Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

IT-OT環境の産業セキュリティ対策が難しい理由IT セキュリティ専門家が苦労する理由

IT と OT 環境が融合された環境でサイバーセキュリティを提供するには、情報セキュリティ担当者が IT と OT の違いを理解した上で両方の環境を包括的に可視化できるツールセットを利用することが必須です。

IT とオペレーショナルテクノロジー (OT) 環境の両方を運用している場合、たとえ認識されていなくても、その 2 つの環境が融合されていることはほぼ間違いありません。OT がエアギャップで隔離されていたのは過去のことです。現在の OT は IT インフラを介して接続されているので、サイバー攻撃を目論む者は重要な OT インフラに容易に到達することができます。 また、最近の OT 環境内のデバイスはおよそ半数が IT デバイスであり、両者をはっきりと区別することはほとんど不可能なことが世界中の企業を支援している当社の経験で明らかです。

その結果、IT セキュリティの担当者が気が付いてみたら OT 環境のセキュリティ対策も管理している状態が多くなり、どこからセキュリティ対策を始めたらよいのかも全く分からないという状況も多いようです。その理由は、そもそも IT 環境と OT 環境が全く異なって構築されたものだからです。 両者の属性を比較した次の表をご覧ください。

IT 環境と OT 環境の比較                            

属性 IT OT
コントロール 集中型 ゾーン別
接続性 Any-to-any コンテキストベース (階層別)
重点 トップダウン - 事業運営にオペ―レーションとシステムが必要 ボトムアップ - 操業に工場、プロセス、機器のオペレーションとサポートが必要
リーチ グローバル規模のワイドエリアネットワーク (WAN) ローカルエリアネットワーク (LAN)
ネットワークポスチャ― CIA - 機密性 (C)、完全性 (I)、可用性 (A) AIC - 可用性 (A)、完全性 (I)、機密性 (C)
攻撃に対する応答 隔離/シャットダウンによる被害の軽減 24時間操業/ミッションクリティカル (侵害があっても絶対に停止しない)
懸念される最悪事態 ネットワークへの侵入 安全性の低下、可視性・制御性の損失
サイバーセキュリティの成熟度
弱点 厳格なセキュリティコントロール 安全でない行為

出典:Tenable、2021/12

では、どこからセキュリティ対策を始めたらよいのでしょうか。 最初のステップとしてお勧めするのは、上の表が明らかにしているIT 環境とOT 環境の相違点を理解して、それらが担当者の考え方や態度、さらに最終的にはセキュリティに関する意思決定にどのように影響する可能性があるかを考察することです。

IT/OT環境において「セキュリティ」は何を意味する?

OT と IT 環境では、「セキュリティ」という言葉の意味が違います。IT/OT セキュリティ担当者として駆け出しだったころ、100 人近くの OT 実務担当者の方々の前で大恥をかくところだった私を、当時の同僚が助けてくれたことがありました。(今は友人である彼女は一生の恩人です。) 同僚と私は、プレゼンする資料を一緒に見直していました。プレゼンでは、OT の実務担当者は、セキュリティに目を向けて本当に優先項目と位置付けなければならないと伝えるつもりでした。彼女は、それでは集まった OT 担当者はネガティブに反応する、OT 担当者は、すでになすこと全てに対してセキュリティを第一に捉えて業務にあたっているから、「えっ、どこがいけないのか?」 と言われるだろう、と説明してくれました。私は、自分の IT の経験から、「セキュリティ」イコール「サイバーセキュリティ」と捉えていたのです。 ところが、 OT の世界では、「セキュリティ」は「安全と物理的なセキュリティ」という意味なのです。 ですから、 1 つの言葉でも大きく異なった意味があることを学びました。

なぜ IT と OT 担当者の「セキュリティ」の見方にこのような開きがあるのでしょうか。

IT では「Data is King」と言われるように、セキュリティ上の最大の恐怖はネットワークの侵害です。悪意のある者がネットワークにアクセスすれば、データの完全性が損傷されたり、データが持ち出されたりロックされて企業でさえアクセスできない状態に陥る可能性があります。それとは対照的に、OT 環境は本質的に物理的な危険を伴うため、最大の恐怖と言えば最も重要な操業を停止させるような、ひいては従業員や地域を危険にさらすような事故です。 その結果、高度の安全性を維持するばかりでなく、「常時 ON 」の操業体制を目指し、その延長として環境の物理的なセキュリティ制御を徹底しようとする動機が強く働きます。

