中東地域のお客様およびパートナーの皆様へ
詳細情報
OT ITを簡単に比較するとこうなる:ITはデータの完全性、機密性、可用性を重視する。OT プロセスのアップタイム、安全性、信頼性を重視する。
ITは組織内に遍在し、ほぼすべての従業員、すべてのコスト・センターで使用されています。そのため、ITセキュリティは、不正なアクセスや改ざんからデータを保護することに重点を置き、役割に応じたアクセスや、最も弱い部分であるユーザーに安全なサイバーセキュリティの実践方法を教育することに重点を置いています。
OT とネットワークは通常、組織の収益源(または重要な公共サービス)を支える中核的資産を管理・制御しており、多くの場合自律的に動作する。OT または攻撃を受けた場合、特に重要インフラにおいてはITよりも深刻な影響が生じる。したがってOT 、物理的プロセスの安全かつ信頼性の高い運用を確保することを意味する。
OT 資産とネットワークの保護には、ITサイバーセキュリティの実践と比較して多くの課題があり、それはOT ITシステム自体の違いに密接に追従する。
OT IoT 、その膨大な数と多様性ゆえに、ITデバイスよりも管理が困難です。さらに、OT 内のあらゆるコンポーネントは、非常に分散化された環境において、より大規模なプロセスの一部を構成しています。ある機械に問題が発生した場合、その機械が何に依存しているか、また何がその機械に依存しているかを即座に把握しなければなりません。
従来、OT 「エアギャップ」方式を採用しており、インターネットや企業のITネットワークとは接続されていなかったため、サイバー脅威は懸念事項ではありませんでした。そのような時代はとっくに過ぎ去りましたが、OT におけるサイバーセキュリティは、依然として後回しにされがちです。 産業のデジタル化により、今日の生産環境には数百もの相互接続されたデジタルシステムが存在し、効率化をもたらす一方で新たなリスクも生み出しています。多くのOT 管理対象外であり、ITコンピュータやサーバーのようにパッチを適用することができません。パッチ適用が可能な場合でも、自動化することはできません。一部の例外を除き、脅威の検知は、OT向けに特別に設計されたディープパケットインスペクションや行動ベースの異常検知技術に依存しています。
ランサムウェア攻撃は見出しを飾るが、日常的なネットワークやプロセスの設定ミス、操作ミス、リソース使用量の急増、その他の異常は、外部からの攻撃よりもOT 環境を脅かす可能性がはるかに高い。異常とは、ベースライン・パフォーマンスから乖離するものを指します。不安定なプロセス値、不正確なプロセス測定値、誤動作につながる可能性のある設定ミスなどである。
OT 資産やプロセスを通じて移動するデータ(プロセス値など)は一瞬しか関連性がなく、こうしたデータポイントは1分間に数百万個あるかもしれない。したがって、OT サイバーセキュリティは、データの流出よりも、データが許可されたデバイス間でのみ移動し、すべての瞬間に最新であることを保証することに重点を置いています。
ほとんどのITはライフサイクルが短く、陳腐化する。ソフトウエアは、数年おきに更新されるか、メジャー・アップグレードが行われる。OT 一般的にライフサイクルが長く、場合によっては数十年に及ぶ。PLCのようなデバイスは、多くの場合、過酷な生産環境用に設計され、長持ちするように作られています。多くのOT デバイスは、いまだに「設計上安全ではない」レガシー・テクノロジーに依存しており、脆弱性が十分に文書化されているにもかかわらず、パッチが適用されないままであることがあまりにも多い。また、工場での承認や現場での受け入れテストが行われるまでに何年もかかることがあるため、小さな微調整は奨励されない。
一部のOT システム(およびそのコンポーネント)は、定期的なメンテナンスのための短いウィンドウを使用して、何年も継続的に実行されます。ダウンタイムは産業環境では致命的な故障につながる可能性があるため、継続的な運用は安全性と信頼性の確保に役立つ。パッチ(利用可能な場合)やその他のアップデートは頻繁には行われず、狭いメンテナンスウィンドウの間にスケジューリングされなければならない。
