新しいグローバルOTセキュリティガイドラインが産業環境に及ぼす影響

歴史的に、運用技術 (OT) 環境は分離され、安定した状態になるように構築されてきました。変化はゆっくりと進み、システムは何年も同じように動作するように設計されていました。

それは変わりつつあります。  

OT システムは現在、ソフトウェアおよびデータ プラットフォームに接続され、リモート アクセスされ、緊密にリンクされています。この移行により、実際の運用上のメリットが生まれました。また、OT 環境を安全に保つためにかつて用いられた多くの前提も取り除かれました。

これは、英国国立サイバー セキュリティ センターが国際的なパートナーと共同で開発した、運用技術 (OT) ガイダンスの新しい安全な接続原則の背景です。  

このガイダンスでは、OT 接続が現在大きなリスクの原因となっており、それを保護するには追加の制御ではなく強力な設計が必要であることが明確にされています。

OT 環境は、接続が意図的かつ制限され、可視的であり、攻撃に耐えられるように構築する必要があります。つまり、妥協を計画し、分離を設計し、障害の広がりを制限する必要があります。

ここでは、ガイダンスの中核となる原則、それが OT にとってなぜ重要なのか、そして Illumio がそれらの要件にどのように適合しているかについて説明します。

このガイドラインが今なぜ存在するのか

OT システムはこれまで以上に相互接続されています。多くは、現代の脅威に対抗できるように構築されていないレガシーデバイス上で依然として実行されています。

リモート アクセス、サードパーティ サポート、クラウド分析、IT リンクにより、攻撃対象領域が拡大しました。多くの場合、この成長はチームが完全に追跡または制御できるよりも速いペースで起こりました。

OT 環境にも、IT にはない制限があります。パッチ適用が遅い、または不可能です。再起動は危険です。ハードウェアのアップグレードには何年もかかる場合があります。システムに障害が発生すると、その影響はダウンタイムを超えて、安全性に影響を及ぼす可能性があります。

このため、ガイダンスではチェックリストではなく最終目標に重点が置かれています。完璧なセキュリティを一度に実現することはできないことを認めています。

組織が制御できるのはデザインです。意図的に OT 接続を計画することで、チームは侵害が広範囲にわたる障害に発展するのを防ぐことができます。

このアプローチは、今日の攻撃者の行動と一致しています。彼らは横方向の動き、粘り強さ、そして時間に依存している  

8つの基本原則とその実践上の意味

このガイダンスでは、安全な OT 接続を 8 つの基本原則に分類しています。いずれも、安全性や可用性を危険にさらすことなくリスクを軽減することに重点を置いています。

これらの原則を組み合わせることで、実用的なフレームワークが形成されます。侵害に対処し、運用を継続できる OT 環境を設計する方法を示します。

1. リスクと機会のバランスをとる

OT への接続は意図を持って開始する必要があります。すべての接続は、定義された運用上の理由から存在し、明確なビジネス上の利点をもたらし、リスクを受け入れる指定の所有者が存在する必要があります。

現実には、多くの OT 環境はこのように進化してきませんでした。接続性は時間の経過とともに拡大することがよくありました。短期的な修正としてベンダー アクセスが追加されました。エンジニアリング ワークステーションは複数のネットワーク接続を取得しました。データはレビューされたからではなく、簡単だから共有されました。

これにより、共通の問題が発生します。ほとんどの組織は、OT システムが実際にどのように通信しているかを現在把握していません。

Illumio は、OT 通信のリアルタイム マップを構築することで、このギャップを埋めるのに役立ちます。これは、ネットワーク図や仮定ではなく、観測されたトラフィックに基づいています。

チームは、どの PLC (プログラマブル ロジック コントローラー) がどの HMI (ヒューマン マシン インターフェイス) と通信しているか、どのサーバーが接続を開始しているか、操作にどのフローが必要であるかを確認できます。また、何もブロックされていないために単に存在しているトラフィックを確認することもできます。

これにより、リスク決定の方法が変わります。チームは設計理論を議論するのではなく、証拠に基づいて作業します。どの接続が必要か、どの接続を制限する必要があるか、どの接続を削除できるかを決定できます。

