リモートアクセスがサイバーフィジカルシステム環境で最大のリスクとみなされる理由

重要インフラにとって、サードパーティアクセスは、脅威アクターが標的とする最大の外部ギャップの1つとなっています。最近の調査レポートでは、過去12ヶ月間にサードパーティベンダーのアクセスを起点としたサイバー攻撃の件数を尋ねたところ、回答者のほぼ半数（44%）が、5件以上の攻撃がサードパーティベンダーによる自社環境へのアクセスを起点としていると回答しました。これは通常、インターネットへの接続や、VPNの設定が安全でないことが原因です。 

ClarotyのTeam82による調査によると、分析対象となった12万5000件の運用技術（OT）資産のうち、13%が安全でない状態でインターネットに接続されていたことが判明しました。また、このサンプルのうち、安全でないインターネット接続を持つエンジニアリングワークステーション（EWS）*1とヒューマンマシンインターフェース（HMI）*2の36%以上に、少なくとも1つの既知の脆弱性が悪用されていることも判明しました。

これらの調査結果は、ますます敵対者の標的となっている産業環境に対する実際のリスクと、リモート アクセス攻撃を阻止するためのネットワーク保護制御の緊急の必要性を強調しています。

OT ネットワークへのリモートおよびサードパーティのアクセスをロックダウンする重要とは?

前述の通り、Team82は、EWS、HMI、そしてOT環境内のその他の重要なアクセスポイントといった高リスクデバイスが、企業ネットワークへの最初の足掛かりとなることを幾度となく実証してきました。また、OT、IoT、IoMTシステムに影響を与えるリモートから悪用可能な脆弱性が、Purdueモデルのレベル3 （EWSがアーキテクチャ的に配置されている運用・制御レベル）で最も多く存在することを特定しました。同様に、HMIやその他の制御システムが配置されているレベル2と、フィールドデバイスが配置されているレベル1にも、リモートから悪用可能な脆弱性が著しく多く存在することが判明しています。

近年、安全でないリモートアクセスが原因で、注目を集めたセキュリティ侵害事件がいくつか発生しています。例えば、イランのサイバーアベンジャーズと関係があるとされる攻撃者が、イスラエルの10か所の水処理施設と米国の複数の施設に侵入した事例があります。また、Akiraランサムウェアの攻撃者が、多要素認証が設定されていないCisco VPNを悪用して複数の企業にアクセスした事例もあります。これらの侵害は、これまで隔離されていたデバイスや制御システムがオンラインになるケースが増えるにつれ、重要なOTネットワークへのリモートアクセスを遮断することの重要性を浮き彫りにしています。 

リモートアクセスを成功させるには、まず、適切なネットワーク保護対策を実装する必要があります。しかし、ネットワーク保護を成功させる過程では、いくつかの課題に直面する可能性があります。サイバーフィジカルシステム(CPS)環境の複雑さと接続性が組み合わさることで、組織が直面する影響についていくつか見ていきましょう。

ネットワーク保護制御によるリモートアクセス侵害防止の課題

1.資産インベントリの確立： CPSの高精度な可視化を確保することは、標準的なIT可視化ソリューションやスキャン手法が産業用ネットワークと互換性がなく、安全でないことが多いため、困難な場合があります。さらに、従来の産業用資産インベントリソリューションは、導入に高価で複雑、かつ時間のかかるハードウェアを必要とする場合が多くあります。すべてのCPSのリアルタイムインベントリがなければ、ネットワークセグメンテーションの実現は極めて困難になる可能性があります。 ​ 

2.デバイス通信の可視化の欠如：コンプライアンス状況を把握するには、環境内の資産とユーザーが通常の状況下でどのように通信すべきか、またどのようにすべきでないかを把握する必要があります。しかし、そのためには、きめ細かく適切に調整されたポリシーが求められることが多く、多くの組織ではこれが欠如しているため、不正な接続を検出・管理することができません。 ​ 

3.ポリシーの不適切な設定：資産と通信の完全な可視化がなければ、適切な通信方法を定義するポリシーを作成することができません。その結果、不適切なトラフィックをブロックまたは許可するポリシーが作成され、運用に支障をきたす可能性があります。