ITは標準的なオペレーティングシステムを使用し、標準プロトコルで通信する。OT 用途固有の独自OSを搭載している。OT 数百ものプロトコルで通信し、その多くは業界固有で本質的に安全性が低い。 これらのプロトコルは物理プロセスやデバイスのリアルタイム監視・制御向けに設計され、速度や柔軟性よりも信頼性、決定論的応答時間、耐障害性を優先する。 ModbusやProfibusなどの独自プロトコルは、不審な動作や異常を検知するためにディープパケットインスペクション(DPI)による詳細な分析が必要となる。IT向けの侵入検知システム(IDS)やエンドポイント検知・対応システム(EDR)は産業用プロトコルを理解しないため、OT脅威を検知できない。効果がないのが最良のケースであり、最悪の場合、過剰なリソースを消費したりシステムを破壊したりする可能性がある。
製造業者は、一日に何十人ものサードパーティの技術者がリモートでログインし、独自のリモートアクセスツールを使用して、製造の監視や機器のトラブルシューティングを行っている場合があります。脆弱な認証情報やデフォルト・パスワードの使用が緩いと、企業はリモート・コード実行による攻撃を受けやすくなる。
多要素認証(MFA)は現実的ではない。その代わりに、機器の認証と機器間の通信の完全性を確保するために、継続的な監視が使用される。
セグメンテーションは、通信を制限し、修復が困難あるいは不可能なデバイスを保護するための不可欠な是正措置です。産業システムの最重要資産を隔離し、ITネットワーク上のサイバーインシデントがOT 横方向に拡散するのを防ぐため、産業環境では、セグメント間のトラフィックを制御・監視するセキュアゾーンやコンダクトが活用されています。
サイバーセキュリティ・リスクを理解し、セキュリティのベスト・プラクティスを導入し、産業環境における意識の文化を創造することは、大きな文化の変革である。例えば、OT エンジニアにサイバーセキュリティ・リスクの軽減を定期メンテナンスとして受け入れてもらうには、発想の転換が必要です。CISO がエンタープライズ・リスク管理を受け入れ、OT ますますその権限下に置かれるようになるにつれて、このような転換が必要になります。
当初は懐疑的であったが、OT オペレータは継続的な資産とネットワークのモニタリングから多くのメリットを得ています。監視する資産やプロセスに関する豊富な情報を収集し、ベースラインからの異常やサイバーセキュリティの脅威といった重要な変化を検出するのに役立つ。さらに、一旦継続的な監視が始まると、一般的にオペレータがその存在を知らなかった長年の問題が露呈する。
Nozomi Networks プラットフォームがインストールされるとすぐに、ネットワークセンサーがICSネットワークトラフィックの分析を開始し、それをインタラクティブに可視化します。オペレーターやサイバーセキュリティスタッフは、産業用ネットワークノードが可視化されるのを見るのは初めてであることが多い。オペレーターやサイバーセキュリティスタッフは、これまで認識していなかった環境の側面を素早く認識し、より多くの情報を見つけるために簡単にドリルダウンすることができます。
OT 向けに特別に設計された、安全でシステムに負荷をかけないエンドポイントセンサーを導入することで、さらに有益な情報が得られるようになります。運用担当者は、設定の変更や異常だけでなく、どのユーザーがデバイスにログインしているか、そのデバイスがどのデバイスと通信しているか、またどのようなプロトコルを使用しているかといった情報も把握できるようになります。特に大きなメリットとなるのは、Purdueモデル下位層におけるイースト・ウエスト・トラフィックの可視化と、不正なUSB接続の検知です。
OT OTの融合型セキュリティ・オペレーション・センター(SOC)は、2つの文化が真正面からぶつかる場所です。中央CISOの監督、OT OTの融合、レスポンスタイムの改善、そしてもちろんコスト削減など、明らかな理由から人気が高まっています。しかし、統合されたSOCというよりは、従来のIT SOCチームが新たな顧客であるOT 事業部門にサービスを提供するケースが多い。よくあるのは、サービス・プロバイダーが顧客を理解していないという教科書的な例である。大規模な知識移転が必要であるにもかかわらず、それが行われない。
