NEW: N20S v25.2 リリースノートを見る
観る
OT ITを簡単に比較するとこうなる:ITはデータの完全性、機密性、可用性を重視する。OT プロセスのアップタイム、安全性、信頼性を重視する。
ITは組織内に遍在し、ほぼすべての従業員、すべてのコスト・センターで使用されている。そのため、ITセキュリティは、不正なアクセスや改ざんからデータを保護することに重点を置き、役割に応じたアクセスや、最も弱い部分であるユーザーに安全なサイバーセキュリティの実践方法を教育することに重点を置いている。
OT 資産とネットワークは、通常、組織の収益をもたらす(または必要不可欠な公共サービスを提供する)王冠の宝石を、多くの場合、自律的に管理・制御しています。OT 障害が発生したり、攻撃を受けたりした場合、特に重要なインフラにとっては、ITの場合よりも利害関係が大きくなります。したがって、OT セキュリティには、物理的プロセスの安全で信頼性の高い運用を確保することが含まれます。
OT IoT デバイスの膨大な量と多様性により、ITデバイスよりも管理が難しくなっている。さらに、OT ネットワーク内のすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部である。ある機械に問題が発生した場合、直ちにその機械が何に依存し、何に依存しているかを知る必要がある。
歴史的に、OT ネットワークは「エアギャップ」されており、インターネットや企業ITネットワークに接続されていないため、サイバー脅威は懸念されていませんでした。そのような時代はとうの昔に過ぎ去りましたが、OT 環境におけるサイバーセキュリティが後回しにされることがあまりにも多くなっています。産業界のデジタル化のおかげで、今日の生産環境には何百もの相互接続されたデジタル・システムがあり、効率は向上していますが、新たなリスクも生じています。多くのOT デバイスは管理されておらず、ITコンピュータやサーバーのようにパッチを当てることができない。パッチ適用が可能な場合でも、自動化はできない。一部の例外を除き、脅威の検知は、OT環境向けに特別に設計されたディープパケットインスペクションやビヘイビアベースの異常検知技術に依存しています。
ランサムウェア攻撃は見出しを飾るが、日常的なネットワークやプロセスの設定ミス、操作ミス、リソース使用量の急増、その他の異常は、外部からの攻撃よりもOT 環境を脅かす可能性がはるかに高い。異常とは、ベースライン・パフォーマンスから乖離するものを指します。不安定なプロセス値、不正確なプロセス測定値、誤動作につながる可能性のある設定ミスなどである。
OT 資産やプロセスを通じて移動するデータ(プロセス値など)は一瞬しか関連性がなく、こうしたデータポイントは1分間に数百万個あるかもしれない。したがって、OT サイバーセキュリティは、データの流出よりも、データが許可されたデバイス間でのみ移動し、すべての瞬間に最新であることを保証することに重点を置いています。
ほとんどのITはライフサイクルが短く、陳腐化する。ソフトウエアは、数年おきに更新されるか、メジャー・アップグレードが行われる。OT 一般的にライフサイクルが長く、場合によっては数十年に及ぶ。PLCのようなデバイスは、多くの場合、過酷な生産環境用に設計され、長持ちするように作られている。多くのOT デバイスは、いまだに「設計上安全ではない」レガシー・テクノロジーに依存しており、脆弱性が十分に文書化されているにもかかわらず、パッチが適用されないままであることがあまりにも多い。また、工場での承認や現場での受け入れテストが行われるまでに何年もかかることがあるため、小さな微調整は奨励されない。
一部のOT システム(およびそのコンポーネント)は、定期的なメンテナンスのための短いウィンドウを使用して、何年も継続的に実行されます。ダウンタイムは産業環境では致命的な故障につながる可能性があるため、継続的な運用は安全性と信頼性の確保に役立つ。パッチ(利用可能な場合)やその他のアップデートは頻繁には行われず、狭いメンテナンスウィンドウの間にスケジューリングされなければならない。
