セキュリティ分野に携わっている方ならご存知の通り、可視性は絶対条件です。
これは、可視性に関する要件を具体的に定めているSANSの「ICS向け第3の重要制御項目:ネットワークの可視性と監視」、NIST CSF、およびISA/IEC 62443規格と一致しています。
しかし、ネットワーク可視化機能を、それを必要とするすべてのチームのためにOTおよびICS環境に安全に導入することは困難です:
- ITおよびOTのセキュリティチームは、イベントを監視するためにログを必要としています。
- インシデント対応担当者は、攻撃発生時に適切な判断を下すためにデータが必要です。
- フォレンジックアナリストは、OT環境での攻撃がどのように発生したか、および一連の出来事の経緯を把握するためにデータが必要です。
- コンプライアンス部門でさえ、デューデリジェンスを証明するための記録が必要です。
問題は、これらのチームにOTアクセスを「どのように」提供するかということではなく、攻撃者に不用意に侵入の隙を与えてしまわないようにアクセスを提供することにある。
そこで、OPSWAT MetaDefender NetWall 。
各チームがOT環境に直接アクセスする代わりに、MetaDefender NetWall の一方向データダイオードがOTからITへログを送信することで、チームは脅威の侵入を許すことなく、OT環境で何が起きているかを確認できるようになります。
OTログが必要なのは誰か(そしてなぜ単に「ログイン」するだけでは済まないのか)
SANSの「ICS向け第3次重要制御」、NIST CSF、およびISA/IEC 62443といったフレームワークには、明確な可視性に関するルールが定められています。
可視化機能は、重要かつ機密性の高い産業プロセスを妨げることなく、資産の特定、脆弱性の検出、およびリアルタイムの脅威監視を行う上で不可欠です。
組織内には、リアルタイムのOTデータへのアクセスが不可欠なさまざまなチームが存在します。
SOC(セキュリティオペレーションセンター)アナリスト
SOCアナリストは、セキュリティアラートの監視、検知、調査、および対応を担当しています。
端的に言えば、彼らの役割は、脅威が災害に発展する前にそれを発見することです。そのためには、侵入、マルウェア、あるいは異常なトラフィックを検知するために、リアルタイムのOTログが必要となります。
しかし、攻撃者がIT環境に直接アクセスできるようになれば、OTシステムへと素早く侵入経路を広げることができ、OTシステムへの侵害という深刻なリスクが生じます。
そのため、SOCチームは、監視のためにリアルタイムのOTデータにアクセスする際、単純なログイン方法だけに頼ることはできません。
SOCシステムが侵害された場合、攻撃者はその接続をOT環境への侵入経路として悪用する可能性があります。
OT Security チーム
OTセキュリティチームは、物理インフラを管理するSCADA、PLC、製造用ロボットなどの産業用制御システムやOT技術を保護しています。
これらのチームは、フォレンジック分析や異常検知のためにセキュリティログを必要としています。
ICSやOT専用のセキュリティツールを備えたIT環境からOT環境へのアクセスを許可することも、あまり良い考えとは言えません。
SOCの状況と同様に、これらのITシステムが侵害された場合、攻撃者がOT運用に直接侵入する経路を提供することになりかねない。
インシデント対応およびフォレンジック分析チーム
異常や侵害が検出された場合、インシデント対応チームおよびフォレンジック分析チームが招集され、調査と是正措置が行われる。
OTシステムへの攻撃を特定、封じ込め、排除するためにはログが必要であり、それによって予防策を講じ、同様の事案の再発を防ぐ道筋が得られる。
しかし、こうしたチームが招き入れられるのは、通常、すでに侵害が確認された後であり、その時点ではリスクがさらに高まっている。
レスポンスツールや認証情報が侵害された場合、OTへのログイン経路が攻撃者にまさに必要なものを提供することになる。
したがって、インシデント対応チームおよびフォレンジックチームは、OT環境に対してログインによる直接的なアクセス権限を持つべきではない。
コンプライアンス&監査チーム
ログが存在しない場合、コンプライアンス基準を満たしていないことになります。
コンプライアンスおよび監査チームは、規制や報告要件を満たすために、長期的なログの保存と信頼性の高いイベント追跡を必要としています。
しかし、監査人にOT環境への直接アクセスを許可することは、必要でもなければ、推奨されることでもない。
OTシステムへのライブアクセスパスを開放するよりも、必要なログやレポートを外部から提供した方が、はるかに安全で管理も容易です。
なぜデータダイオードなのか? それは、インバウンドアクセスがまさに悪夢だからです
現時点では、エンタープライズシステムがOTログを直接照会できるようにすることは、高いセキュリティリスクをもたらすことは明らかである。
セキュリティ対策が不十分な接続があれば、攻撃者は以下のことを行うことができます:
- ITからOTへの転換。
- PLCのメーカーやモデル、プロセス値などの制御システム情報を含む、OTおよびICS環境の機密データを外部へ持ち出す。
- 足跡を隠すためにログを改ざんする。
MetaDefender Netwall 、ハードウェアレベルで一方向のデータフローを強制することで、これらのリスクを排除します。
ログは出力されるが、何も戻ってこない。
当社のチームは必要なデータを入手でき、OT環境は厳重に保護され、安全が確保されます。
動作のしくみ
OT Splunkインスタンスは、OT環境全体からセキュリティログを収集します。
- このコレクションには、ファイアウォールのログ、IPS 、Windowsのイベントログ、さらにはPLCのイベントも含まれています。
企業ユーザーやシステムがOTにアクセスすることを許すのではなく、OPSWAT NetWall OT Splunkコレクターからログを外部へNetWall 送信します。
その後、エンタープライズ版Splunkインスタンスは、それらのイベントのSplunk間コピーを受信します。
これにより、セキュリティおよびコンプライアンス担当チームは、OT環境をリスクにさらす可能性のあるインバウンドのアクセス経路を作成することなく、必要な可視性を得ることができます。
まとめ:妥協のないセキュリティ
企業のセキュリティチームからOTログの提供を求められた場合、きっぱりと「いいえ」と言って門前払いをしてはいけません。
必要なアクセス権限は付与できますが、環境全体をさらけ出すような形では行わないでください。
OPSWAT Netwall のデータダイオードは、OT環境の安全性を確保しつつ、必要な可視性を提供します。
インバウンドアクセスがないため、侵害されるリスクはありません。
OPSWAT NetWall 、適切なデータが適切な担当者に、適切な方法で確実に届くNetWall 。
「視認性」と「安全性」のどちらかを選ばなければならないわけではありません。
データダイオードを使えば、その両方が実現できます。
ぜひお問い合わせください。OPSWAT NetWall 、セキュリティチームの生産性をNetWall 、OT環境を安全かつ確実にNetWall する方法をご確認ください。
