サイバーセキュリティ指標を使用して、OTセキュリティの成熟度を高める方法とは

はじめに

2023年、運用制御技術（OT）および産業用制御システム（ICS）におけるサイバーセキュリティの課題は、これまでになく深刻なものとなりました。新しいRansomware-as-a-Service（RaaS）モデルによってさらに広まりを見せるランサムウェアは、普遍的で身代金を要求されるため頭痛の種になりました。そのリスクを誇張し過ぎているという意見もあるかもしれませんが、防御に対する需要の高まりは誇張されたものではありません。2024年もOTシステムへの脅威の増加が予想され、政府や企業が実施する対策も大幅に増大することが考えられます。
そこで本記事では、企業がサイバーセキュリティ指標とセキュリティ主要業績評価指標（SKPI：Security Key Performance Indicator)を使用して、OTセキュリティの成熟度レベルを高め、その改善状況を追跡する方法について解説します。
多くの製造業経営層は、OT/ICSサイバーセキュリティの重要性を認識していますが、その認識とOT/ICSサイバー防御への投資行動の間には、依然としてギャップが存在します。OT/ICS部門がセキュリティの強化を提案する場合、経営層はしばしば、保護が強化されるという具体的な証拠を要求します。実際には、サイバーセキュリティ対策の投資対効果（ROI）を定量化することは困難であるため、現在のサイバーセキュリティ技術では十分に対応できない課題です。取締役会、規制当局、サイバー保険会社がOT環境内の測定可能な改善点を求め始めたため、経営層はOT/ICSセキュリティ部門に、他の運用企業（製造、流通、パイプラインなど）と同様の指標に基づいて成功させようと画策しています。そのため、この不明確なROIが原因となり、そのような提案は優先順位が下がり、棚上げされる傾向にあります。しかし、対応の必要性は高まるばかりで、このギャップは解消されていません。ではどうしたら良いのでしょうか。まずはOTサイバーセキュリティの改善点を測定する際の課題について解説します。

OTサイバーセキュリティの改善点を測定する際の課題

産業界の多くの企業は、自社の最も重要なシステム（特にネットワーク化された物理的稼働環境を含むシステム）が、従来のITシステムと同程度までサイバーセキュリティに配慮されていないと感じています。TXOneが発表した、OT/ICSサイバーセキュリティレポート 2023によれば、セキュリティ成熟度の面で、OT/ICSシステムは、当初予想されていたよりもはるかにITシステムに遅れをとっています。

OTセキュリティがITセキュリティに遅れをとっている理由は数多くあります。多くのOTシステムは、歴史的にITシステムと比較して外部世界/インターネットとの接続が少なく、IT/OTの統合に伴うリスクを完全に理解できていない企業も少なくありません。また、セキュリティ対策の変更によって稼働時間や生産性が妨げられる可能性があるため、脆弱性やセキュリティ上の弱点を管理することが困難になっています。OT環境で実施されているITセキュリティツールは、アップデートされていないケースもあり、また、組み込み型のOTシステムにセキュリティが導入された場合には、一般的に効果がないか、リスクがさらに高まってしまいます。さらに、OT環境内にセキュリティ対策を展開する際の知識やスキルのギャップも顕著です。

これらの要因から、OTセキュリティの状況を大幅に改善することが急務であることがわかります。増大する脅威に対抗するためには、そこに投資を増やすだけでなく、企業が目標達成に向けて継続的に改善していることを取締役会、規制当局、保険会社が納得できるように、これらの投資を測定可能なものにする必要があります。

この課題に対応するため、米国サイバーセキュリティ社会基盤安全保障庁（CISA）は、サイバーセキュリティフレームワークの機能に沿った、一連の（任意の）分野横断的なサイバーセキュリティパフォーマンス目標（CPG）を発表しました。これらの目標は、基本的なサイバーセキュリティ対策のための基準を含む、優先度の高い一連のセキュリティ対策を提供して、重要インフラ業界のITとOTを支援するものです。そして、業界のサイバーセキュリティ体制を強化し、企業がサイバーセキュリティパフォーマンスの目標を定め、適切に予算を配分して、対策を講じられるようになることを目的としています。過去数年間、TXOne Networksは、重要インフラ業界のお客様と緊密に連携し、OTセキュリティを短期間で定量的に改善できることを実証してきました。このアプローチは、CISAのCPGフレームワークに準拠し、当社独自のOTサイバーセキュリティソリューションを組み込んでいます。

