御社のICSリスクに対する認識は、他の組織と比較してどうですか?他の資産所有者は、OT システムと外部システムの境界をどのように定義しているか?御社のICSセキュリティの障害は、他の組織と比べてどうですか?また、OT/ITコンバージェンスの管理に関して、貴社はどのようなランクにありますか?
自分の立ち位置を知りたいという方に朗報です。SANS Instituteが、これらすべての疑問に答える新しいサイバーセキュリティ・リサーチを発表したのだ。これは、産業界のサイバー・セキュリティの現状に関する数少ない確かなデータ源であり、無料で入手できます。
数百の業界団体から寄せられた意見に基づき、上記の問題を取り上げ、2019年の立ち位置を確認してみよう。
リスクレベルの認識は高く、コネクテッド・システムが攻撃対象領域を拡大している
338人の調査回答者*のうち、50%強が、組織の全体的なリスクプロファイルに対するICSサイバーリスクのレベルを、深刻/重大または高いと評価した。これは、2017年に実施された前回調査の69%から減少している。サイバー攻撃やデータ漏洩が増加傾向にあり、ニュースでもよく取り上げられる中、この結果は少し意外に思えるかもしれない。
しかし、Nozomi Networks の現場での経験も、SANS 2019の調査結果も、ICSサイバーセキュリティの実践が成熟しつつあることを示している:
- 69% が過去 1 年間に、OT/制御システムまたはネットワークのセキュリティ監査を実施したことがある。
- 60%が、OT の脅威検知インシデントに対応するために、社内のリソースに積極的に依存するようになり、2017年の23%から増加した。
- 2017年から2019年にかけて、異常活動を検出するまでの時間が短縮された。
これはおそらく、組織が脅威に対処できるという自信を深め、リスクレベルが以前より低く評価される理由になっているのだろう。
しかし同時に、OT システムの安全確保という課題は、攻撃対象領域の拡大とともに拡大している。ICSの境界は、「...他の無数のシステムやプロセスと情報を交換しながら、相互に織り込まれ、相互依存している」ため、より広くなっている。
バウンダリー・チャレンジには、モバイル機器やワイヤレス機器の使用が含まれ、回答者はリスクレベルを低いとした。同報告書では、一部のモバイル・アプリケーションはエンジニアリング・ワークステーションのアプリケーションに取って代わりつつあるため、そのリスクレベルはより高いレベルで扱われるべきであると指摘している。また、センサーネットワークからのデータ転送に無線通信が広く使われるようになっている。これは、攻撃対象領域をさらに拡大し、組織が侵害された場合に深刻な結果を招く可能性がある。
SANSの「Knowing the Boundaries(境界を知る)」と呼ばれる調査セクションに含まれる図表を確認し、外部とのつながりに対する自分の取り組みが他と比べてどうなのかを確認するとよいだろう。
ICSセキュリティの重要な障害:可視性の確保
ICSデバイスとネットワーク活動を明確に可視化することは、強固なサイバーセキュリティプログラムの基本要素である。そして、OT 境界を定義し、安全性を確保する必要性には、境界内のシステム資産を確認し、監視する必要性も含まれる。
SANSの2019年サイバーセキュリティ調査によると、管理システムのサイバー資産に対する可視性を高めることが、今後18カ月間に企業が予算を投じる取り組みのトップである。
実際、産業用制御ネットワーク内の資産を特定する必要性は、多くのNozomi Networks 実装の主要なビジネス・ドライバーである。私たちのチームが概念実証(PoC)を実施する際、産業用オペレーターがネットワークに例えば3,000の資産があると指摘することは珍しくありません。しかし、私たちのテクノロジーがインストールされると、すぐに15,000の資産が特定されます。何千ものインストールを経て、私たちは、認識されている資産数と実際の資産数との間に大きな乖離があることが一般的であることを知っています。
SANS 2019の調査では、資産の棚卸しにおいてどこにギャップがあるのかについての洞察が得られる:
- 回答者の64%は、OT/制御システム内のサーバーとワークステーションの75%以上を特定し、インベントリ化している。
- 回答者の半数以下しか、制御システム機器とソフトウェア・アプリケーションを特定し、インベントリを作成していない。
- 埋め込まれた産業用デバイスの識別は、特に多孔質システムの境界では困難である。
OT 資産の包括的なインベントリの作成に関して、あなたの組織はどのような状況にありますか?資産目録の欠如は、ICSセキュリティの障害となっていますか?
重要な人材の課題: IT/OT コンバージェンス
SANSの2019年調査では、ICSサイバーセキュリティの向上に関わる人々の課題に大きなスポットライトが当てられています。興味深いことに、組織はサイバーセキュリティプログラムにおいて、コンサルタントやベンダーではなく、社内の人材への依存度を高めている。従業員の能力に対する信頼の高まりは、産業サイバーセキュリティを取り巻くプロセスの成熟を示すもう1つの指標である。
社内OT サイバーセキュリティには、IT部門とOT が協力することが必要である。しかし、優先順位を一致させ、チーム間の協力とコミュニケーションを確保するという古くからある課題は容易ではない。
調査結果によると、IT部門は企業のセキュリティポリシーの管理と必要な管理の実施において主導的な役割を担っており、その中にはOTの領域も含まれている。一方、OT はICSを保護するための予算を管理していることが多い。
これら2つの領域の目標と目的は、あまり一致していない:IT ガバナンスとリスク管理は、アップタイムと情報とレピュテーション(プライバシー)の保護を中心とし、OT はサイバーフィジカルプロセスの安全性と信頼性を中心とする。
組織のコラボレーションとリスク低減を確実にするためには、以下の重要な概念についての共通理解が必要である。
SANS 2019OT/ICS サイバーセキュリティ調査とホワイトペーパー
2017年以降、ICSセキュリティ予算は、主にIT部門とOT 、共有されるようになった:
- 回答者の49%にとって、予算はOT 、2017年から18%増加した。
- 回答者の32%で、予算はIT部門が管理している。
- 回答者の30%は、予算管理をIT/OT の間で共有している。
予算がどちらか一方に握られている場合、各グループが協力して、年間計画の焦点となる人材、プロセス、テクノロジーの施策に優先順位をつけることが不可欠だ。
Nozomi Networks スタッフの報告によると、IT/OT の融合は、北南米よりもヨーロッパと中東の方が進んでいる。
SANS 2019サーベイを活用してICSセキュリティプログラムを改善しよう
SANS 2019のサイバーセキュリティ調査は、OT/ICS セキュリティの実務家すべてにとって貴重なものであり、より強力な支援と資金提供を提唱するのに役立つ可能性が高い。また、どこに困難が潜んでいるかを明確に示しており、運用上のサイバー回復力を向上させるという課題に苦慮しているのはあなた方だけではないことを思い起こさせる。
以下に掲載されている報告書全文をダウンロードし、その調査結果をどのように組織のICSサイバー・セキュリティプログラムの推進に役立てるかを検討されたい。
また、Nozomi Networks ソリューションが可視化、資産インベントリ、異常検知、IT/OT コンバージェンスにどのように役立つかをお知りになりたい場合は、当社までご連絡ください。
* 調査回答者は338人で、米国(70%)、欧州(49%)、アジア(39%)で事業を展開する組織を代表している。回答者の45%は、業務時間の50%以上をOT/ICS サイバーセキュリティの作業に費やしている。
