• Column
  • 実行性が問われる産業サイバーセキュリティ

OTとITを包括的に捉えたサイバー防御態勢強化に向けた侵害調査の最前線からの考察とヒント

「重要インフラ&産業サイバーセキュリティコンファレンス」より、Google Cloud の橋村 抄恵子 氏と、米 Mandiant のポール・シェイバー 氏

篠田 哲
2025年4月17日

米 Google Cloud は、脅威インテリジェンスなどに強い米 Mandiant を傘下に収め、セキュリティ製品/サービスの展開を加速させている。Google Cloud の橋村 抄恵子 氏と、Mandiant のICS/OTコンサルティング部門のポール・シェイバー 氏が「重要インフラ&産業サイバーセキュリティコンファレンス(主催:インプレス、重要インフラサイバーセキュリティコンファレンス実行委員会、2025年2月19日〜20日)」に登壇し、侵害調査の最前線からの考察とプロアクティブな対策のアプローチを紹介した。

 「『 Google Cloud 』という名称から、Google Cloud のセキュリティ機能だと捉えられがちだ。だが実際には、オンプレミス、オンプレミスとクラウドのハイブリッド環境、他社クラウドを含むマルチクラウド環境などに対応した、さまざまな法人向けセキュリティソリューションを提供している」−−。Google Cloud で、 Google Cloud Security セキュリティソリューション群のマーケティングを担当する橋村 抄恵子 氏は、Google Cloud Security ブランドを、こう紹介する(写真1)。

写真1:Google Cloud Security セキュリティソリューションマーケティング担当部長の橋村 抄恵子 氏(左)と米 Mandiant ICS/OT コンサルティング部門 グローバル プラクティス リーダーのポール・シェイバー 氏氏

 Google はこれまで、各種サービスをグローバルに展開するうえで、セキュリティにおける継続的な技術革新を推進してきた。全世界で40億台以上のデバイスや15億ものメールボックスに対する攻撃を検出・保護するといった経験と知見を積み重ねている。2022年にはインシデント対応や脅威インテリジェンスの領域で実績のある米 Mandiant を買収し、Google Cloud に統合。目指すのは「Google が自身のサービスやユーザーを保護するためのツールやプロセス、ベストプラクティスを、世界中の法人企業・組織が利用できるようにすることだ」(橋村氏)という。

 Google Cloud Security は、(1)Mandiant の経験や知見を軸にした専門サービスと脅威インテリジェンス、(2)インテリジェンス駆動型のセキュリティ運用、(3)セキュアなクラウドプラットフォームの3つを主軸にする(図1)。全ての領域で生成 AI モデル「Gemini」を統合し、セキュリティ人材の不足や育成といった課題の解決も支援する。

図1:「 Google Cloud Security 」が掲げるセキュリティの3つの軸と生成 AI の統合

最新のセキュリティ侵害状況

 続いて Mandiant ICS/OTコンサルティング部門のグローバル プラクティス リーダーであるポール・シェイバー氏は、同社が発行する調査レポート『M-Trends 2024年版』(調査期間は2023年1月1日から12月31日)をもとに、OT(Operational Technology:制御・運用技術)環境におけるサイバーセキュリティの現状と、対応策としての防御力と復旧力の向上について説明する。

 同レポートによれば、サイバー攻撃の侵入から検知までの日数は10日と改善傾向にある。だがランサムウェアに限れば同日数は5日と、攻撃者の活動スピードが速くなっている。侵害を受けた組織の半数以上が、自社での検知ではなく、外部のセキュリティ関係者や法的機関からの通知によって被害を認識しており、検知能力に課題があることを浮き彫りにしている。

 ゼロデイ脆弱性の悪用も増えている。2023年には97件のゼロデイの悪用が観察され、その多くが金銭目的の攻撃だった。初期侵入ベクトルを見てみると、38%が脆弱性の悪用によって始まり、次いでフィッシング攻撃が17%、過去の侵害を利用するケースが15%だった(図2)。「防ぐのが困難な脅威が増加している状況が分かる」とシェイバー氏は指摘する。

図2:攻撃手法の38%は脆弱性の攻撃(『M-Trends 2024年版』より)

 OT環境における問題は、端末機器の脆弱性や認証情報の使い回しや、サードパーティーベンダーと利用している管理システムの悪用などだ。侵害対象になった端末機器はルーターやゲートウェイなどで、特に公共インフラと接続される機器が狙われやすい傾向がある。

 高度なフィッシング攻撃によって権限のあるユーザーが標的にされ、マルウェアをOT環境に持ち込むケースも増えている。IT(Information Technology:情報技術)環境とOT環境の間でパスワードが共用されていることが多いため、IT環境で盗まれた認証情報がOT環境で再利用されるリスクも高まっている。

 重要インフラにおいては、ICS(Industrial Control Ststem:産業制御システム)に影響を及ぼす脅威活動が大幅に増加している。特に、政治的あるいは社会的な主張を目的にしたサイバー攻撃「ハクティビスト」が目立ち、ロシアや中国など国家が関与する攻撃も確認されている。

 攻撃手法としては、悪意あるプログラム(ボット)に感染した多数のコンピューターやデバイス(ボットマシン)で構成されたネットワーク「ボットネット」がある。加えて、標的にするシステムで稼働している正規のツールやプログラムを悪用する「Living Off the Land(環境依存型)」の手法も増えている。攻撃者が環境内に長期間とどまって偵察し、被害が最も甚大となるタイミングで攻撃する。