最適なフレームワークを選びましょう。資産の可視性は、運用技術(OT)とモノのインターネット(IoT)のサイバーセキュリティの基盤です。
IEC 62443、NISTサイバーセキュリティフレームワーク2.0、あるいはSANSのICS向け5つの重要なコントロールのいずれに準拠する場合でも、資産インベントリは最初のステップです。
なぜでしょうか?
見えないものは管理できないからです。
リスクを評価し、ネットワークをセグメント化し、脆弱性を管理し、効果的なインシデント対応計画を実装する前に、ネットワーク上に何があるのか、何と通信しているのかを把握する必要があります。
非常に基本的なことですが、ベンダーによって資産インベントリ管理の意味合いは大きく異なります。この基本的なステップを省略すると、サイバーセキュリティプログラムの実用的な基盤を構築するどころか、結局は「見栄えのいいだけのIPアドレス一覧データベース」に終わってしまうかもしれません。
完全で正確な OT/IoT 資産インベントリを実現する際の主な課題
過去10年間のデジタルトランスフォーメーションにより、産業資産のインベントリ管理はますます複雑化しています。効率性を高めるため、今日の環境では資産の種類や資産数が爆発的に増加しており、攻撃対象領域が劇的に拡大し、新たな課題が生じています。
可視性の欠如
OT、IoT、IT環境全体の資産を一元的に把握できないため、盲点が生じ、リスクにさらされます。
多様な環境
多様なベンダー、プロトコル、デバイスタイプ(PLC、RTU、センサー、HMIなど)
レガシーツールとインフラストラクチャ
古い機器は、最新の監視ツールや検出ツールをサポートしていない可能性があります。ファームウェアやOSのバージョンが古くなったり、パッチを適用できない場合もあります。
検出の制限事項
アクティブ検出とパッシブ検出をバランスよく組み合わせることで、運用を中断することなくすべてのデバイスを識別します。
セキュリティリスクとコンプライアンス
正確な資産データとコンテキストがなければ、NIST CSF 2.0、IEC 62443、NERC CIPなどの標準に準拠することは困難です。
ダイナミックな環境
環境内で頻繁に発生する変化(例:協力会社による新規デバイスの追加、モバイル資産の導入など)が、インベントリのずれ(正確性の低下)を引き起こします。
サイロ化されたチームとツール
ITチームは異なるツールを使用することが多く、産業環境に関する理解が限られているため、効果的な連携が図れない場合があります。
不完全なコンテキスト
資産ツールは、ファームウェアのバージョン、通信パターン、プロセスの関連性などの運用コンテキストを提供しない場合があります。
OT・IoT資産インベントリソリューションを選ぶ際に重視すべき5つの重要ポイント
サイバーセキュリティプログラムの基盤となる資産インベントリソリューションは、資産の検出と識別だけにとどまらず、デバイスの動作や通信に関する詳細な情報も提供する必要があります。評価すべき5つのポイントをご紹介します。
1. セキュリティセンサーの多様性
環境内のあらゆる資産を検出・識別するには、従来のネットワークセンサーを超えた多様なセンサーが必要です。これらのセンサーはそれぞれ、産業用プロトコルを読み取り、システムを停止させることなく動作できるよう、OT/ICS環境向けに特別に設計されている必要があります。
ネットワークセンサーとリモートコレクター
ネットワークセンサーとリモートコレクターは、ネットワークデータを受動的に収集、分析、可視化することで、継続的な監視、脅威および異常検出を実現します。
ガーディアンネットワークセンサーは、エージェントや問い合わせを必要とせずにローカルトラフィックを監視し、デバイスを識別してアクティビティを監視します。
フォームファクターには、ラックマウント型ハードウェア、高耐久性ハードウェア、仮想化、ポータブル、コンテナ化などがあります。
小型でリソースの少ないリモート コレクターは、Guardian センサーと連携して、ネットワーク センサーがコスト効率が悪く実用的ではない荒野、沖合、分散した場所など、アクセスが困難な場所や無人の場所からデータを取得します。
ワイヤレスセンサー
産業および重要インフラ環境における無線接続デバイスの爆発的な増加により、攻撃対象領域が大幅に拡大しています。
プロセス制御ネットワークは、Wi-FiやBluetoothに加えて、低消費電力でセンサーとコントローラ間の信頼性の高い通信を実現するために設計された専用の無線プロトコルに依存しています。
Nozomi Guardian Airは、Wi-FiやBluetoothだけでなく、Zigbee、LoRaWAN、Drone RFなど、OT/IoT環境で頻繁に使用されるその他の無線プロトコルも検出するように設計された初の無線センサーです。
エンドポイントセンサー
