中東地域のお客様およびパートナーの皆様へ
詳細情報
OT ITを簡単に比較するとこうなる:ITはデータの完全性、機密性、可用性を重視する。OT プロセスのアップタイム、安全性、信頼性を重視する。
ITは組織内に遍在し、ほぼすべての従業員、すべてのコスト・センターで使用されています。そのため、ITセキュリティは、不正なアクセスや改ざんからデータを保護することに重点を置き、役割に応じたアクセスや、最も弱い部分であるユーザーに安全なサイバーセキュリティの実践方法を教育することに重点を置いています。
OT とネットワークは通常、組織の収益源(または重要な公共サービス)を支える中核的資産を管理・制御しており、多くの場合自律的に動作する。OT または攻撃を受けた場合、特に重要インフラにおいてはITよりも深刻な影響が生じる。したがってOT 、物理的プロセスの安全かつ信頼性の高い運用を確保することを意味する。
OT 資産とネットワークの保護には、ITサイバーセキュリティの実践と比較して多くの課題があり、それはOT ITシステム自体の違いに密接に追従する。
OT IoT デバイスの膨大な量と多様性により、ITデバイスよりも管理が難しくなっています。さらに、OT ネットワーク内のすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部である。ある機械に問題が発生した場合、直ちにその機械が何に依存し、何に依存しているかを知る必要がある。
歴史的に、OT ネットワークは「エアギャップ」されており、インターネットや企業ITネットワークに接続されていないため、サイバー脅威は懸念されていませんでした。そのような時代はとうの昔に過ぎ去りましたが、OT 環境におけるサイバーセキュリティが後回しにされることがあまりにも多くなっています。産業界のデジタル化のおかげで、今日の生産環境には何百もの相互接続されたデジタル・システムがあり、効率は向上していますが、新たなリスクも生じています。多くのOT デバイスは管理されておらず、ITコンピュータやサーバーのようにパッチを当てることができない。パッチ適用が可能な場合でも、自動化はできない。一部の例外を除き、脅威の検知は、OT環境向けに特別に設計されたディープパケットインスペクションやビヘイビアベースの異常検知技術に依存しています。
ランサムウェア攻撃は見出しを飾るが、日常的なネットワークやプロセスの設定ミス、操作ミス、リソース使用量の急増、その他の異常は、外部からの攻撃よりもOT 環境を脅かす可能性がはるかに高い。異常とは、ベースライン・パフォーマンスから乖離するものを指します。不安定なプロセス値、不正確なプロセス測定値、誤動作につながる可能性のある設定ミスなどである。
OT 資産やプロセスを通じて移動するデータ(プロセス値など)は一瞬しか関連性がなく、こうしたデータポイントは1分間に数百万個あるかもしれない。したがって、OT サイバーセキュリティは、データの流出よりも、データが許可されたデバイス間でのみ移動し、すべての瞬間に最新であることを保証することに重点を置いています。
ほとんどのITはライフサイクルが短く、陳腐化する。ソフトウエアは、数年おきに更新されるか、メジャー・アップグレードが行われる。OT 一般的にライフサイクルが長く、場合によっては数十年に及ぶ。PLCのようなデバイスは、多くの場合、過酷な生産環境用に設計され、長持ちするように作られています。多くのOT デバイスは、いまだに「設計上安全ではない」レガシー・テクノロジーに依存しており、脆弱性が十分に文書化されているにもかかわらず、パッチが適用されないままであることがあまりにも多い。また、工場での承認や現場での受け入れテストが行われるまでに何年もかかることがあるため、小さな微調整は奨励されない。
一部のOT システム(およびそのコンポーネント)は、定期的なメンテナンスのための短いウィンドウを使用して、何年も継続的に実行されます。ダウンタイムは産業環境では致命的な故障につながる可能性があるため、継続的な運用は安全性と信頼性の確保に役立つ。パッチ(利用可能な場合)やその他のアップデートは頻繁には行われず、狭いメンテナンスウィンドウの間にスケジューリングされなければならない。