ITは標準オペレーティング・システムを使用し、標準プロトコルを使って通信する。OT デバイスの多くは、その用途に特化した独自のオペレーティング・システムを有している。 これらのプロトコルは、物理プロセスやデバイスのリアルタイムの監視と制御用に調整されており、速度や柔軟性よりも信頼性、決定論的な応答時間、回復力を優先しています。ModbusやProfibusのような独自プロトコルは、疑わしい動作や異常な動作を特定するために、ディープパケットインスペクション(DPI)を使って注意深く分析する必要がある。IT侵入検知システム(IDS)やエンドポイント検知応答システム(EDR)は、産業用プロトコルを理解していないため、OT脅威を検知することはできない。最悪の場合、多くのリソースを消費したり、何かを壊したりする可能性がある。
製造業者は、一日に何十人ものサードパーティの技術者がリモートでログインし、独自のリモートアクセスツールを使用して、製造の監視や機器のトラブルシューティングを行っている場合があります。脆弱な認証情報やデフォルト・パスワードの使用が緩いと、企業はリモート・コード実行による攻撃を受けやすくなる。
多要素認証(MFA)は現実的ではない。その代わりに、機器の認証と機器間の通信の完全性を確保するために、継続的な監視が使用される。
セグメンテーションは、通信を制限し、修復が可能であってもその頻度が低いデバイスを保護するために不可欠な補償制御である。産業用クラウンジュエリーを隔離し、ITネットワーク上のサイバーインシデントがOT ネットワークに横移動するのを防ぐため、産業環境ではセグメント間のトラフィックを制御・監視するセキュアゾーンやコンジットが利用されている。
サイバーセキュリティ・リスクを理解し、セキュリティのベスト・プラクティスを導入し、産業環境における意識の文化を創造することは、大きな文化の変革である。例えば、OT エンジニアにサイバーセキュリティ・リスクの軽減を定期メンテナンスとして受け入れてもらうには、発想の転換が必要です。CISO がエンタープライズ・リスク管理を受け入れ、OT ますますその権限下に置かれるようになるにつれて、このような転換が必要になります。
当初は懐疑的であったが、OT オペレータは継続的な資産とネットワークのモニタリングから多くのメリットを得ている。監視する資産やプロセスに関する豊富な情報を収集し、ベースラインからの異常やサイバーセキュリティの脅威といった重要な変化を検出するのに役立つ。さらに、一旦継続的な監視が始まると、一般的にオペレータがその存在を知らなかった長年の問題が露呈する。
Nozomi Networks プラットフォームがインストールされるとすぐに、ネットワークセンサーがICSネットワークトラフィックの分析を開始し、それをインタラクティブに可視化します。オペレーターやサイバーセキュリティスタッフは、産業用ネットワークノードが可視化されるのを見るのは初めてであることが多い。オペレーターやサイバーセキュリティスタッフは、これまで認識していなかった環境の側面を素早く認識し、より多くの情報を見つけるために簡単にドリルダウンすることができます。
オペレータは、設定の変更や異常だけでなく、誰がデバイスにログオンしているか、どのような他のデバイスと通信しているか、どのようなプロトコルを使用しているかを確認することができます。2つの大きな利点は、パデュー・レベルの低い東西トラフィックと不正なUSB接続の可視化です。
OT OTの融合型セキュリティ・オペレーション・センター(SOC)は、2つの文化が真正面からぶつかる場所です。中央CISOの監督、OT OTの融合、レスポンスタイムの改善、そしてもちろんコスト削減など、明らかな理由から人気が高まっている。しかし、統合されたSOCというよりは、従来のIT SOCチームが新たな顧客であるOT 事業部門にサービスを提供するケースが多い。よくあるのは、サービス・プロバイダーが顧客を理解していないという教科書的な例である。大規模な知識移転が必要であるにもかかわらず、それが行われない。
