.webp)
産業用ネットワークは、脅威要因や悪質なサイバー事件を念頭に置いて構築されたわけではない。新しいビジネス要件に対応するためにIPベースの接続を採用したため、パッチの適用されていないシステムや安全でないプロトコルが数多く存在するのが現状でした。ネットワーク・セグメンテーション "は、しばしば、"考えるまでもない "ガイドラインとして投げかけられるフレーズですが、それは複雑で、多面的で、継続的な活動です。
OT ゾーン・セグメンテーションは、境界の侵害を軽減し、意図的および偶発的なOT 、IoT サイバー・インシデントの拡散を防ぐ効果的な方法である。しかし、効果的なネットワーク・セグメンテーションを実現するには、OT ネットワーク構造を可視化し、どこに脆弱性が潜んでいるかを洞察する必要がある。
セグメンテーションは一枚岩ではなく、万能のベストプラクティスではないことを認識した上で、組織は投資とロードマップの見直しを図る必要があるだろう。このブログでは、防御可能なアーキテクチャを構築し、継続的な監視と検知を実施し、レジリエンスを実証して事業継続性を確保するための、セグメンテーションの原則について解説する。
防御可能なアーキテクチャの構築
ネットワーク・セグメンテーションが重要かつ日常的なベスト・プラクティスと考えられている第一の理由は、組織がより防御力の高いアーキテクチャを構築するのに役立つからである。設計上、ネットワークのセグメンテーションは、ネットワークの重要な部分を他のネットワークから分割する。重要なビジネス・プロセスに使用される運用技術(OT )、産業制御システム(ICS)、モノのインターネット(IoT )は、個別のセキュリティ・ドメインに分割されるべきである。
Networks は、クレデンシャル・アクセスと権限、ポリシーとルールの実施または信頼、あるいは特定のネットワークが日常的に処理するトラフィック量に基づいてセグメント化することもできる。最小限の実行可能なセグメンテーションの 3 つの主な手段は、サブネット、VLAN、および非武装ゾーン(DMZ)である。DMZは、OT/ICSネットワークへのアクセスやトラフィックを認証するための基本的なもので、リモートから、または企業やビジネスネットワークや機能からのアクセスやトラフィックを認証します。
ISA/IEC 62443規格は、ネットワーク・セグメンテーションのより高度な実装のために、ゾーンとコンジットの使用を提案している。規格によると、ゾーンは、重要度や結果などの要因に基づく共通のセキュリティ要件を共有する論理的または物理的資産のグループ化である。一方、コンジットとは、通信に特化した資産のグループ化であり、同じセキュリティ要件を共有するものである。コンジットは、ゾーン間で通信するトンネルを表すのにも使われる。
最後に、ゾーン内およびゾーン間の適切な境界とルール施行のためのファイアウォール設定は、基本的なネットワーク・セグメンテーションのもう一つの重要な要素である。ファイアウォールのルールは、OT と ICS プロトコルが、特定のOT と ICS ネットワークの外側のどこでもブロックされるように指定することができる。また、安全でないリモートアクセスに代わる安全な代替手段を提供し、重要なネットワークにアクセスするための安全なシェルと暗号化認証を確立することもできる。米国国立標準技術研究所(NIST)によると、「ステートフルおよびディープパケットインスペクションデバイスや、OT 環境をサポートするために特別に設計されたデバイスなど、最新のファイアウォールを考慮する必要がある」
↪C_F200D↩。
継続的モニタリングと検出の導入
防御可能なアーキテクチャを構築するための主な要素は、通信トラフィックをリアルタイムまたは大規模に監視または分析することではない。暗号化と安全なプロトコルは、継続的な監視と検知のために考慮すべき注意点である。暗号化と暗号ハッシュは、OT データ・ストレージと通信にできるだけ頻繁に適用されるべきであるが、現実にはこの機能は制限されていることが多い。多くのシステムは、望ましい機能を備えていなかったり、安全でないと考えられるプロトコルに依存していたりする。
