- Column
- IoTが求めるモノのアイデンティティ管理とOTセキュリティ
DXを背景にIoT/OTシステムのセキュリティリスクが高まる【第3回】
OTシステムに狙いを定める攻撃者の増加に各国政府が対策
現在の攻撃者は、ますますOTシステムに狙いを定めている。「CHERNOVITE」や「BENTONITE」といった攻撃者グループは、特に産業用制御システムを標的にしている。「Incontroller(別名PIPEDREAM)」のようなマルウェアの亜種は、OTプロトコル(MODBUS、CODESYS、OPC UAなど)の脆弱性を悪用し、攻撃者がPLC(Program Logic Controller:プログラム可能な制御装置)や、その他のOTデバイスを制御しようとする。
それだけにOTシステムの運用者は、最新の脅威から身を守り、リスクを軽減し、新たな法規制に準拠するために、セキュリティシステムと実務を見直す必要がある。
米Microsoft社の『2022年デジタル・ディフェンス・レポート』によれば、国家を後ろ盾とする重要インフラへの攻撃は前年比で倍増し、国家を後ろ盾とする攻撃全体の40%を占めた。急増の主な要因を同社は、「ロシアが支援するグループがウクライナのインフラと、米国を含むウクライナの同盟国のインフラを標的したこと」とみる(図1)。
ますます巧妙になり被害が拡大しているサイバー攻撃を受けた世界中の各国政府は、サイバーセキュリティ規制を強化している(表2)。「米国大統領令14028」やEU(European Union:欧州連合)の「ネットワーク・情報システム指令(NIS2)」といった最近の指令は、重要インフラのセキュリティを強化し、サプライチェーンの脆弱性、ランサムウェア攻撃、その他のサイバー攻撃から重要システムをより適切に防御するのが目的である。
| 領域 | 規制/ガイドライン名 |
|---|---|
| IoT | NIST.IR.8228(IoTサイバーセキュリティとプライバシーのリスク管理に関する考慮事項) |
| ISO/IEC 27400:2022(サイバーセキュリティ ‑ IoTセキュリティとプライバシー ‑ ガイドライン) | |
| OT | 米国大統領令14028 |
| EUネットワーク・情報システム指令(NIS2) | |
| NIST SP 800-82改訂3版 | |
| IEC 62443 |
規制当局は、技術ベンダーに新たなセキュリティ要件を課し、特定のOT機器を含むデジタル構成要素固有のセキュリティを強化するための新たな法律を導入してもいる。
例えば、「EUサイバーレジリエンシー法」は、ハードウェアメーカーやソフトウェアベンダーが「CEマーク」を取得する際に、一定のサイバーセキュリティ基準の遵守を義務付けるものだ。OTシステム運用者が、セキュリティの脆弱性を軽減し、より適切な基準に基づき、各種機器・システムの購買決定に役立っている。
今回、IoT/OTが持つ潜在的かつ広範な攻撃対象領域(Attack Surface)が、DXの促進によって一段と攻撃者に狙われやすくなって来ている状況と、それらが攻撃された場合の深刻な影響度と、その影響を低減するために制定された規制やガイドラインについて説明した。次回は、IoT/OTにおけるセキュリティ面での課題をさらに深掘りしていく。
佐野 龍也(さの・たつや)
CyberArk Softwareソリューションズ・エンジニアリング本部 本部長。入社以来、ソリューションズ・エンジニアリング本部のマネジメントを担うとともに、日本市場において、組織のセキュリティレベルをさらに高めるアイデンティセキュリティの浸透・拡大に貢献している。CyberArk Software入社前は、アバイア、日本マイクロソフト、A10ネットワークス、ドキュサイン・ジャパンなどの外資系企業において、コールセンター、ユニファイドコミュニケーション、ロードバランサー・ネットワークセキュリティ、電子署名・契約管理SaaS製品に関わるビジネス開発やプリセールスとして事業成長に尽力した。