OT/IoT 規範を確立する

この記事では、OT/IoT セキュリティ規範の概要について説明します。 運用継続性と安全性を維持しながら、特殊なモノのインターネット (IoT) および運用テクノロジ (OT) デバイスのセキュリティを確立または最新化することに重点を置いています。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ と 技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

OT/IoT セキュリティの理由

OT/IoT セキュリティは、固有の安全性、可用性、信頼性の制約を持つシステムに対処します。

OT および IoT システムは、エントリ ポイント、横移動パス、および影響の大きいターゲットとして、最新の攻撃パスにますます現れます。 重要な課題は、ほとんどの OT 環境が、脆弱、サポートできない、または変更が困難なレガシ ("ブラウンフィールド") システムで構成されていることです。 一般的な制約には以下が含まれます:

• 簡単に更新できないソフトウェア。
• サポートされなくなったオペレーティング システムまたはハードウェア。
• ベンダーが製品のサポートを終了するか、または業務を終了しました。
• 変更にコストがかかる、または実用的ではない規制または安全性の要件。

最新の OT/IoT セキュリティ規範がなければ、組織は次の面に直面します。

• 運用環境の停止と安全インシデントのリスクの増加。
• 産業用制御システムに対するランサムウェアを含む標的型攻撃。
• 規制違反 (NERC CIP、IEC 62443 など)。
• 物理的損害および人の安全に対する潜在的損害。
• 業務停止、および運用面と評判への長期的な損害。

多くの場合、これらのシステムは重要なサービスをサポートするため、運用上の回復性と公共の安全のためには OT/IoT セキュリティが不可欠です。

ミッションと成果

ミッションは、物理プロセスを制御したり、重要な運用データを収集したりする OT システムと IoT デバイスを保護することです。 ミッションの成果は次のとおりです。

• すべての OT/IoT 資産の可視性が向上しました。
• IT 環境とインターネットからの OT/IoT 環境の分離。
• 運用の回復性とコンプライアンスを維持します。
• 操作を中断することなく、リモートとベンダーのアクセスをセキュリティで保護します。
• OT 固有の脅威の早期検出。
• 停止、安全インシデント、物理的な損傷の可能性と影響が軽減されます。
• 業界および規制の要件への準拠。

Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) の次の図は、セキュリティで保護する必要がある OT デバイスと IoT デバイスの範囲を示しています。

この規範を適用する方法

OT/IoT 規範を効果的に適用するには、安全と可用性を維持しながら、接続されたデバイスと運用環境をセキュリティで保護するための調整されたアプローチを確立することに重点を置きます。

1. 運用リスクに合わせた OT/IoT セキュリティ戦略を定義する
   潜在的な安全性とビジネスへの影響に基づいて、重要な運用プロセス、産業システム、接続デバイスに対するリスクを特定、優先順位付け、軽減するための明確なアプローチを確立します。
2. OT と IoT の資産を包括的に可視化する
   デバイス、ネットワーク、通信フローの正確なインベントリを維持して、環境内に何が存在するのかを理解し、管理されていないシステムまたは脆弱なシステムを特定します。
3. OT/IoT 環境のセグメント化と保護
   ネットワークのセグメント化とアクセス制御を実装して、重要なシステムを分離し、横移動を制限し、IT と OT の境界を越えて脅威にさらされるのを減らします。
4. OT/IoT の監視と脅威検出を標準化する
   接続されているデバイスと産業用システム全体に一貫した監視と検出機能を適用して、異常、安全でない状態、潜在的な侵害を特定します。
5. OT/IoT のセキュリティを運用要件と安全性の優先順位に合わせる
   セキュリティコントロールが運用継続性と安全性の要件を確実にサポートし、重要なプロセスの保護を優先し、産業運用の中断を最小限に抑えます。
6. 分析情報と運用フィードバを通じて継続的に改善する
   インシデント、デバイス テレメトリ、運用メトリックからの学習を使用して、可視性を強化し、検出を改善し、時間の経過と同時にセキュリティ制御を調整します。

