サイト内検索
CPSセキュリティ事業メニュー
CPSセキュリティ事業
HOME
取扱メーカー
ソリューション・
サービス
コラム・
事例
資料
セミナー・
オンデマンド動画
お問い合わせ
コラム
事例

近年、国際的な緊張の高まりや地政学的リスクの影響により、サイバー攻撃の脅威がますます多様化・高度化しています。日本においても、国や地域を問わず、グローバルに波及するサイバーリスクへの備えは、もはや他人事ではありません。
本記事は、米Dragos社が執筆したブログの翻訳です。主にイランをめぐる地政学的リスクとOTサイバーセキュリティの関係について解説されていますが、そこで提案されている備えのアクションやプレイブックの考え方は、日本企業にとっても非常に参考になる内容です。
CISOの方々はもちろん、製造業や重要インフラに携わるすべてのOTセキュリティ関係者の皆様にとって、本記事が自社のセキュリティ体制を見直す一助となれば幸いです。

はじめに

5年半前にCISO(最高情報セキュリティ責任者)を務めていた方であれば、米国、イラン、イスラエル間の最近の出来事を受けて、セキュリティチームの警戒レベルを引き上げるためのプレイブックをすでにお持ちかもしれません。なぜなら、イランからの脅威レベル、特にサイバー脅威が高まったのは今回が初めてではないためです。

20201月には、米国によるドローン攻撃により、イランの有力な人物であるカセム・ソレイマニ司令官が殺害されました。この出来事を受けて、イラン政府首脳は報復を宣言し、米国国土安全保障省もイランからのサイバー攻撃の可能性について警戒を呼びかけました。また、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国内の企業および政府機関に対し、サイバー侵害や業務妨害への警戒を強化するよう通知を発出しました。

当時、私はロックウェル・オートメーションのCISOとして、この警告を極めて重要なものと受け止め、チームとともに増大する脅威に対処するためのプレイブックの策定に取り組みました。
本ブログは二部構成となっています。第一部では、2020年当時の経験をもとにOT(制御システム領域)のサイバーセキュリティについて重要な考察を述べています。第二部では、現在の地政学的情勢を踏まえ、すべてのCISOの方々に検討いただきたいアクションについてご提案します。

地政学的要因によるサイバー攻撃に、貴社のOTサイバーセキュリティは耐えられますか?

CISOとして、当社のEDR(エンドポイント検知・対応)ソリューションが自社の脅威インテリジェンスチームおよび脅威ハンティングに強く依拠しており、彼らがイランからの脅威について的確に把握していることに安心感を覚えていました。しかし、IT領域の防御態勢を評価・強化するだけでなく、重要インフラ分野での当社の役割を踏まえると、ロックウェルのOT(制御システム)環境も標的となる可能性があることに気付きました。そこで、OTセキュリティ分野のリーダー数名に連絡を取り、OT領域でも十分に防御できているかどうかを確認することにしました。実は、このとき初めて、Dragos社のCEOであるRob Lee氏と直接話をする機会を得ました。

まず最初に、別のOTセキュリティプラットフォーム提供企業に連絡し、同社のプラットフォームがイランからの脅威にどのように対応できるのか、また、脅威レベルの高まりに対して何らかの特別な対応を行っているのかを質問しました。しかし、その回答は非常に憂慮すべきもので、満足のいくものではありませんでした。彼らは異常検知に依存しており、特定の脅威を積極的に検知することはしていませんでした。つまり、イランからのサイバー脅威の高まりやDHS/CISAからの警告に対して、特別な対応策は実施していない、とのことでした。

次に、同じ質問をDragos社のRob Lee氏に投げかけました。彼の回答には非常に感銘を受け、結果として2年後、Rockwellを退職した後にDragosへの転職を決意するきっかけにもなりました。Robは、Dragosのインテリジェンスチームが特定の敵対的グループによるサイバー脅威の検索・追跡・評価を常時行っていることを説明してくれました。また、各脅威グループが用いる具体的な戦術、技術、手順(TTPs)については、Dragosプラットフォームの行動分析機能へ継続的に組み込まれており、OT Watchの脅威ハンターが実際にお客様の環境でこれらの脅威を積極的に探索しているとのことでした。まさに私が求めていた対応でした。
また、私自身の経験から申し上げますと、Dragosインテリジェンスチームは近頃、イランに関連する敵対的グループに最大限の注意を払い続けてきました。新たなインテリジェンスの共有、脅威ハンティングの実施、新しいTTPsIoC(侵害の痕跡)をプラットフォームに組み込むスピード感には、社内から見ても非常に高いものがあると感じています。

例えば、先週のある日:

  • 米国中部標準時(CT)午後2時頃、DragosインテリジェンスチームからDragos OT Watchの脅威ハンターに対し、新たに判明したBAUXITE関連の脅威情報が速やかに共有されました。
  • 午後230分までには、Dragos WorldView製品向けレポートが作成され、レビューおよび関係部門との調整に向けて準備が整いました。
  • 午後3時までには、WorldView製品レポートのドラフトはピアレビューに回され、必要なパートナーとの連携も完了していました。
  • 午後4時までには、Dragos OT Watchチームが、共有されたインテリジェンスに基づき抽出したIOC(侵害の痕跡)を用いて、すべてのOT Watch顧客環境に対するスウィープ(点検・調査)を実施しました。
  • 午後430分までには、OT Watchチームが全OT Watch顧客向けに日次で実施するクエリベースの脅威ハンティングを策定し、インテリジェンスチームは当該レポートをWorldView購読者向けに公開しました。

