスラエル、ドイツ、シンガポール、オーストラリアをはじめとする世界各国は、信頼と検証の強化を念頭に、サイバーセキュリティへの取り組みを強化し続けている。さらに、ロシアによるウクライナ侵攻は、紛争を支援するためのボランティア「サイバー軍」をクラウドソーシングする省庁の公式活動によって、サイバー作戦における信頼に新たな重点を置くことになった。
ゼロ・トラストは、戦略から応用に至るまで、無数の定義と実装メカニズムによって独自の生命を持つようになった。侵入を前提とした考え方で、今日の脅威の状況を防御するには境界のセキュリティでは不十分であることを認識し、ゼロ・トラストの原則は「滞留時間」と潜在的な影響の深刻さを減らすために不可欠である。
ゼロ・トラストは、ネットワーク・セグメンテーションや最小特権の原則のようなベスト・プラクティスを単に再パッケージ化したものだと言う人もいるかもしれないが、ゼロ・トラストを適切に適用するには、テクノロジーがどのように相互作用し、互いに何を必要としているのか、そして情報への余計なアクセスやシステムのコマンドやコントロールを最小化する方法を研究する必要がある。
保険代理店・ブローカー協議会(CIAB)によると、サイバー保険の保険料は2022年も上昇し、上半期だけで平均28%増加した。2022年の訴訟では、ランサムウェアに感染した際、保険申込書の自己申告欄に記載された多要素認証(MFA)を導入していたことを保険金請求者が確認しなかったため、サイバー保険契約が無効となった。
2022年、NISTはサイバーセキュリティ・サプライチェーン・リスク管理ガイダンスの更新を行い、特に「信頼と信用」を推進要因として強調した。 そして最後に、産業サイバーセキュリティに最も特有なこととして、2022年はOT 、ICSの継続的モニタリングに新たな重点を置いた。NISTは「サイバーセキュリティのイベントを特定し、保護対策の有効性を検証するために監視される情報システムと資産」と定義しており、継続的な監視はサイバーインシデントの検出と予防のための最優先事項である。
2023年の展望は?
SBOM(ソフトウェア部品表)をめぐる今か今かと騒がれていることから、次の前例のない国際的な問題まで、予測を使いこなすのは難しい。OT 、ICSの場合、データが非公開であるか、分散されているか、ペイウォールの向こう側にあることが多いため、予測はさらに難しい。2023年は、潜在的な景気後退がランサムウェアや計画外のダウンタイムや生産ロスの影響を悪化させる可能性がある時期に、サイバーセキュリティへの投資の増加を求める、不可欠な年になることが約束されている。
ガバナンスが新たな前例を作るだろう。
これまでの政府の標準や枠組みは、重要インフラ部門に共通するものに対応するために引き伸ばしたり、特定の部門にとって最も重要なセキュリティ問題を拡大するために圧縮したりする、アコーディオン・アプローチをとってきた。新たな方向性を打ち出し、産業界の関与を強化することで、重要インフラ・セキュリティ・コミュニティ全体の状況認識、信頼、決意が高まるだろう。米国政府は、資産の発見と脆弱性の列挙に焦点を当てた連邦拘束力のある業務指令を展開し、実施支援と独自のツールセットを提供するなど、「金に糸目をつけない」姿勢を見せている。
CIRCIA法案に加え、2023年には、最近デビューした2つのCISAプログラムの成果を迎えることになる。CyberSentryプログラムは、既知の脅威と侵害の指標について重要インフラ・ネットワークを監視し、新しくリリースされたRedEyeツールは、「攻撃フレームワーク(Cobalt Strikeなど)からのログを解析する」ために開発され、複雑なデータをより消化しやすい形式で提示する。どちらも、OT および ICS インシデントを理解するための間口を広げ、信頼と検証を強化するためのメカニズムをさらに構築する。
情報共有はより有意義なものになるだろう。
情報の集約には消極的だが、有意義な情報共有には、早期警戒データをリアルタイムで共有するためのベンダーにとらわれない仕組みが必要である。脅威の状況に関して言えば、競合するマーケットリーダーから提供される脅威や脆弱性に関する調査を標準化し、相関させる方法はない。情報共有は信頼と検証を欠き、部門別、民間部門別、政府機関別のメカニズムにサイロ化され、コンセンサスのない単一の情報源となっている。
共通点があろうとも、OT/ICSシステムに対する攻撃は2つとして全く同じものはなく、自動化された対応と修復を困難にしている。残念なことに、この現実は、シグネチャ、検出、そして脅威を発見するための完全なインテリジェンスが共有される前に、すべてのオペレーションや施設が他の組織が被害に遭うのを待たなければならないことを意味する。この領域における情報共有のソリューションは、2023年には、より包括的で創造的かつプロアクティブな情報共有方法へとシフトし始めるだろう。
革新的な分析が、OT サイバーセキュリティソリューションを際立たせる。
信頼と検証を伴う状況認識能力の革新が、OT サイバーセキュリティの未来をリードする。多くの組織では、データを収集・保存するツールはあっても、ミッションを強化するためにデータを分析することはできない。単にデータのリームを持って保存するだけでは、リスクの軽減には特に役立たない。OT 、ICSのために構築されたソリューションは、セキュリティギャップを修正し、セキュリティ管理を改善し続けるだろう。
ネットワーク運用のための行動分析と異常検知は、threat intelligence と全体的なセキュリティ態勢を強化することができる。異常検知は、通常の通信パターンからの逸脱だけでなく、センサーの読み取り値やフロー・パラメータのようなプロセス内の変数についても警告を発することができる。このプロセス・データを通信データと相関させることで、セキュリティ手順に情報を提供し、全体的なリスクを低減するための実用的なインテリジェンスを提供することができる。
領収書
Nozomi Networks -主催のSANSの2022年以降のICS/OT サイバーセキュリティの状況に関する報告書では、「重要インフラ・ネットワークにおける敵対者は、制御システム・コンポーネント、産業プロトコル、エンジニアリング・オペレーションに関する知識を示している」と言及している。OT/ICS のインシデントに関する他の報告では、敵対者が「OT ドメインに不慣れ」であることを挙げている。2023 年は、敵対者が重要セクターのOT と ICS システムを監視・修正する能力の向上を示す年になるかもしれない。
世界中で、政府、官民パートナーシップ、保険業者、国際関係は、産業部門やハイパーコネクテッド施設全体で重要インフラを保護し、レジリエンスを構築することの重要性について寡黙である。OT OT 、物理的安全性、環境への影響、商品、サービス、資源の提供、ミクロ経済、マクロ経済に関わるサイバーセキュリティの利害関係者は、2023年には皆「領収書を見せろ」と言うようになるだろう。
