OTサイバーセキュリティの推進においては、急速に進化するサイバー脅威に対処するために組織が備えるべきセキュリティ機能を定義することが重要です。
本稿では、OTサイバーセキュリティの推進に向け、組織体制、組織の現状把握、資産把握、攻撃の識別と保護、監視、バックアップにおいて押さえるべきポイントを解説します。
OTサイバーセキュリティ推進に向けた組織体制の確立
【OTサイバーセキュリティ推進のための7つのポイント】
(1)自組織が備えるセキュリティ機能の現状把握 (2)最新の保有資産の把握 (3)OT環境と企業ネットワークとの接続の把握とコントロール (4)OT環境へのセキュアなリモートアクセスの確立 (5)バックアップの管理方針と手段の確立 (6)OT環境へのセキュリティパッチの適用方針の検討 (7)インシデント監視の確立 |
(1)自組織が備えるセキュリティ機能の現状把握
組織全体のOTサイバーセキュリティの現状を理解することは極めて重要です。現状の課題と必要な対応を可視化することで経営層に必要な意思決定を訴求することができます。
現状の課題の可視化は、OTのセキュリティリスク評価およびサイバーセキュリティ機能の成熟度評価を組み合せることが重要です。技術とガバナンスの両面で最も優先度の高いリスクを明らかにするとともに、成熟度が足りないセキュリティ機能をより高い成熟度に進展するように行動計画を整理することができます。
リスクと成熟度を評価する過程で、ビジネス継続性にとって重要な資産を識別することも忘れてはいけません。ビジネス継続において必要とされるリスク低減と成熟度のレベルを明確にすることで、サイバーセキュリティに取り組む意義を整理し、経営層の意識を高めることができます。
(2)最新の保有資産の把握
OT環境で必要な保護を正確に把握するためにも、保有している資産情報が最新化されていることが重要です。保有資産情報の最新化は、ソリューションによる自動識別、手動による識別で行われます。OT環境は一般的にマルチベンダーで構築されているため、手動による識別が難しい傾向があり、ツールによる自動識別が有効であるケースがあります。現在(レポート執筆当時:2021年)では、多くのソリューションに資産の識別機能が統合されています。構成管理データベース (CMDB) または資産管理ソフトウェアと組み合わせると、保有資産の最新化に対処するのに役立ちます。
OT環境で保有している最新の資産情報を作成することで、OT環境の全体像が把握できるだけでなく、脅威トレンドに対して脆弱な資産を把握することができます。
最新の保有資産の把握は、ビジネスインパクト分析を行うための最初のステップになります。特に、OT環境ではビジネスインパクト分析を通じ、重要な資産にどのようなセキュリティ対策を施すか、OT環境の特殊性によってパッチ適用などの一般的なセキュリティ対策が施せない場合にはその他の対策でリスクを低減できないか、具体的に検討することが重要です。
(3)OT環境と企業ネットワークとの接続の把握とコントロール
ランサムウェアは一般的に、攻撃対象が属するネットワーク全体に拡散するので、重要な資産を保護し、脆弱性が残った資産をネットワークから分離する必要があります。ネットワークをセグメンテーションすると、ランサムウェアの拡散範囲を制限する効果があります。加えて、ゾーンとコンジットを整理できれば、資産間の通信を監視し、IT-OTネットワーク間の重要な通信のみに制限することができます。
OTネットワークのセグメンテーションのベストプラクティクスにPurdueモデルがあります。Purdueモデルを実装するためには、ネットワーク上のIT/OTの資産、接続関係、通信プロトコル、インターフェイスを把握しておく必要があります。多くのIDSツールには、これらを識別する便利な機能があるので、活用することでPurdueモデルに従ったネットワーク構築の助けになります。
(4)OT環境へのセキュアなリモートアクセスの確立
アフターコロナ後の環境において、遠隔地から資産の保守と修復を可能とする安全なリモートアクセスは、不可欠な要素です。一般的なリモートアクセスの種類には、RDPとVPNがありますが、どちらも攻撃対象になる可能性があることに注意が重要です。
(5)バックアップの管理方針と手段の確立
セキュリティ対策を実施していたとしても、ランサムウェアがOTネットワークに侵入することを完全に防ぐことはできません。重要資産がランサムウェアに感染した場合、重要資産をリカバリーするには、身代金を払う以外には、バックアップからリストアするしか方法はありません。
組織は、バックアップが必要な資産を特定する必要があります。システムがネットワークに接続されているか、スタンドアローンであるかも、バックアップするか考慮するのに必要な情報です。加えて、専用OSのバックアップは、WindowsやLinuxなどの汎用OSに比べて複雑になるので、手順を整備する必要があります。バックアップは、マルウェア感染による同時喪失を防ぐために、バックアップ対象から直接アクセスできないメディアに保管することが必要です。
(6)OT環境へのセキュリティパッチの適用方針の検討
一般的に24時間365日の連続稼働を維持したいOT環境にとって、セキュリティパッチ適用は難しいセキュリティ対策です。OTのエンジニアとセキュリティ専門家の間には理解の溝があり、多くの場合、セキュリティ専門家のOT環境の特殊性に対する理解の欠如があります。
パッチ適用の問題は、ビジネスインパクト分析を通じて資産の重要度とリスクを認識することが需要です。重要と判断された資産には、パッチを適用する周期を可能な限り短く、一方で重要度が低い資産には、メンテナンスのタイミングでパッチ適用するなど合理的に判断します。
(7)インシデント監視の確立
ランサムウェアから保護するためには、早期検出が重要です。IDSに代表されるネットワークトラフィックを検査および監視するツールは、ランサムウェアなどの悪意のあるアクティビティを検出するのに役立ちます。ツールは、セキュリティインシデントおよびイベント管理(SIEM)ツールと連携することでより高度に検査、監視することが可能です。なかでも、SIEMは、ファイアウォール、アセット、リモートアクセスなど、複数のソースを統合することで、ランサムウェア攻撃を検出することに役立ちます。
※本文中に記載されている会社名・製品名は各社の登録商標または商標です。
第2回ではOTサイバーセキュリティの推進に当たり、押さえておくべきポイントを解説しました。
次回は、サイバー攻撃を受けてインシデントが発生した場合に、企業が取るべき対応を取り上げます。
本稿は、KPMGインターナショナルが2021年9月に発表した「Securing a hyperconnected world」を4回に分けて紹介するものです。
全文は以下のリンクよりご覧いただけます。
全文はこちらから(英文)
Securing a hyperconnected world
重要インフラを標的としたサイバー攻撃への備え(全4回)
第1回:増大するランサムウェアの脅威
第3回:脅威への対応
第4回:着実にセキュリティ機能を成熟させるために
関連サービス
本レポートに関するKPMGのサービスを紹介します。