OT ITを簡単に比較するとこうなる:ITはデータの完全性、機密性、可用性を重視する。OT プロセスのアップタイム、安全性、信頼性を重視する。
ITは組織内に遍在し、ほぼすべての従業員、すべてのコスト・センターで使用されている。そのため、ITセキュリティは、不正なアクセスや改ざんからデータを保護することに重点を置き、役割に応じたアクセスや、最も弱い部分であるユーザーに安全なサイバーセキュリティの実践方法を教育することに重点を置いている。
OT 資産とネットワークは、通常、組織の収益をもたらす(または必要不可欠な公共サービスを提供する)王冠の宝石を、多くの場合、自律的に管理・制御しています。OT 障害が発生したり、攻撃を受けたりした場合、特に重要なインフラにとっては、ITの場合よりも利害関係が大きくなります。したがって、OT セキュリティには、物理的プロセスの安全で信頼性の高い運用を確保することが含まれます。
OT IoT デバイスの膨大な量と多様性により、ITデバイスよりも管理が難しくなっている。さらに、OT ネットワーク内のすべてのコンポーネントは、非常に分散した環境におけるより大きなプロセスの一部である。ある機械に問題が発生した場合、直ちにその機械が何に依存し、何に依存しているかを知る必要がある。
歴史的に、OT ネットワークは「エアギャップ」されており、インターネットや企業ITネットワークに接続されていないため、サイバー脅威は懸念されていませんでした。そのような時代はとうの昔に過ぎ去りましたが、OT 環境におけるサイバーセキュリティが後回しにされることがあまりにも多くなっています。産業界のデジタル化のおかげで、今日の生産環境には何百もの相互接続されたデジタル・システムがあり、効率は向上していますが、新たなリスクも生じています。多くのOT デバイスは管理されておらず、ITコンピュータやサーバーのようにパッチを当てることができない。パッチ適用が可能な場合でも、自動化はできない。一部の例外を除き、脅威の検知は、OT環境向けに特別に設計されたディープパケットインスペクションやビヘイビアベースの異常検知技術に依存しています。
ランサムウェア攻撃は見出しを飾るが、日常的なネットワークやプロセスの設定ミス、操作ミス、リソース使用量の急増、その他の異常は、外部からの攻撃よりもOT 環境を脅かす可能性がはるかに高い。異常とは、ベースライン・パフォーマンスから乖離するものを指します。不安定なプロセス値、不正確なプロセス測定値、誤動作につながる可能性のある設定ミスなどである。
OT 資産やプロセスを通じて移動するデータ(プロセス値など)は一瞬しか関連性がなく、こうしたデータポイントは1分間に数百万個あるかもしれない。したがって、OT サイバーセキュリティは、データの流出よりも、データが許可されたデバイス間でのみ移動し、すべての瞬間に最新であることを保証することに重点を置いています。
ほとんどのITはライフサイクルが短く、陳腐化する。ソフトウエアは、数年おきに更新されるか、メジャー・アップグレードが行われる。OT 一般的にライフサイクルが長く、場合によっては数十年に及ぶ。PLCのようなデバイスは、多くの場合、過酷な生産環境用に設計され、長持ちするように作られている。多くのOT デバイスは、いまだに「設計上安全ではない」レガシー・テクノロジーに依存しており、脆弱性が十分に文書化されているにもかかわらず、パッチが適用されないままであることがあまりにも多い。また、工場での承認や現場での受け入れテストが行われるまでに何年もかかることがあるため、小さな微調整は奨励されない。
一部のOT システム(およびそのコンポーネント)は、定期的なメンテナンスのための短いウィンドウを使用して、何年も継続的に実行されます。ダウンタイムは産業環境では致命的な故障につながる可能性があるため、継続的な運用は安全性と信頼性の確保に役立つ。パッチ(利用可能な場合)やその他のアップデートは頻繁には行われず、狭いメンテナンスウィンドウの間にスケジューリングされなければならない。
