　しかし、攻撃者はOTシステムを標的とする攻撃を加速させています。APT34（OilRig）のようなAPT（Advanced Persistent Threat、高度標的型）グループは、政府や重要インフラなどの分野を標的とした活動を続けています。OilRigは、Microsoft Exchangeサーバの脆弱性を悪用したり、高度なマルウェアをデプロイしたりするなどの手法を用いてネットワークに侵入し、機密情報を盗み出し、長期的なアクセスを確立することで、より破壊的な活動に発展することがあります。

　主な課題は可視性の欠如です。自社のネットワークに対する可視性が不十分な場合、これが管理能力の低下とセキュリティ態勢の大きなギャップにつながってしまいます。

サイバー物理システムにおけるセキュリティの課題

　サイバー物理システムの可視化は、その複雑さゆえに特に困難を伴います。軍事基地がその典型的な例であり、独自のエネルギー、水、物流インフラを備えた小さな都市のように機能しています。発電所や水処理施設から交通ネットワークまで、これらの重要なシステムは、効率的な管理のために統合されたサイバー物理ネットワークに大きく依存しています。

　この複雑さは軍事基地が直面するさまざまな課題にまで及んでいます。ドックに停泊している船舶を例に考えてみると、船舶、ドックなど関連する輸送システムは全て、重要な機能を管理するためにOT（オペレーショナルテクノロジー、制御／運用技術）に依存しています。

　燃料供給や給水などのプロセスは、相互接続されたOTシステムによって管理されています。これらのシステム全体にわたる包括的な可視化を達成することは、特にネットワークに接続された全てのデバイスを識別する場合、それぞれに脆弱性と盲点があるITやOT、IoT（モノのインターネット）環境を監視する必要があるため、困難を伴います。

　サイバー物理システムのセキュリティを維持しつつ効率的な運用を確保するには、セキュリティと運用効率を絶妙なバランスで維持する必要があります。これらの複雑なシステムを管理、保護し、継続的かつ安全な運用を保証する上で、効果的なOTセキュリティソリューションは不可欠です。

APTからOTシステムを保護する方法

継続的な監視と資産インベントリ作成

　サイバー物理システムの完全な可視化を実現するための最初のステップは、IT環境とOT環境の両方にわたる継続的な監視や検出の実行と、包括的な資産インベントリの作成です。全ての資産の自動識別とリアルタイム監視を実施することで、インベントリの最新状況が明確に把握でき、重要なデバイスやシステムを見落とすことがなくなります。

攻撃の予測

　APT攻撃により、サイバー物理ネットワーク内のPLCやサーバ、スイッチなどの特定のデバイスが集中的に攻撃されることがよくあります。APT32は自動車業界を含むさまざまな標的に対してサイバースパイ活動を行い、メーカーのネットワークに侵入して企業秘密を盗み出しました。彼らの手口は「MITRE ATT&CK フレームワーク」にカタログ化されており、ネットワーク内の弱点を特定することの重要性を強調しています。

　このような攻撃者の巧妙さを考えると、侵入されてから行動を起こすのでは、壊滅的な結果を招くおそれがあります。サイバー物理システムのセキュリティを確保するには、脆弱性と潜在的な攻撃経路を早期特定することに重点を置いた先行的なアプローチが必要です。環境内の全てのデバイスの位置、通信経路、ステータスを把握した詳細な状況認識により、セキュリティチームはリスクが拡大する前に予測し、軽減できます。

机上演習

　OT環境内で攻撃者が悪用する可能性のある高リスクの経路をマッピングし、脅威の先行的な追跡を行えます。机上演習により、セキュリティチームはシナリオのシミュレーションや異常な動作の検出、予防的介入が必要となる弱点の特定が可能です。これにより、脅威の早期検出とインシデント対応を強化し、重要なシステムの整合性と可用性を確保します。

サイバーセキュリティソリューションへの適切な投資

　OTセキュリティツールは、デバイスの種類別に資産を識別してマッピングし、各デバイスのメーカーやモデル、ファームウェア、脆弱性などに関する詳細な洞察を提供する上で重要な役割を果たします。これらのツールはIT、OT、IoTデバイスにまたがるネットワークの通信経路を明らかにし、環境内で攻撃がどのように広がるかを分析するのに役立ちます。

　効果的なツールを用いることで、セキュリティチームはアクセスを制御するとともに修復の優先順位を決定し、不要なアクセスポイントを閉じられます。全体的なサイバーセキュリティを強化し、リスクを軽減します。

　APT攻撃グループは標的のセキュリティを侵害する上で高度な戦術を活用します。広範囲にわたる偵察を実施し、攻撃後の活動に高度なツールを用います。これにより、特にITやOT、IoTの境界が曖昧になり、アタックサーフェス（攻撃対象領域）の拡大に伴い、サイバー物理システムに重大なリスクがもたらされます。

　APTがIT環境を標的とする場合、ネットワーク全体に対するラテラルムーブメントにより、規制されたOT環境であっても危険にさらされる可能性があります。攻撃者がOTシステムに侵入し、重要インフラや製造プロセスなどを混乱させる可能性があるため、予防的なサイバーセキュリティアプローチが必須です。潜在的な脅威を積極的に特定して無効化することで、組織は貴重な資産を保護し、サイバー物理システムの継続的な整合性を確保できます。

⇒特集「制御セキュリティ」はこちら
⇒連載「製造セキュリティの最前線」のバックナンバーはこちら

著者紹介

貴島直也（きしまなおや）
Tenable Network Security Japan株式会社
カントリーマネージャー

経歴

アダムネット（現三井情報）やEMCジャパンで主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ、拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張をけん引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティーの実行を統括。

安全で生産工程も邪魔しない、OTセキュリティにとって重要なアクティブクエリ
パッシブモニタリングの限界を超えて、OTネットワークのセキュリティを強化するにはどうすべきか。答えはアクティブクエリの活用だ。本稿ではアクティブクエリを用いることでOTセキュリティの課題をどのように解決できるかを解説する。
信頼性強化か大惨事か　基幹インフラでの機械学習活用がOT環境に与えるリスク
機械学習アルゴリズムを基幹インフラシステムに統合することで、リアルタイムのモニタリングや予知保全といったメリットがもたらされます。一方で、サイバーセキュリティ上のリスクが生じることも確かです。本稿ではこのセキュリティリスクについて解説を行います。
心配事は実は同じ、IT／OT部門がセキュリティ対策で協調するのに必要なこと
IT/OT部門の“対立”は製造業ではおなじみのテーマと言えるかもしれない。業務領域や役割への相互理解の欠如は、サイバー攻撃への脆弱さにつながりかねない。しかし、実は両部門がセキュリティ対策で重視する項目は、根底でつながっているのではないだろうか。
攻撃者目線でセキュリティ対策を、MITRE ATT&CKフレームワークの活用方法
サイバー犯罪者の戦術や技術、手順が集積され、分類されているMITRE ATT&CKフレームワーク。実際に同フレームワークはセキュリティ対策にどう活用できるのでしょうか。