OT(オペレーショナルテクノロジー)セキュリティアドバイザリによって迅速な対処が求められている
トピック: ネットワークおよびアプリケーションセキュリティ
2020年8月10日、Mike Vizard
NSA(米国国家安全保障局)は、CISA(米国Cybersecurity and Infrastructure Security Agency)と共同で、OT資産を保護するための迅速な対処を行うことを政府機関に推奨する警告を発しています。
この警告では、攻撃者が能力と活動を強化していることが、さらに緊急を要する理由として挙げられています。NSAとCISAは、従来のOT資産に最小限のセキュリティしか設定しておらず、OT資産の識別情報を簡単に入手できる場合は、最悪の状況が生じることを指摘しています。
IT部門が対処することを推奨されているOTのセキュリティの問題はセキュアではない資産への簡単なアクセス、デバイスに関するオープンソースの共通情報の悪用、および共通フレームワークによって導入できるエクスプロイトの広範なリストです。上記の警告では、攻撃を受けているOT資産は価値が高いため、実行されている攻撃は、技術的に高度ではない可能性がある一方、深刻に受け止める必要があることが指摘されています。
包括的なプラン
NSAとCISAは下記の対策を行うための包括的なOTセキュリティプランを導入することをIT部門に推奨しています。
- システムをインターネットから迅速に切断できる
- 接続を解除できない場所に補完的な管理を確保する
- 敵対的買収によって、ICS(産業用制御システム)を使用できなくなったか、無効にする必要がある場合、継続的な手動のプロセス操作を計画する
- リスクと攻撃サーフェスを増加する可能性がある追加機能を削除する
- システムの依存関係と運用の依存関係を確認する
- OTデバイスおよびサービスを適時にリストアする
- ファームウェア、ソフトウェア、ラダーロジック、サービス契約、製品ライセンス、プロダクトキー、設定情報などの「ゴールドコピー」リソースをバックアップする
- データバックアップおよびプロセスをテストおよび検証する
他の推奨の対処はインシデント対応プランのテスト、ファイアウォールによるネットワークのハードニング、ネットワークマップの作成、在庫に対するリスクの評価、および継続的な監視システムの導入です。NSAとCISAは、攻撃への対処に入念に備えるために、ICSフレームワークのMITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)に攻撃ベクタをマッピングすることをIT部門に推奨しています。
IoT(モノのインターネット)セキュリティへの影響
警告で指摘されているOTシステムのほとんどは長年にわたって実稼働環境で動作しています。IoTアプリケーションの構築を開始する企業が増加すればするほど、上記の同じセキュリティの問題が広範囲に発生します。OmdiaがIoT World Virtualの主催者と協力して170人のIoT業界のリーダーを対象に実施した調査によると、回答した企業の85%はセキュリティの問題をIoT導入の大きな障壁として挙げています。また、回答した企業の3分の2未満(64%)はエンドツーエンドのIoTセキュリティを短期的な最優先事項として挙げています。
上記の調査によると、セキュリティを確保するために最もよく採用されている方法はエンドツーエンドのデータ保護(60%)、ファームウェアとソフトウェアの定期的な更新ポリシー(54%)、およびデバイスの物理的なセキュリティのチェック(44%)です。
ほとんどのOTおよびIoTシステムは企業または政府機関に導入されています。通常、OTシステムは中央集権的なIT企業が管理するアプリケーション環境から独立して管理されています。しかし、多くの企業は企業全体に一貫して適用できるセキュリティポリシーとベストプラクティスを定義しようとしています。
IT部門とOT部門が互いに良好な関係を築くことは必ずしもそれほど簡単ではありません。通常、両方の部門は文化的に異なります。課題は、全体が部分の和をはるかに超える方法で、この2つの文化の長所だけを集めることです。
原文はこちら:
OT security advisory calls for immediate action
August 10, 2020 Mike Vizard
https://blog.barracuda.com/2020/08/10/ot-security-advisory-calls-for-immediate-action/