サイバーセキュリティに関するよくある質問

なぜITエンドポイント・セキュリティ・エージェントはOT働かないのか?

サイバーセキュリティに関するFAQ

なぜITエンドポイント・セキュリティ・エージェントはOT働かないのか?

ITエンドポイント・セキュリティ・エージェントは、重量級で破壊的であり、OTIoT OTプロトコルを理解できず、OT 環境について訓練されていないため、間違った脅威を検知するため、OT 機能しない。

エンドポイント・セキュリティ・エージェントは、デスクトップ・コンピュータ、ラップトップ、プリンターだけでなく、爆発的に増加するIoT デバイスやリモート・デバイスにおいても、ITセキュリティ導入の標準的な部分となっている。エンドポイント・セキュリティ・エージェントは、アンチウィルス保護とパッチ適用に不可欠である。しかし残念なことに、ITに特化したエージェントをOT デバイスに導入した否定的な経験から、必要とされるエンドポイント・モニタリングの導入はほとんど行われていない。

従来のエンドポイントエージェントが産業環境において不十分であった主な理由を以下に挙げる:

1. 重量級で破壊的

多くのOT 機器やコントローラは、特定のタスクを実行するために設計された限られたコンピューティング・パワーとメモリしか持っていない。標準的なアンチウイルス・エージェントでさえ、多くのリソースを消費する。また、ITエンドポイント・セキュリティ・ソリューションは通常、インストール後にシステムの再起動を必要とするため、ダウンタイムが発生します。

2. 間違った脅迫

従来の脆弱性スキャンと侵入防止システムは、IT環境で訓練されたヒューリスティックと機械学習モデルを使用してITの脅威を検出するように設計されています。これらのシステムは、産業界の脅威を探したり、産業界の通信プロトコルを理解したり、OT ベースラインを認識したりすることはできない。例えば、アンチウィルス・ソリューションはワークステーションに対する可視性を提供するが、産業用コントローラーやアクチュエーターに対する洞察を提供することはできない。その結果、エンジニアリング・ハードウェアを応答不能にしたり、正当な安全プロトコルや制御システム・コマンドを悪意のあるものとしてフラグを立てたり、プロセスを停止させたり、マルウェアと認識した重要なアプリケーションを削除したりすることもある。

3.カーネルレベルのアクセス

2024年7月19日にWindowsデバイスで世界的な大規模停電を引き起こしたことで、現在悪名高いCrowdStrikeのFalconエンドポイントセンサーの欠陥コンテンツアップデートは、OT 関係者に産業環境へのエージェントの配備をさらに警戒させることになった。

この事件は、OT 環境特有の高可用性要件を保護するために構築されたエンドポイント・セキュリティ・エージェントが、安全かつ無停止であることを保証することがいかに重要であるかを浮き彫りにしている。

2023年にリリースされたNozomi Arc 、ホストOSのカーネルレベルでは動作せず、マシンをリブートすることもなく、システムリソースの消費も非常に軽い。

OT デバイスのための安全で効果的なエンドポイントセキュリティ

Nozomi Arcは、OT エンドポイント特有の高可用性要件を保護するために作られた、安全で無停止のセキュリティエージェントです。ネットワークセンサーが実用的でなかったり、東西トラフィック、USBポート、ログファイル、ローカルネットワークトラフィック、ユーザーアクティビティを検出するのに不十分であったりする、かつては到達不可能で監視されていなかった環境の領域に光を当てます。 

福利厚生は以下の通り:

  • デバイスのタイプ、ベンダー、OSまたはファームウェアのバージョン、シリアル番号、IPおよびMacアドレス、ノード、ゾーン、使用されているプロトコル、アクティブなアカウント、疑わしいユーザーアクティビティなどの詳細なデータを提供します。
  • 感染したサードパーティのノートパソコンなどの脅威を検出します。オペレーターのミス、悪意のある内部の脅威、盗まれた認証情報
  • SIGMAルールを使用してホスト・ログ・ファイルのイベント・パターンを分析し、マルウェア、クレデンシャル盗難、スクリプト・ダウンロードなどの進行中のイベントを検出します。このコンテキストは、オペレーターとセキュリティ・アナリストの両方に役立ちます。
  • オペレーターは、トラブルシューティングの情報を得ることができ、信頼関係の構築に大きく貢献する。エンドポイント・センサを使えば、設定の変更や異常だけでなく、誰がデバイスにログオンしているのか、どのような他のデバイスと通信しているのか、どのようなプロトコルを使用しているのかを確認することができる。

OT エンドポイントセンサーの主な使用例

1.クラウンジュエルの戦略的展開

ネットワーク・モニタリングはあなたの環境では過剰ですが、それでも守るべき重要な資産があるとします。エンドポイント・センサは、これらの資産にのみエージェントを導入し、最も重要なものを監視することを可能にします。エンドポイントセンサーは、数回のクリックと再起動なしで、数百の重要なエンドポイントにインストールできます。

2. よりスピーディーで手間のかからない展開

たとえば,リモートにある変電所では,スイッチの再設定は年 1回の 1時間の停電時しかできないとします.あるいは,空きポートのない 12年前のラインスイッチを扱っているかもしれません.この場合も,再起動不要のエンドポイントセンサーを設置するだけです.

3. 低帯域幅,高遅延ネットワーク

貨物船は,端末センサーの最適な候補です. 貨物船は衛星通信に依存しており,ケーブルの敷設はほぼ不可能です.

4. 単発または短期のモニタリング

たとえば,契約技術者が接続している間だけその技術者を監視したいとします.エンドポイントセンサーをインストールして,その技術者が接続しているマシンを監視し,その技術者がログアウトした際に自動的に削除されるように設定することができます.

5. オフライン機器の監視

ホストデバイスがトラフィックの送受信を行っていない場合でも,Nozomi Arc はデータをローカルに収集し,ユーザーがネットワークに接続すると,そのデータを上位に送信します.これは,フィールドデバイスやモバイルワーカーから詳細な監査証跡を取得する優れた方法です.

ITエンドポイント・セキュリティ・エージェントは、重量級で破壊的であり、OTIoT OTプロトコルを理解できず、OT 環境について訓練されていないため、間違った脅威を検知するため、OT 機能しない。

エンドポイント・セキュリティ・エージェントは、デスクトップ・コンピュータ、ラップトップ、プリンターだけでなく、爆発的に増加するIoT デバイスやリモート・デバイスにおいても、ITセキュリティ導入の標準的な部分となっている。エンドポイント・セキュリティ・エージェントは、アンチウィルス保護とパッチ適用に不可欠である。しかし残念なことに、ITに特化したエージェントをOT デバイスに導入した否定的な経験から、必要とされるエンドポイント・モニタリングの導入はほとんど行われていない。

従来のエンドポイントエージェントが産業環境において不十分であった主な理由を以下に挙げる:

1. 重量級で破壊的

多くのOT 機器やコントローラは、特定のタスクを実行するために設計された限られたコンピューティング・パワーとメモリしか持っていない。標準的なアンチウイルス・エージェントでさえ、多くのリソースを消費する。また、ITエンドポイント・セキュリティ・ソリューションは通常、インストール後にシステムの再起動を必要とするため、ダウンタイムが発生します。

2. 間違った脅迫

従来の脆弱性スキャンと侵入防止システムは、IT環境で訓練されたヒューリスティックと機械学習モデルを使用してITの脅威を検出するように設計されています。これらのシステムは、産業界の脅威を探したり、産業界の通信プロトコルを理解したり、OT ベースラインを認識したりすることはできない。例えば、アンチウィルス・ソリューションはワークステーションに対する可視性を提供するが、産業用コントローラーやアクチュエーターに対する洞察を提供することはできない。その結果、エンジニアリング・ハードウェアを応答不能にしたり、正当な安全プロトコルや制御システム・コマンドを悪意のあるものとしてフラグを立てたり、プロセスを停止させたり、マルウェアと認識した重要なアプリケーションを削除したりすることもある。