CPS固有のネットワーク保護戦略がこれらの課題を解決する方法

リモートアクセス技術の導入は生産性とコストの大幅な削減につながりますが、レガシーITソリューションの使用は接続の安全性を損なう可能性があり、適切なネットワーク保護制御と専用に構築されたセキュアアクセスソリューションの必要性が高まっています。これまで解説してきたように、組織が強力なネットワーク保護プログラムを確立しようとする際には、CPS特有の課題がいくつか存在します。しかし、CPS向けに構築されたソリューションは、包括的なサイバーセキュリティ機能を提供することで、これらの課題の軽減に役立ちます。Claroty xDomeを活用することで、組織がネットワーク保護の課題を克服する方法をご紹介します。

1.ネットワークセグメンテーションの迅速な導入と最適化：

効果的なネットワークセグメンテーションプログラムの導入は、どのようなポリシーをどのように定義し、そのポリシーを適用するためにどのテクノロジーを使用するかという課題から始まります。Claroty xDomeは、深い専門知識と動的な検出手法を活用し、通信ポリシーに適したネットワークゾーンを自動的に定義・推奨することで、セグメンテーションにおける推測作業を排除します。ゾーンベースのアプローチを採用することで、既存のセキュリティインフラストラクチャを通じて通信ポリシーの監視、改善、適用プロセスを簡素化できます。

2.ネットワーク最適化のためのポリシーシミュレーション： 

OT環境の資産を、通信、運用、ビジネス上の重要度に基づいてゾーンにグループ化したら、各ゾーン内のCPSが最適な状況下でどのように通信すべきか、または通信すべきでないかを反映したポリシーを作成する必要があります。Claroty xDomeは、各ゾーン内のすべてのCPSに最適な通信先、プロトコル、ポートなどを反映することを目指したポリシーを推奨することで、この目標を実現します。

3.ポリシーコンプライアンス監視の自動化：

世界中の産業組織は、サイバーリスクの軽減を図るため、様々なポリシーの遵守を強く求められ、あるいは義務付けられています。コンプライアンス状況を把握するには、まず、環境内の資産とユーザーが通常の状況下でどのように通信しているかを理解する必要があり、クラロティは、ゾーン固有の推奨ポリシーをアラートルールに自動的に変換することでこの課題を解決します。これにより、OT環境内のすべてのトラフィックを継続的に監視し、あらゆるポリシーに対応できるようになります。 

包括的なCPSネットワーク保護の確立に加え、組織はリモートアクセスによって生じる大きな脅威に対抗するために、専用のセキュアアクセスソリューションが必要です。Claroty xDome Secure Accessは、スムーズなアクセスと、サードパーティとCPSのやり取りにおける安全な制御を両立させることで、このニーズに対応します。xDome Secure AccessはxDomeの可視化機能をシームレスに活用し、きめ細かな権限ベースのポリシーを通じてリモート接続を必要とする資産へのアクセスを識別・設定することで、資産管理を強化します。

多様なITリモートアクセス技術の導入が進むにつれ、攻撃対象領域が拡大し、公共の安全、国家安全保障、経済安全保障など、新たなリスクが増大しています。ネットワーク保護制御を導入し、専用のセキュアアクセスソリューションを活用することで、組織は、産業プロセスの妨害や不正操作、公共の安全、そして重要なサービスの可用性への影響を狙う高度な脅威アクターによる攻撃対象領域を大幅に削減できます。

*1 ​ エンジニアリングワークステーション：エンジニアリング分野の生産性向上のための協力なツール。グラフィック技術やネットワーク技術などを統合化するなどにより以前の大形コンピュータレベルの機能、性能を低価格で実現する。

*2 ヒューマンマシンインターフェース：人間と機械の間で情報伝達を可能にするインターフェースの総称のこと。複数のシステムや機器、ユーザーとの間で情報を伝達する役割を持つもの。

お客様の組織にあった専用のセキュアアクセスソリューションについて

相談してみませんか？