~OT継続的監視のための行動への呼びかけ~
イントロダクション
※この記事は、Nozomi Networksのホワイトペーパーを抄訳したものです。
2023年9月に発行された、新しく更新された NIST 800-82 Rev. 3 は、組織が組織リスク管理戦略の一環として、保護措置の有効性を監視する継続的な監視を実装する必要があることを示唆しています。 NISTガイドでは、防御可能なOTネットワーク アーキテクチャを構築し、それらのネットワーク アーキテクチャを継続的に防御する機能など、技術的なアプローチを詳細に提案しています。
OTリスク管理戦略の検討
サイバー攻撃の影響を受けない組織は存在しませんが、組織は被害を最小限に抑え、標的になりにくくする対策が必要です。ITとOTの境界を分ける単一のファイアウォールでは不十分であり、より高度なOTサイバーセキュリティプログラムが求められます。このプログラムには、防御可能なアーキテクチャ、監視、復元力が含まれます。
防御可能なアーキテクチャには、リアルタイムのトラフィック監視や分析は含まれておらず、暗号化や安全なプロトコルの使用が重要です。しかし、実際には暗号化機能が制限されることが多く、システムが必要な機能を欠いたり、不安全なプロトコルに依存する場合があります。
侵入防御システムと侵入検知システムはネットワークのセグメンテーションを強化しますが、ネットワークトラフィックや脆弱性の完全な可視化はできません。継続的な監視と検出により、動的なトラフィックの視覚化とセグメント化が可能になり、デバイスグループのリスク軽減策として脆弱性と修復の優先順位付けができます。
継続的なモニタリングと検知は、重要なネットワークへの、またはネットワークからの、そしてネットワーク内のトラフィックを、以下のような基準に基づいてナビゲート、ソート、フィルタリング、分析する機能を提供します。
効果的なOTネットワークのセグメンテーションがないと、ランサムウェアやその他のサイバー脅威が組織内を容易に移動し、重要な資産やネットワークが危険にさらされます。また、継続的な監視と検出がなければ、脅威アクターや犯罪グループがシステムやネットワークへの永続的なアクセスを確立して悪用する可能性があります。さらに、影響分析がないと、サイバーインシデントはビジネスの中断やダウンタイムを引き起こし続けます。
OTオペレーションのセキュリティドライバー
OT/ICS テクノロジーには、ポンプ、コンプレッサー、バルブ、タービン、および類似の機器、インターフェース コンピューターおよびワークステーション、プログラマブル ロジック コントローラー、および多くの診断、安全性、計測、監視および制御システムなど、幅広い機械と構成が含まれます。 または、変数、プロセス、操作のステータスを報告します。
ITシステムが、主流かつユビキタスなシステム全体にわたって同様の方法で悪用される可能性が高い、より多くの既知の脆弱性に直面しているのに対し、OTセキュリティは、潜在的な構成がレゴブロック(ハードウェアの並べ替え)やルービックキューブ(ソフトウェアと構成の並べ替え)の複数の組み合わせに類似していることが多いため、独自のケースバイケースの区別となることが多いです。
OT システムに対するリスクには次のようなものがあります。
・既知の脆弱性を伴うレガシーテクノロジーの使用
・制御システムに関する技術情報が広く入手可能になること
・制御システムの他のネットワークへの接続
・既存のセキュリティ技術と慣行の使用に対する制約
・安全でないリモート接続
・ネットワーク接続の可視性の欠如
・複雑でジャストインタイムなサプライチェーン
・人的ミス、怠慢、事故
OTシステムに対する脅威は、敵対的な政府、テロ集団、不満を抱いた従業員、悪意のある侵入者、複雑な状況、自然災害、内部関係者による悪意のある行為、人的ミスや確立されたポリシーや手順への従わないなどの意図しない行為など、さまざまな原因から発生する可能性があります。
OTの運用を保護する責任
セキュリティ リーダーは、多数のセキュリティ製品を展開および保守しながら、より少ない労力でより多くのことを実行し、数百のシステムの数千の脆弱性に対処する必要に迫られています。
OT セキュリティプログラムを成熟させるためには、3 つの広範な責任が存在します。
(1) 政府の規制、標準化団体、およびコンプライアンスの義務は、OT を含む産業および重要なインフラストラクチャ部門全体で増加しており、サイバーインシデントに関する情報共有のための施行メカニズムが出現し続けています (米国とヨーロッパではすでに可決されています)。
