関連するソリューション
OT/産業制御系セキュリティ
サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト フェロー 関原 弘樹
こんにちは!
CSS部エバンジェリスト フェローの関原です。
先日当社は「インフォメーション・ディベロプメント、CyberX社の国内第一号販売パートナーに~全世界350社で稼働実績のある、産業用制御システム向けセキュリティソリューションの販売を開始~」というニュースリリースを発表いたしました。
今回はそこからお題を頂いて、OTセキュリティの特徴とマイクロソフト社の「Azure Defender for IoT」についてご紹介いたします。
■ 産業用制御システムとOT
産業用制御システムはICS(Industrial Control Systems)とも呼ばれます。その名の通り、工場等の工作機械やインフラ産業の制御装置を遠隔でコントロールするシステムですね。われわれの社会生活と経済活動を支えるため、24時間365日ミスなく動き続けてくれています。そしてそのシステムを動かす制御技術をOT(Operational Technology)と呼んでいます。
OTは基本的にはインターネット・社内のOAからは切り離され、独自のプロトコルのみを使用する閉じられたNWとして構成されることが多かったと聞きます。しかし近年はコスト削減や利便性のため、直接のインターネット接続は無いものの、社内にある他のシステムから一般的なIPプロトコルを併用してアクセスされ、コントロールされることも珍しくはないようです。
言い換えれば、別々のものであるITとOTが次第に近づいてきているとも言えます。
どちらにしても、ICSとそれを制御するOTは複雑で精緻な動作が必要にもかかわらず、現在の社会からは正常に動き続けるのが当たり前と認識されており、ほんのわずかな停止であっても大きな混乱を引き起こします。
セキュリティの観点でいうと、昨年大流行したランサムウェアによって日本企業にも海外工場の生産ラインが停止してしまうなどの被害が出ました。工場のラインは一度止まると簡単に数億円単位の被害を被ります。また、交通・エネルギー等の制御システムが機能不全に陥ると、一般の人々の生命が脅かされることは容易に想像がつきますね。
数年前にあったウクライナの電力網への攻撃の例もある通り、今では社会生活と経済活動を支えているインフラシステムへのサイバー攻撃は珍しいものではありません。むしろサイバー攻撃の対象として積極的に狙われています。
その動機は金銭だったり、政治的理由だったりと様々でしょう。
ここで、一般的にわれわれがよく利用しているITとOTの違いを挙げてみます。
★IT
・一般的なIPプロトコル(e.g., TCP/IP, HTTP)を使用
・人間による操作なので様々なアクティビティが発生
★OT
・一般的なIPプロトコルと独自の産業用プロトコル
(e.g., GE SRTP, Siemens S7)を使用
・機械による操作なので原則として定常的なアクティビティのみ発生
なんとなくイメージをつかんでいただけましたでしょうか。
OTのセキュリティを考えるうえでは次の2点がポイントとなります。
・情報が少ない産業用プロトコルについて、仕様を深く理解すること
・定型的な動作から異常のみを検出していく方法
さて、それらを踏まえ両者のセキュリティ対策の異なる点を見てみましょう。
★IT
・アクティブな脆弱性スキャンが可能
・定期的なパッチ適用とOSのアップグレードが推奨される
★OT
・アクティブな脆弱性スキャンはシステム停止を招く可能性が
あるため適用できない
・定期的なパッチ適用とOSのアップグレードは、システム停止を
招く可能性があるため推奨されない
セキュリティ上の要請があるとはいえ、OTは24時間365日ミスなく動き続ける必要があるので、ITと同じように積極的な対策を打つことが難しいという事情をご理解いただければと思います。つまりITとOTが次第に近づいてきているとしても、ITのセキュリティ対策をそのままOTに提供できるわけではないのです。OTのセキュリティ対策はOTの特性を十分に理解して実施する必要があります。
ちなみに、OTはすべての企業に存在するものではないため、OTに対応するセキュリティソリューションはまだまだニッチ扱いでITと比較すると少ないですね。
■ CyberX社とは?
CyberX社はイスラエル国防軍に在籍していたセキュリティ技術者が2013年に立ち上げたアメリカのセキュリティ企業です。今回当社はCyberX社が開発した"CyberX PLATFORM"という、OT環境のセキュリティに特化した産業用制御システム向けセキュリティソリューションの国内提供を開始いたしました。CyberX PLATFORMはすでに北米トップ電力会社5社に採用されており、全世界350社での稼働実績を持っています。(2018年現在)
私は昨年ボストンでCyberX社のVPからCyberX PLATFORMについての技術的なレクチャーを受けました。
CyberX PLATFORMは以下のような特徴をもち、既存の運用を妨げることなくOT環境のセキュリティレベルを向上させます。
・IT用に開発された製品ではなく当初より産業ネットワークに
フォーカスして開発
・OTのシステムに関し包括的かつパッシブに情報を収集するため
可用性への悪影響が一切ない
・CyberX社がもつICSに特化した脅威インテリジェンスを利用可能なため、
素早い脆弱性情報の入手や、インシデントのより詳細な調査が可能
・SIEM等、他のセキュリティプロダクトともすぐに統合可能
・GUIのダッシュボード上でITのイベント、OTのイベントそれぞれを
必要な担当者に認識させることが出来るため組織の壁などにより
システムの運用を妨げれられない
・事前にルールおよびシグネチャを設定するような複雑な作業は不要
CyberX PLATFORMの最大のポイントはOTセキュリティの専門家がOTのために開発したということでしょうか。OT環境のセキュリティに必要な要件は何か?ということを深く検討し、設計・実装されています。例えばエアギャップの破れ(隔離したはずのシステム・機能が設計・実装の不備により外部に公開されてしまっている)などの致命的な脆弱性も一目で認識可能です。
また、個人的にピックアップしたいCyberX PLATFORMの重要な機能として「脆弱性レポート」と「攻撃経路のシミュレーション」があります。
「脆弱性レポート」はOT機器の脆弱性について継続的かつパッシブに調査し、CyberX社のOTに対する知見を十分に生かした詳細なレポートを出力可能です。ITでは珍しくありませんがOTに関してはまだまだ選択肢が少ない機能ではないでしょうか。
「攻撃経路のシミュレーション」は、攻撃者がどのデバイスのどの脆弱性を利用してシステム上の重要な資産にアクセスしてくるかをシミュレートし、その経路を表示します。GUI上の操作により、対象デバイスの考えられる攻撃経路がどう変化するかを包括してシミュレート可能であり、脆弱性の対策を検討する際には非常に有用な機能となります。
セキュリティ対策は当初の導入だけでなく運用を効率的に回していく必要があるため、これらの機能は現場の担当者にとって心強い味方となりますね。
OTシステムをお持ちでこのCyberX PLATFORMにご興味を持たれた方は、是非当社までご連絡ください。ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara CISSP, CEH, PMP, CCIE #14607
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