3.カーネルレベルのアクセス

2024年7月19日にWindowsデバイスで世界的な大規模停電を引き起こしたことで、現在悪名高いCrowdStrikeのFalconエンドポイントセンサーの欠陥コンテンツアップデートは、OT 関係者に産業環境へのエージェントの配備をさらに警戒させることになった。

この事件は、OT 環境特有の高可用性要件を保護するために構築されたエンドポイント・セキュリティ・エージェントが、安全かつ無停止であることを保証することがいかに重要であるかを浮き彫りにしている。

2023年にリリースされたNozomi Arc 、ホストOSのカーネルレベルでは動作せず、マシンをリブートすることもなく、システムリソースの消費も非常に軽い。

OT デバイスのための安全で効果的なエンドポイントセキュリティ

Nozomi Arcは、OT エンドポイント特有の高可用性要件を保護するために作られた、安全で無停止のセキュリティエージェントです。ネットワークセンサーが実用的でなかったり、東西トラフィック、USBポート、ログファイル、ローカルネットワークトラフィック、ユーザーアクティビティを検出するのに不十分であったりする、かつては到達不可能で監視されていなかった環境の領域に光を当てます。 

福利厚生は以下の通り:

  • デバイスのタイプ、ベンダー、OSまたはファームウェアのバージョン、シリアル番号、IPおよびMacアドレス、ノード、ゾーン、使用されているプロトコル、アクティブなアカウント、疑わしいユーザーアクティビティなどの詳細なデータを提供します。
  • 感染したサードパーティのノートパソコンなどの脅威を検出します。オペレーターのミス、悪意のある内部の脅威、盗まれた認証情報
  • SIGMAルールを使用してホスト・ログ・ファイルのイベント・パターンを分析し、マルウェア、クレデンシャル盗難、スクリプト・ダウンロードなどの進行中のイベントを検出します。このコンテキストは、オペレーターとセキュリティ・アナリストの両方に役立ちます。
  • オペレーターは、トラブルシューティングの情報を得ることができ、信頼関係の構築に大きく貢献する。エンドポイント・センサを使えば、設定の変更や異常だけでなく、誰がデバイスにログオンしているのか、どのような他のデバイスと通信しているのか、どのようなプロトコルを使用しているのかを確認することができる。

OT エンドポイントセンサーの主な使用例

1.クラウンジュエルの戦略的展開

ネットワーク・モニタリングはあなたの環境では過剰ですが、それでも守るべき重要な資産があるとします。エンドポイント・センサは、これらの資産にのみエージェントを導入し、最も重要なものを監視することを可能にします。エンドポイントセンサーは、数回のクリックと再起動なしで、数百の重要なエンドポイントにインストールできます。

2. よりスピーディーで手間のかからない展開

たとえば,リモートにある変電所では,スイッチの再設定は年 1回の 1時間の停電時しかできないとします.あるいは,空きポートのない 12年前のラインスイッチを扱っているかもしれません.この場合も,再起動不要のエンドポイントセンサーを設置するだけです.

3. 低帯域幅,高遅延ネットワーク

貨物船は,端末センサーの最適な候補です. 貨物船は衛星通信に依存しており,ケーブルの敷設はほぼ不可能です.

4. 単発または短期のモニタリング

たとえば,契約技術者が接続している間だけその技術者を監視したいとします.エンドポイントセンサーをインストールして,その技術者が接続しているマシンを監視し,その技術者がログアウトした際に自動的に削除されるように設定することができます.

5. オフライン機器の監視

ホストデバイスがトラフィックの送受信を行っていない場合でも,Nozomi Arc はデータをローカルに収集し,ユーザーがネットワークに接続すると,そのデータを上位に送信します.これは,フィールドデバイスやモバイルワーカーから詳細な監査証跡を取得する優れた方法です.

よくある質問に戻る