見えるだけでは守れない 資産の可視化から始める工場セキュリティ
工場の稼働継続を守るための戦略編に続き、2回目の本記事は工場における「資産の可視化」に着目して工場セキュリティの実践的な進め方を解説します。
本記事は、手段やツールにとらわれず工場の稼働継続を守るという目的を果たすための戦略と実践について解説する前後編の後編・実践編です。
前編:工場の稼働継続を守る2つの戦略
OTセキュリティを検討し始めるとき、ITとの違いの一つとして、可視性が低いことが最初の問題になります。多くの企業でIT環境のデバイスやサーバ、ネットワークは、資産として管理され、セキュリティに関連する情報や対策状況も把握されています。一方、OT環境においてはハードウェアの資産台帳は作成されているが固定資産としての管理に留まり、セキュリティ管理を行う上で必要な情報が整理されていないことがほとんどです。
そこで、まずは見えていないものを見えるようにする、「資産の可視化」から始めましょう、というのが一つのアプローチとなっています。
・資産:
まずは対象ネットワーク上に端末として何が存在するかを確認することから始まります。IPアドレスが付与された端末の数を把握し、OSの種類、メーカー等のどのような端末かの情報を収集します。
セキュリティの観点で一歩踏み込むと、端末上の脆弱性を把握することになります。OSのバージョン情報、端末に残存するOSやアプリケーションの脆弱性およびそのCVSSスコア等の情報です。さらに可視性を深める場合、脆弱性に対する修正プログラムの適応状況、端末上のハードニングやセキュリティソフトのインストール有無といった攻撃耐性まで確認対象に含めます。
・接続性:
どの端末、設備、ネットワークがインターネットに接続しているか、が最初に把握すべきレベルになります。その次に、内部の接続としてどの端末間がつながっているか、どのネットワーク間がつながっているかを把握します。
このような情報をまとめ、トポロジー、ネットワーク構成図として整理します。
・挙動:
ネットワーク上でどのような挙動があるかを把握することもセキュリティにおける可視化の一つです。例えば、未許可端末のネットワーク参加を見つけることや、セキュリティポリシーを満たさない端末の接続を発見します。さらには、端末上でのマルウェア感染やネットワーク上で脆弱性攻撃のトラフィックを検知すること、より深い領域では、グレーゾーンの不審な通信を見つけることになります。
このように可視化と一口に言っても範囲が広いため、工場のセキュリティを推進する上で、まず可視化が必要な対象は何か、どこまでの情報が必要か、を見定めることが求められます。
・脆弱性:
個別資産上の詳細を把握しても、設備メーカーの保守が受けられなくなる等の理由でパッチ適用できない。脆弱性があることを知っても何もできない。
・ネットワークトポロジー:
全体を図示化でき、特定の資産ごとにグループ化することが良いとわかっても、工場内のネットワーク構成を簡単には変更できない。
・不審な挙動:
グレーなイベントを多数検出しても、確認・分析・対応するリソースがない。重要なイベントすら対処しきれないこともある。
・マルウェア感染:
感染端末を発見しても、迅速に対応する手順、ツールが準備できていない。都度、現地で担当者が手動で対応せざるを得ない。
資産の可視化は、最初の一歩として非常に重要なプロセスではありますが、何を可視化して何をするのかという目的が定まっていない場合に有効に働かないことに留意が必要です。つまりは、見えるだけでは守れない、のです。
左側のチャートは、まずは可視化に投資を集中した場合です。可視化への過剰投資により、防御する手段を十分に確保できず、運用面でも人的負荷が大きくなるため、実際に対応が追い付かない状況になりがちです。可視化のレベルが高いだけでは、工場の防御力や対応力は向上しないため、リスクを低減することはできません。
右側のチャートは、可視化の幅と深さを絞り、防御と対応のための運用にバランスした投資をするイメージになります。例えば、頻度の高いユースケース、重要な資産を優先的に可視化し、防御・対応のために必要な情報を可視化することで、より投資効果の高いセキュリティを実装し、工場の稼働継続を守るためのセキュリティレベル向上に寄与できます。
・IT環境から制御情報ネットワーク(L5-L3)