ITセキュリティにおいて、エンドポイントエージェントはウイルス対策やパッチ適用のために広く利用されています。しかし残念なことに、ITに特化したエージェントをOTデバイスに導入した際のネガティブな経験から、産業環境では切実に必要とされるエンドポイント監視の導入が進んでいません。これも同様にリスクを伴います。
従来のICSネットワーク監視ソリューションは、パーデューレベルまたはファイアウォール間の縦方向トラフィックを監視しますが、ゾーン内、特に下位のパーデューレベルにおけるデバイス間の横方向通信は長らく盲点となっていました。さらに、エンドポイント監視は、ユーザーアクティビティとイベントを相関させて内部脅威を検知する唯一の方法です。
Nozomi Arc は、Windows、Linux、MacOS 向けの軽量で中断のないセキュリティ エージェントであり、OT/IoT プロトコルを理解し、ホスト オペレーティング システムのカーネル レベルでは動作しません。
エンドポイント組み込みセンサー
パーデューモデルのレベル1および0における横方向トラフィックの可視化は、産業用コントローラやそのバックプレーン通信を含め、通常「ブラックホール」のように把握困難です。
しかし、パーデューの下位レベルでの障害は、生産に直結して影響を及ぼす可能性があります。
三菱電機との共同開発によるArc Embeddedの最初のバージョンは、MELSEC iQ-RファミリーPLCで利用可能で、現在、さらに多くのOEMデバイスの開発が進められています。Arc Embeddedは、コントローラとそれらが制御する現場資産を、Purdue Level 0に至るまで、これまでにないレベルで可視化します。
2. データ収集方法
産業資産インベントリソリューションにおいて2番目に注目すべき点は、多様なデータ収集手法です。パッシブな検出だけに頼っていては、ますます巧妙化し、頻度も増す産業脅威に追いつくことはできません。パッシブな検出手法とアクティブな検出手法を組み合わせ、セキュリティスタックの他の部分に保存されているデータを統合する機能も必要です。
パッシブ検出
ネットワークセンサーによるパッシブ検出は、アクティブなスキャンやプロービングが適切でない可能性のあるOT/ICS資産検出において、長年標準的な手法でした。これは、デバイスに直接アクセスすることなく、ネットワークトラフィックを監視することで機能します。トラフィックパターンを監視するネットワークスイッチを想像してみてください。どのデバイスがどのくらいの頻度で通信し、どのプロトコルを使用しているかを把握できます。Nozomi NetworksのGuardianネットワークセンサーは、リモートコレクターと連携して、パッシブ検出の強力なツールとなります。ネットワークを継続的に監視し、新たに接続された資産を検出します。
アクティブ検出
パッシブ検出は実績のある手法ですが、限界があります。サイレントデバイスや、アクティブにデータを送信していないデバイスを検出することはできません。つまり、ネットワークトラフィックを生成していないにもかかわらずセキュリティ上の脅威となる、休止状態のデバイス、不正な資産、設定ミスのあるエンドポイントなど、隠れたリスクが検出されない可能性があります。
アクティブ検出はこうした盲点を埋めます。完全な可視性がレジリエンスの基盤であるという認識が広がるにつれ、産業ネットワークにおいてもそれが標準になりつつあります。
Nozomi Networks プラットフォームではスマートポーリングと呼ばれるアクティブディスカバリ検知は、ネットワークを調査し、ネットワークpingやプロトコル固有のリクエストなど、綿密に作成されたクエリをデバイスに送信します。これは、システム管理者が接続された資産を積極的にポーリングし、「どのような種類のデバイスですか?」「どのようなサービスを実行していますか?」と尋ねるようなものです。アクティブクエリは、通信していないデバイスであっても、デバイスに関する詳細情報を明らかにしますが、重要な業務を妨げないように慎重に行う必要があります。
サードパーティ統合
ほとんどのOT/ICS環境は数十ものテクノロジーソリューションに依存しており、その多くは資産インベントリの充実に活用できる貴重なデータを収集しています。Nozomi Networksプラットフォームには、Microsoft Active Directory、Microsoft Defender、Ciscoルーターおよびスイッチ、CrowdStrike、ServiceNow、その他の主要なITセキュリティソリューションなど、既存の構造化資産データを取得できるサードパーティ製コネクタのライブラリが充実しています。
3. DPIとプロトコルカバレッジ
資産インベントリソリューションで評価すべき3つ目の点は、収集されたデータがオペレーターやセキュリティアナリストにとって価値があるかどうかです。OT/IoT環境でのトラブルシューティングには、ディープパケットインスペクション(DPI)と包括的なプロトコルカバレッジを組み合わせることで、すべての資産を確認するだけでなく、それらの動作や通信相手を把握する必要があります。