変更の管理

OT と IoT セキュリティの最新化では、IT セキュリティの取り組み、制御、またはスコープに含まれていない、特殊な OT/IoT デバイスを検出、監視、保護する組織の能力の向上に重点を置いています。 IT 環境とは異なり、ほとんどの OT/IoT システムは有効期間が長く、安全性が重要であり、変更が困難です。

主な変更の原則は次のとおりです。

• 可視性: パッシブ監視を使用して、OT/IoT 資産と通信を検出して理解します。
• 分離: 他のコントロールを適用する前に、OT 環境をセグメント化して分離し、露出を減らします。
• 運用上の安全性: セキュリティ制御によって、リアルタイムの運用や安全システムが中断されないようにします。
• 調達: 購入の決定にセキュリティ要件を埋め込みます。
• 整合: 人、プロセス、テクノロジを調整することで、セキュリティを持続可能なものにします。 たとえば、操作のトレーニング、プロシージャの更新、一貫した制御の適用などです。

モダン化戦略

OT/IoT セキュリティ戦略は、短期的なリスク削減と長期的な構造改善を組み合わせて、人の損害、物理的損害、またはビジネスの中断を引き起こす可能性のあるサイバーセキュリティ インシデントの可能性と影響を軽減します。

IT セキュリティとは異なり、OT/IoT セキュリティには実行可能なセキュリティ制御はほとんどありません。 セキュリティ戦略では、制約を認識し、安全性や可用性を損なうことなく、実用的で持続可能な制御で一貫して効果的に実行することに重点を置く必要があります。

戦略的優先度

一意の OT/IoT セキュリティ制約では、少数の短期的および長期的な戦略的優先順位に焦点を当てる必要があります。

• 短期的な監視 - ネットワーク データの パッシブ 監視を使用してデバイスのインベントリを作成し、攻撃を表す可能性のある異常なアクティビティを特定します。 ソフトウェアの脆弱性を アクティブに スキャンすると、一部のリモート システムがクラッシュする可能性があり、場合によっては、リモートの離れた場所または無人のリモートの場所にサイトを訪問して、システムを物理的に再起動する必要があります。
• 短期的対策 - 分離 - OT および IoT デバイスを、インターネットへの直接アクセスから、また一般ユーザー向けの IT デバイスおよびネットワークを含む他のインターネット接続デバイスから隔離します。
• 短期的 - その他のコントロール (該当する場合) - 機密性の高いシステムの物理的な分離、ソフトウェア更新プログラム (使用可能な場合) などの IT ベスト プラクティスの適用など、システムをセキュリティで保護するために使用できる他のコントロールを設計および実装します。
• 長期的 - 購入または交換 - 調達ポリシーでは、デバイスを完全な運用期間にわたってセキュリティで保護する機能が必要です

コントロールの具体的な組み合わせは、デバイスの種類、運用上の制約、および調達サイクルによって異なります。

次の図は、主要な優先順位を示しています。

短期的 - OT/IoT 環境を分離する

効果的な分離には、トラフィックをブロックするためのファイアウォール規則を使用した単純なネットワーク セグメント化以上のものが必要です。 運用を中断しない脅威に対して効果的な分離を実現するには、包括的で慎重なアプローチが時間の経過と同時に一貫して実装されている必要があります。

このアプローチには、次のものが含まれている必要があります。

• ビジネス プロセス、テクノロジ、脅威のモデル化: OT/IoT システムを検出して文書化します。 ビジネス ワークフローでの使用方法、テクノロジの構成方法、脅威アクターがアクセスする方法。

• 人、プロセス、テクノロジを考慮 する - 包括的なアプローチを取ります。 例えば次が挙げられます。

  • テクノロジの場合は、承認されていない通信をブロックし、脅威を検出し、すべてのブリッジ/トランジット デバイスに対して厳格なセキュリティ制御を確立します。
  • プロセスの場合は、組織のポリシー、ビジネスおよび技術手順、ガバナンスを確立、監視、更新して、時間の経過と同時に保証を維持します。
  • ユーザーのために、手順の内容、理由、実行方法について、すべての利害関係者をトレーニングします。

• すべてのレイヤーに適用 - 分析、設計、実装をネットワークなどの 1 つのコントロールのみに制限しないでください。 ID とアクセス、ネットワーク接続、物理アクセス、オペレーティング システム、アプリなど、システム全体を検討します。

