今日のOT環境では、サイバーセキュリティと運用の整合性を維持する上で、かつてないほどの課題に直面しています。従来のITセキュリティ情報イベント管理システム(SIEMS: Security Information and Event Management Systems)では不十分な場合が多く、重要なOT資産が脆弱な状態に陥ることがあります。
従来の企業やITサイバーセキュリティフレームワークに精通している方であれば、SIEMと呼ばれるテクノロジによるログ記録およびイベント管理機能についてもご存知でしょう。NIST、COBIT、ISO、さらにはPCI規格でも、SIEMはある程度必須の機能として挙げられています。
このブログでは、ITおよびOTセキュリティ管理者の皆様に、セキュリティ情報イベント管理(SIEM)テクノロジに関する以下の知見を提供します。
SIEMとは?
SIEMは、セキュリティ情報をはじめとするさまざまなサイバー情報ソースを集約、解析、分析し、保存、アラート、対応、レポート作成を行なうシステムです。SIEMの真の力は、分散したデータソースを相関させ、真の脅威を特定し、優先順位付けするためのコンテキストを提供する能力にあります。アナリスト、自動化システム、そしてセキュリティチームは、アラート、警報、イベント、そしてベースラインを処理して、サイバーリスクを検知し、対応します。この相関関係は、アラート疲れを軽減し、セキュリティチームが実用的な洞察に集中できるようにするために不可欠です。
SIEMには通常、以下のような主要な機能があります。
これらのトリガまたはスレッショルド(閾値)は、データを生成するアプリケーションまたはシステムから継承され、機械学習、統計、ヒューリスティックだけでなく、人間またはフレームワークによって定義されたユースケースも活用されます。
究極的には、SIEMの目的は、メッセージ(多くの場合、SyslogやWindowsイベント形式)を受信し、サイバーセキュリティ機能で利用できるようにし、アラートを発することで、セキュリティチームが脅威に対処するための定義された手順とプロセスを効果的に実行できるようにすることです。これは、次のような例で説明できます。
コンバージドインフラを備えた中小企業を想像してみてください。Windowsシステムは、買掛金管理、製造現場の注文処理、関連タスクの配信に使用されています。これらの機能はどちらも重要ですが、一方はIT関連、もう一方はOT関連です。
そこで、買掛金担当のコンピュータを操作している担当者がフィッシングメールを開き、攻撃者がそのシステムにマルウェアを仕掛け、幸運にもそのシステムのウイルス対策ソフトがそれを検知してアラートを生成したと想像してみてください。
これは単純な例ですが、コモディティ化されたマルウェアの場合、リソースを管理している組織では、分析、派遣作業、トレーニングのために、システムのログを安全なシステムに転送することが有効です。このケースでは、マルウェアは捕捉されました(例えば、大規模なランサムウェア攻撃は発生していません)。しかし、買掛金担当者はフィッシング対策トレーニングや上司の訪問が必要になるかもしれません。
IT SIEMとOT SIEMの違いは何ですか?
SIEMをモニタ、調整、活用するためのOTセキュリティ・オペレーション・センター(SOC)の必要性については、多くの議論があります。OT SIEMの価値と、IT SIEMとの違いについては、別の質問があります。
ITとOTにおけるSIEMの違い
ITとOTのSIEMはどちらもデータの集約と分析を行ないますが、その焦点と優先順位は大きく異なります。OTでは、安全、信頼性、可用性が重視されます。そのためには、専門的なデータと分析機能が必要です。主な違いは以下の通りです。
発生源に関わらず、SIEMのユースケースとコモディティ化されたマルウェアなどのサイバー脅威は重複する部分がありますが、スペクトルの両側(ITとOT)に影響を与える影響や事象は、どちらの方向に進むかによっても異なります。
ITは、マルウェア、フィッシング、データ漏洩/侵害、そしてインターネットから直接もたらされるさまざまな脅威に頻繁に直面します。OT環境における脅威は、特殊なプロセス制御機器、安全システム、そして生産ラインへの侵入です。ITとOTのどちらにおいても、実行される作業の種類や発生する事象に応じて、優先度が異なる多様なスキルセットが存在します。
IT分野では、XユーザがYを実行しているというアラートや、Zマルウェアアラートが発動したというアラートが鳴った場合、そうした状況におけるサイバーセキュリティの対応はある程度理解されています。しかし、OT分野では、さまざまなベンダーや技術が数十年にわたり利用されているため、施設の運用(および安全)維持に注力するチームにとって、膨大な数のアラームやアラートが発生しています。
OT SIEMの必要性を喚起する要因は何でしょうか?
