ある20人規模の小さな岩石破砕工場が最近、サイバー攻撃を受け、その日の操業を停止した。同社のベルトコンベア制御システムの1つが、オンかオフかを感知できず、ベルトが動き続けていたのです。製品は転がり続け、不運にも10万ドル以上の損害が発生し、予定外の操業停止となりました。
どのような規模の事業であれ、サイバーフィジカル・システムに影響を及ぼすマルウェアや攻撃は、財務と安全性の両方に害を及ぼす可能性がある。
フォーティネットのオペレーショナル・テクノロジー・グローバル・イネーブルメント・ディレクターであるリック・ピーターズ氏は、次のように述べています。「セキュリティについて考えるとき、環境の規模にかかわらず、通常は『透明性の高いものを提供してくれ』というところから始まります。「と、フォーティネットのオペレーショナル・テクノロジー・グローバル・イネーブルメント・ディレクターであるリック・ピーターズは述べています。そのため、並行して動作し、非常に透過的で、必要なインテリジェンスとインサイトを提供するセキュリティシステムが必要とされています。また、何か問題が発生した場合でも、その問題を解決し、主要な機能に関連する環境をクリーンな状態に保つことができるよう、ある程度の制御が必要です。
かつては、物理的セキュリティとサイバーセキュリティは異なる領域であり、全く異なるツールを用いて異なる専門家が対応していた。しかし、エネルギー、製造業、その他の重要インフラ部門がデジタル接続環境へと移行するにつれて、物理的セキュリティとサイバーセキュリティの関係は緊密化している。最近の物理的資産はインターネットに対応しており、OT 、セキュリティの侵入を防ぐために、あらゆる種類の物理的資産をロックダウンする必要がある。
「コンバージェンスという言葉はよく耳にするし、デジタルトランスフォーメーションという言葉もよく耳にする。しかし、そのようなことをすることには結果が伴う。例えば、レガシー・テクノロジーには脆弱性があります。つまり、オペレーション・テクノロジー(OT )は、それ自体がサイバー・フィジカル的な負担を生むのだ。今日では、サイバー・フィジカルを保護する必要がある。"
増大するOT /IoT 攻撃サーフェスの保護
産業用モノのインターネット(IIoT)の時代には、従来はインターネットに接続されていなかったデバイスがすべて接続され、通信できるようになっている。これには、CCTVカメラ、ドアロック、カードリーダー、産業用オートメーション・制御システム(IACS)などが含まれます。
「これは、OT の伝統的な企業を超えるものです」とピータースは言う。「運用技術や重要なインフラに焦点を当てているのであれば、パデュー・モデルに基づく、よく理解されたインフラの枠組みを反映しているという点で幸運だった。攻撃対象が拡大することは、非常に正当な懸念です。あなたのビジネスや家庭にアクセスするためのビデオやオーディオ機能を備えたデバイスが、適切に管理され、競合他社やハッカーのような誰かの利益のために使われていないことを、あなたはどうやって知ることができますか?
よく知られた古典的なサイバーフィジカル攻撃のひとつに、2016年のMiraiボットネットがある。このボットネットは、安全でないIoT のデバイスを利用し、開発者がインターネットの大きなブロックをスキャンしてオープンなTelnetポートを探すというものだ。そして、これらのデバイスの一般的なデフォルトのユーザー名とパスワードの組み合わせを使ってログインを試みた。その結果、ボットネット開発者は、閉回路テレビカメラとルーターの膨大なコレクションを危険にさらすことができた。
"Mirai攻撃は、OT 、IoT デバイスの脆弱性を示す完璧な例である。製造企業は、これまでセキュリティ・リスクと考えられていなかったIoT 要素を通じて、危険にさらされる可能性がある。製造業者は、カメラやドアのロックなど、現在接続されている業務内のすべての物理的コンポーネントのようなデバイスもサイバーセキュアであることを確認しなければならない。
フォーティネット、オペレーショナル・テクノロジー・グローバル・イネーブルメント・ディレクター、リック・ピーターズ氏
能力と技術
セキュリティ専門家は、拡大する攻撃対象領域を保護・防御するための能力と技術を必要としている。
「可視化、コントロール、自動化された認識について話すとき、物理的資産についての考え方を外挿することができる。そうでなければ、連鎖の弱いリンクになってしまいます。SCADAレベルでは多大な投資をしているかもしれませんし、制御を達成するために広範なセグメンテーションを導入しているかもしれません。しかし、物理的なプラントとなると、OT 、IoT デバイスの拡散に十分な注意を払っていないために、セキュリティブランケットに穴が開いてしまうのです」とピーターズ氏は言う。
単純化しすぎるかもしれないが、玄関のドアを守るために大きな投資をしておきながら、窓を大きく開けっ放しにしておくようなものだ。
そこで重要になるのが可視化だ。ネットワーク上で何が起きているかを実際に確認できるセキュリティソリューションを統合することが重要です。不正侵入者、プロセスの異常、物理的なセキュリティ・デバイスを経由してネットワークに侵入しようとする攻撃者など、ネットワークの可視性は強力な防御のもう1つのラインとなります。
「可視性とは単なる検出ではなく、デバイスを理解し、特徴付けることです」とピータースは言う。「私の環境に導入されるデバイスが信頼できることを継続的に確認することが可能です。なぜなら、すべての要素が、私が保護する必要があるものへのアクセスを提供するからです」。
Nozomi Networks およびフォーティネットは、OT 、IoT および IT 全体にわたる可視性のロックを解除します。
ダイナミックな環境では、セキュリティ・チームがネットワークのあらゆる変化に気を取られることなく、重要なインシデントに集中できるようなソリューションが必要です。通信デバイスの爆発的な増加を考えると、ネットワーク上の各コンポーネント間の可視性を相関させ、注意が必要な「本当の」異常を特定できるようにすることが不可欠です。
2月、Nozomi Networks はバージョン20をリリースし、OT およびIoT の可視性とセキュリティの「規模に応じた」ジレンマに対処しました。当社のエンジニアリング・チームは、OT ネットワークとそれ以外のネットワークに可視性と検出を提供する新しい手段を生み出しました。その結果、OT およびIoT のアセットをより迅速に特定し、シグネチャ・ベースとビヘイビア・ベースの両方の異常を、より正確で精度の高いアラートで検出する、画期的なIoT 異常検出機能が実現しました。
高精度のOT 、IoT 、ITデバイスの動作監視と異常検知、すなわち誤検知と誤検知を最小限に抑えることに加え、v20は動的環境における正確な資産識別を提供し、IPアドレスが変更された場合でも、永続的な資産認識を実現します。
フォーティネットとNozomi Networks の統合によって提供されるインテリジェンスとエンフォースメントを組み合わせることで、死角がなくなり、現在利用可能な最も包括的なIT/OT ネットワークの可視化とセキュリティソリューションの1つが提供されます。フォーティネットとNozomi Networks の統合ソリューションのより良い連携セットについては、以前のブログ「Speeding IT Visibility intoOT: New Integrations with Fortinet」をご覧ください。
v20 およびNozomi Networks とフォーティネットが提供する統合価値の詳細については、弊社までお問い合わせください。