ITは標準的なオペレーティングシステムを使用し、標準プロトコルで通信する。OT 用途固有の独自OSを搭載している。OT 数百ものプロトコルで通信し、その多くは業界固有で本質的に安全性が低い。 これらのプロトコルは物理プロセスやデバイスのリアルタイム監視・制御向けに設計され、速度や柔軟性よりも信頼性、決定論的応答時間、耐障害性を優先する。 ModbusやProfibusなどの独自プロトコルは、不審な動作や異常を検知するためにディープパケットインスペクション(DPI)による詳細な分析が必要となる。IT向けの侵入検知システム(IDS)やエンドポイント検知・対応システム(EDR)は産業用プロトコルを理解しないため、OT脅威を検知できない。効果がないのが最良のケースであり、最悪の場合、過剰なリソースを消費したりシステムを破壊したりする可能性がある。
製造業者は、一日に何十人ものサードパーティの技術者がリモートでログインし、独自のリモートアクセスツールを使用して、製造の監視や機器のトラブルシューティングを行っている場合があります。脆弱な認証情報やデフォルト・パスワードの使用が緩いと、企業はリモート・コード実行による攻撃を受けやすくなる。
多要素認証(MFA)は現実的ではない。その代わりに、機器の認証と機器間の通信の完全性を確保するために、継続的な監視が使用される。
セグメンテーションは、通信を制限し、修復が可能であってもその頻度が低いデバイスを保護するために不可欠な補償制御である。産業用クラウンジュエリーを隔離し、ITネットワーク上のサイバーインシデントがOT ネットワークに横移動するのを防ぐため、産業環境ではセグメント間のトラフィックを制御・監視するセキュアゾーンやコンジットが利用されています。
サイバーセキュリティ・リスクを理解し、セキュリティのベスト・プラクティスを導入し、産業環境における意識の文化を創造することは、大きな文化の変革である。例えば、OT エンジニアにサイバーセキュリティ・リスクの軽減を定期メンテナンスとして受け入れてもらうには、発想の転換が必要です。CISO がエンタープライズ・リスク管理を受け入れ、OT ますますその権限下に置かれるようになるにつれて、このような転換が必要になります。
当初は懐疑的であったが、OT オペレータは継続的な資産とネットワークのモニタリングから多くのメリットを得ています。監視する資産やプロセスに関する豊富な情報を収集し、ベースラインからの異常やサイバーセキュリティの脅威といった重要な変化を検出するのに役立つ。さらに、一旦継続的な監視が始まると、一般的にオペレータがその存在を知らなかった長年の問題が露呈する。
Nozomi Networks プラットフォームがインストールされるとすぐに、ネットワークセンサーがICSネットワークトラフィックの分析を開始し、それをインタラクティブに可視化します。オペレーターやサイバーセキュリティスタッフは、産業用ネットワークノードが可視化されるのを見るのは初めてであることが多い。オペレーターやサイバーセキュリティスタッフは、これまで認識していなかった環境の側面を素早く認識し、より多くの情報を見つけるために簡単にドリルダウンすることができます。
オペレータは、設定の変更や異常だけでなく、誰がデバイスにログオンしているか、どのような他のデバイスと通信しているか、どのようなプロトコルを使用しているかを確認することができます。2つの大きな利点は、パデュー・レベルの低い東西トラフィックと不正なUSB接続の可視化です。
OT OTの融合型セキュリティ・オペレーション・センター(SOC)は、2つの文化が真正面からぶつかる場所です。中央CISOの監督、OT OTの融合、レスポンスタイムの改善、そしてもちろんコスト削減など、明らかな理由から人気が高まっています。しかし、統合されたSOCというよりは、従来のIT SOCチームが新たな顧客であるOT 事業部門にサービスを提供するケースが多い。よくあるのは、サービス・プロバイダーが顧客を理解していないという教科書的な例である。大規模な知識移転が必要であるにもかかわらず、それが行われない。