IT/OT環境によって構造が大きく異なる

この背景を参考にすると、上の表の内容が理解しやすくなります。IT セキュリティの担当者は、だれでもどの資産でも、ネットワーク上のあらゆる場所にある、あらゆる資産やデータにアクセスできることを許可する Any-to-Any のインフラを提供できる集中管理を採用します。これはビジネスの運営に必要なシステムやプロセスを内在するワイドエリアネットワーク (WAN) です。

反対に、OT 環境はプライバシーをもっと重要視した設計で、制御に制限が付加されているのが前提になります。環境が細かく区分されていると、権限が与えられている人や資産でも、それぞれの範囲以外の資産にはアクセスできません。これはビジネスの運営をサポートするシステムやプロセスが内在するローカルエリアネットワーク (LAN) です。 ここにあるデバイスのほとんどは、各ゾーン内のデバイスと通信すればよく、外の世界と通信することは意図されていません。

IT/OT環境でセキュリティの視点が異なる

OTとITではネットワークの接続形態が異なり、セキュアであることの定義も異なることを理解すると、たとえ同一企業内であっても、双方のセキュリティ部門の優先項目や、攻撃があった場合の応答が正反対であることも、不思議ではないことが分かります。IT セキュリティ担当者は、C-I-A (機密性、完全性、可用性) の優先順位でIT 環境を捉えるのに反して、OT 担当者は、上の表にあるように A-I-C の正反対の観点で捉えています。上述のとおり、ITセキュリティにとってデータが絶対に最重要であるため、その機密性と完全性を確保することは、どんな場合でも可用性よりも優先されます。 しかし、安全性を重視する OT 担当者は、オペレーションが常に可用であって環境がスムーズに動作し、大災害に至る潜在性のある障害などがないことを必須と見なします。

このように異なる優先順位は、行動にどのように表れるでしょうか。万が一攻撃があった場合、IT セキュリティ担当者は、影響を受けたシステムをできるだけ早く隔離して停止して、問題を封じ込めてデータ漏洩を最小限に留めようとします。 しかし、 OT は反対のアプローチを取って、重要インフラの常時稼働を維持しようとするでしょう。 もちろん、攻撃によって OT デバイスが誤動作して、事業、従業員、周辺地域や住民に危険があるような場合は例外です。

IT/OT環境で使用するツールの種類

IT セキュリティ担当者が OT セキュリティにも対応しようとする場合、従来の IT セキュリティ用のツールの多くが OT 環境で機能しないという事実が最も大きな課題となります。事実、IT セキュリティのツールの中でも最も基本的なもの、例えばスキャナーが、OT ネットワークをクラッシュさせてしまうこともあります。ですから、必ず OT 環境で動作が実証されたスキャナーを選択してください。その反面、ツールを重複して使用してしまうリスクもあります。作業と環境別に必要なツールが確実に準備されることはよくても、管理面、また、作業者がきちんと使用できるようなトレーニングを提供する必要があることからも、手間のかかる問題になりかねません。

さらに、本当に複雑な問題 – どのようにしたら全く異なる環境から別々に収集したデータをすべて統合して 1 つのダッシュボードにまとめ、すべての資産を可視化してアタックサーフェス全体すべてのセキュリティ問題を優先順位付けできるかという問題 – が生じます。拡張されたアタックサーフェス全体すべての環境を包括的に表示して評価できる能力のある、充分に統合されたソリューションがなければ、セキュリティの全体像を完全に理解するのに指数関数的に膨大な時間が必要になるでしょう。 しかも、重大なセキュリティ問題を見逃してしまう、という本当の危険が伴います。

IT/OT環境の産業セキュリティボトムライン

IT/OT が融合されたネットワークの管理責任者は、両環境の違いと、OT 環境に特有の課題を理解することが絶対に必要です。 また、その理解と同様に重要なのは、 OT 環境に対応し、その上補完的な IT セキュリティツールと統合して企業のセキュリティ体制を包括的に提示できる適切なセキュリティツールを利用することです。 そして、人的およびプロセスの観点からは :

  • 必ず IT セキュリティ専門の担当者が OT 責任者と顔を合わせて、OT 環境に特有な、本質的な相違点を深く理解するようにしてください。
  • 時間をかけて OT のニーズと優先項目が何か、 なぜ重要なのかを理解して、IT セキュリティの考え方を OT 側に押し付けないようにしてください。
  • OT 環境は、比較的最近になって外部と接続されるようになったことを理解してください。 OT 責任者は、セキュリティの成熟度の観点からはまだ初期の段階です。
  • 担当者の「心をつかむこと」が第一です。ですから、一夜にして「理想的なセキュリティ」を達成させるよりも、段階的に変更を導入していくことを前向きに検討してください。

もっと詳しく

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格の有効期間が12月末日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加