主要なサイバーセキュリティ指標によるOT/ICSセキュリティの強化

ヒューマンファクターは、企業のセキュリティ管理フレームワークでは脆弱な要素の1つです。ガバナンス、責任分担（RACI）、ユーザー意識は、セキュリティKPI（SKPI）策において重要な要素です。特に製造ライン内の自動化が進んでいることを考えると、OT/ICS環境では、リスク管理に適したアプローチとして、CPSDR（サイバーフィジカルシステムディテクション＆レスポンス）モデルのような、資産を中心とした多層的な保護・検知構造を推奨します。脅威への対処、リスク軽減のためのサイバーセキュリティ強度の見直し、セキュリティ対策の有効性の検証を行うためには、主要なサイバーセキュリティ指標を定義し、継続的に監視することが重要です。

CISAが提案するCPGフレームワーク以外にも、企業が自社のセキュリティ強度や傾向を明確に把握する際には、考慮すべきサイバーセキュリティパフォーマンス目標がいくつかあります。セキュリティの成熟度を向上させるために適切な措置が必要かどうかを判断する、さらに、セキュアな管理と持続可能な稼働環境に対応するためには、この点を理解しておくことが不可欠です。その際に役に立つ指標は次のとおりです。

 
1. 資産インベントリ

資産管理には、機械に導入された未承認のハードウェア/ソフトウェアや、ネットワーク上のシャドーデバイスの監視が含まれ、サイバーハイジーンの状態が反映されます。最新の資産インベントリが、セキュリティ管理の基盤となります。企業は最低でも月に一度、資産インベントリを定期的に更新しなければなりません。このインベントリには、エアギャップのあるものも含め、ITとOT両方の領域にあるすべての資産を記載しておく必要があります。この資産インベントリは、新規資産、サポート期限切れ（EOL）に近い資産、およびすでにEOLを迎えた資産に分類できます。この分類は、リスクの高い資産を迅速に特定するのに役立ちます。

 
2.積極的なリスク管理

これらの対策は、脆弱性や脅威を積極的に特定し、脆弱性が悪用されるリスクを低減することを目的としています。

• 脅威インテリジェンスを活用したリスク評価：
  この場合、外部と内部の脅威インテリジェンスソースの両方を使用して、（深刻度と影響度に基づき）重要な脆弱性と脅威を評価することが含まれます。新規デバイスを導入する前や、変更が行われるメンテナンス活動中などのタイミングでリアルタイムのスキャンを実施します。これは、現在の脅威の状況を把握し、企業にとって最もリスクの高い脆弱性を特定する際には極めて重要です。
• パッチ適用やセグメンテーションによる重要な脆弱性の軽減：
  CISAの「既知の悪用された脆弱性（KEV：Known Exploited Vulnerabilities）」で推奨されているように、重要な脆弱性はパッチを適用するか、インターネットに接続可能な資産を分離することで軽減できます。従来のパッチ適用ができない、あるいは運用上の安全性が脅かされるOT資産については、ネットワークセグメンテーション、仮想パッチの適用、監視などの代替手段を利用して記録します。この手順は、既知の脅威から保護し、潜在的な暴露を最小限に抑えるために不可欠です。

 
3.OT/ICS境界防御によるインバウンドトラフィック管理

複雑なOTおよびICSセキュリティの領域においては、インバウンドトラフィックを管理することが、悪意のあるトランザクションやアクセスを防ぐために重要です。OT/ICSネットワークの境界防御は、この取り組みにおいて重要な役割を担っており、不要な活動をフィルタリングし、必要な通信のみを許可するゲートキーパーの役割を果たします。このアプローチには、許可するIPアドレスとポートを指定し、ITとOTの間のネットワーク間通信に対して、中間デバイスを介して厳密に制御したりすることが含まれています。ファイアウォール、要塞ホスト、「ジャンプボックス」、非武装地帯（DMZ）などの中間デバイスは、ネットワーク間の安全な橋渡しを維持するには不可欠であり、承認された資産にのみ侵入を許可するよう、厳格な監視とログが行われます。