2. 接続の露出を制限する

露出はインターネットへのアクセスだけに関係するものではありません。また、システムが近くのネットワークからどれだけ到達可能か、また攻撃者が侵入した後にシステムに到達するパスがいくつあるかによっても異なります。

このガイダンスでは、OT へのインバウンド アクセスを推奨していません。露出時間を短縮するために、送信専用の接続、ブローカー アクセス、ジャストインタイム接続を優先します。

これらの原則は理にかなっています。しかし、多くの OT 環境は依然として永続的なアクセスに依存しています。レガシーシステムやベンダーツールでは、多くの場合これが必要になります。

境界で露出を除去できない場合は、環境内に露出を制限する必要があります。

Illumio は、公開されたシステムの影響を軽減します。リモート アクセス ゲートウェイ、ジャンプ ホスト、またはベンダー ワークステーションが侵害された場合、Illumio はそのアクセスが OT 全体に広がるのを防ぎます。

ポリシーは、どのシステムがどのポートでどの方向に通信できるかを定義します。

実際には、これは侵害されたベンダー セッションが 1 つのメンテナンス システムに到達する可能性があることを意味します。コントローラーをスキャンしたり、安全システムにアクセスしたり、無関係な生産資産にアクセスしたりすることはできません。

露出はまだ存在します。それが引き起こす損害ははるかに小さくなります。

3. ネットワーク接続を一元化および標準化する

このガイダンスでは、OT の大きな課題である接続の無秩序な拡大に焦点を当てています。

時間の経過とともに、組織は多くのカスタム アクセス パスを作成します。VPN、ファイアウォール ルール、特殊なネットワーク設計が積み重なります。チームは、生産に支障が出ることを恐れて、変更を避けます。

この複雑さによりリスクが増大します。また、インシデント発生時の対応も遅くなります。

ガイダンスでは、同じ方法で監視および適用できる集中化された反復可能な接続モデルを求めています。

Illumio は、セキュリティ ポリシーをネットワーク レイアウトから分離することでこれをサポートします。ポリシーは、システムがネットワーク上のどこに配置されているかではなく、システムが何であるか、何を行うかに基づいています。

これにより、組織はインフラストラクチャを再設計することなくアクセスを標準化できます。時間が経つにつれて、1 回限りの例外は、テストと保守が容易な明確で再利用可能なポリシーに置き換えられます。

4. 標準化された安全なプロトコルを使用する

プロトコルに関するガイダンスは現実的です。多くの OT システムは依然として、レガシー プロトコルや安全でないプロトコルに依存しています。すべてを一度に置き換えることはほとんど不可能です。

代わりに、このガイダンスは、プロトコルのリスクを理解し、アップグレードが不可能な場合に制御を使用することに重点を置いています。

多くのセキュリティ戦略は、プロトコルのアップグレードを最初に行う必要があると想定しているため、ここで失敗します。

イルミオは別の道を歩みます。安全でないプロトコルが残ると想定しています。焦点は、これらのプロトコルの実行がどこでどのように許可されるかにあります。

どのシステムがプロトコルを使用できるのか、またそのトラフィックの送信先がどこなのかを制限することで、Illumio は暗号化や認証が弱い場合でも不正使用を減らします。

たとえば、コントローラーとデバイス間で Modbus トラフィックが必要になる場合があります。Illumio は、そのパスだけが存在することを保証します。同じトラフィックを他の場所で開始したり、ネットワーク内を移動するために使用したりすることはできません。

リスクが抑制されている間はプロトコルは維持されます。

5. OT境界を強化する

多くの内部デバイスは単独ではパッチ適用やセキュリティ保護ができないため、OT 境界は重要です。

強力な境界制御が不可欠です。しかし、このガイドラインでは重要な点も指摘されています。境界は失われます。

誤った構成が発生し、脆弱性が生じます。資格情報が盗まれます。境界が破られた場合、内部統制によって次に何が起こるかが決まります。

Illumio は、内部 OT トラフィックをデフォルトで信頼できないものとして扱います。トラフィックが境界を越えた後でも、宛先に到達するにはセグメンテーション ルールに従う必要があります。

