OTセキュリティの動向調査2023年:第3回「可視性と効率化を阻害するOT特有の事情」
セキュリティ強化において鍵となるのが、可視性の確保と効率的な運用です。可視性や効率の妨げとなる障壁を理解することが必要です。
本連載では、SANS Institute(以下、SANS)の調査レポート「Breaking IT/OT Silos With ICS/OT Visibility(2023年6月)(翻訳版:ICS/OTの可視性によりIT・OT間の壁を取り払う)」をもとに、今後のOTセキュリティのありかたを考察します。
本レポートは、SANSのアナリスト、Jason Christopher氏がトレンドマイクロの協力のもと執筆しました。ICS/OTの可視性に関する課題への取り組み、ITとOTの境界でのギャップ、可視性を高めるための障壁、そして両領域の成熟度の比較に焦点を当てています。調査は、世界中の様々な産業部門のITとOTセキュリティを担当する約350人が回答しました。3回目となる本記事では、レポートをもとに、可視性を高める上での障壁やOTセキュリティにおける人的負荷について解説しています。
可視性の拡大を妨げるOT特有の事情
本連載の1回目で触れた通り、OT資産を有する企業や組織は、既にOT領域において一定の可視性を獲得しており、さらにそれを拡大させている最中です。一方で、OT環境全体をカバーする可視性を確保する上での課題も明らかになりました。上位3つの課題は以下のとおりです。
• レガシーデバイスやネットワークにおける技術的な制約:44.8%
• ITスタッフがOTの運用要件を適切に理解していない:39.6%
• 従来のITセキュリティ技術が制御システム向けでないため、OT環境で問題を引き起こす:37.2%
ITとOTは異なる技術を基盤としています。そのため、ITとOT間での包括的な可視性を確保し、組織のセキュリティ能力を強化するには以下の点を考慮する必要があります。
障壁1:レガシーデバイスとOT特有のセキュリティ要件
• レガシーデバイスやネットワークは、OT全体の可視性を確保する上での課題となります。
• 従来のITセキュリティ手法の適用は、運用の可用性を低下させるリスクがあります。
レガシーシステムを含むOT資産の一覧を整備していたとしても、定期的にそれらのリスクを評価しているでしょうか。脆弱性や不適切な設定が残っていないか、そして、それらに対する予防策が取られているか確認することが必要です。
障壁2:OTセキュリティのスキルと知識
• ITセキュリティチームがOTセキュリティにも対応することが一般的になるでしょう。
• ITセキュリティ担当者は、自分たちのOT環境を理解し、それに応じてセキュリティ要件を調整する必要があります。
ITセキュリティ担当者へのOTセキュリティ研修は一般的な取り組みとなっています。ITとOTの両チームが参加するワークショップでのリスク評価も有効です。また、一時的にITスタッフをOTセキュリティの担当として配置したり、あるいはその逆の取り組みを、例えば企業内での研修や交換プログラムのような形で行うことも、人材面からサイバーセキュリティの能力を向上させる手段となります。
OTセキュリティにおける労働集約的側面
この調査ではOTセキュリティの人的負荷にも注目しています。ITとOTのセキュリティ運用の違いを深く理解し、全体的に効率的な運用を達成するため、この点の理解は欠かせません。
セキュリティ業務をNIST CSFの5つのコアカテゴリ(特定・保護・検知・対応・復旧)で分類し、各項目の人的負荷の強度を、調査参加者に3段階のスケール(低、中、高)で評価してもらいました。
全項目の平均を取ると、41.4%の回答者がOTセキュリティは、ITセキュリティに比べ非常に労働集約的だと感じています。NIST CSFの5つの項目それぞれを見ると、「対応」が最も労働集約的だとの結果が出ました(50.3%)。
具体的なセキュリティ能力における人的負荷を詳しく見てみると、各項目におけるスコアは以下のようになります:
• サイバーインシデントの根絶:54.3%
• サイバーインシデントの復旧:47.5%
OTセキュリティの業務が労働集約的である背景には、関係する資産が多く、かつ地理的に広く散らばっているという環境や、まだセキュリティモニタリングツールが全体をカバーできていない状況があることが考えられます。これは連載の2回目でも触れました。さらに、安全性を保証するためには現地での確認や判断が不可欠であり、それが多くの人手を必要とする要因となっています。
OTにおけるインシデント対応のポイント
• OTの対応と復旧は、特に安全性と可用性を重視した独自のプロセスが求められます。
• また、OTインシデントはIT側の攻撃に起因することが多いため、ITとOTの両チームが共同でインシデント対応計画を立てる必要があります。
インシデント対応の取り組みにおいて、最初に考慮すべきことは、ITとOTの組織的な障壁を越え、組織で最も重要な資産や、それを脅かすリスクを特定することです。OTに対するインシデントは事業の継続性と直結しているため、意思決定の過程が組み込まれます。何がどこで起きているのか、そしてそれが全ネットワークにどんな影響をもたらすのかを詳しく把握することで、より適切な判断が下せます。対応や復旧のフェーズでは、ITとOTのチームが同じ情報を共有し、協力して行動できるプラットフォームが効率的な運用には欠かせません。
トレンドマイクロのOTセキュリティ技術やセキュリティプラットフォームが、お客様のセキュリティ運用をどのようにサポートするのかについては、こちらをご覧ください。
本記事は、2023年8月24日にUSで公開された記事OT and IT Visibility and Efficiency Barriersの抄訳です。
関連記事
OTセキュリティの動向調査2023年 シリーズ:
第1回「約50%がSOCをOT領域に拡大、課題は可視性」
第2回「OTセキュリティの最大の課題は『検出』」
第3回「可視性と効率化を阻害するOT特有の事情」
関連情報
トレンドマイクロのXDR 「Trend Vision One」
サイバーセキュリティのエキスパートサービス「Trend Service One」
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)