お客様へのご提案
IBM1によると、2024年の米国におけるデータ侵害の平均コストは936万ドルで、これは世界平均の約2倍です。組織を保護するために、より多くのITチームが、制御技術(OT)環境に対するサイバーセキュリティプログラムと要件を導入しています。これは、より強固なサイバーセキュリティ対策と制御技術のセキュリティを提唱する人々にとって前向きな一歩です。
多くの組織では、取締役会やトップレベルの経営幹部からの直接的な指示により、新たなサイバーセキュリティイニシアチブを開始しています。こうした指令は、最高情報セキュリティ責任者(CISO)や企業のITチームを通じて浸透していきます。しかし、これはITの視点に偏ることにつながり、ITツールや経歴を備えたITチームがOTセキュリティプログラムの推進を任されることになります。このようなITチームが、OTプログラムを実施する際に、固有のITバイアスに気づかない場合、この状況は重大な問題を引き起こす可能性があります。
ITとOTの間の断絶に一貫して寄与する3つの一般的なバイアス条件は、フィロソフィー、プロジェクト、および技術バイアスに分類することができます。
- フィロソフィーバイアスは、制御技術の機能に対する全体的な視点を中心に展開する。
- プロジェクトバイアスは、進捗を妨げる物理的・精神的な障害を掘り下げる。
- 技術バイアスは、OT部門のサポート、予算、視点に基づき、OTが定義したプロジェクトに適切なツールを選択することを中心とする。
この記事では、ITチームとOTチームの間にある3つのバイアスを検証し、両チームがそれらを克服する方法について議論します。
フィロソフィーバイアス
以下は、「哲学の偏見」について考えるための3つの重要なポイントです。ITとOTのものの見方の根本的な違いを浮き彫りにし、OTの重要な側面が見落とされたり誤解されたりする理由を説明します。
制御技術はアナリストのリサーチでは見逃されがちです
IT組織がガイダンスや洞察を求める場合、一般的には伝統的なITリサーチソースに頼ることになります。これらの調査会社は、幅広いITツールの調査に多大な時間、リソース、労力を費やしています。しかし、これらの分析はIT専門家によって、主にIT環境の中でITの目的のために行なわれていることに注意することが重要です。その結果、テクノロジを選択し、OT環境のコンポーネントと整合させる際に、ITとOTプログラムの間に大きな断絶が生じる可能性があります。
言い方を変えれば、ITツールは必ずしもOT環境にシームレスに統合されるとは限らないのです。
OTネットワークシステムにおけるITの断絶の例として、頻繁なパッチ適用に重点を置くITセキュリティツールがあります。これは脆弱性からの保護には役立ちますが、常に再起動が必要となります。このツールをOT環境に適用すると、特に製造業や発電所の制御システムであれば、悲惨なことになりかねません。強制再起動は重要なプロセスを中断させ、停止や安全上の危険につながる可能性があります。これが、推奨事項を作成する前にOT環境の運用実態と制約を考慮することが重要な理由です。
OTネットワークシステムは一様ではない
多くの場合、ITチームはアウトソーシングされた専門知識と集中管理されたツールに依存し、類似したほぼ同じシステムのフリートを管理しています。このアプローチにより、単一のツールセットや小規模な集中管理チーム、またはオフショアチームを使用して、数百、数千の資産を効率的に扱うことができます。
しかし、OTの領域では事情が異なります。ITのように見える資産は多数あるかもしれませんが、それらは多様な構成で、異なるソフトウェアを実行し、独自の改造を施し、特別な要件を持っている可能性があります。この多様性は、特定の世代やオペレーティングシステムのプロファイル用に選択されたツールが、OT領域のすべてのタイプの資産に適しているとは限らないという状況をしばしば引き起こしています。その結果、資産のサブセットにしか対応しないツールの選択は、包括的にカバーするには不十分となります。
SCCM (System Center Configuration Managers)は、IT環境において組織内のすべてのコンピュータを1カ所からインストールし、セキュリティを確保するのに適していますが、運用環境で頻繁に遭遇する1,000台以上のLinuxやUnixの運用資産のニーズを処理する機能は備えていません。