• セキュリティで保護された一時的なデバイス - 脆弱な環境の安全性を確保するために、分離された OT/IoT 環境へのデバイス アクセスを強くセキュリティで保護する必要があります。 厳格な人、プロセス、テクノロジの制御を次の対象に適用します。

  • 監視ワークステーションなど、環境に永続的に接続されているすべてのデバイス。
  • ベンダーの保守用ノート PC など、出入りするデバイス。 特権のあるデバイスの原則に従っていることを確認します。

この図は、価値の高い資産を分離するための重要なポイントを示しています。

長期 - 購入または置換

調達ポリシーに要件を含めることで、OT/IoT のセキュリティと生産性を時間の経過と同時に向上させます。 この手順がないと、OT/IoT 運用のコストとリスクは時間の経過と同時に増加します。

この図では、結果とセキュリティ要件を含まない結果が比較されます。

• A では、組織はセキュリティ要件なしで大規模な購入を行います。 この例は、サポート 契約が早期に終了し、ベンダーが終了する例を示しています。 これにより、未予算のサポート費用と高いリスクが発生する可能性があります。

• B では、組織は調達中にセキュリティ要件を含めます。 ネゴシエーションでは、次のような重要な要因が考慮されます。

  • ベンダーは、有効期間の更新プログラムを提供するか、取引を終了するために機器の最新のオペレーティング システムを提供します。
  • ベンダーは、有効期間のサポートを提供します。 または、少なくとも定期的なサポートを延長したり、割引を提供して取引を終了したりする必要があります。
  • ベンダーは、設計上の欠陥とリスクを早期に軽減するために、健全なソフトウェア開発プラクティスに従う必要があります。
  • ベンダーは、継続性を提供し、ビジネスを継続するベンダーの能力を見積もるチェックの対象となります。
  • ベンダーが業務を停止した場合に備え、プランが用意されています。

値を取得する

要件の早期評価は、機器からの価値を最大化し、将来のリスクを軽減するのに役立ちます。 この情報を早期に使用すると、次の問題に対する保護が行われます。

• 購入後のセキュリティ要件に対処するためのベンダーの動機。
• 更新プログラムとサポートを後日ネゴシエートする必要があります。これは、より困難またはコストがかかる可能性があります。

明らかに、セキュリティ要件は、他のビジネスの優先順位やトレードオフとバランスを取る必要があります。

交換

更新プログラム、アップグレード、交換システムと機器を事前に要求してください。

• 従来のシステムを置き換えるコストが常に高すぎると想定しないでください。
• ビジネスとセキュリティの利点、またはアップグレードまたは交換を検討してください。
• 新しい機器による生産性の向上は、アップグレードコストを相殺する可能性があります。
• メンテナンス、ビジネスの機敏性、セキュリティ リスク、運用の中断の観点から、レガシ システムの隠れたコストを考慮してください。
• レガシ メンテナンスとアップグレードの有効期間コストの完全な分析を実行します。

規範の役割とコラボレーター

OT および IoT セキュリティ ロールは、OT/IoT デバイスとシステムを保護します。 運用と安全性を維持しながら、セキュリティコントロールを確実に実装します。 小規模な組織では、これらの責任がインフラストラクチャまたは SecOps ロールに組み合わされる可能性があります。 大企業には、専用の OT/IoT スペシャリストがいます。

主な役割は次のとおりです。

• セキュリティ アーキテクト – 空き領域の要件と運用上の制約を考慮しながら、ゼロ トラスト原則を適用して、OT 環境用のセキュリティで保護されたアーキテクチャを設計します。

• OT エンジニアリングと運用 - 産業制御システム (ICS)、監督制御およびデータ取得 (SCADA) 環境、物理プロセスの制御と監視に使用されるプログラマブル ロジック コントローラー (PLC) をセキュリティで保護します。