OT ITを簡単に比較するとこうなる:ITはデータの完全性、機密性、可用性を重視する。OT プロセスのアップタイム、安全性、信頼性を重視する。
ITは組織内に遍在し、ほぼすべての従業員、すべてのコスト・センターで使用されています。そのため、ITセキュリティは、不正なアクセスや改ざんからデータを保護することに重点を置き、役割に応じたアクセスや、最も弱い部分であるユーザーに安全なサイバーセキュリティの実践方法を教育することに重点を置いています。
OT とネットワークは通常、組織の収益源(または重要な公共サービス)を支える中核的資産を管理・制御しており、多くの場合自律的に動作する。OT または攻撃を受けた場合、特に重要インフラにおいてはITよりも深刻な影響が生じる。したがってOT 、物理的プロセスの安全かつ信頼性の高い運用を確保することを意味する。
OT 資産とネットワークの保護には、ITサイバーセキュリティの実践と比較して多くの課題があり、それはOT ITシステム自体の違いに密接に追従する。
OT IoT デバイスの膨大な量と多様性により、ITデバイスよりも管理が難しくなっています。さらに、OT ネットワーク内のすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部である。ある機械に問題が発生した場合、直ちにその機械が何に依存し、何に依存しているかを知る必要がある。
歴史的に、OT ネットワークは「エアギャップ」されており、インターネットや企業ITネットワークに接続されていないため、サイバー脅威は懸念されていませんでした。そのような時代はとうの昔に過ぎ去りましたが、OT 環境におけるサイバーセキュリティが後回しにされることがあまりにも多くなっています。産業界のデジタル化のおかげで、今日の生産環境には何百もの相互接続されたデジタル・システムがあり、効率は向上していますが、新たなリスクも生じています。多くのOT デバイスは管理されておらず、ITコンピュータやサーバーのようにパッチを当てることができない。パッチ適用が可能な場合でも、自動化はできない。一部の例外を除き、脅威の検知は、OT環境向けに特別に設計されたディープパケットインスペクションやビヘイビアベースの異常検知技術に依存しています。
ランサムウェア攻撃は見出しを飾るが、日常的なネットワークやプロセスの設定ミス、操作ミス、リソース使用量の急増、その他の異常は、外部からの攻撃よりもOT 環境を脅かす可能性がはるかに高い。異常とは、ベースライン・パフォーマンスから乖離するものを指します。不安定なプロセス値、不正確なプロセス測定値、誤動作につながる可能性のある設定ミスなどである。
OT 資産やプロセスを通じて移動するデータ(プロセス値など)は一瞬しか関連性がなく、こうしたデータポイントは1分間に数百万個あるかもしれない。したがって、OT サイバーセキュリティは、データの流出よりも、データが許可されたデバイス間でのみ移動し、すべての瞬間に最新であることを保証することに重点を置いています。
ほとんどのITはライフサイクルが短く、陳腐化する。ソフトウエアは、数年おきに更新されるか、メジャー・アップグレードが行われる。OT 一般的にライフサイクルが長く、場合によっては数十年に及ぶ。PLCのようなデバイスは、多くの場合、過酷な生産環境用に設計され、長持ちするように作られています。多くのOT デバイスは、いまだに「設計上安全ではない」レガシー・テクノロジーに依存しており、脆弱性が十分に文書化されているにもかかわらず、パッチが適用されないままであることがあまりにも多い。また、工場での承認や現場での受け入れテストが行われるまでに何年もかかることがあるため、小さな微調整は奨励されない。
一部のOT システム(およびそのコンポーネント)は、定期的なメンテナンスのための短いウィンドウを使用して、何年も継続的に実行されます。ダウンタイムは産業環境では致命的な故障につながる可能性があるため、継続的な運用は安全性と信頼性の確保に役立つ。パッチ(利用可能な場合)やその他のアップデートは頻繁には行われず、狭いメンテナンスウィンドウの間にスケジューリングされなければならない。