ディープパケットインスペクション
プロセス変数とフローの可視性は、異常の早期検知に不可欠です。これは、ModbusやProfibusといった独自の産業用プロトコルをDPIで綿密に分析することでのみ実現できます。
OTネットワーク向けに特別に設計されたパッシブセンサーは、DPIを使用してネットワークコンポーネント、接続、トポロジを自動的に検出し、脅威を明らかにします。
産業用プロトコルのカバレッジ
IT システムは標準プロトコルを使用して通信しますが、OT システムは幅広いプロトコルを使用します。その多くは独自のものや業界固有のものです。
ソリューションがネットワークトラフィックと資産間通信を分析できない場合、デバイスプロファイルは常に不完全なものになります。これらは、環境内の潜在的な問題をフラグ付けするための重要な指標です。資産はプロトコルを介して通信するため、幅広いプロトコルに精通していることが、資産の挙動を理解する鍵となります。ツールがプロトコルをサポートしていない場合、それらの挙動を把握することはできません。
Nozomi Networksプラットフォームは、一般的なものからあまり知られていないものまで、数百ものOT、IoT、ITプロトコルに対応しており、継続的に追加しています。プロトコルソフトウェア開発キット(SDK)を使用することで、新しいプロトコルサポートをオンデマンドで迅速に構築できます。
4.振る舞いのベースライン化
AIと機械学習は、資産の挙動のベースライン設定と異常検知に不可欠です。
AIを活用して環境を学習し、「正常な」挙動のベースラインを確立し、その後、挙動分析を用いてネットワークを監視し、疑わしいイベントを検知してアラートを発するシステムを探してください。
AIを活用した異常検出
Nozomi Networksプラットフォームは、お客様の環境に導入されると、「学習」モードでデバイス通信の監視を開始し、プロセスレベルの変数に至るまで監視します。AIを活用して、プロセスの各段階における各デバイスの予想される動作の詳細なプロファイルを作成し、「正常な」動作のベースラインを確立します。
「プロテクション」モードに切り替えると、プラットフォームは行動分析を用いて環境を監視し、基準から逸脱した不審なイベントを警告するとともに、設定された閾値を下回る無害な異常なアクティビティを除外します。このように、資産の振る舞いは各資産プロファイルの重要な部分となります。
5. 資産インテリジェンスからのAIエンリッチメント
1 つ以上の対象を絞った脅威インテリジェンス サブスクリプションを最新の状態に保つことが、環境内に存在する可能性のある既知の脅威を確実に検出できる最善の方法です。
同様に、不足している情報を補ってセンサー プロファイルを充実させる資産インテリジェンス フィードは、資産に関する利用可能なすべてのデータを最新に保ち、可能な限り最も堅牢で正確なインベントリを提供するための最良の方法です。
これを自社環境で価値あるものとするためには、匿名化された顧客資産データをコミュニティから収集し、それを基に資産プロファイルを構築しているベンダーを探すとよいでしょう。また、そのベンダーの顧客基盤に、自社と類似した十分な数の組織が含まれていることも、価値を高めるポイントとなります。
サイバーセキュリティの基盤となる資産インベントリを軽視しない
産業インフラや重要インフラのネットワークには、数百のベンダーが提供する数千ものOTデバイスに加え、プロセスを監視・制御するIoTデバイスが多数含まれています。
これらの資産の正確で最新のインベントリを作成し、重要なコンテキスト情報とともに追跡することは、サイバーレジリエンスと運用レジリエンスの基盤となります。これは手作業では不可能です。
Nozomi Networksプラットフォームは、エンドポイントから無線までのセンサー、パッシブおよびアクティブデータ収集、OT/IoTプロトコルサポート、サードパーティのIT資産データを組み合わせることで、AIを活用した実用的な資産インベントリで強化された包括的な資産インベントリを提供します。サイバーセキュリティの成熟度向上に役立つ産業用資産インベントリソリューションをお探しなら、Nozomi Networksをゴールドスタンダードとしてご検討ください。
ベンダーに尋ねるべき質問
- 貴社のプラットフォームでは、資産の検出と監視にどのようなセンサーを使用していますか?
- 貴社のプラットフォームではどのようなデータ収集方法を使用していますか?
- 貴社のソリューションはネットワーク トラフィックを把握するために DPI を使用していますか?
- 貴社のソリューションはどのような OT、IoT、IT プロトコルを理解していますか?
- AIと機械学習をどのように活用しますか?
Nozomi Networks
eBook: A Buyer's Guide to OT Asset Inventory Solutions
2025/6/26