さらに、2分以内に5回など、短時間に複数のログイン試行が失敗した場合は、セキュリティチームに自動アラートを発信するシステムを導入するなど、失敗したログイン試行をすべて注意深く追跡することを推奨します。このプロトコルは、不正アクセスを防ぐだけでなく、次のようなインシデントをログに記録して将来のレビューのために活用することで、包括的なセキュリティ分析にも役立ちます。

• ファイアウォールが検知したイベント：
  ファイアウォールシステムが特定し、記録されたインシデントを指します。ファイアウォールは、事前に定義されたセキュリティルールに基づいて、送受信トラフィックを検査することで、防御の最前線の役割を果たします。この要素は、不正アクセスを防ぎ、潜在的な脅威がネットワークの奥深くに侵入する前に防御する重要な役割を担っています。
• 侵入防止システム/侵入検知システム（IPS/IDS)が検知したイベント：
  ネットワーク内の悪意のある活動を検知し防止するよう設計されたシステムがこれらのインシデントを特定します。IPS/IDSシステムは、ネットワークトラフィックを分析し、サイバー脅威を示す危険なパターンを特定します。企業は、これらのイベントを検知して分析することにより、リアルタイムの脅威に対応し、攻撃に対するセキュリティポスチャを強化することができます。
• 継続的に通常の行動パターンのベースラインを確立する：
  潜在的な脅威を分析する基礎となるのは、ネットワーク内の「正常」なトラフィックとは何かを理解することです。このプロセスには、通常の行動パターンのベースラインを確立する作業が含まれ、このベースラインを用いることで逸脱活動を特定できます。OTネットワーク防御システムは、データフローの振る舞いを継続的に監視することで、悪意のある活動を示す異常なパターンを検知することができます。悪意のある活動とは、予想外に大量のデータが未知の宛先に転送されていること、機密性の高いリソースへの不正なアクセス試行があること、データ不正流出の試みを示すパターンがあることなどです。

 
4.エンドポイント保護対策の導入による脅威の検知と対応の強化

OT環境におけるファイアウォールも、脆弱性、設定ミス、または誤動作により機能不全に陥り、資産や通常業務に重大なリスクをもたらす可能性があります。このような場合、悪意のある活動を検知するために、エンドポイントセキュリティソリューションを導入することが不可欠になります。TXOne Networksは、産業界の企業が、サイバーフィジカルシステム（CPS：Cyber-Physical Systems）の検知および対応能力を強化するために、承認されたアプリケーションリストに明示的に含まれていないプログラム、DLLファイル、ドライバー、およびスクリプトなどの不要な機能を無効にするなど、振る舞いベースラインに基づいてシステムポリシーを確立する必要があると提唱しています。この検知と対応で、潜在的な脅威に対する堅牢な防御力を発揮します。特定のサービスを特定の条件下で有効にする必要がある状況では、独自のポリシーにより、承認されたユーザーが指定した資産でこれらのサービスを有効化できるようになることで、サイバーセキュリティを確保しながら運用上の柔軟性を維持できるようになります。