OTセキュリティでは、複雑さよりも基本を優先することが不可欠
境界監視、SIEM (Security Information and Event Management: セキュリティ情報イベント管理)、またはSOC (セキュリティ・オペレーション・センター)の監視など、ビジネスの運用面で重要な要素が欠けていることを指摘する報告書を目にしたことはないでしょうか。これらの側面が強固なセキュリティプログラムにとって極めて重要であることは否定できませんが、問題は、アラートやモニタが事後対応として行なわれることが多いということです。多くのOT環境で長年見過ごされてきた、または軽視されてきたのは、パッチ適用、バックアップ、システムの堅牢化、最小権限の原則の導入といったセキュリティの基本的な構成要素です。
OTセキュリティの大幅な改善を目指すのであれば、こうした基本的な対策から着手することが不可欠です。
プロジェクトバイアス
以下では、不動の構成要素を持つOTの緊密に統合された性質から生じる、「プロジェクトバイアス」のユニークな課題について説明します。これらの3つの洞察は、OTプロジェクトの管理が従来のITの取り組みと大きく異なる理由と、OTの見落とされたり誤解されたりする可能性のある複雑な要因に光を当てます。
制御技術は不動の物体と結びついている
OTシステムには、サポートが終了した旧式のハードウェアやオペレーティングシステムが含まれていることが多く、Windows 10への単純なアップグレードが不可能であることを理解しています。これらの古いシステムは通常、施設の安全な機能に不可欠な特殊なソフトウェアや通信プロトコルを実行しています。ベンダーがアップグレードソリューションを提供していない場合や、施設にソフトウェアのアップグレード、テスト、文書化、通常業務への復帰に必要な予算とダウンタイムがない場合、資産のアップグレードは現実的ではなくなります。場合によっては、これらの資産が業務の重要な部分を監督していることもあります。分散制御システム(DCS)や監視制御とデータ収集(SCADA)システムのアップグレードには、かなりの時間と財源が必要であり、その結果、生産停止時間が長くなります。OTのアップグレードを検討したり、システムのアップグレードを要求したりする場合、単に1つのオペレーティングシステムをアップグレードするほど単純でも孤立したものでもないことを理解することが重要です。
制御技術システムにはOTサービスとサポートが必要
OT環境のセキュリティ確保には、1) ITチームと2) 相手先ブランド製造業者(OEM)の2つの課題があり、優先順位が相反します。
ITチームとOTチームの取り組みの調整
OTチームは、不正アクセスや重要なインフラへの変更を警戒しています。ソフトウェアのアップデートや新技術の導入などのITイニシアチブは、こうした懸念をさらに増幅させます。
結論: OTチームは、自分たちの環境にいる誰もが、自分たちの資産にアクセスしたり、変更したりする可能性があるという考えに納得する必要があります。ITチームとOTチーム間の見解の相違は、両グループ間の信頼関係の構築がいかに重要であるかを強調しています。この信頼関係の構築には時間がかかり、一貫したコミュニケーションが必要ですが、OTにおけるセキュリティツールの導入と保守を成功させるためには不可欠です。
OEMベンダーとの関係構築
セキュリティに関しては、相手先ブランド製造業者(OEM)ベンダーも影響力の源泉となります。これらのベンダーは、OTチームがセキュリティソリューションの導入を希望する場合、その変更が重要なシステムのサポートにどのような影響を及ぼすかを懸念して、躊躇することがよくあります。このためらいは、以下の2つの形で表れます。
- ベンダーへの依存: OTチームは、運用サポートをOEMに依存し、必要なセキュリティ変更であっても、ベンダーの反対を押し切ってしまう。
- 契約上の制約: OEMベンダーは、OTチームがベンダー自身によってテストまたは承認されていないセキュリティツールを導入することを阻止するために、契約を防御手段として使用することがある。
いずれの場合も、プラントのオペレーションにおけるOEMベンダーの役割を理解することは、IT部門の経験が不足している可能性のあるOT領域において、重要な課題となります。OTのアップグレードを行なう前に、OTチームとOEMベンダーの既存の関係を理解することが重要となります。