(2) ITリスク管理リーダーとCISOは、OTの脅威、リスク、脆弱性を明確に理解していることを示すことがますます求められており、すべての運用資産とネットワーク、サプライ チェーン、サードパーティ ベンダーのリスクを管理するための新しい権限をチームとリーダーに割り当てています。
(3) インシデントの予防と修復には、悪用に先立ってフォレンジック情報やプロトコル情報のログを解析する機能がますます求められています。 このレベルの詳細なデータは、OT システムやネットワークでは記録または分析されないことが多く、継続的な監視、脆弱性管理、脅威検出機能が必要になります。
NISTによると:今日の OT サイバーセキュリティにとって、競争力のあるインテリジェンスからイノベーション、ライブ「ベイクオフ」に至るまで、市場全体にわたって信頼と検証がこれまで以上に重要になっています。OT サイバーセキュリティの利害関係者は、物理的な安全、環境への影響、商品、サービス、リソースの提供、ミクロ経済とマクロ経済に関心を持ち、プロアクティブなセキュリティ対策を強化するための戦略とツールを探し続けています。
NIST 800-82 Rev. 3 OT セキュリティガイドの概要
政府、民間企業、保険会社、国際標準化団体は、重要インフラや産業分野、ハイパーコネクテッド施設におけるサイバーセキュリティの重要性をますます認識しています。2023年9月に更新されたNIST 800-82 Rev. 3「運用技術 (OT) セキュリティに関するガイド」は、現代の産業プロセスの安全で信頼性の高い運用におけるサイバーセキュリティの重要性を強調しています。このガイドは、特定のOT環境に対応するベンダーに依存しない解決策の重要性を認識しつつ、運用テクノロジーの保護方法を示しています。
NISTの文書は以下の主要セクションに分かれています。
・OTの概要
・脆弱性のリスクを軽減するための OT サイバーセキュリティプログラムの開発と展開
・OT セキュリティリスク管理とリスク管理フレームワークの OT システムへの適用
・ネットワークのセグメント化と分離の実践に重点を置き、OT システムで一般的に見られるネットワーク アーキテクチャにセキュリティを統合するための推奨事項
・サイバーセキュリティ フレームワークを OT システムに適用するためのガイダンス
NISTによると:OTシステムを保護するための最も成功した方法は、業界が推奨する実践方法を収集し、経営陣、OTエンジニアとオペレーター、IT 組織、および信頼できる OTアドバイザーの間で積極的かつ協力的な取り組みを行うことです。 このチームは、進行中の連邦政府、業界団体、ベンダー、および標準化活動から入手可能な豊富な情報を活用する必要があります。
このガイドでは、組織は組織のリスク管理戦略の一環として、保護措置の有効性を監視する継続的な監視を実施する必要があると提案しています。
①OT環境におけるリスク管理
NIST ガイドの第 4 章では、OT システムのリスク管理に焦点を当てており、セクション 4.1.1 では OT 固有の推奨事項とガイダンスをまとめています。
NIST OT ガイド第 3 版、4.1.1 OT リスクの枠組み
組織は、OTシステムへのサイバーセキュリティの影響を分析し、従業員の安全と環境への影響を考慮する必要があります。具体的には、安全上の重要な障害や人的エラーを予測・特定する包括的なプロセスを採用し、レガシーシステムがもたらすリスクも評価することが求められます。また、OTシステムのサービス可用性の確保が重要であり、継続的かつ信頼性の高い運用のために必要な冗長性を計画し、リスク管理に組み込むことが必要です。組織は、相互依存するOTシステムがもたらすサイバーセキュリティリスクを特定することも検討すべきです。
②ネットワーク・セキュリティと監視
NISTガイドのセクション 5.2.3 では、データの収集と分析を最適化するために、組織のサイバーセキュリティ戦略にセグメント化と分離、ロギングの集中化、ネットワーク監視、悪意のあるコードの保護というネットワーク アーキテクチャの原則を適用することを推奨しています。
NIST OT Guide to OT Rev.3、5.2.3.3 ネットワーク監視
ネットワーク監視には、アラートとログを確認し、潜在的なサイバーセキュリティ インシデントの兆候がないか分析することが含まれます。 動作異常検出 (BAD)、セキュリティ情報およびイベント管理 (SIEM)、侵入検出システム (IDS)、および侵入防御システム (IPS) をサポートするツールと機能は、組織がネットワーク全体のトラフィックを監視し、トラフィックを特定したときにアラートを生成するのを支援します。 異常または不審なトラフィック。 ネットワーク監視に関して考慮すべきその他の機能には、次のようなものがあります。