ITは標準的なオペレーティングシステムを使用し、標準プロトコルで通信する。OT 用途固有の独自OSを搭載している。OT 数百ものプロトコルで通信し、その多くは業界固有で本質的に安全性が低い。 これらのプロトコルは物理プロセスやデバイスのリアルタイム監視・制御向けに設計され、速度や柔軟性よりも信頼性、決定論的応答時間、耐障害性を優先する。 ModbusやProfibusなどの独自プロトコルは、不審な動作や異常を検知するためにディープパケットインスペクション(DPI)による詳細な分析が必要となる。IT向けの侵入検知システム(IDS)やエンドポイント検知・対応システム(EDR)は産業用プロトコルを理解しないため、OT脅威を検知できない。効果がないのが最良のケースであり、最悪の場合、過剰なリソースを消費したりシステムを破壊したりする可能性がある。
製造業者は、一日に何十人ものサードパーティの技術者がリモートでログインし、独自のリモートアクセスツールを使用して、製造の監視や機器のトラブルシューティングを行っている場合があります。脆弱な認証情報やデフォルト・パスワードの使用が緩いと、企業はリモート・コード実行による攻撃を受けやすくなる。
多要素認証(MFA)は現実的ではない。その代わりに、機器の認証と機器間の通信の完全性を確保するために、継続的な監視が使用される。
セグメンテーションは、通信を制限し、修復が可能であってもその頻度が低いデバイスを保護するために不可欠な補償制御である。産業用クラウンジュエリーを隔離し、ITネットワーク上のサイバーインシデントがOT ネットワークに横移動するのを防ぐため、産業環境ではセグメント間のトラフィックを制御・監視するセキュアゾーンやコンジットが利用されています。
サイバーセキュリティ・リスクを理解し、セキュリティのベスト・プラクティスを導入し、産業環境における意識の文化を創造することは、大きな文化の変革である。例えば、OT エンジニアにサイバーセキュリティ・リスクの軽減を定期メンテナンスとして受け入れてもらうには、発想の転換が必要です。CISO がエンタープライズ・リスク管理を受け入れ、OT ますますその権限下に置かれるようになるにつれて、このような転換が必要になります。
当初は懐疑的であったが、OT オペレータは継続的な資産とネットワークのモニタリングから多くのメリットを得ています。監視する資産やプロセスに関する豊富な情報を収集し、ベースラインからの異常やサイバーセキュリティの脅威といった重要な変化を検出するのに役立つ。さらに、一旦継続的な監視が始まると、一般的にオペレータがその存在を知らなかった長年の問題が露呈する。
Nozomi Networks プラットフォームがインストールされるとすぐに、ネットワークセンサーがICSネットワークトラフィックの分析を開始し、それをインタラクティブに可視化します。オペレーターやサイバーセキュリティスタッフは、産業用ネットワークノードが可視化されるのを見るのは初めてであることが多い。オペレーターやサイバーセキュリティスタッフは、これまで認識していなかった環境の側面を素早く認識し、より多くの情報を見つけるために簡単にドリルダウンすることができます。
オペレータは、設定の変更や異常だけでなく、誰がデバイスにログオンしているか、どのような他のデバイスと通信しているか、どのようなプロトコルを使用しているかを確認することができます。2つの大きな利点は、パデュー・レベルの低い東西トラフィックと不正なUSB接続の可視化です。
OT OTの融合型セキュリティ・オペレーション・センター(SOC)は、2つの文化が真正面からぶつかる場所です。中央CISOの監督、OT OTの融合、レスポンスタイムの改善、そしてもちろんコスト削減など、明らかな理由から人気が高まっています。しかし、統合されたSOCというよりは、従来のIT SOCチームが新たな顧客であるOT 事業部門にサービスを提供するケースが多い。よくあるのは、サービス・プロバイダーが顧客を理解していないという教科書的な例である。大規模な知識移転が必要であるにもかかわらず、それが行われない。