IT予算は、OT予算から切り離すべき
多くの場合、CISOやIT部門の幹部は、OT環境の資産数を過小評価しているため、OT向けのセキュリティ提案を承認することをためらいがちです。大規模な施設やグローバル企業では、何万もの資産が存在し、時にはIT資産の数を上回ることさえあります。OTプロジェクトがプラントのセキュリティを強化するために多額の予算を要求すると、抵抗に直面することになります。プロジェクト範囲の縮小や成果物の段階的な削減を指示されることもあり、すでに伸張している運用スタッフがコスト削減のために配備やメンテナンスのタスクを割当てられることもあります。残念なことに、これはしばしば、完全に実施されることもなく、適切に維持されることもないプロジェクトにつながります。多くのOT環境では、基本的なセキュリティ対策が数カ月から数年にわたり遅れており、技術を導入してこれらの資産を保護するために必要な初期投資は、多額の初期費用に相当します。
技術バイアス
以下の3つの洞察は、OTセキュリティ管理に関わる独特の難しさについての理解を深めるものです。OTプロジェクトが従来のITプロジェクトと大きく異なる理由と、OTセキュリティの重要な側面を曇らせたり妨げたりする複雑な要因について説明します。
IT管理ソリューションは比較的堅牢なエンドポイントを想定
ITとOTでは、現実はまったく異なります。
実際のところ、スキャンベースのITツールの大半は侵襲的であり、よりデリケートで独自性の高いOTシステムに障害を引き起こした過去があります。OT環境でスキャンベースの技術を活用するには、スキャンの規模を慎重に縮小し、OTスタッフの監督に余分な時間を割当て、スキャンをオフラインシステムまたは計画停電中に限定する必要があります。このような条件をすべて考慮すると、スキャンベースのセキュリティツールによるセキュリティカバレッジは最小限にとどまることになります。
真に成功するためには、信頼性が高く、OTでテストされたプロファイリングとデータ収集ツールが必要です。このツールは、資産のカバレッジを最大化し、資産の洞察を自動化すると同時に、運用の安全を維持します。言い換えれば、このような状況には適さないかもしれない標準的なITアプローチに頼るのではなく、OT特有の課題やニュアンスにセキュリティ対策を適合させることが極めて重要です。
ITベストプラクティスはOTシステムを破壊
システムハードニング(システムの脆弱性を減らしセキュリティを強化すること)のための一般的なITプラクティスの1つに、システム起動時にエンドポイントにログインバナーを表示させるというものがあります。この背景には、企業所有のシステムや重要なシステムで作業していることをユーザに思い出させるという考えがあります。しかし、これらのシステムは100%のアップタイムを維持しなければならないため、OTには課題があります。そのため、これらの資産は、冗長性と安全システムの継続的なモニタを確保するために、自動リブートと自動ログインが設定されることが多い。ログオンバナーが導入されると、これらの重要なOTシステムの自動ログインプロセスが中断されます。
この例を化学プラントの制御システムで説明します。この制御システムは自動再起動用に設計されています。ログインバナーは定期的な更新を停止させ、危険な圧力変化への対応を妨げるので問題があります。
このため、ほとんどのOT環境では、CSC20 (Critical Security Controls for Effective Cyber Defense: サイバーセキュリティ対策として重要な上位20のコントロール)に概説されている上位100のセキュリティ管理策のうち、約40から50しか実施されていません。これらのコントロールの多くは適用されていないか、重要なオペレーションを妨害する可能性があります。つまり、標準的なITセキュリティ対策をOTに適用することは、大きな課題をもたらす可能性があり、OT環境特有の要件に必ずしも適しているとは限らないのです。
OTにおけるSLA (Service Level Agreements: サービスレベル契約)はITよりも厳しい
