御社のICSリスクに対する認識は,他の組織と比較してどうですか?他の資産所有者は,OT システムと外部システムの境界をどのように定義しているか?御社のICSセキュリティの障害は,他の組織と比べてどうですか?また,OT/ITコンバージェンスの管理に関して,貴社はどのようなランクにありますか?
自社の現状を把握したいとお考えなら、朗報があります。SANS Instituteが、こうした疑問のすべて、さらにはそれ以上の疑問にも答える新たなサイバーセキュリティ調査結果を公表しました。これは、産業分野のサイバーセキュリティの現状に関する確かなデータを提供する数少ない情報源の一つであり、無料で入手可能です。
数百の業界団体から寄せられた意見に基づき,上記の問題を取り上げ,2019年の立ち位置を確認してみよう.
リスクレベルの認識は高く,コネクテッド・システムが攻撃対象領域を拡大している
338人の調査回答者*のうち,50%強が,組織の全体的なリスクプロファイルに対するICSサイバーリスクのレベルを,深刻/重大または高いと評価した.これは,2017年に実施された前回調査の69%から減少している.サイバー攻撃やデータ漏洩が増加傾向にあり,ニュースでもよく取り上げられる中,この結果は少し意外に思えるかもしれない.
しかし、Nozomi Networks 現場でのNetworks とSANSの2019年調査結果の双方から、ICSのサイバーセキュリティ対策は成熟しつつあることが示されています:
- 69% が過去 1 年間に,OT/制御システムまたはネットワークのセキュリティ監査を実施したことがある.
- 60%が,OT の脅威検知インシデントに対応するために,社内のリソースに積極的に依存するようになり,2017年の23%から増加した.
- 2017年から2019年にかけて,異常活動を検出するまでの時間が短縮された.
これはおそらく,組織が脅威に対処できるという自信を深め,リスクレベルが以前より低く評価される理由になっているのだろう.
しかし同時に,OT システムの安全確保という課題は,攻撃対象領域の拡大とともに拡大している.ICSの境界は,「...他の無数のシステムやプロセスと情報を交換しながら,相互に織り込まれ,相互依存している」ため,より広くなっている.
バウンダリー・チャレンジには,モバイル機器やワイヤレス機器の使用が含まれ,回答者はリスクレベルを低いとした.同報告書では,一部のモバイルアプリケーションはエンジニアリング・ワークステーションのアプリケーションに取って代わりつつあるため,そのリスクレベルはより高いレベルで扱われるべきであると指摘している.また,センサーネットワークからのデータ転送に無線通信が広く使われるようになっている.これは,攻撃対象領域をさらに拡大し,組織が侵害された場合に深刻な結果を招く可能性がある.
SANSの「Knowing the Boundaries(境界を知る)」と呼ばれる調査セクションに含まれる図表を確認し,外部とのつながりに対する自分の取り組みが他と比べてどうなのかを確認するとよいだろう.
ICSセキュリティの重要な障害:可視性の確保
ICSデバイスやネットワーク上の活動を明確に把握することは、堅牢なサイバーセキュリティプログラムの基盤となる要素です。また、OT 定義し、そのセキュリティを確保するためには、その境界内のシステム資産を把握し、監視することも必要となります。
SANSの2019年サイバーセキュリティ調査によると、制御システムのサイバー資産に対する可視性を高めることが、組織が今後18か月間に予算を割り当てる最優先の取り組みであることが示されている。
実際,産業用制御ネットワーク内の資産を特定する必要性は,多くのNozomi Networks 実装の主要なビジネス・ドライバーである.私たちのチームが概念実証(PoC)を実施する際,産業用オペレーターがネットワークに例えば3,000の資産があると指摘することは珍しくありません.しかし,私たちのテクノロジーがインストールされると,すぐに15,000の資産が特定されます.何千ものインストールを経て,私たちは,認識されている資産数と実際の資産数との間に大きな乖離があることが一般的であることを知っています.
SANS 2019の調査では,資産の棚卸しにおいてどこにギャップがあるのかについての洞察が得られる:
- 回答者の64%は,OT/制御システム内のサーバーとワークステーションの75%以上を特定し,インベントリ化している.
- 回答者の半数以下しか,制御システム機器とソフトウェア・アプリケーションを特定し,インベントリを作成していない.
- 埋め込まれた産業用デバイスの識別は,特に多孔質システムの境界では困難である.
OT 資産の包括的なインベントリの作成に関して,あなたの組織はどのような状況にありますか?資産目録の欠如は,ICSセキュリティの障害となっていますか?
重要な人材の課題: IT/OT コンバージェンス
SANSの2019年調査では、ICSのサイバーセキュリティ向上に伴う人的課題が大きな注目を集めています。興味深いことに、組織はサイバーセキュリティプログラムの実施において、コンサルタントやベンダーよりも社内の人材への依存度を高めています。従業員の能力に対する信頼の高まりは、産業用サイバーセキュリティを取り巻くプロセスの成熟度を示すもう一つの指標となっています。
OT 対策には、IT部門とOT 不可欠です。しかし、優先順位を調整し、両チーム間の協力とコミュニケーションを確保するという、長年の課題は容易なことではありません。
調査結果によると,IT部門は企業のセキュリティポリシーの管理と必要な管理の実施において主導的な役割を担っており,その中にはOTの領域も含まれている.一方,OT はICSを保護するための予算を管理していることが多い.
これら2つの領域の目標と目的は,あまり一致していない:IT ガバナンスとリスク管理は,アップタイムと情報とレピュテーション(プライバシー)の保護を中心とし,OT はサイバーフィジカルプロセスの安全性と信頼性を中心とする.
組織のコラボレーションとリスク低減を確実にするためには,以下の重要な概念についての共通理解が必要である.
SANS 2019OT/ICS サイバーセキュリティ調査とホワイトペーパー
2017年以降,ICSセキュリティ予算は,主にIT部門とOT ,共有されるようになった:
- 回答者の49%にとって,予算はOT ,2017年から18%増加した.
- 回答者の32%で,予算はIT部門が管理している.
- 回答者の30%は,予算管理をIT/OT の間で共有している.
予算がどちらか一方に握られている場合,各グループが協力して,年間計画の焦点となる人材,プロセス,テクノロジーの施策に優先順位をつけることが不可欠だ.
Nozomi Networks スタッフの報告によると,IT/OT の融合は,北南米よりもヨーロッパと中東の方が進んでいる.
SANS 2019サーベイを活用してICSセキュリティプログラムを改善しよう
SANSの2019年サイバーセキュリティ調査は、OT担当者にとって貴重な情報源であり、より強力な支援や資金調達の必要性を訴える上で役立つでしょう。また、この調査は課題がどこにあるかを明確に指摘しており、運用上のサイバーレジリエンスの向上という課題に苦戦しているのは、貴組織だけではないということを改めて認識させてくれます。
以下のリンクから報告書の全文をダウンロードし、その調査結果が、貴組織のICSサイバーセキュリティプログラムの推進にどのように活用できるか、ぜひご検討ください。
また,Nozomi Networks ソリューションが可視化,資産インベントリ,異常検知,IT/OT コンバージェンスにどのように役立つかをお知りになりたい場合は,当社までご連絡ください.
* 調査回答者は338人で,米国(70%),欧州(49%),アジア(39%)で事業を展開する組織を代表している.回答者の45%は,業務時間の50%以上をOT/ICS サイバーセキュリティの作業に費やしている.
