OT産業におけるネットワークセグメンテーションを加速する方法

産業組織は、公共の安全、経済、そして社会の福祉に重大な影響を与える重要な機能を担っています。DXが加速するにつれ、産業組織の環境を支えるサイバーフィジカルシステム（CPS）は、情報技術（IT）ネットワークおよび運用技術（OT）ネットワークとの相互接続性を高めています。こうした進歩により、組織にとってセキュリティの強化、サイバーリスクの軽減、業界規制や標準への準拠、そしてオペレーション全体の改善がますます困難になっています。OTネットワークのセグメンテーションを導入することで、組織はこれらのオペレーションのセキュリティ、レジリエンス（回復力）、そして継続性を確保し、社会と経済の継続的な機能を確保できるようになります。 

OTネットワークのセグメンテーションと?

OTネットワークのセグメンテーションは、ネットワークをより小さな独立したセグメントまたはゾーンに分割するプロセスです。これにより、ネットワーク管理者はきめ細かいネットワークポリシーに基づいてサブネット内のトラフィックフローを管理できます。ネットワークセグメンテーションを実装する組織は、セキュリティを強化し、ネットワーク管理全体を改善できると同時に、パフォーマンスを向上させ、技術的な問題を特定できます。発電所、製造施設、輸送システムなど、物理プロセスの制御と監視に使用される重要インフラと必須デバイスがあるため、ネットワークセグメンテーションはOT環境において特に重要です。OTセグメンテーションには、隔離されたOT環境内のセグメンテーションだけでなく、IT ネットワーク、クラウド、その他CPSからのOTネットワークのセグメンテーションも含まれます。これにより、組織は拡張モノのインターネット (XIoT)全体のすべてのネットワークトラフィックを監視できます。 ​ 

産業用ネットワークでOTネットワークセグメンテーションが重要な理由

OTネットワークを適切にセグメンテーションすることで、組織はネットワークを介したサイバー攻撃の横方向の移動を制限し、その拡散を防ぐことができます。あるサブネットで侵害が発生した場合、攻撃者が他のサブネットにアクセスすることが困難になり、攻撃対象領域が縮小されます。この原則はITネットワークを起点とする攻撃にも当てはまります。侵害が発生した場合でも、適切なセグメンテーションによってXIoT全体への拡散を防ぐことができます。これらの重要なシステムとプロセスを分離することで、組織はリスク軽減策を強化し、障害や中断の影響を軽減できます。インシデントが発生した場合でも、ネットワーク全体に拡散する可能性が低くなり、運用停止時間が短縮され、安全性と生産性へのリスクが最小限に抑えられます。 

石油・ガス、運輸、食品・飲料、製造業など、多くの重要産業では、OTネットワークのセキュリティ確保に関して、NERC CIP、IEC 62443、ISO 27001といった非常に具体的な規制要件が定められています。ネットワークセグメンテーションは、これらの重要インフラ企業が技術要件を満たし、適切なセキュリティ対策を実装し、重要な資産を分離するために不可欠です。さらに、OTネットワークセグメンテーションは、組織のネットワーク管理と最適化を向上させる鍵となります。ネットワークをより小さなサブセットに分割することで、管理性が向上し、トラフィックの削減とネットワークパフォーマンスの向上によって、組織はリソースをより効率的に割り当てることが可能です。 

産業環境におけるOTネットワークセグメンテーションの5つの課題

ネットワークセグメンテーションの概念は新しいものではありませんが、産業環境では、時間とコストがかかる可能性があります。OTネットワークを適切にセグメンテーションする際に直面する主な課題をいくつかご紹介します。 

1. レガシーシステム

システムが5年以上稼働することは稀なIT環境とは異なり、産業用OT環境は、数十年に及ぶライフサイクルを持つレガシーデバイスやシステムで構成されています。これらの環境に設置されているレガシー産業用制御システム（ICS）は、通常、セキュリティを考慮して構築されておらず、ネットワークセグメンテーションをサポートするための必要な機能や、新しいセキュリティ対策との互換性が不足している場合があります。 

2. ITシステムとの統合 

ITネットワークとOTネットワークは 、データや情報を交換するために、多くの場合相互に連携する必要があります。しかし、セグメント化されたOTネットワークと組織のITインフラの他の部分との間の通信を確保することは、困難な場合があります。このプロセスでは、ほとんど連携したことのないITチームとOTチームの連携が不可欠です。その結果、作業の複雑化や重複、運用コストの増加、セキュリティ上の欠陥の露出といった見落としが生じる可能性があります。 

3. セグメンテーションポリシーはエラーを起こしやすい

産業環境において効果的なネットワークセグメンテーションポリシーを実装することは、困難で、エラーが発生しやすく、管理と保守にコストがかかる場合があります。多くの場合、ネットワークポリシーを個々の環境に合わせて継続的に調整する必要があり、見落としが生じる可能性があります。 ​ ​ 

4. コンプライアンス徹底が一貫していない

重要インフラ組織は、多くの複雑な業界規制や標準に準拠しています。これらの規制遵守を監視し、確保するには、きめ細かく適切に調整されたポリシーが不可欠ですが、多くの組織ではそれが欠如しています。そのため、セグメンテーションのアプローチにばらつきが生じ、組織間で適用方法に一貫性がなくなる可能性があります。 

5. 安全でないリモートアクセスが蔓延している

あらゆる産業環境は、社内および外部の担当者が資産を維持管理するためにリモートアクセスに依存していますが、一般的な方法はリスクが高く非効率的です。適切に管理されていない場合、リモートアクセスはネットワークセグメンテーション対策を回避してしまう可能性があります。また、攻撃対象領域が拡大し、サイバー脅威の新たな侵入口となる可能性があります。 

組織のネットワークセグメンテーションを加速する方法とは?

