今回はこちら。2022年10月にSANS Instituteから発行された調査論文です。産業制御システム(ICS:Industrial Control System)および制御/運用技術(OT:Operational Technology)のサイバーセキュリティがテーマです。
Dean Parsons, SANS Analyst Program
もくじ
どんな人におすすめ?
ICS/OTのサイバーセキュリティに関わるすべての人に発見がある調査です。そもそもICSとかOTってどこからどこまでを指すのかという議論もありますが、すんごいざっくり括ると工場みたいなシステムのことです。工場はいわゆる製造業における生産設備のことですが、他にも業界でいうと石油/ガス/電力などのエネルギー、病院などのヘルスケアなどが挙げられます。いずれもデータで物理的な世界をモニターしたり制御したりする環境のことです。産業用IoTやサイバー・フィジカル・システム(CPS : Cyber-Physical System)もICS/OTを含む上位概念と言えます。
この数年間で、日本の法人でもICS/OT環境のサイバーセキュリティを気にしはじめたところが増えてきました。今までは概念実証のレベルと思われていたICS/OT環境へのサイバー攻撃がリアルでも観測されるようになったきたことが最大の要因かと思います。しかも、Stuxnetに代表されるようなゴリゴリのState-Sponsoredではなくて、コモディティのランサムウェアなんかを使うそこまでスキルが高くない攻撃者による被害まで出てきちゃっているので、2024年は気にしてないほうが少数派になる年かもです。
どんな内容?
ICS/OT環境におけるサイバーセキュリティの現在地ってこんな感じだよってのをちょうどいい粒度で示してくれている話です。
このデータは、世界8か国332人にアンケート調査を行った結果から得ているもので、回答者のポジションや役割をはじめ、インシデントの特徴やサイバーセキュリティ管理策の導入状況も聞いている内容になっていて、ICS/OTセキュリティの初学者も業界の全体感をつかむにはいい内容です、
前提として認識しておくべきは、ICS/OT環境にそのままITのルールや管理策を適用できる、というのはICS/OTセキュリティによくある誤解だということです。ITセキュリティのツール、プロセス、ベストプラクティスをICS/OTにコピペすると、生産と安全性に問題が高確率で起こります。例えば:
- ネットワークベース/ホストベースIPSが、正当なエンジニアリングコマンドを落とす可能性がある。ICS/OT環境で使われているプロトコルはITのものとまったく異なるので、ICS/OTに特化しているソリューションが必要。
- 従来のアンチウイルスシステムは、不正なアンチウイルスシグネチャやヒューリスティックに基づくルールにより、エンジニアリングアプリケーションやプロセスの実行や操作の一部を誤ってブロックしてしまい、制御システムの表示、制御、安全性を阻害する可能性がある。
- IT型スキャンソフトウェアに反応しないICS/OTデバイスに脆弱性スキャンが行われ、エンジニアリングハードウェアが無反応になり、アクティブセーフティ計装システムなどの制御要素の機能性と信頼性に直接影響する可能性がある。
ITとOTの人たちはお互いのことを思いやって接しましょう。
注目ポイント
今回の大きな発見は「ICS/OTのインシデントでも、結局のところ初期侵入はIT側が多い」という点です。この前提があるかないかで、ICS/OTセキュリティマネジメントの指針が相当変わってくるため、非常に大切な示唆です。
下の棒グラフは「御社のICSやOTが攻撃食らったときって、どこから侵入されたっぽいですか?」という質問への回答の分布です。一位は「IT側から入られてOT側まで来た」で、二位はあるあるの「USBからの侵入」です。三位の「EWSへの侵入」ってのも「だよね~」という感じです。四位の外部ネットワークに面しているIoTデバイスから入られるパターンなどは見聞きしたことがあるかと思います。何年か前に、NASAがシャドーIoTデバイスを突かれてネットワークに入られたっていう事例がありましたね。
なぜ「初期侵入はIT側から」がそんなに大事なのかというと、セキュリティコントロールの投資分野がまるっきり変わってくるからです。ICS/OTを守ろうという目的は同じでも、TTPsを考慮できているかでセキュリティコントロールの効果は変わります。セキュリティコントロールの投資判断というのはつまるところ「あっちのリスクよりこっちのリスクのほうが危ない」という理屈に基づくので、例えば工場のサイバーセキュリティを考えるときには、脅威シナリオとして「ワイアレスネットワークから工場に侵入される」よりも「ITネットワークから工場に侵入される」ことを想定するほうが理にかなっています。過去報道されているインシデントの中身を見てみても、ICS/OTに外から直接入り込んでいるというのはほぼなくて、大体フィッシングかVPN脆弱性を悪用してITネットワークに侵入して、偵察~攻撃準備フェーズをIT側で行っています。
そうなると、防御側の肝になってくるのがIT-OTの統合管理と可視化の広さです。マーケティング的にややバズり気味であることを差し引いても、いわゆるXDRの発想で複層的に検知・対応できるようにしておくことは当たり前になると思います。
ただ、今の時点で大事なのは「XDRじゃい!」っていうことじゃなくて「XDRのX(=Extended)をどこまで広げるべきか」ってことを議論することだと強く感じます。XDRはただのバズワードでEDRを読み替えただけだという言説もありますし、そのあたりはセキュリティベンダーの功罪がありそうですが、それをすべて認めたとしてもIT-OTドメインの統合の必要性は一ミリも揺らぎません。そんなこんなで、今回紹介した「偵察~攻撃準備」までがITで行われるということを知ったうえで結果的にICS/OTも含めたXDRを実現させるのと、「今は侵入を前提にしないとダメなんでXDRっす!」というロジックでXDRソリューションを入れるのでは、その意味と効能に雲泥の差が出ます。
感想
ICS/OTセキュリティのトップベンダー8社がスポンサーしている調査だけあって読みごたえがありました。めっちゃよかった。なにがよかったって、今まで経験的に「きっとこうだろうな」というところを調査結果として数値で出してくれているのがありがたいです。
コロニアル・パイプラインなんかはいい例ですが、サイバー攻撃でICS/OTに影響が出たケースのほとんどはICS/OT資産を直接侵害しているわけじゃなくて、IT側で確認された攻撃の影響範囲が特定しきれないから「じゃあ念のためOT側も止めとこう」という予防措置的な発想でOTの稼働を止めるというのが多いパターンです。なので、複数のビジネスドメイン(ここでいうIT/OTという分け方)からテレメトリーを収集できて、リアルタイムに検知できる体制を目指すというのは、とても良い目標なのではないかと思います。
最後までお読みいただきありがとうございました。ではまた次回。
おわり
