Tenable ブログ
ブログ通知を受信する2020年の産業界のサイバーセキュリティに関する7つの予測(英語)
2020年、私たちは新たな攻撃ベクトルの出現、OT と IT のさらなる融合、そしてクラウドによるサポートを見ることになるでしょう。産業界のサイバーセキュリティに関する7つの予測と、2020年を通して組織としていかに準備すべきか、アドバイスをご紹介します。
情報技術 (IT) とオペレーショナルテクノロジー (OT) は、産業用のモノのインターネット (IIoT) の採用により急激に変化し、融合しています。その進化に伴い、ハッカーは新しい攻撃ベクトルと新しいアタックサーフェスを探しています。
組織、そして2020年の産業界のサイバーセキュリティにとって、これが意味するところについて考えたいと思います。
2020年に産業界が直面するであろうと Tenable が考える事象に関する7つの重要な予測と、これに対して皆様が準備できることに対してのアドバイスをご紹介します。まず初めに、私たちの予測に影響を及ぼす産業界の変化について見ていきましょう。
背景の概観
ネットワークやデバイスを保護するためには、以前は物理的な隔離をすれば十分でした。現在では、業務上必要不可欠な産業用のプロセスが侵入や破壊行為に対して脆弱である状況を無視することはできません。
物理的に隔離されたシステムを標的とし、侵害した2010年の Stuxnet ワームが出現したのはもう10年前で、以降 IT と OT に対する攻撃は増加の一途をたどってきました。
2019年の Ponemon Institute および Tenable の調査結果によると、OT インフラストラクチャの組織に所属する回答者の90%が、過去2年のうちに被害を伴う IT または OT サイバーアタックを少なくとも1回経験したことがわかりました。そのうち約60% は、2回以上攻撃を受けていました。
増加するこれらの攻撃に対し、多くの産業用インフラおよび重要インフラ組織は、IT インフラストラクチャのみならず、OT インフラストラクチャの安全に向けても、様々な形で投資を行っています。
業界が直面する課題の難易度が高まるにつれて、産業用制御システム (ICS) セキュリティはすぐに、重要インフラおよび産業用設備を運用する組織の大多数で、規模、場所または分野によらず、必須のものとなりました。
Tenable が市場から得た知見、企業のシステムの安全性を担っている専門家との会話に基づいて、2020年の ICS 環境に関して予測を行いました。2020年の産業界のサイバーセキュリティに関する7つの予測と、組織の準備に向けたアドバイスをご紹介します。
1. テクノロジーの融合が新たな攻撃ベクトルをもたらす
2020年には、IT と OT の融合、そして IoT の採用は、過去に例のないペースで加速します。その境界は、ますます曖昧になります。これにより、皆様のチームが監視し、防衛する必要のある、新しいアタックサーフェスと攻撃ベクトルが生じます。
OT システムは、独占的で標準ではない旧来のプロトコルやインターフェイスを特徴としており、攻撃者に多くの攻撃オプションを提供するとともに、防御側の対応もよりいっそう難しくなっていきます。
私からの提言: 産業用制御システムを物理的に遮断するかどうかに関わらず、OT ベースの攻撃は現実に存在する危険です。「設定した後は放っておけばよい」という主張は、OT 環境の管理方法としては適切ではありません。OT の脅威を早期に検出するには、ネットワークとデバイスレベルでの継続的な ICS のための監視機能が不可欠です。
2. OT から IT への攻撃が現実となる
過去24か月間で、IT を足掛かりに OT ネットワークへと広がる横方向の攻撃に関する記録を収集してきましたが、2020年、私たちは OT から IT への攻撃の出現を目撃することになるでしょう。
たとえば、OT ネットワーク内の ICS デバイスを故意に侵害し、IT ネットワークおよび顧客データベースなどの資産へのアクセス権限を取得する攻撃が考えられます。
従来から OT 環境は、IT システムほど十分には防御されていないため、攻撃者は OT 環境を標的とします。IT データリポジトリを狙う攻撃者にとって、最も抵抗の少ないルートとなります。
私からの提言: 信頼のエコシステム、および IT と OT セキュリティ間の連携体制を構築し、これらの攻撃を検出するための情報共有を促進しましょう。また、デバイスレベルで問題を特定するためにデバイスの完全性を活用して、攻撃がネットワーク全体に広がる前に食い止めましょう。
3. 攻撃により OT セキュリティの弱点が露呈する
攻撃者は最も抵抗の少ないルートの探索において、大規模組織の支店やリモート拠点などの OT インフラストラクチャを標的とします。