ICSへの攻撃は、評判の失墜や経済的損失にとどまらず、公共の安全や経済にも甚大な影響を及ぼす可能性があります。これらのデバイスを確実に保護するには、特有の課題が伴い、重要インフラ環境のセキュリティ確保に特化したCPS保護プラットフォームが必要となります。クラロティのようなCPS保護プラットフォームは、産業組織がネットワークセグメンテーションの取り組みを加速し、XIoT全体を保護するのに役立ちます。 

1. 可視性を高める 

まだ特定されていない資産をセグメント化することは不可能です。だからこそ、ネットワークのセグメント化を加速するための最初のステップは、環境内のすべての接続デバイスを、その構成、場所、所有者とともに特定することです。クラロティは、新しい資産を自動的に検出し、通信パターンを監視し、産業プロセスを実行するI/Oに至るまでの接続を明らかにすることで、詳細な可視性の実現を支援します。 

2. ポリシーと施行戦略を定義する 

全体の可視化を実現できれば、次にそれをどのように保護するか検討する段階に入ります。ネットワークをセグメント化する方法には、既存のネットワークアクセス制御（NAC）、ファイアウォール、スイッチ、その他のインフラストラクチャなど、様々な方法があります。そのため、目標と環境を評価し、両方に適した戦略を選択することが重要です。クラロティは、お客様の環境を評価し、ニーズに最適なセグメント化戦略を確立するための最適な方法をご提案することで、お客様をサポ​​ートします。 

3. デバイスを分類してグループ化する 

すべてのデバイスに個別のポリシーを作成することは現実的ではありませんが、デバイスの種類、またはデバイスグループごとに、通常の状況下での相互通信方法に基づいてポリシーを作成することで、セグメンテーションを効果的かつ拡張性の高いものにすることができます。クラロティは、関連する資産を論理的な視点でスマートにグループ化することで、セキュリティチームが各資産グループとそれらの間の通信に対して具体的なポリシーを定義できるよう支援します。

4. ポリシーの設計、テスト、改良

産業組織は、環境を中断させることなく保護する必要があります。OTネットワークのセグメンテーションにおいて、これは前のステップで分類したデバイスグループの通信ベースラインに沿ったネットワークポリシーを設計するだけでなく、それらのポリシーを適用した後に運用に悪影響を与えないことを保証することも意味します。クラロティは、各資産グループの通信ベースラインに基づいて専門家が定義したポリシーを自動的に推奨し、適用前にそれらのポリシーをテスト、監視、さらに改良できるようにすることで、このプロセスを容易にします。その結果、OTネットワークポリシーが環境固有の要件と潜在的な制限を完全に考慮していることを確信でき、追加のリスクを招くことなく自信を持ってセグメンテーションを実施できます。

5. ポリシーの施行

前のステップで述べたように、OTネットワークセグメンテーションに新しいポリシーを適用することは繊細なプロセスであり、正しく行わないと業務に支障をきたすリスクがあります。クラロティは、適切なテストと監視を経たポリシーのみを適用できるようにする経験と知識を備えています。適切なテストと監視が完了すると、組織はクラロティから直接NACやファイアウォールにポリシーを適用したり、幅広い既成の統合エコシステムを使用して「ワンクリック」の適用を可能にし、最も複雑なOTネットワークであってもセグメンテーションを大幅に合理化および最適化したりできます。また、セグメンテーションは継続的な取り組みであり、戦術的な活動ではないため、OT環境や、OTセキュリティの成熟度、優先順位は時間の経過とともに変化し、それに合わせて、お客様がネットワークセグメンテーションを継続的に監視および最適化できるようにしています。 

社会がサイバーフィジカルシステムへの依存を加速させ、自動化、制御、効率性、利便性の向上を目指す中で、サイバー犯罪者の攻撃対象領域は拡大し続けています。そして、こうした新たな攻撃ベクトルの出現に伴い、OT産業ネットワークのセグメンテーションの必要性は高まっています。重要インフラ企業はネットワークセグメンテーションの取り組みを「ToDoリスト」に挙げているものの、導入に必要な時間、リソース、可視性、そして意識が不足しているケースが少なくありません。

クラロティは、当社の専門知識を活用し、既存のインフラから簡単かつ自動的に適用できるセグメンテーションポリシーを推奨することで、セグメンテーションの取り組みを迅速に開始できるよう支援します。これにより、リアルタイムの取り組みが加速し、サイバーレジリエンスと運用レジリエンスが向上します。 

◆クラロティ公式製品ページはこちらから

https://claroty.com/ja#product

◆クラロティニュースレタートップページに戻る

https://claroty-jp-newsroom.prezly.com/

◆ご相談やお問い合わせは、下記よりお願いします。

https://claroty.com/ja/request-a-demo