・ネットワークに接続されているデバイスの検出やインベントリ管理などの資産管理
・ 一般的なネットワーク トラフィック、データ フロー、デバイス間通信のベースライン化
・ネットワークパフォーマンスの問題の診断
・ネットワーク機器の設定ミスや故障の特定
組織は、効果的なネットワーク監視のために脅威インテリジェンス監視などの追加サービスを検討すべきです。ネットワーク監視を実装するには、まずOTネットワークの通常の状態を理解し、攻撃と通常の動作を区別する必要があります。受動モードでのネットワークモニタリングは、その初期段階として重要です。OT環境では、監視機能は通常、SPANポートやパッシブネットワークタップを使って展開されます。さらに、運用パフォーマンスや安全性に悪影響を及ぼさないことを条件に、HMIやSCADAサーバーなどのOTデバイスにホストベースの監視機能を導入することも検討する必要があります。
③セキュリティ継続監視
継続的監視ソリューションとは、資産管理、ネットワーク セキュリティ管理、ID およびアクセス管理、データ保護管理、情報を受信、集約、表示するためのダッシュボードなどの機能を含むソリューションです。
NISTガイドのセクション 6.3.2 では、OTドメインに固有の継続的監視に関する技術的なガイダンスがさらに提供され、OT資産とネットワークの適切なリスク管理のためにパッシブ スキャン テクノロジと追加のセキュリティ機能を導入する方法が提案されています。
NIST OT ガイド改訂第 3 版、6.3.2 セキュリティ継続的監視(DE.CM)
継続的な監視は、自動ツールやパッシブスキャン、手動監視で行えます。リスク評価に基づき、例えば、非クリティカルな孤立デバイスのログを毎月レビューすることや、パッシブネットワークモニターで脆弱なサービスを検出することが考えられます。サンプリング手法導入時には、重要なコンポーネントを除外しないように注意が必要です。サードパーティを利用する場合、関係者が適切なスキルセットを持っていることを確認することが重要です。
NozomiNetworksの継続的な監視・検知機能
Nozomi Networks プラットフォームは、OTネットワークのセキュリティ監視とリスク軽減を提供します。これにより、産業全体でのセキュリティイベントの早期発見とリアルタイムの状況認識が可能になります。ツールは、資産インベントリとネットワーク特性をキャプチャしてから脆弱性マッピングや脅威検出を行います。主な脅威は脆弱なパスワード、不適切なセキュリティ慣行、構成ミスによるもので、これらは適切な評価と注意で防止可能です。最初に確認すべきセキュリティ項目は、ネットワークの適切な設定です。
リスク管理には現在の資産インベントリと明確なネットワークトポロジが必要です。スイッチは一意のMACアドレスが特定のポートにバインドされるよう設定され、ファイアウォールはパーデューモデルの上位レベルで使用されるべきです。産業用プロトコルのポートは誤ったVLANで使用されないようブロックし、必要な通信は許可リストに登録します。Nozomi Networksのプラットフォームは、ネットワーク監視やエンドポイント監視などで脆弱性情報を継続的に可視化し、脅威インテリジェンスフィードで最新のIOCをリアルタイムで提供します。脅威リスク指標には、Yaraルールや脆弱性情報が含まれます。
Nozomi Networks ソリューションは、通信ネットワークデバイスとトラフィックの全体像を把握し、調査の迅速化やネットワークの適切なセグメント化を支援します。パッシブな資産検出により、重要なプロセスを中断せずにOT環境を監視できます。これにより、問題を早期に通知・修正し、攻撃ベクトルを削減し、セキュリティインシデントからの復旧時間を短縮します。
①Nozomi Networks アセットマネージメント
Nozomi Networks プラットフォームは、IPアドレスやファームウェアなどの資産データを提供しますが、メンテナンス管理システムはその補足データとして資産IDやメンテナンススケジュールを提供します。これらのデータを統合することで、セキュリティチームはOT資産の実稼働状況を把握し、リスクの優先順位を改善し、メンテナンスチームと標準化された言語で連携できます。
Nozomi Networksのプラットフォームで統合されたデータフィールドの例としては、以下のようなものがあります。
・ アセットID:アセットの保守システムID
・ 場所:アセットが物理的に設置されている場所
・ 管理者:アセットの保守担当者
・ 重要度: 製造上の重要度(1~5)
・ 前回/次回メンテナンス:今後の定期メンテナンス