ITは標準オペレーティング・システムを使用し、標準プロトコルを使って通信する。OT デバイスの多くは、その用途に特化した独自のオペレーティング・システムを有している。 これらのプロトコルは、物理プロセスやデバイスのリアルタイムの監視と制御用に調整されており、速度や柔軟性よりも信頼性、決定論的な応答時間、回復力を優先しています。ModbusやProfibusのような独自プロトコルは、疑わしい動作や異常な動作を特定するために、ディープパケットインスペクション(DPI)を使って注意深く分析する必要がある。IT侵入検知システム(IDS)やエンドポイント検知応答システム(EDR)は、産業用プロトコルを理解していないため、OT脅威を検知することはできない。最悪の場合、多くのリソースを消費したり、何かを壊したりする可能性がある。
製造業者は、一日に何十人ものサードパーティの技術者がリモートでログインし、独自のリモートアクセスツールを使用して、製造の監視や機器のトラブルシューティングを行っている場合があります。脆弱な認証情報やデフォルト・パスワードの使用が緩いと、企業はリモート・コード実行による攻撃を受けやすくなる。
多要素認証(MFA)は現実的ではない。その代わりに、機器の認証と機器間の通信の完全性を確保するために、継続的な監視が使用される。
セグメンテーションは、通信を制限し、修復が可能であってもその頻度が低いデバイスを保護するために不可欠な補償制御である。産業用クラウンジュエリーを隔離し、ITネットワーク上のサイバーインシデントがOT ネットワークに横移動するのを防ぐため、産業環境ではセグメント間のトラフィックを制御・監視するセキュアゾーンやコンジットが利用されている。
サイバーセキュリティ・リスクを理解し、セキュリティのベスト・プラクティスを導入し、産業環境における意識の文化を創造することは、大きな文化の変革である。例えば、OT エンジニアにサイバーセキュリティ・リスクの軽減を定期メンテナンスとして受け入れてもらうには、発想の転換が必要です。CISO がエンタープライズ・リスク管理を受け入れ、OT ますますその権限下に置かれるようになるにつれて、このような転換が必要になります。
当初は懐疑的であったが、OT オペレータは継続的な資産とネットワークのモニタリングから多くのメリットを得ている。監視する資産やプロセスに関する豊富な情報を収集し、ベースラインからの異常やサイバーセキュリティの脅威といった重要な変化を検出するのに役立つ。さらに、一旦継続的な監視が始まると、一般的にオペレータがその存在を知らなかった長年の問題が露呈する。
Nozomi Networks プラットフォームがインストールされるとすぐに、ネットワークセンサーがICSネットワークトラフィックの分析を開始し、それをインタラクティブに可視化します。オペレーターやサイバーセキュリティスタッフは、産業用ネットワークノードが可視化されるのを見るのは初めてであることが多い。オペレーターやサイバーセキュリティスタッフは、これまで認識していなかった環境の側面を素早く認識し、より多くの情報を見つけるために簡単にドリルダウンすることができます。
オペレータは、設定の変更や異常だけでなく、誰がデバイスにログオンしているか、どのような他のデバイスと通信しているか、どのようなプロトコルを使用しているかを確認することができます。2つの大きな利点は、パデュー・レベルの低い東西トラフィックと不正なUSB接続の可視化です。
OT OTの融合型セキュリティ・オペレーション・センター(SOC)は、2つの文化が真正面からぶつかる場所です。中央CISOの監督、OT OTの融合、レスポンスタイムの改善、そしてもちろんコスト削減など、明らかな理由から人気が高まっている。しかし、統合されたSOCというよりは、従来のIT SOCチームが新たな顧客であるOT 事業部門にサービスを提供するケースが多い。よくあるのは、サービス・プロバイダーが顧客を理解していないという教科書的な例である。大規模な知識移転が必要であるにもかかわらず、それが行われない。
