OT セキュリティで 1.0 の可視性を実現するには

現代の産業環境ではIT 資産がその 2 割から 5 割を占め、IT/OT が融合されたアタックサーフェス全体の可視化が必要になっています。

最近製造環境または重要インフラ環境で起きたセキュリティ被害を思い浮かべてください。ニュースで報道された攻撃、または同僚から聞いた被害、またはご自分が経験された障害かもしれません。きっと多くの例を思いつかれるのではないでしょうか。被害者は、ほとんど例外なく口をそろえて「こんなことが起きるとは。気が付いたときにはもう手遅れだった」と打ち明けています。

特に、IT 環境ほど資産の入れ替えが激しくないオペレーショナルテクノロジー (OT) 環境で、このような状況が見受けられます。OT では「一旦設定すれば後は忘れてしまってもよい」という典型的なアプローチが幅を利かせ、設定を変えずに何十年も運用されている場合もあります。この文句の「後は忘れてしまってもよい」という部分が可視性の危機的な問題を浮き彫りにしています。対象がわからないものをどうやって保護することができるでしょうか。

企業のセキュリティの確立において、可視性が最も重要な要素であることは明白ですが、その獲得はそれほど単純ではありません。可視性が確保できて初めて、セキュリティと制御が適用でき、サイバー攻撃の回避が実現できます。その方策として次の ３ つのプラクティスを提唱します。 

• スケーラブルなカバレッジを選ぶこと。 必ず、管理下の環境がサポートできるセキュリティを選ぶことが重要です。OT セキュリティ製品やソリューションを購入した後で、OT 運用で必要なプロトコルやロジックコントローラーのサポートがないことが発覚するケースをよく耳にします。これは、購入前の POC の段階で確認しておけば避けられることです。現在必要なカバレッジと、将来採用が考えられる PLC 製造元の広範囲なサポートがあるかどうかを確認することが重要です。企業のニーズに伴って成長できる製品を選んで、前方互換性のない製品に縛られてしまうのを避けましょう。
• OT は単に OT だけを指すものではない。 典型的な OT 環境では、インフラの 20% に IT デバイスが含まれていることが考えられ、コンバージド環境の場合は 50% にもなる可能性が充分あります。個別対応の OT セキュリティ 製品は OT 資産そのものは十分にサポートできても、OT 環境内の IT デバイスに対しては全く無能です。最近の Lockergoga、EKANS、Ripple などの被害の事例をみると、攻撃は IT と OT を跨っています。部分的な可視性に頼っていると、誤った安心感に引き込まれて膨大なサイバーリスクを招いてしまう恐れがあります。必要な可視性を得るには、ネットワークと OT デバイスに対する深いインテリジェンスを備え、さらに OT の領域を超えて IT をも網羅したコンバージド環境を遮なく見渡せる OT セキュリティソリューションが必要です。 
• 溢れるデータに優先順位を付ける。 必要な可視性が得られると、処理しなければならないデータの量が大幅に増加します。アラーム、アラート、調査をどのように見分けて判定するべきでしょうか。優先順位が付けられたリスクのスコアがなければ、どのアラームが最も危険かはわかりません。攻撃の種類、資産の重要度、エクスプロイトコードの有無、その他の主な要因を考慮に入れれば、特定の企業のリスク度が判定できます。この情報を得ることによって、セキュリティ部門は、明らかに現時点で高リスクが認められるサイバー上のリスク流動資産の露呈に重点を置くことができ、リスク度の低いアラームは後日対処するように計画できます。 

最重要インフラや製造環境で増加する攻撃の波を押しとどめるには、OT 環境の各所に潜むセキュリティ事件の温床、いわゆる「闇に隠れた裏通り」を明るく照らしてやらなければなりません。OT セキュリティのツールさえ適切なものを採用すれば、必要とする可視性が得られ、保護すべき対象が確認できるようになります。 

Tenable では最近、上の 3 つのベストプラクティスを盛り込んだ Tenable.ot 3.7 をリリースしました。Tenable.ot 3.7 は、現在利用可能な産業コントローラーの 90% 以上に対応しており、毎月デバイスを追加してカバレッジを拡充しています。Tenable.ot 3.7 には Nessus が統合されています。その結果、産業環境における IT と OT の両方をサポートし、どの分野のセキュリティ事象にも対応できる専門知識が提供されています。Tenable.ot には弊社の Vulnerability Priority Rating (VPR) も追加されています。VPR は、企業へのリスク度を考慮に入れて脆弱性の実際の危険度を判定することができます。 

Tenable.ot 3.7 は、その他多くの機能の追加によって強化され、企業を危険にさらす可能性のある IT/OT 環境のコンバージェンスや進化の一方をたどるセキュリティ脅威に対して有効です。 Tenable.ot の製品アップデートについては こちらの報道発表 をご覧ください。適切なビジビリティ、セキュリティ、コントロールを導入すれば、容認できないリスクにさらされることなく、新テクノロジーのメリットをフルに活用することができます。