OTセキュリティソリューションを選んでいますか？ 尋ねるべき7つの質問

「決断する前によく確認せよ」、これはセキュリティリーダーにとって、運用・制御技術（OT）環境で サイバーエクスポージャーを削減するセキュリティソリューションの選択を迫られた際の注意として有益なアドバイスです。そして、Gartner社こそ、そのアドバイスを授けてくれる適任者です。

Gartner社では、最近、テクノロジーの選択においてSRMリーダーがOTセキュリティプロバイダーに尋ねない7個の質問と題する研究ノートを公開しました。そこでは、見過ごされがちでありながら重要なOTセキュリティ要件を定義するのに役立つ情報が示されています。この研究ノートでGartnerが質問として投げかける各問題点への対処を、 Tenable Industrial Security がサポートする手法をここで概説しましょう。

#1.「ソリューションは、どのベンダーに対しても有効か？」*

Industrial Control System（ICS）のさまざまな資産をサポートするには、さまざまなプロトコルについて理解する必要があります。Tenable Industrial Securityは、OTデバイスで一般的に使用される、BACnet、CIP、DNP3、Ethernet/IP、ICCP、 IEC 69-0870-5-104、IEC 60850 、IEEE C37.118、Modbus/TCP、OPC、openSCADA、PROFINET、Siemens S7といった幅広い種類のプロトコルを監視します。

しかし、プロトコルのサポートは序の口に過ぎません。実際に使用しているOTデバイスのサポートも必要です。Industrial Securityでは、Siemens、ABB、Emerson、GE、Honeywell、Rockwell/Allen-Bradley、Schneider Electricをはじめとする数十社ものメーカーのシステムをサポートしています。さらに、Tenableでは、必要に応じて特定のデバイスへのサポートを追加するために、常にお客様と協力して取り組んでいます。

#2.「ソリューションには、運用・制御の継続性とシステム整合性を可能にする資産検出機能が用意されているか？」

資産検出は、実質的にあらゆるOTコンプライアンス要件とベストプラクティスの核となるものです。資産検出は、IT環境における課題です。OT環境では、OTネットワークをアクティブにスキャンすると、操作の中断や速度低下を招くことがあるため、さらに困難になります。したがって、Gartner社では、次のように推奨しています。「ソリューションは、業界ネットワーク通信をパッシブにスキャンおよび分析し、ネットワーク資産に関する情報を提供し、高度な異常検出機能を提供し、運用・制御の継続性やシステム整合性に対する脅威があればリアルタイムに警告を出せるようになっているべきです」*

Industrial Securityには、Nessus Network Monitorパッシブセンサーが含まれています。これは、OTネットワークを安全かつ継続的に監視し、ネットワーク上でアクティブになっている資産を検出および特定します。これらのセンサーは、ネットワークに追加された新しい資産を検出し、オペレーティングシステムをパッシブに判別し、マシン間接続を表示します。

#3.「ソリューションは、既知の一般的な脆弱性とエクスポージャーを検出し、警告を出すか？」*

ガートナーの調査ノートによれば、「CVEの既知の発見をセキュリティポリシーに組み込んだプラットフォームにより、迅速な検出が可能になり、導入の1日目からの価値がもたらされます」* Industrial Security特許の脆弱性分析技術は、中断やパフォーマンスへの影響の恐れがあるため、積極的にスキャンすることができない、機密OTシステムにおける脆弱性を特定します。レポートには、さまざまな形式で脆弱性情報が提供されます。さらに、重大な脆弱性に関する警告をSIEMに送信できます。

#4.「ソリューションは、ミラーモードからインラインセキュリティに発展可能か？」*

Gartnerによると、「旧式のPLCは予期しないトラフィックに遭遇すると動作を停止してしまうため、多くの業界のSRMリーダーは一般に、OTセキュリティシステムをパッシブな検出専用モード（ミラーモード）で展開し、アクティブな予防機能を無効にする傾向があります。これは、運用・制御技術ネットワークに予期しない影響が及ぶリスクを軽減できるという点で、始まりの段階では合理的です。しかし、特定の業界制御システムにおいては、ソリューションの構成を信任されている上述のリーダーたちが、しばしばインラインへの展開を望むため、一定のレベルのアクティブな予防措置が取られています」*この展開は、意味のあるところでは、より深い検出と分析をもたらします。

Industrial Securityのパッシブな検出および分析機能に加えて、 Tenable.io Vulnerability Managementには、OT環境に展開されたITベース資産などの堅牢な資産で使用できるアクティブスキャンとエージェントの両方が用意されています。自信がつくにつれ、アプローチの発展も容易になるでしょう。

#5.「ソリューションでは、OTに加えてITサポートが提供されているか？」*

Gartner社は次のように述べています。「過去10年間のOT攻撃の大半は、比較的アクセスが容易なITネットワークを起点としています。ITとOTの両方の検出機能を備えたセキュリティベンダーでは、OTネットワークに入る前のより早い段階で攻撃を検出できるので、対応や修復にさらに多くの時間を割けるようになります。OTプロトコルの保護、OT装置へのサプライヤーリモートアクセス、およびディープパケットインスペクション（DPI）など、OTセキュリティに固有のニーズに対応することが、採用候補となるソリューションの必要条件であることが明白です。しかし、OT検出機能に加えて、IT検出機能、監視機能、ビジビリティー機能もサポートする必要があります。」*

Tenableでは、相互接続されたOTシステムとITシステムが、単体ではセキュリティ保護できないことを理解しています。Tenableのソリューションは、Industrial-IoT/ICS/SCADA、クラウド、さらには従来のIT（各種ネットワークデバイスを含む）にまで及びます。

#6.「ソリューションは、セキュアIT/OTアラインメントをサポートしているか？」*

この質問は、OTアーキテクチャ層でITインフラストラクチャを利用するというトレンド、およびOTには適合しないITセキュリティのプラクティスやテクノロジーを使用する場合の潜在的なリスクに対処するものです。

Tenableでは、IT環境に適したアクティブなセキュリティテクノロジーが、OT環境において中断やパフォーマンス低下を引き起こす可能性があることを理解しています。Tenableは10年以上にわたってアクティブテクノロジーとパッシブテクノロジーの両方を提供してきました。パッシブテクノロジーでは、OT関連のプロトコルが考慮されています。

#7.「ソリューションは、ハードウェアまたは運用・制御環境の観点からOT環境内で動作するように設計されているか？」*

Industrial Securityは、お客様が選んだハードウェアにインストールできます。過酷な条件で動作するように設計された高耐久サーバーも例外ではありません。Industrial Securityの実装は、実際のネットワークや物理アーキテクチャの要件に合わせて設定できます。たとえば、複数のサブステーションのそれぞれにIndustrial Securityをインストールし、総合的なビジビリティを得るため結果をマスターインスタンスにまとめることができます。

Gartner社が無償で提供する研究ノート、テクノロジーの選択においてSRMリーダーがOTセキュリティプロバイダーに尋ねない7個の質問をお読みください（所要時間は10分程度です）。OTセキュリティのニーズについてご相談がありましたら、 今すぐTenableまでお問い合わせください。

*Gartner社、「テクノロジーの選択においてSRMリーダーがOTセキュリティプロバイダーに尋ねない 7個の質問」、Saniye Burcu Alaybeyi、2018年1月11日。