脅威インテリジェンス型のアプローチでOTサイバーセキュリティを実現

　特にOTでは、「インシデントが発生すると操業に影響が出てしまうため、レジリエンスの重要度が高い」（鈴木氏）。対策としてはハイジーンとレジリエンスのバランスが大事だが、「OT特有の事情を加味しなくてはならず、ここでつまずく企業を多く見てきた」と鈴木氏は明かす。

　例えば、OTではセキュリティパッチを当てられなかったり、当てるには次の休業期間まで待たなくてはならなかったりと操業を止められないがゆえの難しさがある。ITと比べ検知方法に制約があり、的確な検知が難しいことも看過できない。

　ITのように脅威を検知したら自動的にシャットダウンするという方法は、「OTでは大きなリスクを伴うため実行できず、業界や個別の企業ごとに環境が異なることもあり防衛の難易度は高い。加えて『何から始めれば良いのか』『どこまで対策すればリスクが減ったと判断できるのか』も分かり難い」（鈴木氏）。そこで鈴木氏が推奨するのが「脅威インテリジェンス型」のアプローチである。

　リスクは「リスク＝脅威×脆弱性×資産」という式で表せる。このうち「脆弱性と資産は自社でコントロール可能だが、脅威はコントロールできない」（鈴木氏）。そのため、コントロール可能な脆弱性を潰していくのが、これまでの主流である「ギャップ分析型」アプローチだ。

　これに対し脅威インテリジェンス型のアプローチでは、「外側の『脅威』に焦点を当てる。脅威はコントロールできないが“未知”のものではない。脅威の向こうには必ず“悪意”があり、攻撃者が考え出しているものだ」（鈴木氏）と考える。そこから「技術、プロセス、人など、さまざまな脆弱性を突いてくる脅威に対し『攻撃を成立させないためにはどうすれば良いか』を検討していく」（同）わけだ。

　脅威インテリジェンス型アプローチを採るには、セキュリティ人材教育を手掛ける米SANS Instituteが2022年に公開したガイダンス『The Five ICS Cybersecurity Critical Controls』で提案する「ICSセキュリティ対策の重要5項目が参考になる」と鈴木氏はいう。

（1）インシデントレスポンス計画 ：インシデント対応できる状態を作り、強化することを優先する
（2）防御に適したアーキテクチャー ：インシデントを防ぐべく、防御を最適化する
（3）ICS 視認性＆モニタリング ：見張りを強化し、攻撃や偵察活動を早期発見する
（4）セキュア・リモートアクセス ：頻繁に悪用されるリモートアクセスの安全性を確保する
（5）リスクに基づく脆弱性対策 ：内在する脆弱性を潰していく

防御の方程式を作り対策すべきリスクを把握する

　なかでも重要なのは「（1）インシデントレスポンス計画と（5）リスクに基づく脆弱性対策だ」と鈴木氏は指摘する。

　インシデントレスポンス計画は「防御の方程式を作ることであり、最優先すべきは事業被害に直結する重要な部分（クラウンジュエル）を確実に守ることである」（鈴木氏）。防御は破られる前提で考える。サイバー対策の中に「検知、対応、復旧というレジリエンスの体制を作り、実際にあった攻撃などを訓練に使用して対策していく」（同）

　リスクに基づく脆弱性対策では、「対策すべきリスクを知ることが重要だ」（鈴木氏）。Dragosの調査によると、攻撃に利用される脆弱性は特定のものに集中している。存在する脆弱性のうち68％は攻撃手法のプロセスが複雑なためすぐに対応する必要がなく、30％は攻撃手法が存在しない。実際の攻撃対象になり、すぐに対処する必要があるものはわずか2％だ。「この2％に相当する脆弱性が自社に存在するかどうかを見極められれば、効果的な対策が可能になる」と鈴木氏は話す。