一般的にこれらのリモートや小規模な拠点は、より大きな OT ネットワークに接続されています。たとえば、電力会社の場合は地域の送配電網に接続されています。こういった拠点の防御力は非常に低く、攻撃に対して極めて脆弱であるという傾向もあります。攻撃者は、連鎖的な影響が起こることを期待しつつ、リモート拠点、あるいは小規模の電力会社でさえも侵害しようとします。
私からの提言: 業務遂行に必要不可欠なオペレーションの崩壊や、横方向の IT データ収集の侵害を回避するために、支店やリモート拠点にある OT インフラストラクチャの監視と防御にも、主要な拠点と同等の注意を払いましょう。攻撃者はリモート拠点を悪用して、本社や取引先の拠点にバックホール攻撃を仕掛けることができます。
4. 重要インフラの定義が広がる
重要インフラに対する従来の認識は、2020年に大きく拡張され、エネルギー供給網を超えて、新たなターゲットを含むようになります。
ビル管理システム、運送と物流、建設重機、食品・飲料サプライチェーンその他の業界が、重要インフラとして認識されるようになると考えられます。
米国国土安全保障省による16の重要インフラストラクチャセクターがより広く認識されることを想定しましょう。 加えて、2020年は米国大統領選挙の年でもあるため、選挙システムのセキュリティも念頭に置かれます。
私からの提言: 重要ではないと分類される、極度に小規模、あるいは極端に隔離されているインフラストラクチャは、これまでは標的とは見なされませんでしたが、今後は保護や監視が必要となります。プログラマブルロジックコントローラー (PLC)、分散制御システム (DCS)、またはインテリジェント電子装置 (IED)を配置した場所であればどこでも、規模、場所、そして外部への接続の有無にかかわらず、OT のセキュリティを考慮すべきです。
5. クラウドベースのサービスとしての ICS が広く採用される
組織は、物理的な展開が非現実的である、あるいは実現不可能な場所に OT セキュリティを導入する上で、クラウドが信頼のおける方法であることを認識するでしょう。
クラウドによる OT セキュリティは、他のテクノロジーインフラの構成要素、例えばオンプレミス CRM 対 Salesforce のようなサービスとしてのソフトウェアのクラウドベースツール、ローカル対オンラインのアンチウイルス、より最近では、ホストベース対クラウドベースのエンドポイント検出応答 (EDR) と同様の、不採用/採用の道程を経ます。
私からの提言: 現状で主要な導入先ほど強力なコントロールがない、リモートまたは分散された拠点に対しては、クラウドによる OT セキュリティ代替案を検討しましょう。
6. 連携型のセキュリティでは、IT が当事者としてより大きな役割を持つ
2020年には多くの産業界の組織が、セキュリティの責任は OT チームと IT チームとの間で分担されるべきであると認識するでしょう。
セキュリティ上の内部の脅威と外部の脅威の両方に対する認識が生まれ、その普及に伴い、過去24か月間で IT チームと OT チームのコラボレーションが着実に増しています。OT チームは従来、ICS ネットワークへの IT の介入を嫌ってきましたが、2020年は IT チームがその数十年の経験を活かして、OT のセキュリティを主導すると予想します。
OT チームからの重要なサポートとインプットを受け、IT チームが合同で OT のセキュリティプロジェクトに対するガイドラインを制定することになると予測します。
私からの提言: IT のセキュリティアプローチは、OT セキュリティの優先事項や課題と大きく異なるため、組織はこの2つのアプローチを融合させる必要があります。IT と OT のセキュリティプロトコルからベストプラクティスを採用して、可視性、セキュリティ、コントロールが最適化された新しいアーキテクチャを構築する必要があります。
7. サイバースキルのギャップが OT に波及する
(ISC)2は、2022年までに、現在グローバルに不足している IT セキュリティ技術者 (400万件以上の埋まらないポスト) に加えて、OT セキュリティの埋まらないポスト数が180万件に達すると予測しています。
今年は、OT と IT の一体化したスキルのギャップにより、新たなリスクが発生すると予測されます。すなわち、組織の既存の人員には、必要となる IT と OT が交差したセキュリティのスキルが欠けているかもしれないが、新しい役職に適任である候補者も不足するというリスクです。
私からの提言: 現在のギャップをマッピングしましょう。そして、OT SCADA チームと IT セキュリティ部門の対となるチームに対して、厳格なスキル評価を実施しましょう。ギャップを埋めることを目的としたクロストレーニングを開始しましょう。また今回の機会を、新卒者や経験の少ない候補者を採用し、IT/OT 環境におけるセキュリティ対応を初日からトレーニングする機会として受け止めましょう。
もっと詳しく
オン・デマンド・ウェビナー「Tenable と Indegy: IT および OT セキュリティのための、業界初の統一されたリスクベースのプラットフォーム」をご覧ください。
関連記事
- SCADA