OTセキュリティの動向調査2023年:第1回「約50%がSOCをOT領域に拡大、課題は可視性」
企業や組織はSOCの役割をOT領域へ拡大しているものの、サイバーイベントの可視性やスキルの課題が障害として立ちはだかっていることが最新の調査から明らかになりました。
本連載では、SANS Institute(以下、SANS)の調査レポート「Breaking IT/OT Silos With ICS/OT Visibility(2023年6月)(翻訳版:ICS/OTの可視性によりIT・OT間の壁を取り払う)」をもとに、今後のOTセキュリティのありかたを考察します。
本レポートは、SANSのアナリスト、Jason Christopher氏がトレンドマイクロの協力のもと執筆しました。ICS/OTの可視性に関する課題への取り組み、ITとOTの境界でのギャップ、可視性を高めるための障壁、そして両領域の成熟度の比較に焦点を当てています。調査は、世界中の様々な産業部門のITとOTセキュリティを担当する約350人が回答しました。1回目の今回は、ITとOTのセキュリティ運用の統合に関する課題をレポートの要点に基づいて解説します。
SOCの役割はOTにも広がりつつあるが、実効性はまだ発展途上
ICS/OT環境における、セキュリティの可視性やサイバーイベントの検出の対応状況は以下の結果となりました。
• 約50%は、SOC(Security Operation Center)がICS/OT領域においても一定の可視性を持っていると回答
• ICS/OT環境のうち、サイバーイベント(セキュリティイベント)の検出を目的としたデータを提供しているのは53%に留まる
• 回答者の約40%は、インシデントに対してITスタッフのみが対応すると回答
• SOCがICS/OT領域を可視化していないと回答したうちの67%は、今後SOCを拡張する計画がある
これらの結果から、次のような状況が考えられます。
企業や組織のSOCは役割が拡大しており、OTに関しても部分的には監視できているものの、この領域のサイバーイベントについては適切に検出できない状況のようです。ITセキュリティチームは、OTの可視性が低く、限られたデータで、OTのセキュリティインシデントに対応せざる得ない状況にあります。一方で、ポジティブな傾向として、まだOTをSOCで監視していない多くの企業や組織が、その機能をOTに拡張する方向性を示しています。
ITとOT間での統合すべきセキュリティ機能では、サイバーイベントの検出が63%で最も高く、次に資産の管理、アイデンティティとアクセス制御、そしてイベント分析が続きます。企業や組織におけるITとOTの隔たりを超えて、イベントの検出は最も重要な機能として統合すべきであり、全体的な可視性の確保が求められています。
セキュリティ運用拡大における課題のトップは、ITスタッフのためのOTサイバーセキュリティのトレーニングでした(約54%)。ITとOTは原理が異なる技術基盤を持つため、その違いを理解する必要があるためです。IT環境は攻撃される頻度が高く、これがOTへのアクセスポイントともなっていることから、ITとOTの運用の統合に際しては、多くの企業や組織がITスタッフのトレーニングをOTスタッフよりも優先しています。
SOCがOT領域も含めてセキュリティを包括的に運用する上で、最も重要な問題はサイバーイベントの検出です。監視には、成熟度のレベルがあり、最低限のログ収集は初歩の段階にあたります。大量のアラートはSOCチームに負担をかけることがあります。ITとOTの両方におけるサイバーイベントの検出とそのコンテキストの分析能力は、対処の優先順位を決める際の指針となります。
図3: サイバーイベント検出および分析プロセス:Incident Handling Guide (NIST SP800-61r2) を参照
サイバーイベントの検出と分析は主に4つのステップからなります。
1つ目は、自社の資産やネットワークを監視する能力。OT領域には、エンドポイントのセキュリティを施す方法や近隣ネットワークをモニターする手段があります。2つ目は、観察されるイベントから企業や組織にとって有害なものをフィルタリングすること。これには、正常な状態の定義と異常の検出が求められます。3つ目は、ビジネスに重要な影響を与える可能性のあるイベントを特定すること。このためには、資産を利用するビジネスプロセスの重要度や情報のCIA(機密性、完全性、可用性)を評価する必要があります。4つ目は、イベントに即座に対応するかを判断すること。これはコストと対応のバランスを見極める意思決定の問題です。
トレンドマイクロの統合サイバーセキュリティプラットフォーム「Trend Vison One」は、ITとOTを跨り検出および分析プロセスを効率化します。
• 専用のOTエンドポイントとOTネットワークセンサーが、異常な動作をサイバーイベントとして捉えます。
• サイバー攻撃は、IT側を入口として侵入し、内部ネットワークを通じてOTにアクセスします。脅威モデルをもとに、IT側のセンサーからのデータとOT側のデータを組み合わせることで、攻撃のコンテキストを可視化します。
• これにより、攻撃の原因や経路、影響範囲を正確に把握できるため、ビジネスへの影響と対応・復旧に必要なリソースを的確に判断できます。
• こうしたサイバーイベント検出、分析プロセス全体の自動化と効率はインシデント対応時の迅速な意思決定をサポートし、セキュリティの効果を最大化し、ビジネス上のリスクを最小化します。
本記事は、2023年8月4日にUSで公開された記事Break IT/OT Silos by Expanding SOC Responsibilitiesの抄訳です。
関連記事
OTセキュリティの動向調査2023年 シリーズ:
第1回「約50%がSOCをOT領域に拡大、課題は可視性」
第2回「OTセキュリティの最大の課題は『検出』」
第3回「可視性と効率化を阻害するOT特有の事情」
関連情報
トレンドマイクロのXDR 「Trend Vision One」
サイバーセキュリティのエキスパートサービス「Trend Service One」
参考記事
高度なサイバー攻撃の対抗策のカギとなる「XDR」。今求められる3要素とは?
Living Off The Land(環境寄生型)のサイバー攻撃~正規ログの中に埋没する侵入者をあぶりだすには?
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)