CISO向けアクションプラン

これはDragosの宣伝を目的としたものではありません。私は営業担当ではなく、元CISOとして、現在私たちが直面しているような地政学的な情勢の中で、世界中のCISOおよびセキュリティチームが直面するプレッシャーや課題を深く理解しています。こうした情勢は特定の地域に関連するものかもしれませんが、サイバーセキュリティにはグローバルな影響を及ぼします。

正直に申し上げて、2017年にロックウェル・オートメーションで製造業向けサイバーセキュリティプログラムを開始した際、OT領域の可視化および監視のためのセキュリティプラットフォームを最優先で導入しました。当時、すでに侵害されているリスクが高いと認識しており、その時点のサイバー脅威環境(現在とは比べものにならないほど穏やかな状況でしたが)を踏まえても、工場における可視化と監視を確保することは不可欠であると感じていました。これは私たちがITセキュリティ戦略でも優先していた考え方と同じです。

OTセキュリティプラットフォームをまだ導入されていない場合には、全てのCISOの皆様に対し、必要なリソースの確保に取り組むことを強くお勧めします。しかし、それだけで十分とは言えませんし、導入が難しい、あるいは時間を要する場合もあるかと思います。そのような場合でも、決して対応を先送りしないでください。
現在の地政学的情勢を踏まえ、以下のアドバイスをお伝えします。

  • セキュリティチームの警戒レベルを引き上げてください。大規模なサイバー攻撃は、週末を含む業務時間外に発生することが多いのは周知の事実です。セキュリティチームがいつでも迅速に対応できる体制を整えていることを確認しましょう。
  • OT環境への配慮を忘れないでください。特に製造業において、ITセキュリティ体制は充実しているものの、OTセキュリティについては検討を始めたばかりという企業が多いことを懸念しています。CISOの皆様、もし製造現場がサイバー攻撃によって停止すれば、企業の収益にも直接的な影響が及びます。現在の脅威環境を契機に、OTサイバーセキュリティのための特別な予算を申請することを積極的にご検討ください。
  • 現在直面しているような特定の地政学的脅威に備え、ITおよびOT双方に対応したプレイブックを構築してください。今後、脅威をエスカレートさせる国家主体はイランだけとは限りません。対立する脅威グループごとに、用いるTTP(戦術・技術・手順)は異なります。現時点ではイランに重点を置きつつも、地政学的状況が急速に変化していることから、今後新たな脅威主体にも対応できるよう、複数のシナリオを視野に入れておくことが重要です。
  • プレイブックには、アクティブな脅威インテリジェンスを必ず組み込んでください。自社のセキュリティプラットフォームにおいて、特定のTTP(戦術・技術・手順)やIOC(侵害の痕跡)を継続的に受信・優先順位付け・実装し、ITおよびOT環境の両面で積極的に脅威ハンティングを実施することが極めて重要です。
  • サプライチェーンや自社を取り巻くエコシステム全体にも目を向けてください。イラン関連のハクティビスト(BAUXITE脅威グループについてはDragosの情報を参照)による攻撃は、小規模な水道事業者やその他のセクターも標的としています。主要なサプライヤーやパートナーにも積極的に連絡を取り、現在の脅威について周知するだけでなく、Dragosが提供している無償リソースが利用できることも案内してください(詳細は下記をご参照ください)。
  • まずは、SANS ICS 5 Critical Controlsの導入から着手してください。OTサイバーセキュリティへの取り組みを始めたばかりの場合や、成熟度向上の方法を模索している場合でも、SANSのガイダンスを活用することで、OTサイバーセキュリティに伴う複雑さを整理することができます。すでに導入しているコントロールについても、確実に適切な運用がなされているか再評価してください。
  • 小規模な電力会社、水道事業者、天然ガス事業者の皆様は、「集団防衛」において極めて重要な役割を担っています。OTサイバーセキュリティへの対応は負担に感じることもあるかもしれませんが、利用可能なリソースを活用し、知識を深めていくことで、OTサイバーセキュリティを実現可能なものにしていくことができます。ISAC(情報共有分析センター)などの団体も、頼れるリソースの一つです。
    例えば、Dragos OT-CERTは、世界中のICS/OTコミュニティ向けに、OTサイバーセキュリティプログラムの構築やセキュリティ体制の強化、リスクの低減に資する情報や資料を無償で提供しています。また、Dragos Community Defense プログラムでは、米国およびカナダにおいて年間収益1億米ドル未満の小規模な電力・水道・天然ガス事業者を対象に、Dragosプラットフォーム、脅威ハンティング、オンライン研修、集団防衛といったサービスをすべて無償でご提供しています。

最後に

サイバーセキュリティプログラムの現状に関わらず、今回の機会を活かして自社の防御態勢を点検し、コントロールを強化し、課題を解消していきましょう。私たち全員がこの脅威のエスカレーションを予測してきたはずです。そして、自社・お客様・さらには社会全体を守ることが私たちに求められています。この責任は非常に大きいものですが、そもそも私たちがこの職を選んだのは、こうした重要な役割を果たすためではなかったでしょうか。

元記事はこちら
資料請求はこちら
お問い合わせはこちら