米国の調査から判明、OTセキュリティがサイバー攻撃に弱いワケ

産業設備はITと比べて、サイバー攻撃に弱いといわれている。なぜだろうか。どのような危険があるのだろうか。

[David Jones，Cybersecurity Dive]

　産業設備を動かす工場などの組織のうち、3分の2近くが過去1年間にサイバーセキュリティの体制を強化した。高度で厳しい脅威に直面しているためだ。IT環境とOT（Operational Technology）環境では、サイバー防御にどのような違いがあるのだろうか。

OT特有の課題とは

　Nozomi Networksの委託を受けたSANS Instituteの調査（注1）によると、OT環境を備える工場などの組織はサイバー防御を固めていることが分かる。3分の2以上の組織がセキュリティ予算を増やしたと回答した。1年前の調査ではこの数字は半分以下だった。この調査はエネルギーや化学、製造業、水管理、原子力など、さまざまな垂直統合された企業から寄せられた332件の回答に基づいている。

　セキュリティ監査を実施していると回答した企業は1年前には76％だったが、今回はほぼ10社のうち9社が実施していると答えた。

　調査の背景は、産業分野の重要インフラ企業がセキュリティ上の脅威に対する認識を深めている事実がある。

　米国最大の石油精製品パイプライン事業者Colonial Pipeline（テキサス州とニューヨーク州を接続する長さ8850キロのパイプラインが攻撃された）と食品加工企業JBS USA Holdingsに対する2021年に発生した大規模なランサムウェア攻撃が代表的な例だろう。セキュリティ業界と政策立案者の間で、米国のインフラの主要な要素が、不正な国家や犯罪者による悪意のあるサイバー攻撃に対していかに脆弱（ぜいじゃく）なのか、大きな関心を呼び起こした。

　Nozomi Networksのダニエル・ジャブランスキー氏（OTサイバーセキュリティ・ストラテジスト）は、電子メールで次のように語っている。

　「ダウンタイムをほとんど許容できない事業は、有利な攻撃ターゲットだという認識が広まっている。攻撃対象はジャストインタイム製造や輸送、天然資源や加工資源の供給企業だ」

弱みがあるOT、そこに付け入る攻撃ツール

　OTセキュリティが直面している課題は、これらの産業施設の多くが古い技術を使っていたり、現場人員の増員が必要だったり、OTシステムのセキュリティに関する十分な専門知識を持たないITセキュリティスタッフを抱えていたりすることだ。

　2022年4月、FBIとその他の連邦政府当局は、産業施設を標的に開発された「Incontroller」と呼ばれる一連のカスタムメイド攻撃ツール（注2）について警告を発した。このツールを攻撃者が利用すると、生産が中断されて、安全制御を無効にされる可能性がある。

出典：Industrial providers ramp up cyber risk posture as OT threats evolve（Cybersecurity Dive）

注1：SANS 2022 Survey: The State of OT/ICS Cybersecurity in 2022 and Beyond

注2：Authorities warn dangerous new malware can shut down, sabotage industrial sites（Cybersecurity Dive）