サイバーフィジカルシステムのためのエクスポージャー管理総合ガイド
2024年6月5日
デジタルトランスフォーメーションは、重要インフラ部門全体で加速しており、これまで以上にサイバーフィジカルな接続性を生み出しています。この接続性により、潜在的な弱点を突こうとするサイバー犯罪者の攻撃対象は飛躍的に拡大しています。
サイバーセキュリティの状況が進化を続け、攻撃対象が拡大する中、重要インフラ組織は従来の脆弱性管理ワークフローを超え、リスクへの全体的なエクスポージャーを管理するためのよりダイナミックで集中的なアプローチを構築する必要があります。このブログでは、サイバーフィジカルシステム(CPS)のセキュリティーとリスク条件が厳しい中で、産業、医療、その他の重要セクターがどのように強力なエクスポージャー管理を達成し、維持できるかを詳しく説明する包括的なガイドを提供します。
エクスポージャー管理とは何か?
サイバーセキュリティーにおける「エクスポージャー」とは、組織のCPS環境内の脆弱性や弱点により、潜在的なサイバー攻撃を受けやすい状態を指します。攻撃対象の拡大により、重要インフラ組織には、敵が悪用できるさまざまなエクスポージャーポイントが残されています。これらの侵入ポイントにより、攻撃者は不正アクセスを行い、重要なサービスを中断させたり、その他様々な被害をもたらす可能性があります。
その結果、組織はエクスポージャー管理を実施することが不可欠となります。エクスポージャー管理とは、潜在的な脆弱性とリスクを特定し、評価し、悪用される前に対処するというプロアクティブなサイバーセキュリティーアプローチです。エクスポージャー管理の最終的な目標は、リスクを最小化するために、重要な環境内の脆弱性を特定することにより、組織のエクスポージャーまたは攻撃対象領域を減らすことです。
なぜエクスポージャー管理が重要なのか?
サイバーセキュリティーの状況は非常にダイナミックであり、日々新たな脆弱性や脅威が出現しているため、重要インフラ組織にとってエクスポージャー管理は不可欠です。強固なエクスポージャー管理戦略は、セキュリティー侵害の可能性を低減するために、脆弱性を体系的に特定し、優先順位を付けます。重要なシステム、ネットワーク、アプリケーションの弱点にプロアクティブに対処することで、組織は脅威行為者に悪用されるリスクを低減することができます。
エクスポージャー管理なくして、組織が強固なサイバーセキュリティー態勢を維持し、重要システムを保護し、規制を遵守し、サイバー脅威の潜在的な影響を緩和することはほぼ不可能です。
エクスポージャー管理を成功させるための課題
組織が重要な資産をサイバー脅威から保護しようとするとき、実行可能なエクスポージャー管理プログラムを作成する上でいくつかの課題があることに気づくでしょう。主な障壁には次のようなものがあります:
1.資産の可視性の盲点:CPS資産は通常、独自のプロトコルを使用しているため、従来のセキュリティーツールからはほとんど見えません。資産データが不足しているため、組織は、優先順位付けと修復の決定を妨げる重大なコンテキストのギャップに悩まされることになります。
2.優先順位付けの課題:伝統的に、標準的なソリューションと従来の常識は、エクスプロイトの可能性に基づくのではなく、共通脆弱性スコアリング・システム(CVSS)に基づいて優先順位付けを行います。この方法だけを利用すると、OT脆弱性の管理に責任を持つ担当者がすでに過重な負担を抱えていることが多く、悪用できないもの、もしくは、今後も悪用される可能性のないものを優先してリソースを浪費することになります。
3.パッチ管理の複雑さ:
CPS環境は、サポートされる実稼働プロセスにより、ダウンタイムに対する許容度が低い、またはまったく許容されない傾向があります。その結果、メンテナンス期間は非常にまれになります。これにより、既知のエクスポージャーを悪用した攻撃は防止できた可能性があるため、システムは特にリスクに対して脆弱になります。
4.標準ソリューションの使用:標準ソリューションによって生成されるCPSリスクスコアは、非常に誤解を招く傾向があります。これは、標準ソリューションがリスクの計算に対して厳格な「画一的な」アプローチをとる傾向があるという事実によるものです。すべてのCPS環境は固有ですが、標準ソリューションでは、組織にとって最も重要なものに基づいてさまざまなリスク要因の重み付けをカスタマイズするためのオプションは、あったとしてもほとんどありません。問題をさらに困難にしているのは、すべてのCPSが平等に扱われると、組織はどのプロセスがビジネスにとって最も重要であるか、またどのような影響が共同で修復作業を正当化するほど深刻になる可能性があるかを優先順位付けできなくなることです。
5.業界規制および標準への準拠:さまざまな業界の規制や標準に準拠すると、エクスポージャー管理がさらに複雑になります。多くの場合複雑で、頻繁に更新される特定の要件に従うことは、困難な作業となる場合があります。問題をさらに困難にしているのは、コンプライアンス違反が法的および規制上の影響をもたらしたり、サイバー脅威に対するリスクが増大したりする可能性があるということです。
強力なエクスポージャー管理のための5つの考慮事項
CPSのエクスポージャー管理は、現代のサイバーセキュリティの重要事項です。しかし、前述したように、エクスポージャー管理を成功させることは困難な場合があります。このような問題に対処し、エクスポージャー管理戦略を成功させるには、多面的なアプローチが必要です。
