そこで、ARC Advisory Group のリサーチ担当副社長ラリー・オブライエンに、このプロセスを簡略化する手助けができるかどうか聞いてみた。
ラリーに、ICSサイバーセキュリティのパートナーを選ぶ際に、重要インフラ組織は何を考慮する必要があるのか聞いてみた。以下は、このトピックに関する彼の考えである:
ラリー
製造業をはじめとする重プロセス産業が置かれた環境の複雑さを考えれば、サイバーセキュリティベンダーの選定プロセスを経るのが難しいのも無理はない。石油・ガス、化学、精製などの分野で問題が発生した場合、人命や環境、地域社会への多大な損失から、世界経済の大部分を牽引する炭化水素サプライチェーンの混乱に至るまで、その影響は極めて深刻なものとなります。そのため、適切なセキュリティベンダーを選ばなければならないというプレッシャーは大きい。
ICSの現状プロセス産業におけるサイバーセキュリティ
ここで登場する市場原理について少し考えてみよう。脅威の主体は、ランサムウェアやスピアフィッシングだけでなく、物理的な世界の製造プロセスを侵害することに焦点を移している。例えば、ガスプラントの安全計装システム(SIS)と直接やりとりするマルウェア「TRITON/TRISIS」のような最近の悪質な攻撃は、こうした施設の運営を支援する運用技術に照準を合わせている。このことは、プラントの安全性を確保するためのプロセスを導入することが、オペレーターにとっていかに急務であるかを示している。
石油・ガスのサプライチェーンもまた、標的のひとつである。石油・ガスのサプライチェーンは、上流の探査・生産から中流・下流のプロセスまで、世界の炭化水素経済の大部分を支えている。残念ながら、このサプライチェーン全体の統合は進んでいないため、サイバーセキュリティリスクはここでも高い。
実際、保護が必要なクリティカル・システムは、センサーやアクチュエーターから監視制御や運用管理まで、業務の全領域にわたっている。
ICSサイバーセキュリティソリューションに関する考察
ICSサイバーセキュリティベンダーの選定を考える上で、ITとOT の融合は重要な検討事項である。OT 、独自の制御システムを持つ運用技術という孤立した領域がまだ存在する一方で、従来のIT /OT の障壁を取り払わざるを得ないようなITや専用に構築されたIoT ソリューションを目にするようになってきている。例えば、いくつかの市販のIIoT製品は、OT 、重要な製造工程に入り込んでいる。これは、イーサネット・スイッチ、ルーター、無線アクセス・ポイントなどのコンポーネントで、センサー・レベルにまで及んでいる。
プロセス・セーフティ・システムには通常、文書化されていないデバイスや、DCSやPLCの外部に存在するその他のオペレーション・システム(防火・ガス保護やタービン制御システムなど)も含まれています。これらすべての要因が新たな課題を生み出します。そのため、増加するIT /OT 統合と、関連するオペレーション・システムの脆弱性をサポートするサイバー・セキュリティソリューションを選択することが重要です。
ベンダー選定プロセス
ベンダー選定の複雑さを簡素化するため、ARC チームは、選ばれたサプライヤーとの長期的なコミットメントに基づく継続的な改善サイクルと考えることができる4段階のプロセスに従っている。
これは、主要な経営幹部、IT部門、OT 、購買部門、その他の利害関係者で構成されるクロスファンクション・チームの結成から始まる。このチームは、サイバーセキュリティソリューションのビジネス、技術、機能の要件を決定する。重み付けされた判断基準に基づいて、ベンダーが回答する必要のある質問を含む、ベ ンダー情報要求書(RFI)リストが作成される。
ベンダーの選定基準や質問には、以下のようなトピックを含めることができる:
- 自社のサイバー・セキュリティプログラムの成熟度 - 基盤は整備されているか、またその準備はできているか?
- ベンダーの存続可能性 - ベンダーは十分に確立されているか(顧客基盤、資金、ロードマップなど)。
- 機能性:エージェントベースとエージェントレス、ポリシーベース、ビヘイビアベース?
- テクノロジー/アーキテクチャ:クラウドベース、サーバーベース、ハードウェアなど。
- 違反検知と異常メッセージ検知機能
- 資産発見・管理機能
- サポート機能
- 他のサイバーセキュリティ製品との統合
- 展開のスピードとインパクト、価値実現までの時間
- 戦略的パートナーシップ(プロセスの自動化、サービスプロバイダーなど)
キム
ラリー、ありがとう。市場で起きていることが、サイバーセキュリティに対する本当の意味での危機感を生み出していることは同感だ。
また、ICS資産所有者のサイバーセキュリティへの備えの成熟度はさまざまですが、みな同じような状況に苦しんでいることがわかりました。ご指摘のとおり、産業および重要インフラの近代化の一環として、IT とOT は融合しつつあります。このような環境では、風評被害や収益の損失を防ぎ、個人と環境の安全を確保するために、回復力とアップタイムが不可欠です。
Nozomi Networks では、産業用サイバーセキュリティソリューションの要件リストには、以下を含めるべきだと考えている:
- OT ネットワークの完全なリアルタイム可視性の獲得
- 脆弱性、脅威、インシデントを迅速に検知する能力
- トラブルシューティングと修復作業の最小化
- 大規模な分散環境での展開を成功させる能力
- 俊敏なベンダー開発と統合プロセスにより、新しいプロトコルにも迅速に対応。
- 広範囲に分散したネットワークを一元的に監視・制御する能力
私たちは、運用の可視化、脅威の検知、グローバル展開という3つの機能領域でこれらすべての問題に取り組むことで、企業のサイバーセキュリティの選択プロセスを簡素化します。
そもそも運用の可視化とは、状況認識、リスク管理、システムの可用性を向上させるための資産やネットワーク属性を自動識別することです。私たちは常々、「知らないものは守れない」と言っています。
第二に、資産所有者は、脅威検知というレンズを通してICSサイバーセキュリティを見るべきである。私たちは、ハイブリッド脅威検知と呼ばれる2つの方法で検知を管理するべきだと考えています。既知の脅威に加え、プロセスレベルでの異常から保護することが重要です。これによってオペレーターは、回復力に影響を与える可能性のあるサイバー・リスクを検知できるだけでなく、プロセスが通常のパラメーター以外で動作している場合にアラートを受け取ることができる。クリティカルな状態の異常は、サイバー脅威だけでなく、デバイス自体のメンテナンスの問題を示す可能性もある。
第三に、産業展開環境の複雑な性質を考えると、事業者はすべてのサブネットワークと地域にわたる可視性を必要とする。
Nozomi Networks高度なサイバー・セキュリティソリューションは、人工知能と機械学習の活用によってこれを実現し、ディープ・パケット・インスペクションやパーティクル分析などの技術を活用して、必要な深い洞察を提供する。サイバー・セキュリティソリューションが他のビジネス・プロセスやITシステムと連携し、OT システム情報を有意義に共有できることを確認することが重要です。