・ ダウンタイムコスト: アセットに障害が発生した場合の推定時間当たりの生産損失
リスク軽減の例として、ユーザはこのデータを使ってデータを照会し、最も重要度の高いものから最も重要度の低いものへと並べ替えることができます。IP、ラベル、アセットID、説明、管理者、場所、重要度、1時間当たりのダウンタイムコストを表示し、ダウンタイムコストが最も高い順にソートすることで、ダウンタイムコストがゼロより大きいアセットを表示し、計画外のダウンタイムが発生した場合に財務的な影響が最も大きい資産を特定することができます。
②Nozomi Networks 脆弱性マッピング
産業部門やハイパーコネクテッド施設では、物理インフラとサイバーインフラの相互依存により、様々な形で悪用されやすくなっています。脆弱性はCVSSスコアとともに公表されていますが、その深刻度をすぐに理解することは難しいです。Nozomi Networksの脆弱性管理機能は、デバイス上の脆弱性を自動的に特定し、スコアを付けます。NISTのNVDを利用して標準化された情報を提供することで、危険なデバイスを迅速に判断し、実用的な対策を支援します。また、脆弱性をベンダーや重大度レベルごとに専用ビューで表示し、詳細なトラブルシューティングと修復をサポートします。
③Nozomi Networks 脅威検知
スキャンによって脆弱性が特定されることがありますが、悪用するには多くの手順が必要です。Nozomi Networksの脅威インテリジェンスは、最新のマルウェアシグネチャや侵害の指標で常に更新され、既知のTTPやコードシグネチャを分類し、ネットワーク内で検出された際にセキュリティチームに警告します。アセットインテリジェンスは、OTデバイスの詳細な資産情報を提供し、OT環境の学習プロセスを加速させ、正確な資産インベントリを提供します。また、アラートをインシデントごとにグループ化し、ネットワーク上の状況を統合的に把握できるビューを提供します。これにより、重大なアラートに即座に対処し、業務の中断を最小限に抑えることができます。脅威フィードは、STIXをサポートするプラットフォームを含むサードパーティのセキュリティソリューションにも対応しています。
④Nozomi Networks 異常検知
ネットワーク図は静的な構成の高レベルマップを提供しますが、トラフィックの継続的な監視や変更のタイムスタンプ機能はありません。一方で、複数のOTベンダーシステムとの統合により、コンポーネントと接続が増加しています。従来のテクノロジーや環境への依存性を考慮すると、パッチに依存するだけではセキュリティが不十分です。大量のデータを保持してもリスク軽減には役立たず、ネットワーク運用の動作分析と異常検出が必要です。異常検出は通常の通信パターンからの逸脱やプロセス内の変数の異常を警告します。Nozomi Networksの製品エンジンは、脅威インテリジェンス情報を広範な環境行動と関連付けて、最大限のセキュリティと運用上の洞察を提供します。ソリューションは、あらゆるデバイスとその動作をベースライン化・プロファイリングし、異常な活動を迅速に特定します。
⑤Nozomi Networks 予測分析
OTネットワークのアクティビティがリアルタイムで監視されていないと、アセットのステータスが不明であり、それらを保護することが難しくなります。現代の組織では、数百のOT/IoTアセットが複数のサイトに展開されており、管理には時間がかかります。Nozomi Networksのクラウドサービスとアドオン分析は、クラウドの拡張性を利用して、サイト、地域、チーム全体に高いセキュリティと可視性を提供します。このプラットフォームは、コストを抑えながら組織の成長に合わせて拡張し、管理リソースを削減してマルチサイト展開を簡素化します。また、AIと機械学習エンジンを使ってアラートデータの確認や優先順位付けを自動化し、脅威の洞察と迅速な修復方法を提供します。この自動化により、セキュリティチームは優先課題に集中でき、データ分析スキルの必要性も減少します。
結論
OTネットワークのセグメンテーションと継続的な監視・検出は、ランサムウェアやその他のサイバー脅威が組織内を移動してシステムにアクセスし、重要な資産を危険にさらすことを防ぎます。Nozomi Networksプラットフォームは、OT/IoTネットワークのリスクを迅速に特定し、脆弱性を評価し、対応に優先順位を付けることができます。また、セキュリティアラートや不足しているパッチなどの詳細なリスク情報を提供し、リアルタイムの資産情報と最新のデバイス構成を提供します。さらに、AI/ML技術を活用して、根本原因分析と異常の関連付けを行い、発生している問題の理解と最適な対応方法の推奨を支援します。