• 脅威発生から検知までの期間：
  この指標は、脅威が最初にシステム内に現れてからセキュリティ対策によって正常に検知されるまでの時間を測定したものです。この時間を最小限に抑えることは、脅威による潜在的な被害を軽減し、サイバーセキュリティプロトコルの全体的な応答性を向上させるためには極めて重要です。
• 未承認のソフトウェア/ハードウェアの組み込みとポリシー違反：
  この要素は、デバイスへの未承認のソフトウェア/ハードウェアの組み込み、ネットワーク内のデバイスへの不正侵入、制限されたネットワークへの不正アクセスの試みなどのインシデントに対処します。これらのインシデントの監視と管理は、システムの完全性を維持し、不正アクセスや侵害を防止するために不可欠なものです。
• 振る舞い検知とゼロトラストの原則に基づくOTセキュリティ：
  サイバーフィジカルシステムの検知と対応（CPSDR：Cyber Physical Systems Detection and Response）は、どのアプリケーションの実行を許可するかという設定にとどまらず、プログラムの通常の行動パターン（フィンガープリントと呼ばれる）を理解することにまで踏み込みます。このアプローチは、振る舞いベースラインに基づいてシステムポリシーを確立することで、プログラム、DLLファイル、ドライバー、スクリプトなどの不要な機能を無効にすることを目的としています。この方法の利点は、悪意のあるアプリケーションに関連するネガティブな振る舞いを定義する必要がなく、正規のアプリケーションで想定される振る舞いの説明のみ必要になる点です。この多層的な検知メカニズムは、あるアプリケーションが脆弱性によってシェルコードで不正に操作されたとしても、攻撃プロセスをブロックすることができ、OTセキュリティのゼロトラスト手法に沿っています。
• ウイルス対策ソフトウェアが検知した実際の脅威の総数：
  この指標は、ウイルス対策ソフトウェアによって特定された脅威の総数を指し、真の陽性（実際の脅威）と誤検知（誤って脅威として特定）を区別します。これらの数字を追跡することで、脅威検知システムの精度と効率を評価し、セキュリティ対策の継続的な改善と最適化を図ることができます。

 
5.アウトバウンドトラフィックの保護

サイバーセキュリティの領域では、企業の資産、特に公共のインターネット経由でアクセス可能な資産からのアウトバウンドトラフィックを保護することが、悪用や乱用を防止する上で最も重要です。セキュリティ管理における重要なポイントには、適切な対策を講じていなくても、資産が悪用されやすいサービスを提供しないようにすることが挙げられます。さらに、インターネットに接続されている資産で、必須ではないオペレーティングシステムのアプリケーションやネットワークプロトコルを無効化することや、OT資産の公共インターネットへの接続を、運用上必要なものに限定することも非常に重要です。このようなベストプラクティスから逸脱するものについては、不正利用の試みを防ぐために、セキュリティ対策を強化して、十分に根拠付け、文書化、装備化しておかなければなりません。

• ファイアウォールが検知したイベント（ポートスキャンなど）：
  この要素には、不正なポートスキャン行為など、ファイアウォールシステムによるインシデントの検知が含まれます。ファイアウォールは、事前定義されたセキュリティルールに基づいてインバウンド/アウトバウンドネットワークトラフィックを監視および制御する重要な防衛線として機能します。このようなイベントを特定することで、企業は潜在的な脅威や脆弱性に先手を打って対処し、ネットワークインフラのセキュリティを強化することができます。
• プロキシが検知したイベント：
  このカテゴリーは、不審なまたは悪意のあるウェブトラフィックパターンなど、プロキシを介して検知されたインシデントに関連するものです。プロキシは、ユーザーとインターネットの間の中継役となり、フィルタリングとセキュリティの層として加わります。これらのイベントを検知することで、データの流出、マルウェアの拡散、さらにアウトバウンドトラフィックによって生まれるその他のセキュリティ脅威のリスクをさらに軽減することができます。

 
6.外部ネットワークスキャンツールで処理された検知漏れ脅威への対応

外部ネットワークスキャニングツールやハニーポットを脅威検知に利用することは、特に悪意を持った攻撃者が内部の防御メカニズムを巧みに回避した場合に、産業界の企業の外部のツールや視点を使用して、未知の悪意のある活動を対処するための一つのアプローチとなります。これらの指標（ハニーポット検知、新規リリースのURL/パブリックIP、および内部クライアント情報（高範囲の送信元ポート））は、企業のセキュリティポスチャとネットワーク脅威に対するレジリエンスを評価するための重要な指標となります。このような指標は、未知のマルウェアによる攻撃やゼロデイ脆弱性を悪用する攻撃を特定する際に重要な役割を果たし、企業のセキュリティポスチャを大幅に強化します。