  これらのロールは、ビジネス操作を中断することなく、セキュリティの監視、ネットワークのセグメント化、脅威検出を実装および管理します。

• IoT プロフェッショナル - IoT デバイスとデータをビジネス ワークフロー、サービス、カスタム アプリケーションに統合します。

主要な内部コラボレーターは次のとおりです。

• 現場担当者 (ビジネス運用チームとエンジニアリング チーム) – 運用システムを維持し、運用プロセスが円滑に実行されるようにします。 ログ記録とテレメトリをセキュリティ インシデントおよびイベント管理 (SIEM) およびセキュリティ システムに統合します。
• 現場担当者 (ベンダー管理) – OT システムへのサードパーティのアクセスを監視します。
• インフラストラクチャ、プラットフォーム、ネットワーク エンジニアリング/運用チーム - IT/OT 環境間のネットワークのセグメント化と接続性を調整します。
• SecOps – OT/IoT の脅威を監視し、インシデントに対応します。
• セキュリティ コンプライアンス管理、コンプライアンス、監査チーム – 業界固有の規制 (NERC CIP、IEC 62443、NIST CSF) に準拠していることを確認します。
• CISO、セキュリティ ディレクター/マネージャー – OT/IoT セキュリティの戦略的優先順位、リスク許容度、およびコンプライアンス目標を定義します。

単独で動作するロールはありません。 セキュリティの専門家は、サイバーセキュリティの原則 と OT/IoT 運用要件を理解する必要があります。

多くの場合、安全性と可用性は OT 環境の従来のセキュリティ制御よりも優先され、運用上のニーズとセキュリティのバランスが必要です。

他の規範との統合

OT と IoT のセキュリティは、他の規範と緊密に統合する必要があります。

• インフラストラクチャ セキュリティ – OT/IoT セキュリティは、産業用システムに焦点を当てた特殊なサブセットです。
• SecOps – SecOps チームは、OT/IoT 攻撃を検出して対応し、盲点を回避するためのトレーニング、定義されたプロセス、テクノロジを必要とします。
• セキュリティ体制管理 - これらのチームは、検出と体制の優先順位付け/軽減作業に IoT/OT デバイスを含める必要があります。 これにより、攻撃対象領域や潜在的なアクセス パスなど、OT/IoT リスクを特定できます。

テクノロジの柱との統合

OT と IoT のセキュリティ規範の戦略を実行するには、複数のテクノロジの柱にまたがるセキュリティ制御が必要です。

• ID: OT/IoT 環境の ID コントロールは、マシン ID、自動化システムで使用されるサービス アカウント、産業制御へのアクセスを必要とする人間のオペレーターを考慮する必要があります。
• エンドポイント: 産業用ワークステーション、エンジニアリング ステーション、オペレーターターミナルなどの OT エンドポイントでは、リアルタイム操作を妨げることなく、これらの特殊なシステムを保護するための特殊なセキュリティが必要です。
• インフラストラクチャ: 産業用制御システム、SCADA サーバー、産業用データヒストリアン、PLC などの OT インフラストラクチャでは、必要に応じて運用要件とエアギャップ アーキテクチャを維持しながら、可視性と保護が必要です。
• アプリ: OT/IoT デバイスとインターフェイスするアプリケーションは、物理システムの不正な制御を防ぐためにセキュリティで保護する必要があります。 これには、ヒューマン マシン インターフェイス (HMI)、SCADA アプリケーション、および産業用ソフトウェアが含まれます。
• データ: センサー、制御システム、産業プロセスからの運用データは、安全な運用に不可欠な整合性を維持しながら、保存時と輸送中の両方で保護する必要があります。
• ネットワーク: IT 環境と OT 環境間のネットワーク セグメント化は、産業用プロトコル (Modbus、OPC、DNP3) の監視と、ベンダーとオペレーターの安全なリモート アクセスと共に重要です。
• AI: AI と機械学習は、運用上の制約を考慮しながら、産業プロセスの異常検出、予測メンテナンス、自動化された脅威識別を通じて OT セキュリティを強化できます。

Microsoft リソース

テクノロジ

Microsoftは、OT と IoT のセキュリティの最新化を可能にし、高速化するテクノロジ ソリューションを提供します。

これには、主な有効化テクノロジと主要な有効化テクノロジの両方が含まれます。

次のステップ

インフラストラクチャとネットワークの規範について説明します。