OTセキュリティの動向調査2023年:第2回「OTセキュリティの最大の課題は『検出』」
OTセキュリティはITセキュリティに比べて成熟度が低いものの、多くの企業や組織がその向上に努めていることが、最新の調査で分かりました。
本連載では、SANS Institute(以下、SANS)の調査レポート「Breaking IT/OT Silos With ICS/OT Visibility(2023年6月)(翻訳版:ICS/OTの可視性によりIT・OT間の壁を取り払う)」をもとに、今後のOTセキュリティのありかたを考察します。
本レポートは、SANSのアナリスト、Jason Christopher氏がトレンドマイクロの協力のもと執筆しました。ICS/OTの可視性に関する課題への取り組み、ITとOTの境界でのギャップ、可視性を高めるための障壁、そして両領域の成熟度の比較に焦点を当てています。調査は、世界中の様々な産業部門のITとOTセキュリティを担当する約350人が回答しました。2回目となる本記事では、OT可視性の現状と課題について解説します。
ITに遅れをとるOTセキュリティ、「サイバーイベント検出」に課題
調査では、企業や組織内でのOTセキュリティとITセキュリティの成熟度を比較するため、サイバーセキュリティフレームワーク「NIST CSF」の5つの機能(特定・保護・検知・対応・復旧)を利用し、状況を参加者に尋ねました。
回答者の平均で見ると、39.5%がOTセキュリティの成熟度がITより低いと答えました。一方、18%はOTセキュリティがITよりも成熟していると感じ、36.4%は同じレベルだと思っています。
さらに、セキュリティ能力をNIST CSFの5つのコアカテゴリに分けて評価したところ、OTセキュリティの「検知」がITに比べて最も成熟していないという回答が42%で最多になりました(図1)。
セキュリティ能力の詳細を調査すると、ITに比べセキュリティ能力が低い点として「サイバーイベントの検出」が最も高く、45.7%となっています(図2)。
OTの環境には、様々なレガシーアセットやICS/OTに特化したプロトコルスタックが存在します。これにより、OT環境では、不正な挙動を検出するセンサーを導入することやアセットに修正パッチを適用することが難しくなっています。ITセキュリティのように一貫した対策を取り入れることが困難であることが、OTセキュリティの成熟度を高める上での障壁となっているのです。
EDRの導入状況
• OS(Windows、Unix、Linux)を使用するサーバーアセット:41%
• OS(Windows、Unix、Linux)を使用するエンジニアリング関連アセット(エンジニアリング用ワークステーション(EWS)、計測用ラップトップ、修正・テスト機器など):34%
• OS(Windows、Unix、Linux)を使用するオペレーター関連アセット(HMI、ワークステーション):33%
さらに、EDRを導入済の企業や組織のうち、76%は次の24ヶ月で導入規模をさらに拡大する予定だと回答しました。
また、Purdueモデル※で示された6つの環境におけるNSM(IDS含む)の導入状況を聞きました。
※ICSにおけるネットワークアーキテクチャ構築のための標準を定義する目的でパデュー大学コンソーシアムによって開発されたモデル。ITとOTの環境を6つの階層に分けてシステムを整理した。
NSMの導入状況
• Purdueレベル4(エンタープライズ):29.9%
• Purdueレベル3.5(DMZ):35.5%
• Purdueレベル3(拠点の監視制御):37.5%
• Purdueレベル2(制御):19.6%
• Purdueレベル1/0(センサーやアクチュエータ):8.2%
NSMを既に導入している企業や組織のうち、70%が次の24ヶ月での導入のさらなる拡大を予定していると回答しました。
調査では、EDRの導入率が回答者の所属する業界および企業・組織の規模に応じて異なることが明らかになりました。特に、NSMの導入率はDMZとレベル3が高く、レベルが低くなるにつれ減少する傾向が見られました。監視、検出技術の導入が進み、OT、IT環境全体が可視化されることは望ましいことですが、技術を導入するだけでは十分ではありません。ITとOT環境を可視化し、継続的に監視する運用が重要になります。また、調査結果の平均値だけを見て、明確な傾向を断定するのは適切ではありません。企業や組織により、EDRやNSMの導入箇所には多様性があるためです。ここで示す導入率は、一般的な参考値として捉えてください。投資の方向や規模は、それぞれの組織の状況や意思決定によって異なります。EDRやNSMの導入箇所や導入計画の評価の際、この調査結果を参考情報として活用ください。
具体的なセキュリティ計画を立てるためには、現状把握とリスク評価が必要です。OT環境でのリスク評価方法や効果的な投資の判断については、トレンドマイクロのリサーチペーパ「Practical Risk Assessments for Smart Factories」(英語)をご参考ください。
本記事は、2023年8月14日にUSで公開された記事OT Security is Less Mature but Progressing Rapidlyの抄訳です。
関連記事
OTセキュリティの動向調査2023年 シリーズ:
第1回「約50%がSOCをOT領域に拡大、課題は可視性」
第2回「OTセキュリティの最大の課題は『検出』」
第3回「可視性と効率化を阻害するOT特有の事情」
関連情報
トレンドマイクロのXDR 「Trend Vision One」
サイバーセキュリティのエキスパートサービス「Trend Service One」
Security GO新着記事
サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
(2024年11月22日)
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