• ハニーポット検知：
  ハニーポットは、実際のネットワーク資産を模倣したおとりのシステムです。ネットワーク内へ戦略的に配置して攻撃者をおびき寄せ、本来の標的から攻撃者を遠ざけるものです。ハニーポットに関わる検知指標とは、悪意のある攻撃者やマルウェアを引き付け、特定するこのようなシステムの能力を指します。この指標は、企業が直面する脅威の種類や、攻撃者が用いる手口を理解するために重要なものです。ハニーポットとのやり取りを分析することで、セキュリティチームは、攻撃パターン、悪用されている脆弱性、場合によっては攻撃者の身元に関する情報を得ることができます。この情報は、防御の強化、インシデント対応策の調整、全体的なサイバーセキュリティ対策の強化に役立ちます。
• 新規リリースのURL/パブリックIP：
  この指標は、ウェブサービス、外部通信、またはソフトウェアの更新を通じて、企業のデジタル環境に取り込まれた新しいURLやパブリックIPアドレスの追跡や分析に関わるものです。URLやパブリックIPの新規リリースを監視することは、次のような理由から不可欠です。第一に、新しく導入されたサービスやアプリケーションのセキュリティを評価することで、脆弱性を持ち込まないようにできます。次に、ネットワークをサイバー脅威にさらす可能性のある未承認のサービスや不正なサービスの早期発見に役立ちます。最後に、新たなデジタルの導入に慎重に目を光らせることで、無防備な状態や意図しない暴露から生じるデータ漏洩やデータ侵害を防ぐことができます。
• 内部クライアント情報：
  この指標は、内部ネットワークトラフィックの分析にフォーカスしており、具体的にはクライアント要求のある送信元ポートを調べます。送信元ポートが高範囲である場合、通常、内部クライアントから外部サーバーや外部サービスへのアウトバウンド接続が開始されたことが考えられます。このトラフィックを監視・分析することは、いくつかの理由から重要です。まず、不正なデータ流出や悪意のある外部エンティティとの通信の可能性を特定することができます。さらに、危険にさらされていたり、悪意を持って動作している内部デバイスやシステムを洗い出すこともできます。高範囲の送信元ポートからの情報の流れを理解することで、企業はネットワークポリシーをより効果的に実施でき、確認された安全な宛先にのみアウトバウンド接続を制限し、外部の脅威に対する内部ネットワークの全体的なセキュリティを強化することができます。

産業用サイバーセキュリティのROIを高めるソリューション

TXOne Networksは、OTゼロトラスト手法を順守することで、ICS環境やOT環境の信頼性と安全性を確保できるサイバーセキュリティソリューションを提供しています。TXOneでは、Purdueモデルレベル4および5のシステム向けのソリューションは提供しておらず、前述のサイバーセキュリティ指標をすべて満たしていない場合がありますが、レベル3以下のシステムを防御する包括的なOTゼロトラストソリューションを提供しています。当社では、大手メーカーや重要インフラ事業者と協力し、サイバー防御に対する実用的で運用しやすいアプローチを開発しています。

PardueモデルをベースとしたTXOneソリューション導入モデルはこちら

当社が開発したOTゼロトラストベースのテクノロジーは、従来のサイバー防衛の限界を超えて、管理を合理化し、セキュリティ導入によるシステムへの負荷を削減して、課題を迅速に解決します。リアルタイムで多層防御型のサイバーセキュリティをミッションクリティカルなデバイスとOTネットワーク全体の両方に提供することで、階層化された配置と現場に共通する多様な資産との連携を図る、ネットワークベースとエンドポイントベースの両方のソリューションを提供します。