OT環境の中でもITに近い領域では、リモートアクセスなどインターネット接続を利用するシステムがあり、汎用のOSやプロトコルが利用されているため、リスクは高頻度であり、影響度は小さいものから大きいものまでが含まれます。日常的な運用で処理するセキュリティイベントは大量であるため、優先度をつけ、対応を自動化することが求められます。そのためには、資産の情報として脆弱性の有無や深刻度まで把握することや外部接続端末や未許可端末を発見し、広く深いレベルまでリスクを可視化することが必要です。
・制御ネットワークからフィールドネットワーク(L2-L0)
制御ネットワーク層はEWSやHMIが配置されていますが、基本的にインターネットには接続せず、OSとプロトコルは汎用とOT専用が混在しています。より物理的なオペレーションに近いフィールドネットワークのPLC等のコントローラと通信を行います。この領域でサイバーインシデントが起こるリスクは頻度としては高くないものの生産に直結する点で影響は大きいものになります。
多様な設備やデバイスが混在する中では、重要度が高くWindows等のリッチOSで稼働する高リスクの資産に対してはピンポイントで深く情報を収集し、単体としては被害を受ける可能性が低いデバイス群は広く浅く把握するといった可視化が有効です。これにより、資産に対して1対1での点での防御と、セグメンテーションによる面での防御を検討できます。また、これらの防御策によりマルウェア感染が疑われた際に、対象端末上、該当セグメンテーション上で即座に調査、対応(隔離・駆除)が行える体制を整備します。
このように、可視化で情報を集めること自体を目的にするのではなく、可視化する情報とそれを利用した防御と対応を同時に検討することが肝要です。
・IT環境から制御情報ネットワーク(L5-L3)
監視センサーであるTrend Micro Deep Discovery Inspectorと統合プラットフォームTrend Vision Oneを組み合わせて、広く深く可視化し、防御と対応の体制を整えます。例えば、制御情報ネットワーク上の資産を一覧し、デバイス間の接続を把握することで、どの端末にエンドポイント対策をインストールすべきか、接続の状況からセグメンテーションの方針を検討します。日常運用の中では、外部接続する端末や新たに接続された端末を見つけて対処を行います。また、端末へのソフトウェアのインストールが可能な場合には、Trend Vision One エージェントをデバイスに導入することで脆弱性の可視化を行えます。さらに、脆弱性のリスク評価にはサードパーティ製品とTrend Vision Oneの連携も有効です。
・制御ネットワークからフィールドネットワーク(L2-L0)
OT専用ネットワークセキュリティのEdgeFireとEdgeIPSにより、制御ネットワーク層以下の産業用デバイスの最低限の情報を収集することと、インストールレスのUSB型検索ツールTrend Micro Portable Security 3でスタンドアロンの端末も含め重要資産をピンポイントで深く可視化します。防御・対応の面ではEdgeIPSで既設のネットワーク設定を変更せずにポリシー強制によりセグメンテーションを施すことや、脆弱性攻撃を仮想パッチで検知・ブロックします。
また、Trend Micro Portable Security 3を各現場に配置することで資産の安全性の定期チェックやインシデント発生時の駆除体制を整えることができます。
被害の発生を防ぐための防御と万一のインシデント時の被害を最小化する対応を実現する可視化として、適材適所でツールを用いて効率的に運用することが可能になります。
さらに、トレンドマイクロは、Trend Vision One をITとOTを統合するセキュリティプラットフォームとして、より幅広いニーズにこたえるための拡張を進めています。Trend Vision OneがOT層の製品との連携やサードパーティー製品との連携で可視化できる情報を広げることで、それらを利用した防御力・対応力の向上することにつながります。これにより、OTの制御層、フィールドネットワーク層を含めた一元的な可視化を実現し、ITとOTを跨るセキュリティ運用の効率化まで貢献できるようになります。
お客様がOTセキュリティを開始する段階から、将来的にITとOTのセキュリティ運用の統合までを伴走できるパートナーとしてさらにお役に立てるよう取り組みを進めてまいります。
本記事の解説をプレゼンテーション形式にまとめた資料をご用意しました。
組織内でのセキュリティ推進にぜひご活用ください。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)