多くの場合、1つの環境内でITとOTの両方のSIEMが必要になります。実際、ほぼすべての産業サイバー攻撃において、攻撃者はまずIT側に足掛かりを築き、2つの環境間に存在する保護を突破することで、ITからOTへと攻撃を転換しています。
ITとOT全体にわたる効果的なサイバーリスク軽減には、資産管理、レポート、SIEM機能を一元的に監視するビューが必要です。
残る疑問は、統合ビューをいかにして実現するのが最善かということです。OTに特化したデータ集約、分析、インシデント対応、レポート機能を提供し、重要なアラートや情報をエンタープライズSOCに転送するOT SIEMを導入するメリットは、どのような場合にあるのでしょうか?
これらの問いに対するアプローチと戦略は、組織によって異なります。OTに特化した機能を持たない単一のSIEMで十分な組織もあれば、堅牢なOT SIEMの導入が不可欠となる組織もあります。
SIEMの必要性を高める要因
1. OTプロセスの複雑性: 電力、石油精製、水処理などの分野では、産業用制御システムの運用に関する深い経験を必要とする複雑な物理プロセスを運用しています。リスクと対応を特定・分析するために、OT担当者はOT SIEMにアクセスし、担当者だけが理解できる詳細な情報を入手する必要があります。プロセスが複雑であればあるほど、OT SIEMから得られる価値は高まります。
2. OTプロセスの重要性: 多くの産業組織にとって、OTプロセスは組織の生命線です。悪意のある攻撃や意図しないデバイスの停止によるダウンタイムは、多大なコストをもたらします。そのため、プロセスの変動、潜在的な障害による制御デバイスの動作異常、停止を引き起こす可能性のある新しいデバイスなどを監視することは、大きな価値をもたらします。OT SIEMは、こうした貴重な情報を提供します。
3. OTインフラのネットワークアクセス/セグメンテーション: OTネットワークとITの分離が進むほど、OT SIEMの価値は高まります。現地の運用担当者への依存度が高まるほど、OT SIEMの価値も高まります。
4. コンプライアンスと規制: 北米の電力業界など、一部の業界では、NERC CIPなどのサイバーセキュリティ規制により、詳細なOTデータが求められています。これらのデータは、SOCが使用するセキュリティ分析よりもコンプライアンス重視であるため、IT SIEMに含めることは適切ではない可能性があります。
エンタープライズIT SIEMからの作業指示発行における課題
答えは一見するとそれほど単純ではなく、その複雑さは、旧式の機器の台数、そして環境内のプロセス制御や規制の多さに起因しています。結局のところ、Xコンプライアンスの官僚主義とオーバーヘッドでエンタープライズ環境を汚染したいと考える人はいるでしょうか? おそらく少数でしょう。
IT SIEMの図を見ると、作業指示発行はうまくいくように見えます。しかし問題は、ほとんどのエンタープライズソリューションが多数の重要な情報源にアクセスできず、アラートを受信し、割当て先を決定し、従来のITアナリストの能力を最大限に発揮して送信している点です。
情報やコンテキストがほとんどない場合、それは「柵を越えてOTに投げ込まれ」ます。2つの領域を結び付け、ITとOTを繋ぐ接着剤として機能するチケットや作業システムがあると仮定すると、作業はOT担当者またはチームに委ねられ、彼らは次のような些細な一行のメッセージをトリアージしようとします。
<date> Cryptographic Certificate Expired UseCase Triggered on Asset ABC – Remediate, HIGH priority.