• TXOne Elementの製品ラインは、工場エリアに出入りする資産や持ち運び可能な記憶メディアに対して、サイバーセキュリティ検知を確実に行います。この製品の設計ロジックは、既存の運用プロセスと密接に連携しているため、一般のスタッフでも簡単に採用でき、サイバーセキュリティのメンテナンスやインベントリ作業を容易に実行できます。
• TXOne Edgeの製品ラインは、産業用制御ネットワーク環境の安定性とレジリエンスを強化します。パケット検出を中心としたゼロトラストの原則に基づき、デバイス間のあらゆるデータ交換とコマンド送信は精密な管理制御の対象となります。産業用制御通信プロトコル用に開発されたマイニング技術は、災害の予防・検知・修復に重要な役割を果たし、運用全体の安定性の向上に貢献します。
• TXOne Stellarは、産業用制御システムに根ざした純粋なソフトウェアエンドポイント保護ソリューションを提供します。運用現場の規範となるベースラインを参考にして、新旧機器間の垣根を取り払います。運用を中断することなく、不正なシステム変更や悪意のある活動を積極的に阻止します。
• TXOne SageOneは、企業のサイバーセキュリティの状況を視覚的に表現できるため、多角的な視点から状況確認が可能になります。保護されている資産と保護されていない資産の割合、資産の健全性状態と異常検知、資産の暴露レベルの評価、および資産ライフサイクルの概要など、細分化された包括的なセキュリティの視点で状況が把握できます。

まとめ

上述したOTサイバーセキュリティ指標は、産業界の企業の状況を踏まえた、サイバーセキュリティ強化のための重要な考察材料となります。各企業には独自のセキュリティ目標と要件があることを認識し、これらのSKPIを企業固有の目標に合わせてカスタマイズすることが不可欠になります。早急かつ包括的な資産インベントリを作成することで、このカスタマイズプロセスを開始することをお奨めします。完全な資産インベントリを有することで、ITおよびOTセキュリティチームは、利用可能なパッチの効果的な管理、パッチの状態の追跡、不足しているパッチの特定などが行えるようになり、サイバーセキュリティフレームワークを強化することができます。

ゼロトラストアーキテクチャ（ZTA）の時代においては、最小権限の原則を順守するために境界ファイアウォールポリシーを強化すると同時に、セキュリティの脆弱性を示す可能性のある内部ネットワークトラフィックやエンドポイントの挙動に異常がないか精査することが重要です。ポリシー違反を調査することは単なる脅威検知にとどまらず、特に、高度に自動化された製造施設においては、新たに発生する持続的標的型攻撃（APT：Advanced Persistent Threats）、悪意のあるソフトウェアトップ10、またはCISAによる既知の悪用された脆弱性カタログ（KEV：Known Exploited Vulnerabilities）なども含めた幅広い脅威に対応していく必要があります。また、攻撃元、攻撃ベクトル、影響を受けた領域に対する徹底的な分析と対応も必要です。

SKPIを独自のセキュリティニーズに合わせて調整し、ゼロトラストアーキテクチャの原則を忠実に適用することで、複雑なサイバー脅威に対する防御メカニズムを大幅に強化することができます。このアプローチは、重要なインフラストラクチャを保護するだけでなく、ますますデジタル化と相互接続が進む世界における製造業の稼働環境の継続性と完全性を確保できます。

情報過多になっていませんか？当社がご支援いたします。

石油ガス業界のパイプラインや生産施設のセキュリティ確保の課題は常に進化しています。TXOneは、お客様とお客様のベンダー企業様が最適なOTサイバー防御策を見つけられるよう、いつでも支援させていただきます。TXOneのソリューションがお客様のシステムの安全性、コンプライアンス、運用性をどのように維持できるか、是非お問い合わせください。

参考資料

• CISA、『分野横断的なサイバーセキュリティパフォーマンス目標（Cross-Sector Cybersecurity Performance Goals）』、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）、2022年。
• James Tu、Dr. Winston Shieh、Dr. Terence Liu、Leon Chang、『半導体製造環境向けサイバーセキュリティ参照アーキテクチャ（Cybersecurity Reference Architecture for Semiconductor Manufacturing Environments）』、SEMI、2023年10月1日。
• Livingston, J. 『OTセキュリティを迅速に改善・測定するための4つの要素（4 components to rapidly improve & measure OT security）』、Verve Industrial、2022年11月30日。