Gartner®は、継続的脅威エクスポージャー管理(CTEM)を「企業が企業のデジタルおよび物理的資産のアクセシビリティ、エクスポージャー、悪用可能性を継続的かつ一貫して評価することを可能にする一連のプロセスと機能」と定義しています。
ガートナー社によると、「どの成熟段階においても、CTEMサイクルを完了させるためには、スコープ、発見、優先順位付け、検証、動員という5つのステップを含む必要がある」としています。CTEMプログラムを構築する組織は、ツールを使用して資産と脆弱性をインベントリ化して分類し、攻撃シナリオのシミュレーションやテストを行い、その他の形態の姿勢評価プロセスやテクノロジーを使用します。CTEMプログラムでは、インフラストラクチャチーム、システムおよびプロジェクトのオーナーが発見事項に対して行動を起こすための、効果的かつ実行可能な経路を持つことが重要です。
CTEMの利点をCPSに適用するために、ガートナーCTEMフレームワークに準拠すると考えられる重要な検討事項を以下に示します:
1.スコーピング:何よりもまず、組織が攻撃対象領域の範囲を理解することが最も重要です。この範囲は通常、従来の脆弱性管理プログラムの焦点を超えており、環境内のすべてのCPSを包含するように進化する必要があります。まず、組織は、IoT、OT、医療機器など、IT以外の従来管理されていなかった資産を保護し、セキュリティを確保するソリューションを検討する必要があります。これには、セキュリティ制御に優先順位を付ける際の運用上の成果を考慮して、最もビジネスに重要な資産に優先順位を付け、プロセスの重要度ごとに資産をグループ化することが含まれます。
2.発見:
スコーピングが完了したら、組織は環境内のCPS資産の検出を開始し、リスクプロファイルを決定する必要があります。包括的なデバイス検出により、攻撃対象領域と悪用可能なエントリポイントを完全に理解できるようになります。新しいデバイスや資産が重要な環境に継続的に追加される時代において、最新の資産インベントリを維持することの重要性は、どれだけ強調してもしすぎることはありません。このJuniperResearchStudyによると、今年末までに重要なインフラストラクチャには推定830億台のIoT接続デバイスが存在すると予測されています。この統計は、サイバー犯罪者の攻撃対象領域が拡大していることと、CPSエクスポージャー管理の緊急の必要性を強調しています。
3.優先順位付け:脆弱性が特定され、盲点が明らかになった後、組織は潜在的な影響に基づいて最も重要な脆弱性に優先順位を付ける必要があります。攻撃対象領域がマッピングされると、デバイスリスクを計算するための標準化された式を使用してこれを行うことができます。これにより、優先順位付けに関するより適切な意思決定が可能になり、組織が長期にわたってリスク修復を測定および追跡するのにも役立ちます。
4.検証:検証段階では、組織は潜在的な攻撃者が特定されたエクスポージャーを悪用する方法と、監視および制御システムがどのように反応するかを検証する必要があります。エクスプロイトが公開されていない場合、組織はソフトウェア部品表(SBOM)や脆弱性エクスプロイト交換(VEX)ファイルなどの他の手段を介して調査する必要がある場合があります。アクティブスキャン技術などの追加の検出戦術が必要な場合や、リスク評価を検証して適切な修復技術を有効にするためにOEM(相手先商標製品製造業者)に相談する必要がある場合もあります。
5.動員:強力なエクスポージャ管理に関する最後の考慮事項は、CPSサイバーセキュリティプログラムの真の動員をサポートするソリューションを理解することです。CPSサイバーセキュリティープログラムを完全に活用するには、既存のサイバーセキュリティワークフローへの統合、オンサイトでの修復パスをサポートするOEMアライアンス、ダウンタイムとメンテナンスの考慮事項、サイバーセキュリティプログラムの価値を長期にわたり証明するためのプログラムの推奨事項とサポートが必要です。これらの機能がなければ、組織はCPSエクスポージャー管理ソリューションを正確に活用することが困難になります。
脅威アクターによる攻撃の規模と巧妙さの両方がエスカレートする中、あらゆる規模の組織にとって、セキュリティアプローチのツールボックスにエクスポージャー管理を追加することがこれまで以上に重要になっています。このプロアクティブなアプローチにより、組織は潜在的なリスクや弱点が深刻な問題になる前に対処できるようになります。当面の課題を理解aし、これまで説明したプロアクティブなソリューションを実装することで、組織はより適切な情報に基づいてビジネス上の意思決定を行い、サイバー脅威に対する回復力を高めることができます。
1.Gartner、ImplementaContinuousThreatExposureManagement(CTEM)Program、JeremyD'Hoinne、PeteShoard、MitchellSchneider、2023年10月11日。GARTNERは、米国におけるGartner,Inc.および/またはその関連会社の登録商標およびサービスマークです。国際的に使用されており、ここでは許可を得て使用されています。無断転載を禁じます。
2.Gartnerの記事、エピソードではなくサイバーセキュリティの脅威を管理する方法KaseyPanetta、2023年8月21日https://www.gartner.com/en/articles/how-to-manage-cybersecurity-threats-not-episodes
◾️クラロティ公式製品ページ◾️