OTの受信者が幸運であれば、環境に適した手順を含むガイダンスが整備されているかもしれません。しかし残念ながら、これだけではIT部門でさえ理解するには不十分であり、OTの運用上の制約により、優先順位の決定と修復は困難を極めます。
言い換えれば、アラートに適切なコンテキストと裏付け情報が提供されない限り、SIEMのみを使用するというこのアプローチでは、資産または導入環境に関する完全な資産可視性と十分な専門知識が不可欠です。
IT/エンタープライズ分野でよくある事例として、期限切れのSSL/TLS証明書が挙げられます。エンタープライズ環境では、システムの証明書の有効期限が切れていることを示すアラート、レポート、アラームが発生すると、次のような一連のイベントが発生します。
これは非常に単純な例ですが、OTにおいては、証明書の警告発行は直接的なサイバーセキュリティ上の脅威ではありません。さらに、証明書を再発行する前に、以下の条件を理解する必要があります。
他にも懸念事項はありますが、これらがOT SIEMが重要な主な理由です。SIEMは、まったく異なる部門のチームではなく、担当する環境を熟知した担当者によって運用される必要があります(ただし、コンバージドインフラでは、複数の視点でインフラを監視することは決して悪い考えではありません)。アラートは必ずしも即時の対応が必要な問題を指すわけではなく、OT環境において適切な担当者による可視性とプレゼンスも必要です。
OT SIEMのリファレンスアーキテクチャとは何でしょうか?
あらゆる理論的な概念と同様に、その価値を最大限に引き出し、理論的な演習ではなく現実世界で機能するかどうかをどのように判断すればよいのでしょうか? その考え方は次の通りです。
OT SIEM vs. IT SIEM
OT SIEMは、ITとは異なる視点から異なるデータセットを集約、分析、可視化する点でITとは異なります。その結果、従来のIT SIEMでは得られない、セキュリティと信頼性に関する洞察が得られます。
主要アーキテクチャの違い
一般的なOT SIEMアーキテクチャでは、セキュアゾーンとコンジットを介してOTデバイスからデータを収集し、専用のOTセキュリティゾーン(多くの場合、非武装地帯の背後に設置)内で分析を行ない、エンタープライズSIEMとの統合によって一元的な可視性を実現します。
すべての産業企業にOT SIEMが必要だという絶対的な答えはありませんが、独立したOT SIEMの価値を高める要因はいくつかあります。
OT環境では、セキュアゾーンとコンジットの活用が不可欠です。ゾーンは、リスクと機能に基づいてネットワークを論理的な領域に分割し、コンジットはこれらのゾーン間のデータフローを制御・監視します。このアプローチは、攻撃対象領域を縮小し、潜在的な侵害の影響を軽減するのに役立ちます。
OT SIEMは、最も重要なアラートやイベントをIT SIEMに転送するクリアリングハウスとして機能し、IT/OT統合セキュリティに不可欠な企業全体のビューを提供します。OT SIEMからIT SIEMへとデータが流れ、重要なアラートやコンテキスト情報が提供され、包括的なセキュリティ体制を実現します。この統合により、ITセキュリティチームはOTイベントが企業全体に与える影響を把握できます。
OTツールとのAPI統合
OT SIEMは、OT環境内で使用されるツールと連携させる必要があります。ヒストリアン、HMIシステム、資産管理プラットフォームなどのOTツールとのAPI統合は、包括的な監視と対応に不可欠です。これらの統合により、OT SIEMはさまざまなソースからのデータを相関させ、運用環境のより正確で包括的な状況把握が可能になります。
そうでなければ、アクション重視の環境では、修復策の適用が見落とされたり、さらに悪いことに、関連性のないアラームを調整できず、重要なセキュリティインシデントが見逃される可能性があります。重要なのは、投資を最大限に活用し、リスク軽減と効果を向上させることです。
OT脅威検出を強化する準備はできていますか?
OT SIEMが、運用のセキュリティ確保に必要な可視性と制御をどのように実現できるか、ぜひお問い合わせください。
公開 2025年4月22日
お客様へのご提案