一般的なIT環境では、ユーザはインターネットやメールサーバ、ファイルサーバが接続時にすぐに利用できることを期待しています。問題が発生した場合、IT部門が問題を解決し、接続性を回復する間、ユーザは通常、タスクを続行することができます。IT部門におけるこのような停電や定期メンテナンスには通常3~4時間かかり、その間エンドユーザはシステムやサービスにアクセスできません。しかし、OTでは、スイッチや通信ポイントの再起動や設定ミスは、安全なオペレーションを直ちに中断させる可能性があります。
多くの産業にとって、この中断は製品の仕様や品質の損失につながります。さらに重大なケースでは、圧力、流量、温度、速度などの重要なパラメータが見えないため、安全上の危険をもたらす可能性があり、製品の即座の劣化や完全なシャットダウンにつながることさえあります。このような生産中断は、収益に大きな影響を与える可能性があります。この問題は、生産再開がベルトコンベアのオン・オフほど単純ではない産業では、さらに複雑になります。
例えば、石炭火力発電設備では、シャットダウン後フル稼働になるまで25~30時間かかることがあり、精製や石油化学のような分野では、適切な製品仕様に戻すのに数時間から数日かかることさえあります。
ある事業会社でのOTセキュリティに関するプレゼンテーションのことを覚えています。その企業は最近、企業ネットワークで深刻なサイバーインシデントに見舞われ、多大な損害を被りました。私のプレゼンテーションの間、ITチームは潜在的なセキュリティの脆弱性について数多くの懸念を表明しました。どんなセキュリティシステムも万全ではないので、これは驚くことではありませんでした。セキュリティシステムが完璧でない以上、当然といえば当然なのだが、ITチームはセキュリティの脆弱性について多くの懸念を示しました。
私は、工場管理者が「スニーカーネット(複数のコンピュータ間のデータのやり取りを、ネットワークを介さずに記憶媒体で行なうこと)」やUSBドライブを使用して、データ、アップデート、ファイルの出し入れをしているのではないかという懸念を説明しました。彼らは、工場管理者がUSB使用ポリシーに背くとは思っていませんでした。しかし、後日その施設を訪ねると、工場管理者の机の上にはUSBメモリが散乱していました。なぜ会社のUSBポリシーを無視するのかと尋ねると、彼はただ微笑みながら「工場の生産が止まったら、どれだけ困ることになると思う? USBの使用は許可されると思うよ」と言いました。
ITチームとOTチームの溝を埋める
さて、3つのバイアスについて説明したところで、その溝を埋めるためのソリューションを考えてみましょう。ITチームとOTチームの連携には、業務プロセスと規制をより深く理解することが必要です。これには以下が含まれます。
- ITチームへのOTプロセスと機械の導入
- ITのサイバーセキュリティ対策とデータ管理プロトコルの理解
- ITとOTの領域におけるコンプライアンス規制の掘り下げ
- 隔週または月1回のセッションを実施し、課題とアクションアイテムについて話し合う。
お互いの理解を深めた上で、両者のニーズを満たすOTSM (OT Systems Management: OTシステム管理)ポリシーと手順の策定に着手することができます。特定のインフラに標準的なITプラクティスを導入できない場合は、補償となるコントロールを導入することで、セキュリティと効率のバランスを取ることができます。
ITとOTのギャップを埋める次のステップは、OTSMに有効で、ITシステムとも統合できるツールやテクノロジを見つけることです。これには次のようなものがあります。
- ベンダーに依存しないエンドポイント管理
- ファイアウォールや侵入検知システムなどのネットワーク保護対策
- リアルタイムモニタと予知保全機能を組み込んだツール
生産と保護のバランス
インフラと生産を保護することは非常に重要です。ITソリューションをOTに押し付けるだけでは、悲惨な結果を招きかねません。真の成功には、ITとOTのニーズの違いについて自分自身を教育し、フィロソフィー、プロジェクト、技術に関連する偏見に対処し、ITとOTの分断を強化するコラボレーションを促進することが必要です。セキュリティの改善はすぐに実現するものでも、途中で課題に遭遇するものでもないという現実的な期待を抱くことが極めて重要です。このダイナミックな状況において重要なのは、忍耐力と時間をかけてOTセキュリティをより強固なものにしていく姿勢とその取り組みです。
公開 2025年2月28日
