注:2019年7月23日、SCADAguardianは名称を変更しました。 Guardianとなり、SCADAguardian Advancedは Smart Polling.
重要なインフラを保護する難しさに対処する際、日々の課題から一歩引いてマクロ的な視点に立ち、全体像を見渡すとよいことがある。フォーティネットのCISOであるフィル・クエイドは、CSOonline.comに掲載された記事の中で、まさに最近それを実践した。
私は彼の重要なテーマが適切かつ洞察に富んでいると感じた。WannaCryのような注目度の高いマルウェアやランサムウェア攻撃にニュースメディアは注目しているが、重要インフラ(水道、エネルギー、輸送システム)にとってより大きな脅威は、検知が難しい「低速でゆっくりとした」攻撃によるものである、とフィルは指摘する。そして、重要インフラの多くは民間セクターによって所有・運営されているため、その安全確保には産業界と政府との真の協力が必要である。
また、フィルは、自動化戦略を利用してサイバー侵入を発見し、漸進的に対応することを含むセキュリティ革命が起こりつつあると述べている。自動化こそが、フォーティネット /Nozomi Networks のパートナーシップを支えているのです。フィルの見解と、私たちのソリューションを組み合わせることで重要なインフラをどのように保護するかについては、続きをお読みください。
重要インフラへの "ロー&スロー "サイバー攻撃
大きな攻撃が起きれば、被害者はすぐにそれを察知し、対策に移ることができる。あまり目立たない攻撃によるリスクは、対策が難しい。「ロー&スロー」攻撃は、侵害されたシステムに見分けがつかないほどの漸進的な変化をもたらすことが多く、多くのセキュリティ専門家が心配している。手遅れになり、システムが危機的な状態に陥る前に検知するのは難しい。洗練された侵入は多くの場合、微妙な方法で連動しているが、水道や電力などの重要なサービスを中断させる可能性がある。
協力と自動化が鍵
多くの国では、重要インフラは何千もの自治体によって所有・運営されており、セキュリティ問題は非常に複雑で、どこから手をつけていいのかわからない。政府が単独で問題を解決することはできないし、民間企業が他国のサイバー軍事から防衛することも期待できない。重要なステップは、各組織が協力し、業界内で脅威や脆弱性に関する情報を自動的に共有することである。
自動化が鍵だ。フィルが言うように
「漸進的な侵入を発見し、協調的かつ包括的に対応する最善の方法は、自動化です。人間の目では、低速でゆっくりとした攻撃には気づけないことが多く、侵入が検知された後に十分な速さで対応することはできません。"
Fortinet /Nozomi Networks のパートナーシップは協力と自動化で成り立っています。Nozomi NetworksSCADAguardian(現 Guardian)製品は、自動機械学習と人工知能技術を使用して、重要インフラの産業制御システム(ICS)内で発生するサイバーセキュリティとプロセスの異常を検出します。異常な動作や不審な動作が検出されると、アラームが生成され、セキュリティオペレータやネットワーク管理者に送信されます。
同時にSCADAguardianは、FortiGateファイアウォールの適切なポリシーを自動的にトリガーして、不審なトラフィックをセグメント化してブロックすることができます。産業用ネットワークに対する「低速でゆっくりとした」変化を特定できる高度な異常検知と、自動化されたフィードバック、およびフォーティネット・セキュリティ・ファブリック製品への積極的な統合の組み合わせは、重要インフラのサイバーセキュリティを向上させる上で大きな役割を果たします。
