- Column
- 実行性が問われる産業サイバーセキュリティ
OTとITがますます融合する中でプロアクティブな対策を可能にするツールによる自動化が不可欠に
「重要インフラ&産業サイバーセキュリティコンファレンス」より、 テナブルネットワークセキュリティジャパン 阿部 淳平 氏
- 提供:
- テナブルネットワークセキュリティジャパン
OT環境ではプロアクティブな対策を強く意識する
可視化にメドが付けば次は「どういったリスクがあるのか」を把握する。リスクは「リスク = 脅威 × 脆弱性 × 影響」の式で表せる。これまでOT環境で深刻な被害が少なかったのは「実は脆弱性や影響が大きかったにも関わらず『脅威が低かった』に過ぎない」と阿部氏は説明する。
その脅威は「脅威 = 能力 + 動機 + 機会」という式で表現できる。近年は、それぞれの要素が多様化している。阿部氏は「OS(基本ソフトウェア)やネットワークプロトコルをみてもOT環境は非常に脆弱だ。結果として高いリスクが内在していることを認識すべきだ」と改めて強調する。
サイバーセキュリティ対策のアプローチを大きく、(1)先々を見越して能動的に手を打つ「プロアクティブ」と、(2)何か起きてから善後策を打つ「リアクティブ」に分けられる。阿部氏は「OT環境はインシデントが発生した場合の影響範囲が大きいため、プロアクティブであることを強く意識しなければならない」と阿部氏は指摘する(図3)。
プロアクティブの基本は、「内在するリスクを把握し、あらかじめ抑える努力をする」(阿部氏)ことだ。換言すれば、「侵害などの事象を発生させない状況を整えておくことを重視すると同時に、万一の有事の際には、その対応に集中できる体制を作る」(同)ことである。
ツールを積極的に採用して自動化を図る
だが、これまでのOT環境におけるセキュリティ対策は、人手による監視や運用が一般的だった。しかし近年のOTシステムの複雑化やサイバー攻撃の高度化に伴い「もはや手作業では対処し切れない状況に立たされている」と阿部氏はいう。
加えて、情報の鮮度の維持が困難な点や、情報の信頼性の問題、手作業では収集できない情報の存在といった課題もある。リスク評価や脆弱性の優先度判断、攻撃の検知も「人による場当たり的な対応では自ずと限界がある」(阿部氏)
こうした状況に対し阿部氏は「ITでは既に当たり前だが、目的に特化したツールを積極的に活用していくことが大事だ」と指摘する。適切なツールを使えば、OT環境の可視化だけでなく、リアルタイムでの異常検知やリスク評価が可能になる。通信トラフィックの監視や脆弱性管理の自動化は、手作業の限界を超え、セキュリティ対策の精度を高められる。もちろん「ツールを導入すれば全て解決というわけではない。きちんと運用していくことが欠かせない」と阿部氏は釘を刺す。
そうしたツールの代表として阿部氏は「Tenable OT Security」を紹介する。資産の可視化、脆弱性管理、設定変更の監視、脅威検出、インシデント対応といった機能を包括的に提供する(図4)。
Tenable OT Securityは、OTとITの両環境を統合的に扱い、全ての機器やネットワークを検出しリアルタイムに可視化する。OT環境の脆弱性管理については、産業用制御システムに特化した脆弱性データベースを使い各機器のリスクを自動で分析する。制御システムの設定やネットワーク構成の変更を常時監視し、不審な動きがあれば即座に検出する。OT環境特有の攻撃パターンを識別できるとする。
阿部氏は、先に挙げた3つのポイントに改めて言及したうえで「まず『自組織のOTを知る』こと、そのうえで『OTのリスクを軽減する』こと、そしてセキュリティに特化した『ツールに頼る』ことを確実に進めることが、OTとITが今後ますます融合していく時代にあって、企業成長の礎になる」と訴える。
