「脆弱性の96％は無視できる」それってどういうこと？

工場やプラントなどの制御システム「OT」。ITとは一味ちがう、OTのセキュリティ対策のポイントを専門家が語った。

[Matt Kapko，Cybersecurity Dive]

　DragosのCEO（最高経営責任者）兼共同設立者ロバート・M・リー氏は2022年11月8日、Forresterが開催した「Security&Risk2022」でOTセキュリティに必要な5つの要素について語った。同氏によれば、OTセキュリティにおける既知の脆弱性の96%は重要ではないという。一体どういうことなのだろうか。

ここが違うよOTセキュリティ

　OTシステムは廃水処理、発電、製造プラントの稼働などを担っており、それぞれに異なるセキュリティ要件が生まれる。「ITセキュリティがデータとシステムに主眼を置くのに対し、OTセキュリティはシステムと物理に関わるものだ。異なる影響、異なるリスクがある場合、セキュリティの要件も少し異なるものになるだろう」とリー氏は述べる。

　リー氏らは、過去の産業用制御システムに対する攻撃を調査した。各産業分野のインフラ制御システムにはそれぞれ独自のセキュリティ要件がある。しかし「OT全体に共通する脅威に立ち向かうために、幅広く適用できる5つの重要なポイントがある」と同氏は述べる。

1．OTインシデント対応計画の策定

　リー氏によれば、インシデントが発生するまで対応策を考えない企業があまりにも多く、アーキテクチャ、ログ、検知の整合性が取れていない場合が多いようだ。

　また、証券取引委員会に提出する書類や、運用チームのメンバーと共有すべき詳細な情報を検討することも必要だ。これにより、アーキテクチャの構築方法、収集すべきデータの種類、企業のセキュリティツールに要求されるものが見えてくる。

2．人間による防御

　「絶対に安全な製品やアーキテクチャは存在しないが、防御可能なものはある」とリー氏は述べる。さらに、同氏は「人間の敵に対抗するためには、優秀な人間が必要だ」と忠告する。テクノロジーだけで解決しようとするのではなく、人間のオペレーターやディフェンダーを加えることも重要だ。

3．ネットワークセキュリティの可視化

　企業はセキュリティ可視化サービスを使用して、不審な動作を検出し、アーキテクチャ全体を監視することができる。

　また、複雑なOTシステムのプロトコルで何が起きているかを理解するには、サイバーセキュリティの専門家が必要だ。「専門家による洞察は、内部関係者や敵対者があるシステムを使用して別のシステムを操作したかどうかを判断するのに役立つ」とリー氏は述べる。

4．セキュアなリモートアクセス

　多要素認証はリモートアクセスを保護する最も一般的な方法だが、全てのシステムがサポートしているわけではなく、より優れたものに取って代わられる可能性もある。

　リー氏によれば、セキュアなリモートアクセスは非常に重要だという。「危険な場面の多くは、第三者からのアクセスに起因する。第三者自身が危険な場合もあれば、アクセスの設定によってその環境へのアクセスが容易になる場合もある」と同氏は述べる。

5．クリティカルな脆弱性への着目

　「全ての脆弱（ぜいじゃく）性を気にする必要はない。OTシステムにおいて気にすべきなのは、環境に新しい機能を追加したり、環境へのアクセスを助けるような脆弱性だけだ」とリー氏は話す。同氏によれば、これは年間の既知の脆弱性全体の4％しかないという。つまり、運用担当者は既知の脆弱性のうち96%を無視できることになる。

　「ITとOTは多くの点で異なるが、最大の違いはそのデザインではなく、目的に起因している。OTは最終的に物理を扱わなければならない」とリー氏は語る。OT独自のセキュリティ対策を検討する必要がありそうだ。

出典：5 security musts for industrial control systems（Cybersecurity Dive）