トラフィックがネットワーク内にあるからといって、自動的に信頼されるわけではありません。

この階層化されたアプローチにより、境界侵害が完全な侵害に繋がることはありません。内部統制により、攻撃者が移動できる範囲が制限されます。

6. 妥協の影響を制限する

この原則は、ガイダンスの中で最も強く述べられているものです。アクセス後の主なリスクとして、汚染と横方向の移動を直接指摘しています。

フラットなネットワーク、共有された資格情報、および広範なアクセスにより、攻撃者は防御側が対応するよりも速く移動できます。

Illumio はその動きを止めるために設計されています。

マイクロセグメンテーションは、明示的に許可されたものに通信を制限します。デフォルトでは、システムは相互に通信できません。

侵害されたエンジニアリング ワークステーションはコントローラーにアクセスできません。侵害されたサーバーは安全システムに移動できません。横方向の移動はブロックされます。

これにより、エスカレーションが防止されます。安全性と稼働時間によって対応オプションが制限される OT 環境では、エスカレーションの停止が重要です。

7. すべての接続がログに記録され、監視されていることを確認する

監視は、チームが通常の状態がどのようなものかを把握している場合にのみ機能します。

OT トラフィックは予測可能な場合が多いです。しかし、それが役に立つのは、チームが東西のコミュニケーションを認識できる場合のみです。

Illumio は、実際の交通パターンを継続的に可視化します。これにより、ベースラインの設定や変更の検出が容易になります。

コンテキストも追加されます。異常が発生した場合、チームは何が変更されたか、どのシステムが関係しているか、ポリシーに違反したかどうかを確認できます。

これにより、調査時間が短縮され、インシデント発生時の意思決定が迅速化されます。

8. 隔離計画を立てる

このガイドラインでは、分離を土壇場での対応ではなく、設計の一部として扱っています。

OT 環境では、害を与えることなくシステムまたはサービスを分離できる必要があります。これらのアクションは計画され、テストされる必要があります。

これはセグメンテーションがすでに存在する場合にのみ機能します。

Illumio はターゲットを絞った分離をサポートします。チームは、サイト全体をシャットダウンすることなく、特定のパスをブロックしたり、侵害されたシステムを隔離したり、サードパーティのアクセスを削除したりできます。

分離は正確かつ可逆的になります。

この精度により、組織はインシデントを運用上の緊急事態にすることなく対応できるようになります。

侵害封じ込めはOTセキュリティの統一要件である

これらを総合すると、このガイダンスは、OT セキュリティはもはや予防のみでは構築できないという事実を指摘しています。  

接続性は露出を保証し、レガシー システムは脆弱性を保証します。唯一持続可能な戦略は、設計による封じ込めです。

侵害の封じ込めは、障害を想定することではなく、障害が発生しても安全に機能し続ける環境をエンジニアリングすることです。

Illumio は、セグメンテーション、可視性、適用を高度な機能ではなく基本的な制御として扱っているため、このガイダンスに準拠しています。  

OT 環境では、この基盤により、組織は接続を安全に適用し、進化するガイダンスに準拠し、影響を拡大することなくインシデントに対応できるようになります。

安全なOT接続には侵害の封じ込めが必要

OT の安全な接続の原則では、接続によって運用環境におけるリスクの現れ方が変化したことが明確に示されています。

リモート アクセス、サードパーティ サポート、データ共有は、現在、日常的な OT 運用の一部となっています。関係するシステムの多くは、このようなレベルの露出を想定して構築されたものではありません。

圧力に耐える組織は妥協を計画します。デフォルトで信頼を制限します。システムが互いに通信する方法を制御します。また、1 つの障害がサイト全体または安全に関連するインシデントに発展しないようにネットワークを設計します。

侵害の封じ込めは OT セキュリティ制御に代わるものではありません。何か問題が発生した場合でも、それらのコントロールが引き続き機能することを保証します。

Illumio Insights が、複雑に接続された環境全体のリスクを理解し、抑制するのにどのように役立つかをご覧ください。 Insightsを無料でお試しください 今日。