防御は「準備」で決まる ―インシデント対応から考えるOTセキュリティの作り⽅―
-
│
はじめに
近年、OT環境におけるサイバー攻撃は⾼度化しており、従来の「事前に守り切る」という発想だけでは対応が難しくなっています。皆様の中にも、「防御をすり抜けて攻撃が侵⼊しているか分からない」、「検知はしたものの、攻撃か判断できず、様⼦を⾒るしかなかった」といった経験をお持ちの⽅もいらっしゃるのではないでしょうか。
これはツールの問題ではありません。「判断できる状態が整っていない」ことに起因する課題です。
⾃動遮断が利⽤できないOT環境では、検知→調査→判断→対処のフローを、迅速かつ再現性⾼く実⾏できるかどうかが、防御のカギです。
本記事では、インシデント時に適切な意思決定と対処するための"準備"について、具体的に説明します。
目次
- 予防的コントロールの再定義
- 正確な判断を可能にする「⾃社情報」の整備
- 検知を「判断材料」に変える仕掛け作り
- 是正=判断と対処の再現性を準備する
- 準備ができている時のインシデント対応例
- まとめ
1.予防的コントロールの再定義
予防的コントロールでは、攻撃対象面を減らすことを目的に、主に以下を実施しています。
- 資産管理
- ハードニング
- 脆弱性対策
- セグメンテーション
- アクセス制御
しかし、上記の対応だけでは、攻撃を100%防ぐことは理論上不可能なため、突破された時の備えが重要です。
インシデント発⽣時に、判断と対処ができる状態を作ることが、予防の重要な観点であり、防御の本質とも⾔えます。
2.正確な判断を可能にする「⾃社情報」の整備
インシデント発⽣時に検知した内容に、以下のような情報が紐づいて、初めて判断ができる「判断材料」になります。
- どの設備か?
- どのライン・⼯程か?
- 停⽌した場合の業務影響は?
- 管理や運転の担当部署は?
例えば、同じPLCとWindowsワークステーションであっても、「重要ラインの制御機器」なのか、「⼀時的に停⽌可能な補助設備」なのかによって、対応判断は⼤きく変わります。
そのため、セキュリティツールやベンダの脅威情報だけではなく、⾃社固有の内部情報が必要です。従来のアセットマネジメントを「意思決定のための情報基盤」にするには、管理のための資産台帳から、判断に使うための環境情報として整備し、後述の検知・是正の中で活⽤できるよう配備します。
3.検知を「判断材料」に変える仕掛け作り
検知の本質は、異常パターンを⽰すだけでなく、是正判断に必要な情報を提供することにあります。検知的コントロールの結果を使って、どこで何が起きているか、影響はどこまでか、⽌めるべきか、様⼦を⾒るべきかを速やかに判断できるようにします。
検知を機能させる3要素
"検知"は検知装置(IDSなど)単体では実現できず、以下3つの情報が必要です。これらを統合し、判断材料となる情報を素早く⽣み出すことが、検知的コントロールの役割です。
|
検知情報 |
セキュリティ装置のアラート。技術的異常パターンを⽰します。 |
|
環境情報 |
社内の情報。どの設備・⼯程・部署かを特定します。 |
|
外部インテリジェンス |
どのような攻撃か、攻撃⼿順のどの部分を検知しているか、⽬的は何か、他に想定される侵害があるか、無効化するには何が有効か、などを⽰してくれます。 |
アラートの選別
更に、セキュリティアラートをその場で以下の3つに選別できることが重要です。この整理が事前にできていない場合、現場はアラートの仕分けに追われ、攻撃に気付けず、是正も機能しません。
|
セベリティ |
アラートの扱い⽅ |
対応 |
|
低:情報 |
今は使えない情報 |
放置 |
|
中:調査すべき |
判断が必要な情報 |
調査・脅威ハンティング |
|
⾼:危険 |
攻撃の可能性が⾼い |
インシデントレスポンスの発動 |
4.是正=判断と対処の再現性を準備する
インシデント対応では、「調査・判断・対処」を再現性をもって実施するために、以下を準備します。
- IT/OT現場/事業部⾨の連携ワークフロー
- 判断主体とエスカレーションルール
- プレイブック
特にプレイブックは、ITにおけるアラート対処アクションと混同しがちです。
OTでは、対処の範囲がコンピュータ端末とネットワーク内に留まらず、⼯程設備・運転作業・事業判断にもつながっています。このため、こうしたITを専⾨としないステークホルダーとの連携まで考慮して整備します。
- 攻撃と過検知との⾒分け⽅・調査⽅法
- 侵害の確認⽅法
- 判断基準と対応の選択肢
- 対処⼿順
更に、検知の段落で述べたように、対応を平時・有事に分けた設計も有効です。
- 平時:脅威ハンティング
- 有事:インシデントレスポンス
OT環境の対処は「⽣産システムを⽌める/⽌めない」という重い意思決定を伴います。この選択を場当たり的に⾏うのではなく、準備段階で設計しておき、誰が⾒ても同じ判断ができる状態を作っておきます。
5.準備ができている時のインシデント対応例
ここまでの準備を整えた上で、インシデント対応は次のように機能します。技術的な対応だけでなく、業務⾯の対応や、対外報告のためのインシデント情報もこのフローの中で揃います。
準備ができている状態でのインシデント対応例
|
アラートから対処まで |
内容 |
|
アラート発⽣ |
セキュリティツールのアラート出⼒ |
|
セベリティ分解 |
検知コントロール:アラート仕分け |
|
攻撃内容・場所・影響範囲の提⽰ |
検知コントロール:3つの情報の統合 |
|
プレイブックに基づく対応 |
是正コントロール:脅威ハンティング⼿順、インシデントレスポンス⼿順 |
|
ステークホルダーと連携した調査と意思決定 |
インシデントレスポンスチームの⽴ち上げ・⾏動 |
|
技術的対処 + 事業的対処 |
サイバー観点の技術対処(機器やネットワーク上の対策) |
6.まとめ
予防・検知・対処の3つのコントロールは互いに密接に関わっています。特に検知を起点として意思決定と対処につなげるための準備の重要性を今回は解説しました。
準備段階で考えていない対策は、有事に選択することができません。
OTでは、脅威もろともネットワークを遮断したり端末を隔離したりする⽅法を、ほとんどの場合では使えません。そのため、どんな対処を取り得るか、そのための判断はどう⾏うのか、これを整理して準備することがOTの防御と⾔えます。
弊社では、こうした観点から単なるツール提案に留まらず防御作りを⽀援しています。ぜひお気軽にご相談ください。
関連ソリューション
Dragos ~世界最高峰の脅威インテリジェンス活用型OTセキュリティ~
◇Dragos製品に関する資料のDLはこちら
◇Dragos製品のお問い合わせはこちら
DeviceTotal ~OT/IoT/ネットワーク機器向け脆弱性管理プラットフォーム~
◇DeviceTotal製品に関する資料のDLはこちら
◇DeviceTotal製品のお問い合わせはこちら
◇OT-IDS運用課題を解決するOTセキュリティの新標準「脅威インテリジェンス活用」アプローチ
動画の視聴はこちら↓