侵入防御システムや侵入検知システムは、ネットワーク・セグメンテーションを強化するための強固な追加要素と考えられている。しかし、これらのソリューションでは、ネットワークトラフィック、既知の脆弱性、潜在的な脅威インジケータを完全に可視化することはできません。継続的なモニタリングと検知は、セグメンテーションを強化するためにトラフィックを可視化し、同じ脆弱性を持つデバイス・グループのリスク軽減策として使用することができる。
継続的なモニタリングと検知により、重要なネットワークへの、またはネットワークからの、そしてネットワーク内のトラフィックを、以下のような基準に基づいてナビゲート、ソート、フィルタリング、分析する敏捷性を提供します:
暗号化機能が制限され、安全でないプロトコルが避けられないシステムやネットワークでは、通信やプロセス・アクティビティへの変更を警告する必要がある。ネットワーク・アクティビティがリアルタイムで監視されない場合、資産の状態はほとんど不明であり、脆弱性があろうがなかろうが、日々の機能に必要な可視性がなければ、これらの資産を保護することはできない。
レジリエンスの実証と事業継続性の確保
サイバー攻撃から免れる組織はない。しかし、多くの組織は、影響の深刻さを抑え、業務を魅力的な標的でなくすることに注力している。ランサムウェアのギャングであるLockerGogaが世界最大のアルミニウムメーカーを襲ったとき、この組織はコンピュータシステムをオフラインにし、手作業に切り替えることを余儀なくされた。この悪質なフィッシング攻撃は、コストのかかる停止と予期せぬ生産停止につながりました。
レジリエンスは、戦略の策定とポリシーの実施において示される。レジリエンスを実証するための戦略の 1 つは、OT と ICS ネットワーク全体で可能な限りゼロトラスト戦略を実施することである。米国国家安全保障局によると、ゼロトラスト・モデルは、システム、ネットワーク、およびユーザー間の固有で検証されていない信頼の量を制限することを目指すべきである。この複雑で相互依存的なセクターのサイバーセキュリティを向上させるために、ゼロトラスト・アプローチは、防御可能なアーキテクチャのますます魅力的な要素になりつつある。
ゼロトラストは、情報システムにおいて正確で最小特権のリクエストごとのアクセス決定を実施する際の不確実性を最小化するように設計された概念とアイデアのコレクションを提供する可能性がありますが、そのメンテナンスにより、平均修復時間(MTTR)を短縮することができます。アクセス・ポリシーが上記のセグメンテーション、トラフィック・ルール、および境界を実施する場合、診断、トラブルシューティング、および根本原因の分析が最適化され、ビジネスの継続性が保証されます。
結論
サイバーインシデントがITサイドで発生したか、OT サイドで意図的または偶発的に持ち込まれたかにかかわらず、ITとOT の境界を隔てる単一のファイアウォールでは十分ではない。組織には、防御可能なアーキテクチャー、モニタリング、およびレジリエンスという基本を重視しつつも、より洗練された全体的なOT サイバーセキュリティプログラムが必要である。
効果的なOT ネットワークのセグメンテーションがなければ、ランサムウェアやその他のサイバー脅威は容易に組織内を横方向に移動し、重要な資産やネットワークを危険にさらすことができる。継続的な監視と検知がなければ、脅威行為者や犯罪集団は、システムやネットワークへの永続的なアクセスを確立し、意のままに悪用することができる。王冠の宝石から役員室に至るまでレジリエンスを構築するための影響分析がなければ、サイバーインシデントはビジネスの混乱とダウンタイムをもたらし続ける。
ソリューション
Nozomi Networks プラットフォームは、OT/IoT ネットワークリスクの迅速な特定、脆弱性の評価、対応の優先順位付けを確実にします。また、セキュリティアラート、パッチの欠落など、より詳細なリスク情報により、自動化された脆弱性評価機能も利用できます。さらに、最新の構成データを含むリアルタイムの資産情報により、最新のデバイス構成の詳細が提供されます。
Nozomi Networks は、重要なプロセスのモニタリングを通じてお客様の環境に関する深い知識を提供し、さらにAI/ML技術を活用して、観察された異常と根本原因分析を関連付けることができます。これにより、何が起きているのかを理解し、それがなぜ起きているのかを説明し、最適な対応策を提案することができます。
当社のソリューションがどのようにOT ネットワーク・セグメンテーション戦略をサポートしているかについては、以下のビデオをご覧ください。
